Рубрики
Угрозы использования ICQ для корпоративного общения Печать E-mail
09.12.2008 г.
Сервис ICQ («аська») – это очень удобный, доступный и к тому же бесплатный сервис онлайн-общения и сервис передачи файлов. А безопасно ли использование ICQ с точки зрения информационной безопасности предприятия?
ICQ (I seek you), она же по-простому — «аська». В переводе на русский язык название этой программы означает «Я ищу тебя». Программа была написана в 1996 году группой талантливых программистов из Израиля, позже основавших компанию Mirabilis. По прошествии чуть менее полутора лет в ICQ уже были зарегистрированы порядка миллиона человек, с тех пор тенденция не только не снижается, но и растет. Что же так привлекает в этой простой программе миллионы пользователей Интернета во всем мире? Возможность мгновенного обмена сообщениями? Возможность знать, находится ли твой друг, знакомый или сотрудник вИнтернете в данный момент? Возможность передачи файлов? Потоков данных (к примеру, видео или аудио)? На все эти вопросы можно ответить утвердительно. Но именно те плюсы ICQ, которые привлекают пользователей, оказываются большим минусом для коммерческих компаний и персонала тех предприятий, для которых вопросы обеспечения информационной безопасности стоят очень остро.

Наивно было бы полагать, что такое активное использование еще одной Internet-службы не уменьшит степень безопасности пользователя. Положение усугубляется принципиальным отличием протокола, используемого ICQ, от тех же FTP, SMTP и HTTP. Все традиционные протоколы стандартизованы в объемном наборе документов, называемом RFC (Request For Comments). В RFC полностью описаны все форматы данных и способы поведения в различных ситуациях. Относительно же ICQ мы не располагаем подобным сводом стандартов. Более того, стандарты целиком и полностью контролирует фирма-разработчик (Mirabilis, являющаяся частью America-on-line). Это означает, что обнаруженные прорехи в системе безопасности ICQ будут устраняться с такими скоростью и качеством, которые устраивают Mirabilis. Осложняет ситуацию то, что закрытый протокол традиционно более уязвим для всевозможных вредоносных воздействий. В самом деле, открытый протокол обсуждается неограниченным кругом заинтересованных людей. Большое количество разнообразных специалистов способно отловить потенциальные "дырки" еще на этапе проектирования. Закрытый же протокол разрабатывается одним-двумя специалистами, которые просто не в силах охватить всевозможные разнообразные ситуации, когда программа может вести себя некорректно. А более опасно то, что "дырки" в открытых стандартах довольно быстро становятся известны и соответственно быстро исправляются. Закрытый стандарт более неповоротлив и скрытен по самой своей природе. Вообще говоря, надо абсолютно не ценить информацию своего компьютера, чтобы установить на него бесплатную программу, работающую с локальными ресурсами с правами текущего пользователя, самостоятельно что-то посылающую в Сеть и принимающую из Сети по недокументированному протоколу.

Вообще использование ICQ, особенно в плане корпоративного использования несёт в себе целый ряд как явных так и скрытых угроз.

Угрозы конфединциальности

  • При регистрации пользователь сам вводит информацию о себе: личные данные, порой включающие домашний адрес, домашний, рабочий и мобильный телефоны, и злоумышленник, собирая о нем информацию, без проблем получит ее.
  • В протокол ICQ не подразумевает никакого шифрования пакетов, посему злоумышленник, отслеживая или перехватывая сетевые пакеты в локальной сети пользователя, может читать все, что пишет или получает пользователь.
  • Злоумышленник может получить доступ через уязвимости в программном обеспечении системы, где установлен ICQ-клиент, и прочесть всю историю общения пользователя, хранящуюся на этой системе.
  • Тот же протокол ICQ позволяет отправлять сообщения другим пользователям с любого номера, то есть злоумышленник спокойно может подставить целевого пользователя, рассылая от его имени сообщения различного содержания.

Угрозы целостности

  • Получив доступ к вашей системе через уязвимости в программном обеспечении или другими иными средствами, злоумыленник может попросту украсть ваш номер ICQ. Соответственно, удалив все данные на вашем компьютере.
  • Если вы используете несложные, легко угадываемые пароли не только на сам номер ICQ, но и также на адрес электронной почты, куда высылается пароль в случае, если вы его забыли, то хакер попросту может подобрать пароль и опять же присвоить себе ваш номер, а, следовательно, и список всех ваших контактов.
  • Если вы слишком долго не пользовались, к примеру, почтовым ящиком, предоставленным сервисом бесплатной почты, он будет удален и вскоре станет заново доступен для регистрации. Тем самым любой желающий может зарегистрировать его после того, как вы его лишитесь, и потом запросить на него пароль от вашего номера ICQ. Что опять же означает, что он украл у вас номер.
  • Кроме того, известны случаи создания фальшивых серверов ICQ третьими лицами. Злоумышленники привлекали наивных интернетчиков быстрым доступом без каких либо задержек, однако, зарегистрировавшись на этом сервере, незадачливые пользователи попросту отдавали сами свой пароль в чужие руки.

