"Аська": дыра в безопасности фирмы

По информации Ferris Research (www.ferris.com), до 70% офисных работников пользуются "аськой" или другими IM-инструментами в деловых целях, целиком полагаясь на их надежность. Однако сервисы IM представляют собой огромную угрозу для безопасности фирмы. Специалисты по безопасности, конечно, знают о рисках, связанных с использованием IM-сервисов. Они должны уведомить об этом руководство и разработать комплекс мер.

Если для офисного работника "аська" - это удобный деловой инструмент, то у хакера совсем иной взгляд на эту программу. Когда он видит ICQ, то для него это выглядит как открытая дверь в систему. "Аська" устроена так, что она устанавливает прямое, незашифрованное соединение между абонентами. Сразу виден IP, открыты нараспашку порты для коммуникаций. В Сети имеется куча "эксплоитов", заточенных под ICQ, с помощью которых даже ребенок может получить полный доступ к компьютеру.

Вирусы все чаще используют "аську" для распространения вредоносного кода. Недавно по миру прокатилась первая глобальная эпидемия ICQ-червя. Тогда миллионы пользователей получили по ICQ ссылку на веб-страницу, где автоматически запускался на исполнение флэш-ролик с вредоносным кодом, который использовал известную брешь в браузере IE и заражал компьютер.

ИТ-службы компаний прекрасно знают обо всех уязвимостях, однако проблема заключается в том, что они изначально не могут контролировать использование этой программы пользователями. Люди самостоятельно скачивают дистрибутивы и устанавливают их на компьютеры. Большинство руководителей даже не знают, какое огромное число их подчиненных, не спросив разрешения, запустили ICQ на своих рабочих компьютерах, таким образом самостоятельно открыв доступ в корпоративную сеть для любого желающего.

К сожалению, IM-сервисы, в принципе, трудно поддаются защите. Они практически не имеют парольной защиты. Другая проблема - несовместимость систем шифрования. Хотя сейчас выпускаются специальные корпоративные системы мгновенных сообщений с установлением зашифрованных соединений, например, разработанная с участием белорусских программистов Integrity IM Security от Zone Labs (www.zonelabs.com).

В данный момент пока не существует идеального решения для защиты сервисов мгновенных сообщений. Только появляются первые системы с применением шифрования каналов, шифрования архивов сообщений и другими мерами по безопасности: это разработки фирм Akonix Systems (www.akonix.com), Cordant (www.cordant.com), Facetime Communications (www.facetime.com) и WiredRed Software (www.wiredred.com) и др. Отдельного упоминания достоин защищенный IM-пейджер и корпоративный XML-роутер Jabber (jabber.ru). Протокол у него полностью открыт, шифрование поддерживается как SSL, так и OpenPGP поверх протокола. Сеть Jabber использует распределенную систему серверов - нет зависимости от конкретного вендора, как в случае с ICQ.

Впрочем, на данный момент ни одна из систем мгновенных сообщений не является абсолютно надежной и не получила достаточного распространения. Проблемой является еще и то, что при соединении "защищенного" пользователя с незащищенным абонентом шифрование не используется и устанавливается обычное незащищенное соединение.

По мнению специалистов из фирмы Ferris Research, которая специализируется на изучении способов защиты сервисов мгновенных сообщений, ИТ-службы компании должны провести тщательный аудит использования интернет-пейджеров на рабочих местах. Если сотрудник работает с важной информацией, то доступ к "аське" нужно ограничить. Пусть, например, отправляет сообщения через веб-интерфейс (www.mirabilis.com) или запускает ограниченную, менее уязвимую, Java-версию ICQ (go.icq.com). Проблеме "аськи" на рабочих местах необходимо уделить самое пристальное внимание.

Анатолий АЛИЗАР

Версия для печатиВерсия для печати

Номер: 

14 за 2004 год

Рубрика: 

Защита информации
Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!

Комментарии

Страницы

Аватар пользователя DmG
"Логика" руководителя: опытный админ, котрый все может грамотно настроить и контролировать стоит дорого, а тот который может только отрубить у пользователей асю -- дешево. Результат одинаков -- злобные кулхацкеры не пролезут. А если нет разницы, зачем платить больше?!
Аватар пользователя Killer{R}
А почему не описали возможность использования альтернативных клиентов? Например той же миранды, сколько в асе дыр перенаходили, и ни одна миранду не затрагивала.
Аватар пользователя Инкогнито
Аська не дырявей ИЕ или Медиа Плеера. А из конкретного, читал только одно (в "Чипе" вроде), что через аську недавно гулял некий вирус но не в чистом виде, а просто приходило сообщениерузей с сылкой, а по сcылочке уже и подхватывали люди вирус. Причем на альтернативные клиенты (миранду, &RQ(точно не помню название)) это не действовало. Причем сообщение приходило под видом мессаги от кого-нибудь из списка кантактов.
Аватар пользователя FSP
P2P-канекшн даже в Асе можно запретить.. Ну есть еще всякие отрубатели ненужных частей Аси, вот и надежность ИМХО увеличивается.. Я ваще Trillian юзаю :)
Аватар пользователя Al
Согласен со многими - просто автор так пишет потому что в какой то статье так написано. Прямой конект с другим пользователем аськи сидя за прокси и файерволом мне за 4 года ее использования установить так и не удалось:). А любой обычный директор прочитав эту статью сказал бы - посносить асю... Вот такими статьями и разжигают нездоровый интерес в обществе
Аватар пользователя Инкогнито
Да в КВ похоже, материал перед печатью не фильтруют и не отбирают. Газета чахнет на глазах. Уровень статей упал ниже линолеума!
Аватар пользователя Инкогнито
ходите на ixbt. Там поумнее статьи.
Аватар пользователя DmG
> ходите на ixbt. Там поумнее статьи.

И там лажа откровенная бывает. Реже, правда :)

Аватар пользователя Uriy
Что-то здесь народ о директорах низкого мнения... :-)

Ну вот я - директор, почитал статью и даже рука не дрогнула - я верю в своих ребят администраторов, а вот если бы они предложили аську снести - сразу бы засомневался. :-)

Автор статьи напоминает нытика, который боится того, чего не знает - жалко его и противно одновременно.

Аватар пользователя BogDan
Однако оценка степени риска дело сугубо личное...

Страницы