Проблемы защиты мгновенной передачи сообщений (часть первая).

Мгновенные сообщения - все более и более популярный метод передачи информации по Интернет. Мгновенные сообщения (IM) - удобное дополнение, а в ряде случаев, и неплохая замена переписке по электронной почте. В отличие от электронной почты, мгновенная передача сообщений позволяет пользователю видеть - доступен ли выбранный друг или сотрудник в сети. Как правило, IM служба дает пользователю информацию, если доступен кто-то из корреспондентов личного списка пользователя. IM также выгодно отличает от электронной почты возможность двустороннего обмена сообщениями практически в реальном масштабе времени.

Существует огромное число пользователей такой связи, у нее масса сторонников и даже своих идеологов, доказывающих, что использование мгновенной передачи сообщений на рабочем месте вместо традиционной электронной почты ведет к более эффективной и надежной связи рабочего места и, поэтому, к более высокой производительности труда сотрудников. В результате, IM быстро развивается и в профессиональных и в личных приложениях. Однако здесь имеется неприятная закономерность, выведенная для большинства Интернет-программ – увеличение скорости передачи информации ведет к связанному увеличению риску защиты.

В этой статье описана мгновенная передача сообщений и рассмотрен краткий обзор некоторых из угроз защиты, связанных с ее обслуживанием.

Как работает мгновенная передача сообщений?

IM cети состоят из клиентов и серверов. Пользователь устанавливает на свою машину клиента, который соединяется с сервером, управляемым распространителем данной программы - типа AOL, ICQ, или Yahoo Messenger. (Здесь стоит отметить, что, поскольку в различных системах используются различные протоколы, то различные службы мгновенной передачи сообщений не совместимы между собой. Поэтому, пользователи ICQ могут связываться только с другими ICQ-пользователями, но не  пользователями других IM служб). Всем пользователям, подписанным на IM услуги, дают уникальный идентификатор, который может быть и именем, и номером. Пользователь может сообщить свой уникальный идентификатор людям, с которыми он/она хотят контактировать через IM сеть.

Пользователь начинает IM сеанс через аутентификацию на сервере. Когда два зарегистрированных пользователя хотят связаться между собой, происходит следующая последовательность событий:

• Первый пользователь, к примеру, Ваcя Пупкин, инструктирует IM клиента послать текстовое  сообщение для своего знакомого, к примеру, Гоги Макакашвили. Клиент создает пакет, содержащий нужное сообщение и посылает его серверу.
• Сервер просматривает пакет и определяет, что получатель – зарегистрированный пользователь Гоги Макакашвили. Сервер создает новый пакет с сообщением от Ваcи Пупкина и отсылает его Гоги.

Большинство сообщений продолжают проходить через центральный сервер. Однако, некоторые программы создают прямое подключение между пользователями после первого сообщения. Использование центрального сервера выгодно по многим причинам. Например, Ваня Пупкин  обязан знать идентификатор Гоги для соединения. Кроме того, он может посылать сообщения даже если получатель не находится в сети. Сервер сохранит сообщение, пока Гоги не соединится с ним для аутентификации, после чего сообщение будет передано.

Большинство IM клиентов имеет возможность создавать списки знакомых, или списки привилегированных людей, с которыми пользователь желает контактировать, следит, доступны ли эти люди для передачи IM сообщений. Например, когда Гоги ответит Ване, тот может сохранить его уникальный идентификатор в списке знакомых. И каждый раз, когда Гоги будет контактировать с сервером для своей идентификации, Ваcя будет способен видеть его в своем списке; поэтому он всегда будет проинформирован, когда Гоги подключается или наоборот, выключает свой компьютер.

Проблемы защиты

Сети мгновенной передачи сообщений обеспечивают способность передачи не только текстовых сообщений, но также и перемещения файлов. Следовательно, такие сети вполне годятся для передачи вирусов, червей, троянов и других пакостей. Особенно удобны такие сети для  заброски троянов. Хакеры могут использовать мгновенную передачу сообщений для открытия лазеек и получения доступа к компьютеру без сканирования и открытия портов, эффективно проходя все имеющиеся межсетевые защиты периметра. Кроме того, обнаружение новых жертв не требует длительного просмотра множества неизвестных IP-адресов, а сводится к простому выбору очередной жертвы из имеющегося на зараженном компьютере списка приятелей. В дополнение к простой передаче файлов, все основные системы мгновенной передачи сообщений поддерживают совместное использование файлов, где каждый имеет возможность открыть для совместного использования любые свои каталоги или диски. На практике это означает, что все файлы (в том числе и самые конфиденциальные) на всех дисках зараженного компьютера могут быть открыты для свободного доступа через IM клиента. Есть еще одно напрашивающееся использование этой опции - быстрое распространение файлов,  зараженных вирусами, и не только ими.

