即時消息,你離安全有多遠?
陳長松 2003/01/14
Instant Messaging(IM即時消息)是通過Internet即時和他人聯(lián)系的一種方式,用戶可以通過它查看朋友或者同事是否連接在Internet上,并能給在線的用戶即時地發(fā)送短小而簡單的消息,甚至包括多媒體等其他更為復雜的文件。
1988年始于芬蘭的IRC(Internet Relay Chat)是IM的最早的表現(xiàn)形式,隨著IM在全球范圍的普及,現(xiàn)在已經(jīng)有越來越多的應用程序被廣泛地使用,包括AOL
Instant Messenger(AIM)、ICQ、Yahoo Messenger和MSN Instant Messenger(MSN IM)等,以及國內(nèi)用戶使用較多的QQ(原稱OICQ)等。IM的最大特色就在于“即時”,工作組中的每個人都知道其他人是否在線,這樣就能實時地進行信息交流;而相比之下使用E-mail時,發(fā)信者通常不知道接收者是否處于聯(lián)網(wǎng)狀態(tài),何時能夠回信更是未知。
大多數(shù)人認為,IM將成為下一個階段風靡全球的應用程序。據(jù)Gartner Group調(diào)查表明,到2005年,IM將超過E-mail而成為用戶主要的電子交流方式。
7大隱患威脅IM安全
由于IM系統(tǒng)是建立在一些不安全通信協(xié)議的基礎上,在設計的時候都考慮了可擴展性,而沒有考慮到安全問題,因此就帶來了許多安全威脅和隱患,主要表現(xiàn)為以下七個方面。
穿透防火墻。為了具有更好的靈活性,大多數(shù)IM軟件都允許用戶選擇使用的端口,甚至會自動嘗試鏈接未被封住的端口,因此任何局域網(wǎng)內(nèi)具有Web瀏覽權(quán)限的用戶,都可以通過一個外部的代理服務器和特定的未被防火墻禁止的端口(例如80端口、或者telnet使用的23端口),將信息發(fā)送到外部網(wǎng)絡。這樣,防火墻已經(jīng)不再發(fā)揮其作用,而通過端口號來限制非授權(quán)訪問也是不可能的,無形中給安全帶來很大的隱患。
繞過防病毒網(wǎng)關(guān)。與通過E-mail傳輸附件類似,許多IM軟件可以將文件作為附件通過點對點方式傳送,繞過網(wǎng)絡周邊安全防御設施。由于點對點隧道直接傳到桌面計算機,因此受感染的文件借IM通信就能繞過防病毒網(wǎng)關(guān)的掃描,病毒、蠕蟲和特洛伊木馬可以借此輕松地進入網(wǎng)絡。
“腳本”存在缺陷。目前流行的一些IM系統(tǒng)大都提供了腳本編寫功能,幫助用戶編寫VB、JavaScript和專利腳本編碼或標準的Windows程序,以控制信息代理不同的特色。這樣的“腳本”可以執(zhí)行自動指導IM代理自動與其他用戶聯(lián)系、發(fā)文件、改變程序設置、執(zhí)行其他可能的惡意程序等操作。這一功能雖然為用戶提供了方便,但同時也助長了計算機蠕蟲和混合威脅的傳播,因為已知的基于腳本的即時信息蠕蟲已經(jīng)多達十幾種。
被黑客攻擊。與其它基于Internet的應用軟件相似,IM軟件中存在著一些安全漏洞,攻擊者可能會通過Internet利用這些漏洞發(fā)起攻擊。借助緩沖器溢出和畸形數(shù)據(jù)包攻擊,黑客能獲取用戶工作站的遠程控制權(quán),從而干這個用戶能干的任何事情,比如獲取保密性資料,甚至以該機器為跳板,對該局域網(wǎng)內(nèi)的其他機器發(fā)起攻擊。
