Nebezpečí plížící se přes IM

Ostatní | 14.11.07

Dnes už stěží najdeme někoho, kdy by nepoužíval okamžité zprávy. Někdo jako doplněk k e-mailu, někdo rovnou jako náhradu za tuto technologii. Ať tak či onak, rostoucí popularita služby vede k tomu, že narůstají její bezpečnostní rizika.

Rozepisovat se o výhodách nebo technologiích okamžitých zpráv (Instant Messaging, dále jen IM) není cílem tohoto článku, a tak se rovnou pojďme podívat na bezpečnostní rizika, která jsou s nimi spojená. Ta jsou přitom často podceňovaná, protože se o nich nepíše tolik jako o „klasických“ hrozbách (e-mailoví červi nebo internetové podvody).


Problémy IM spadají buď do kategorie bezpečnostních zranitelností (a jako takové nepoutají pozornost), nebo se týkají relativně úzkého okruhu lidí (a jako takové opět nepoutají pozornost). „Relativně úzký okruh lidí“ znamená, že pro úspěšný útok proti IM musí být zpravidla splněno více podmínek – např. nezáplatovaná aplikace a zároveň nezáplatovaný operační systém. Tzn. Že problém se vždy netýká všech uživatelů, ale jen některých. A to jsme ještě nezmínili fakt, že spektrum IM aplikací je velmi pestré (na rozdíl třeba od webových prohlížečů nebo poštovních klientů, kde se jedna chyba často týká většiny jejich uživatelů).

Pokud máme být v případě hrozeb konkrétní, pak si uvědomme, že technologie IM umožňuje nejen přenos zpráv, ale často i souborů. Tedy i škodlivých kódů. IM je dále možné zneužít pro získání přístupu do počítače a k obejití fi rewallu. Pro útok není zapotřebí znát nebo generovat IP adresu počítače – stačí jen IM identifi kátor. Útok tedy může být vedený proti konkrétní osobě, nikoliv proti konkrétnímu počítači. Většina IM aplikací podporuje sdílení souborů nebo adresářů, což usnadňuje jejich kompromitaci. Při jejich používání také může dojít k „odposlechu“ zpráv. Samostatné kapitoly pak představuje spam pro IM a možnost zneužití této technologie pro neoprávněnou manipulaci se soubory.

A pozor – do oblasti bezpečnosti patří také dostupnost! O tom se mohli přesvědčit po dva letošní srpnové dny uživatelé Skype. Poskytovatelé IM (a obecně i VoIP) tiše varují před tím, aby na jejich technologii běžely kritické aplikace (tísňová volání, zdravotnictví, energetika…), a to z jednoho prostého důvodu. Kontrolu nad celým prostředím má několik subjektů (jedna věc je aplikace, jiná věc je třeba síť pro přenos dat), které negarantují stoprocentní dostupnost.

Instantní útok
Typický útok proti IM vypadá tak, že se agresoři nejprve zaměří na získání seznamu kontaktů z určitého počítače. Získat totiž kontakty někde na internetu (jako třeba v případě spamu) nebo jiným podobným způsobem je v případě IM krajně nepraktické. Jakmile se ale hacker zmocní adresáře, může rozesílat zprávy, přičemž se maskuje jako majitel seznamu – mění tedy svoji identitu. Tím v očích příjemců zprávy získává útočník na důvěryhodnosti – když posílá zprávy, nejčastěji s výzvou k návštěvě nějaké webové stránky. Na této stránce pochopitelně už číhá nějaký škodlivý kód nebo skript, jímž dochází k infi kování počítače (třeba za předpokladu, že není odpovídajícím způsobem ošetřený proti aktuálním bezpečnostním chybám – záplatovaný).

Skutečností, která nahrává útočníkům, je fakt, že mnohé současné fi rewally nejsou schopné těmito programy generovaný provoz fi ltrovat či logovat. Čehož v konečném důsledku často zneužívají vlastní zaměstnanci k nelegálnímu (nikoliv z hlediska právního, nýbrž z hlediska vnitropodnikových předpisů) používání IM. Abychom jen neteoretizovali: toto na vlastní kůži pocítil internetový portál Yahoo!, jehož několik bývalých zaměstnanců použilo právě IM k distribuování tajných obchodních a technických informací, které předali svému novému zaměstnavateli. Tím byl nejmenovaný konkurenční start-up portál. Snažili se přitom využít právě slabin IM ve vztahu k zaměstnavateli – nicméně tvrdě narazili, neboť právě Yahoo! má monitorování IM velmi solidně ošetřené. Že celý případ skončil u soudu, jistě není nutné dvakrát zdůrazňovat.Komentáře