Сетевые черви

Черви электронной почты – уже обыденная и привычная часть ежедневной жизни для любого специалиста в области компьютерной защиты. Однако с этой угрозой практически всегда можно эффективно бороться путем контроля шлюза и установки на рабочем столе AV-защиты. Поэтому, как только программами обнаруживается зараженное письмо, оно будет остановлено еще до того, как сможет причинить какой-либо вред. В случае же мгновенной передачи сообщений, антивирусное программное обеспечение, существующее в настоящее время, не способно контролировать трафик на межсетевом уровне. Если червь распространяется через  IM систему, его невозможно остановить,  и он без труда достигнет компьютера жертвы.

Этим объясняется все больший интерес злоумышленников именно к IM-червям. Количество таких червей постоянно увеличивается, масштабы заражения также стремительно растут. Только за последние полтора года появилось пять известных IM-червей (это без учета менее удачных их собратьев):

• W32.Choke (June 6, 2001)
• W95.SoFunny.Worm@m (July 3, 2001)
• W32.Goner.A@mm (Dec. 4, 2001)
• W32.Led@mm (January 22, 2002)
• W32.Seesix.Worm(May 15, 2002)

Все эти черви прекрасно себя чувствуют и размножаются в IM сетях, а обнаруживаются, как правило, уже после проведенных ими разрушительных действий. И, несмотря на растущую угрозу, до сих пор нет никаких антивирусных приложений, способных непосредственно контролировать мгновенный трафик на уровне сервера. Это происходит из-за трудности в обнаружении трафика IM сообщений, поскольку он часто внедряется в HTTP пакеты. Другой путь пресечения подобной вредной деятельности – просмотр файлов сразу при получении. Антивирусные программы пошли именно по этому пути. Недостаток такого способа очевиден - трудности в контроле IM трафика из-за постоянных модификаций клиентов и протоколов, которые они используют. К сожалению, все это делает IM системы открытой нараспашку дверью на ваш компьютер, поскольку непроверенный трафик обойдет большинство существующих сервер-основанных мер защиты. Только антивирусные программы, работающие на уровне каждого компьютера, могут перехватить таких червей.

Способы, которыми размножаются сетевые черви, постоянно изменяются. Часть распространяются как через электронную почту, так и через IM-систему. Другие распространяются исключительно только через IM сообщения. Однако, в настоящее время IM-черви все еще требуют непосредственного участия человека для своего запуска и размножения. Ни один из видов современных IM-червей пока еще не способен  автоматически выполнятся после получения. Поэтому, если пользователи IM систем лучше узнают обо всех имеющихся угрозах и методах их предотвращения, способность червей к размножению будет существенно снижена.

Троянские кони

Каждый желающий может открыть для совместного доступа все файлы на чужом компьютере при использовании IM системы. Все популярные IM-программы  имеют возможность совместного использования файлов или способны добавить такую функциональную возможность при добавлении патчей. Поскольку клиенты мгновенной передачи сообщений позволяют одноранговое совместное использование файлов, троян может конфигурировать IM-клиента, чтобы он позволил совместное использовать всех файлов системы с полным доступом для каждого, и этот способ может использоваться для установок любых лазеек на компьютер. Очевидна выгода для хакера, использующего мгновенного посыльного для обращения к файлам на удаленном компьютере, вместо установки традиционного трояна – даже в случае использования компьютером динамического IP-адреса, экранное название обычно не будет  изменяться. Кроме того, хакер будет получать уведомление каждый раз, когда компьютер жертвы появляется в сети. Слежение за компьютерами и доступ к инфицированным компьютерам становится очень простым для хакера. Кроме того, хакер не должен открывать новые подозрительные порты для связи (через которые его обычно и засекают), но может вместо этого использовать порты, открытые IM клиентом.

В настоящее время существует лишь горстка троянских программ, созданных для IM систем. Подавляющее большинство из них изменяют параметры настройки конфигурации, так что файлы на жестком диске становятся доступными для совместного использования. Эти типы троянов представляют особую угрозу, поскольку они позволяют получить полный доступ к файлам компьютера любому злоумышленнику.

Существуют также и классические троянские кони, которые используют IM-системы для шпионажа за компьютерами жертвы и способны передавать хозяину информацию о паролях, логинах, IP, настройках зараженного компьютера и т.д. Кроме того, недавно появились и трояны, позволяющие превратить компьютер жертвы в зомби и использовать в различных неправомерных действиях. Контроль и инструктаж такого компьютера осуществляется также через IM систему.

Оставшаяся часть троянов позволяет получить доступ к компьютеру, используя IM-клиента, после чего открывается классический backdoor со всеми вытекающими последствиями. Пресечь работу такого трояна намного тяжелее, чем предотвратить работу классического backdoor трояна. Действие традиционного трояна можно предотвратить с помощью нормально настроенной межсетевой защиты. Однако если троян работает через IM-клиента, он не открывает никаких новых портов. Он использует для своей работы уже существующий, разрешенный межсетевой защитой канал, и в большинстве случаев защита игнорирует вредную деятельность. Число IM-троянов этого типа растет самыми быстрыми темпами.

(продолжение следует)