未加密或弱加密。在IM的數(shù)據(jù)中,有兩類內(nèi)容必須加密:一類證明鑒別信息,另一類會話數(shù)據(jù)。雖然一些IM軟件開始加強了鑒別數(shù)據(jù)的加密,但仍然很少對會話數(shù)據(jù)進行安全性加密,會話數(shù)據(jù)通常都通過明文傳輸?shù),再加上大多?shù)IM系統(tǒng)都采用Client/Server架構(gòu),用戶端通過公共網(wǎng)上的IM服務器轉(zhuǎn)發(fā)信息傳送到接收端電腦,因此只要在網(wǎng)絡上安裝上監(jiān)聽軟件,就能截獲這些消息的內(nèi)容。而那些對會話數(shù)據(jù)進行加密的IM軟件,由于它們采用的加密算法往往非常脆弱,很容易被破解。
身份缺乏安全認證。身份的冒用是IM系統(tǒng)的另一安全問題。任何人都可以在公用的IM服務器中以任何身份和姓名注冊,很難確定一個使用某姓名的賬戶確實是他所宣稱的那個人。而且,一些攻擊者利用密碼竊取或哄騙手段竊取其他用戶的賬戶,并冒充用戶與他人通信。同時,IM系統(tǒng)的用戶還可能收到一種誘騙用戶下載非法程序的信息,例如:“由于您的計算機感染了病毒,請下載位于這一網(wǎng)址(URL)的程序,清除病毒。否則,今后您將無法加入這一在線聊天系統(tǒng)”。如果按該信息的提示下載并執(zhí)行文件的話,用戶的計算機就會遭到攻擊和植入木馬或蠕蟲病毒,從而被完全控制甚至成為DDoS攻擊的幫兇。
管理出現(xiàn)問題。且不說IM軟件彈出的窗口影響用戶作研究、寫報告或進行其它工作,以及在辦公時間與朋友聊天的誘惑也降低了員工的工作效率。允許使用IM系統(tǒng)的公司勢必要擔心員工是否會利用IM程序發(fā)送受限制的消息,即使會話數(shù)據(jù)是通過加密的,那只是防止旁人監(jiān)聽和截取,公司仍然存在其知識產(chǎn)權(quán)被員工有意地從IM窗口中泄露出去的隱患。
5個方面健全IM安全方案
鑒于IM系統(tǒng)的諸多安全隱患,我們要謹慎地使用IM軟件,尤其是在企業(yè)網(wǎng)中使用或作為電子商務用途時。出于安全的角度考慮,企業(yè)徹底禁止使用IM并非一個非常奏效的方法,最好還是,要借助理想的安全解決方案來將安全風險降低到最低。企業(yè)用戶可以借鑒以下五個方面。
使用基于網(wǎng)絡的入侵檢測系統(tǒng)。IM軟件可以靈活地使用通信端口和代理服務器,并且這種點對點通信程序能突破企業(yè)的邊界安全控制,穿透防火墻、防病毒網(wǎng)關(guān)的監(jiān)控,因此,一個比較有效的解決方案是使用基于網(wǎng)絡的入侵檢測系統(tǒng),來監(jiān)視所有通過邊緣防火墻的數(shù)據(jù),并將它調(diào)整為可以有效鑒別IM數(shù)據(jù)傳輸模式。同時,企業(yè)還可以使用專門的全面網(wǎng)絡記錄系統(tǒng)去監(jiān)視網(wǎng)絡中的數(shù)據(jù),以鑒別和控制IM。
安裝個人防火墻和桌面防病毒軟件。為了確保IM安全,我們還應該在用戶的終端上安裝桌面防火墻,這樣的防火墻可以幫助阻塞未經(jīng)批準使用的IM程序,從而防止來自或針對IM系統(tǒng)的攻擊。同時,為了預防通過IM的文件交換造成病毒的傳播以及基于腳本的IM蠕蟲和惡意代碼,最好的方法就是在所有客戶端機器上部署最新的防病毒軟件。值得一提的是,防病毒軟件通常還能將DDoS代理作為一種病毒檢測出來,因此能防止被黑客利用而成為發(fā)起DDoS攻擊的跳板。
及時安裝IM軟件的補丁。有數(shù)據(jù)表明,IM系統(tǒng)正成為惡意代碼和病毒的下一個主要攻擊目標。目前,已有一些蠕蟲病毒成功地感染了部分IM軟件,一些漏洞和弱點也使客戶端軟件受到安全威脅,因此,包括AIM、ICQ、MSN
