19.03.2003

Проблемы защиты мгновенной передачи сообщений (часть вторая).

Маловероятно, что IM-системы в ближайшее время вытеснят или хотя бы сравняются по распространенности с электронной почтой. Пока еще действия хакеров или червей, ориентированные именно на такие системы являются, скорее, оригинальными исключениями из правил. Но популярность IM-систем растет, и ситуация может со временем измениться. Уже сейчас появляются вирусы, черви и трояны именно для таких систем, причем число их неуклонно увеличивается.

Использование хакерами чужих данных.

Хакеры могут маскироваться под других пользователей самыми различными способами. Наиболее часто используемый способ - простой перехват информации об учетной записи  ничего не подозревающего пользователя. Также распространенным методом является использование троянских программ для получения и пересылки пароля для IM-клиента. И если сами процессы нахождения пароля в различных троянах мало отличается друг от друга, то средства для отправки украденного пароля хакеру могут сильно различаться и включать как использование IM-системы непосредственно, так и IRC, и, естественно, электронной почты.

Кроме того, ни один из четырех основных IM-протоколов передачи сообщений не шифрует свой сетевой трафик, что дает злоумышленнику возможность подключения в режиме "man-in-the-middle". Вставляя сообщения в текущий разговор, хакер выполнять роль одного из собеседников. И хотя существует несколько специфических трудностей в такого рода соединении, этот тип нападения вполне реален и дает злоумышленнику несомненные преимущества. Для того чтобы собеседник жертвы не мешал, хакер может его через какое-то время отключить, послав разъединяющее сообщение, которое обычно исходит от сервера. Еще одним способом отключения одного собеседника является атака типа «отказ в обслуживании», или другие действия, что позволит предотвратить повторное соединение.

Так как сервер в этом случае сохраняет подключение, жертва не будет догадываться, что произошла замена собеседника в процессе разговора, и хакер будет вполне способен исполнить роль знакомого жертвы. Данная ситуация, очевидно, может быть весьма разрушительной. Поскольку хакер маскируется под пользователя, которого собеседники знают и, скорее всего, многие доверяют, приятели жертвы могут обнародовать самую конфиденциальную информацию или без опасений получить и открыть любые опасные файлы. Таким образом, потеря пароля IM-клиента опасна для гораздо большего числа людей, чем только непосредственный пользователь, потерявший пароль.

Отказ в обслуживании

IM-передача сообщений довольно уязвима к отказу в обслуживании (DoS-нападениям). Эти нападения могут иметь самые различные результаты: некоторые создают мгновенный аварийный отказ работы IM-клиента, другие просто «подвешивают» его, а в некоторых случаях создается настолько большой массив данных, что с ним не справляется центральный процессор, что вызывает нестабильную работу или даже зависание всего компьютера.

Существует много путей, которыми хакер может вызвать отказ в обслуживании IM-клиента. Самый традиционный способ состоит в затоплении выбранного пользователя огромным количеством сообщений. Все самые распространенные IM-системы передачи сообщений содержат некую встроенную защиту от такого типа атак, что позволяет жертве игнорировать некоторых конкретных пользователей. Однако имеется много инструментальных средств, позволяющих хакеру использовать множество учетных записей одновременно, или автоматически создавать необходимое количество учетных записей, чтобы преодолеть порог, с которого уже  возможна flood-атака. Добавим здесь, что когда flood-нападение началось, жертва сразу поймет, что случилось, но его компьютер к этому моменту уже практически обречен. Потому что добавление учетных записей злоумышленника к игнорирующемуся списку IM-клиента может быть весьма трудно осуществимо.

Конечно, такие формы DoS-нападений больше являются раздражителями, созданными скорее для выведения жертвы из равновесия, но они легко могут служить лишь ширмой для  других, действительно опасных действий злоумышленника.

Неправомочное раскрытие информации

Раскрытие конфиденциальной информации может произойти и без использования троянов. Так как данные, передаваемые по сети IM-передачи сообщений, не шифрованы, в большинстве IM-сетей самый обычный сетевой сниффер может использоваться для их перехвата. Используя сниффер, хакер может перехватывать пакеты, а это критически опасно, так как он способен получить доступ к самой конфиденциальной информации. Это особенно опасно в крупных корпорациях, так как часто личная, секретная и другая конфиденциальная информация передается по ICQ или другой IM-сети (так как существует распространенное ошибочное мнение о большей надежности именно такого способа передачи самой секретной информации).

Сохраненные данные - еще один способ раскрытия информации

Некоторые IM-клиенты позволяют сохранение в журнале всех имевших место переговоров. Даже при том, что это – дополнительное свойство, которое часто требуют сами пользователи, и которое требуется службам безопасности многих компаний для предотвращения утечки информации, именно эти сохраненные журналы являются концентратом всех личных и корпоративных тайн и представляют особую опасность для безопасности.