Угрозы доступности

В различных реализациях IM-клиентов находили, находят и будут находить всевозможные уязвимости, влияющие на заданный режим работы программ. Приведем пример, чтобы ситуация была ясна. Уязвимости ICQ 2003a.
      Спуфинг — проблема использования ложных сетевых адресов в «Features on Demand » (возможности по требованию). Адрес ссылки, который используется для загрузки модулей в «Features on Demand», жестко прописан в подкаталоге DataFiles директории, где установлена ICQ. Нападение возможно из-за недостатка опознавательных методов, используемых при загрузке новых пакетов, помогающих удостовериться, что это именно то, что запрашивал пользователь, а не то, что хочет установить ему злоумышленник. Атакующий может имитировать Package Repository Service, используемый для обновления, подделывая исходный адрес и устанавливая другой источник для загрузки злонамеренного программного обеспечения на системе ICQ-клиента.
    • DoS-атака рекламными баннерами. URL, используемый для загрузки баннеров, имеет следующий формат: «http://web.icq.com/client/ate/ad-handler/ ad_468/0,,[RANDOM],00.htm», где [RANDOM] — положительное целое шестнадцатибитное случайное число. Библиотека для обработки URL уязвима к ошибочным атрибутам, указанным в теге table. Определяя значение атрибута «width» равным «-1», библиотека будет использовать 100% мощности CPU, что приведет к нарушению работы ICQ и всей системы. Нападение возможно из-за недостатка опознавательных методов, используемых в запросах. Атакующий может имитировать «ADS server», подделывая URL-адрес и устанавливая другой источник для загрузки злонамеренных баннеров.
    • Уязвимость в проверке правильности ввода в ICQ-библиотеке GIF parsing/rendering. При анализе заголовка файла GIF89a библиотека ICQ GIF parsing/rendering ожидает одно из значений GCT (Global Color Table) или LCT (Local Color Table) после «Image Descriptor». Когда ни одна из этих таблиц цветов не существует, библиотека будет работать со сбоями.
    • Из-за большого количества уязвимостей в IM-клиентах вы рискуете подвергнуться вирусному заражению.

    В нынешних реализациях ICQ-клиентов эти уязвимости закрыты, но это не говорит о том, что не существует других, возможно более опасных. К тому же, авторы ICQ-клиентов постоянно предлагают новые возможности, которые могут добавлять новые возможности для вредоносных действий.

    Человеческий фактор

    Еще одна опасность - это так называемый "человеческий фактор". Любопытность пользователей ICQ вполне может послужить, так сказать, наводкой для злоумышленника. Например, знакомый по ICQ порекомендовал посетить определенный сайт и загрузить оттуда новую версию ICQ. Собственно, уже были прецеденты, когда на различные сайты выкладывалась зараженная Back Orifice (популярный вирус-"троянец", дающий возможность полного контроля над вашим компьютером извне) - якобы новая версия ICQ-клиента, и множество доверчивых людей попали в ловушку.

    Не так давно появился "чудный сервис" Simkl. Регистрируемся на сервере, регистрируем ICQ-аккаунт жертвы, меняем в настройках ICQ-клиента жертвы прокси-сервер на указанный и вуа-ля - вся история общения записывается на сервер. Конечно, можно возразить, что не так просто изменить эти настройки, но рядовой пользователь время от времени приглашает знакомых или работников каких-либо фирм для настройки своего компьютера. Часто ли вы проверяете после таких визитов настройки подключения ICQ? Уверен нет. Кстати это тоже довод для предпочтения работы с постоянной серьёзной фирмой нежели со случайными специалистами, которые могут оказаться нечистыми на руку. Дополнительно прямо сайте предложены варианты "впаривания" этих настроек. Кстати очень даже действенные.

    И всегда нужно помнить - используя ICQ вы используете НИЧЕМ НЕ ЗАЩИЩЁННУЮ передачу информации. Перехватить сообщения можно даже ничего не меняя у клиента - по пути прохождения пакетов - например подключившись к вашему свичу и задействовав снифер пакетов, просматривая проходящие пакеты на сервере или у провайдера. Поэтому всегда помните - в ICQ нельзя писать ничего конфиденциального. Для таких вещей используются защищённые системы связи, начиная от персонального шифрования почты (PGP всё ещё актуально) и заканчивая корпоративными серверами использующими для защиты информации собственные методы шифрования или организовывая VPN-каналы к серверу сообщений. В любом случае найдите хорошего специалиста, а лучше фирму, специализирующихся на информационной безопасности - на этом нельзя экономить.


    Обсуждаем статью, высказываем своё мнение


    угрозы ICQ, опасная аська, опасное общение, интернет-пейджер, интернет мессенжер, корпоративные стандарты, как организовать секретное общение

Последнее обновление ( 30.12.2010 г. )
 
« Пред.   След. »
stib
"Современные Технологии Информации и Безопасности"
Разработка, сопровождение, хостинг 0.013895
При использовании материалов сайта ссылка на INTEGRACIA.IN.UA обязательна, для интернет-изданий - гиперссылка, не закрытая для индексации поисковыми системами.
Rambler's Top100 <a target="_top" href="http://top.mail.ru/jump?from=1508880"><img src="http://d6.c0.b7.a1.top.mail.ru/counter?js=na;id=1508880;t=52" border="0" height="31" width="88" alt="Рейтинг@Mail.ru" /></a>
Faststart - рейтинг сайтов, каталог интернет ресурсов, счетчик посещаемости IT портАл защита безопасности
VKontakte.DJ
forum traveling