Messenger和Yahoo Messenger在內(nèi)的各種IM軟件都在不斷地發(fā)行新版本,修復舊版本的程序錯誤和漏洞,并提供新式安全功能。用戶及時地安裝補丁和升級IM軟件,也可以有效地增強IM系統(tǒng)的安全性,減少被攻擊的危險。
利用公用IM系統(tǒng)傳送機密信息時使用加密技術(shù)。在IM軟件還沒有提供加密功能或者其加密方法不夠強壯時,建議不要使用公用IM系統(tǒng)發(fā)送機密信息。如果非要借助IM系統(tǒng)通過公用網(wǎng)傳輸重要資料,那么應該借助第三方的加密軟件,對通信進行加密,保證安全文件傳輸,同時還需要考慮鑒別和認證過程以及訪問控制,以避免身份竊取和非授權(quán)訪問。
加強安全使用的意識。IM軟件被黑客攻擊后可能在后臺隱蔽地寄出資料,如果要解決后顧之憂,最好的辦法還是關(guān)閉檔案傳送。而使用IM系統(tǒng)之外的其他網(wǎng)絡工具,例如通過瀏覽器或ftp下載軟件時,用戶仍然需要加強安全意識,下載文件應該從軟件提供商的官方站點下載,而不要輕信其他網(wǎng)站的提示信息,因為那可能會是個陷阱——一個木馬、蠕蟲、病毒程序可能在等著你去下載呢。另外,用戶還應該定期地更換密碼,使黑客即使竊取了密碼,也無法長期登堂入室。
如果這些措施還無法達到企業(yè)的安全要求,那么企業(yè)就需要考慮使用一個針對自己網(wǎng)絡的專用解決方案,以使所有的IM都限制在一定范圍的地理空間內(nèi),這樣將不安全的IM與公共網(wǎng)絡隔離,就可以有效地控制企業(yè)信息外泄和保護企業(yè)信息安全,從而把安全風險控制在可以接受的范圍內(nèi)。
3“化”預示IM未來
IM的標準化
包括AOL的Instant Messenger、ICQ、Yahoo Messenger以及MSN Messenger在內(nèi)的幾大主要IM網(wǎng)絡都不愿意向競爭對手開放自己的網(wǎng)絡系統(tǒng)。這就意味著Yahoo
IM的用戶不能夠通過AOL的好友名單來與別人聊天,盡管目前一些第三方操作的網(wǎng)關(guān)提供這種通信服務,IM的“互聯(lián)互通”還是沒有得到很好的解決。
互聯(lián)網(wǎng)技術(shù)管理組織(IETF)一直在促成IM標準的制訂。占據(jù)IM絕大多數(shù)市場份額的AOL公司一直抵制標準的建立,雖然它在去年6月向IETF提出了一份IM技術(shù)標準化方案,但是仍然禁止其他公司開發(fā)的IM軟件訪問AOL公司的IM網(wǎng)絡,因此受到了其他公司的聯(lián)名抗議。在AOL表示退出標準化工作過程后,IETF將制訂技術(shù)標準的權(quán)力授予開放源代碼的IM制造者Jabber。
在IM開放標準制訂之后,發(fā)送IM的人就不必考慮接受對方使用的是何種IM軟件,而且除了兼容性之外,新標準還會增加安全性,包括認證、隱私性以及對即時消息內(nèi)容的訪問控制等。
IM的安全化
現(xiàn)有的IM安全問題,一方面是由于IM自身的安全機制不夠完善,另一方面則是由于IM標準尚未制訂,通信數(shù)據(jù)因IM系統(tǒng)而異,防火墻等安全設備無法很好地識別并控制通信數(shù)據(jù)流。
因此,在IM標準制訂之前,IM系統(tǒng)廠商和網(wǎng)絡安全廠商的合作是必要的,IM系統(tǒng)向安全廠商公開其通信的協(xié)議和機制,那么諸如防火墻、防病毒網(wǎng)關(guān)和入侵檢測系統(tǒng)就可以設計成完全識別IM數(shù)據(jù),這樣所有的IM信息都可以經(jīng)由安全設備檢驗,從發(fā)信人、收信人甚至到通信內(nèi)容都可能做到安全掃描,安全性就能大大提高。當然,解決IM安全問題的關(guān)鍵還是在于IM系統(tǒng)本身的安全性,這也正是新制訂標準中的一項內(nèi)容。