Это сделалось очевидным после 2001 года, когда хакеру удалось получить доступ к журналу IM-клиента, хранившемуся у руководителей компании eFront. Данные сведения были опубликованы в Интернет в самых различных местах, что вызвало массу корпоративных  скандалов. Файлы регистрации включали крайне чувствительные данные о деловых партнерах, принадлежащих им web-сайтах и массу различных паролей для самых различных служебных и банковских программ. После этого множество сотрудников были уволены, часть руководства eFront ушла в отставку.

Блокирование IM-передачи сообщений

Самое забавное – то, что сделать это не так то просто. Даже в случае явной угрозы для безопасности организации традиционное блокирование портов не будет эффективным, потому что IM-клиенты могут использовать самые различные адреса портов, в том числе и распространенные адреса типа HTTP порта 80 и FTP порта 21. Более того, часть IM-клиентов способны автоматически переконфигурироваться и использовать другой порт в случае невозможности связи по заданному по умолчанию.

Системы межсетевой защиты с анализом протокола могут пресекать трафик IM-клиента даже через обычные порты адресата, типа 80 порта, так как IM-трафик отличается от обычного  HTTP-трафика. Однако, последние версии всех IM-клиентов внедряют свои данные в пределах HTTP-запроса, совершая, таким образом, обход защиты с анализом протокола.

Некоторые IM-системы, типа ICQ и AIM, добавляют данные в HTTP-заголовки только в случае  использования HTTP-прокси. Однако служба AOL обеспечивает бесплатный доступ к такому прокси-серверу www.proxy.aol.com, и IM-клиенты автоматически меняют конфигурацию на использование этого прокси-сервера, если прямой доступ блокируется защитой по всем портам.

Даже в случаях, когда защита вашей организации настроена на блокирование всех запросов к прокси-серверам AIM и ICQ, в Интернете существует множество других бесплатных прокси-серверов. Простой поиск в Интернет даст любому желающему сотни доступных прокси-серверов, причем их список постоянно пополняется. Блокирование каждого из них – прямо скажем, не самый легкий путь, кроме того, всегда будет оставаться возможность использования сотрудниками неизвестного вам и еще не запрещенного сервера.

В общем, IM-системы, как и сорняки, легко появляются и очень тяжело выкорчевываются. Лучшим выходом обычно является проработанная корпоративная политика безопасности, когда все сотрудники предупреждены о возможных рисках и последствиях своих действий. Она, если и не запретит использование на рабочем месте IM-передачи данных, то, по крайней мере, предотвратит применение IM-систем для передачи конфиденциальной информации.

Обеспечение работы IM-передачи сообщений

Как мы уже говорили, у IM-передачи данных множество сторонников. Подавляющее большинство организаций и сотрудников никогда не смирятся с необходимостью отказываться от этого очень удобного инструмента из-за каких-то неопределенных проблем безопасности. В этом случае в обязанности администраторов должна входить настройка таких систем для увеличения их безопасности, насколько это вообще возможно.

 И опять, обеспечение безопасной мгновенной передачи сообщений - не самая простая задача. Один из лучших способов сохранения информации, передаваемой по IM-сети, состоит в шифровании передаваемых данных. В настоящее время существуют несколько компаний, которые предлагают свои продукты для шифровки IM-передачи.

В дополнение к шифровке, имеет смысл обеспечивать запись и сохранение всех файлов регистрации. Однако, как мы уже описывали, эти файлы представляют особую ценность для злоумышленников и должны охраняться особенно тщательно и находиться в недоступном извне месте.

Кроме того, передача любых файлов по IM-сети должна быть категорически запрещена. Для этой цели подходят и обычные методы, а именно перемещаемые файлы представляют наибольшую угрозу для безопасности.

Заключение

Маловероятно, что IM-системы в ближайшее время вытеснят или хотя бы сравняются по распространенности с электронной почтой. Пока еще действия хакеров или червей, ориентированные именно на такие системы являются, скорее, оригинальными исключениями из правил. Но популярность IM-систем растет, и ситуация может со временем измениться. Уже сейчас появляются вирусы, черви и трояны именно для таких систем, причем число их неуклонно увеличивается.

Появление особо опасных и заразных червей для IM-систем уже можно смело предсказывать. И, если нынешняя ситуация с защищенностью не улучшится, то мы вскоре можем стать свидетелями эпидемий, практически мгновенно поражающих миллионы компьютеров по всему миру.

или введите имя

CAPTCHA