IM的商業(yè)化
IM最早是作為一種聊天工具推出的,面對大多數(shù)用戶的服務是免費提供的。據(jù)美國IDC調(diào)查顯示,目前已經(jīng)有約6500萬名公司員工在使用面向消費者的IM產(chǎn)品,預計到2006年這一數(shù)字將超過3億。不知不覺中,一些企業(yè)的員工也開始使用IM系統(tǒng)輔助電子商務提供在線服務,更快捷、互動地回答在線購物用戶的提問。IM已經(jīng)成為企業(yè)進行通信和提高生產(chǎn)效率不可或缺的一個手段。
但是,鑒于IM在安全上的缺陷,企業(yè)用戶也發(fā)現(xiàn)傳統(tǒng)的IM系統(tǒng)在安全、管理和整合的功能上都無法滿足他們的要求,他們愿意為IM服務付費,以獲得給信息加密、集中管理客戶端設置、信息文檔備份等能力。這給IM帶來了巨大的商機,IBM的Lotus
Sametime對此應該體會最深。同時,也有不少廠商開始提供商用的IM系統(tǒng),并且還根據(jù)企業(yè)的具體情況定制開發(fā)系統(tǒng),金融服務業(yè)是目前從IM中受益最大的行業(yè)。我們堅信,總有一天,IM不僅作為個人溝通的一個通信手段,還將和電話與E-mail一起逐步成熟地應用于企業(yè)之中。
相關(guān)鏈接
反病毒軟件呵護IM安全
《商業(yè)周刊》在預測“2003年網(wǎng)絡安全面臨五大挑戰(zhàn)”時指出,IM工具照樣難逃垃圾信息之劫。由于垃圾郵件傳播者會通過種種手段清理搜集到大量的網(wǎng)絡地址,然后再給正處于IM狀態(tài)的用戶們發(fā)去信息,誘導他們?nèi)ピL問一些非法收費網(wǎng)站!渡虡I(yè)周刊》同時還指出,目前市場上還沒有任何一種反IM干擾信息的軟件,這對軟件公司來說無疑也是一個商機。
此前,全球領先的互聯(lián)網(wǎng)安全技術(shù)與解決方案供應商賽門鐵克公司早就開始研究現(xiàn)有IM平臺的有關(guān)安全問題,同時已經(jīng)意識到IM的危險性,并開始創(chuàng)建插件,用于其桌面產(chǎn)品中的各種IM客戶端。
Norton AntiVirus 2003單機版就是對將要插入各種客戶端,并掃描接收到的任何文件的一種防病毒產(chǎn)品。 Symantec AntiVirus
Enterprise Edition V8.5則融合了幾種業(yè)界領先的防病毒解決方案,可以提供高性能的防護和靈活性,保護網(wǎng)關(guān)、服務器和工作站的安全。這種全面的套裝可以消除多廠商產(chǎn)品組合、管理安全產(chǎn)品時所產(chǎn)生的復雜性。它由業(yè)界最大的安全專家團隊支持,可以提供全面防護,對新型威脅進行靈活的全球響應。
Symantec AntiVirus Enterprise Edition V8.5使組織可以靈活地部署多種防病毒解決方案,滿足企業(yè)用戶的獨特需求。其中,數(shù)字免疫系統(tǒng)極大地縮短了自動提交潛在病毒威脅和返回解決方案的周期其完善的后端架構(gòu)和幾種智能技術(shù)提高了自動響應性能,并最大限度地確保了正常運行時間;Virus
Definition Transport Method VDTM病毒定義碼傳送方法 提供向管理桌面和文件服務器快速部署新病毒定義碼的最佳方法,只需將一套新的病毒定義碼放到一個主服務器上,病毒定義碼將自動擴散到輔服務器和客戶臺式機;LiveUpdate提供保證病毒定義碼更新的快速簡便的方法,尤其適用于有遠程用戶或慢LAN和WAN鏈接的客戶。
此外,賽門鐵克防病毒引擎技術(shù)不需要重新安裝軟件就可以更新病毒定義碼和引擎擴展,從而最大地保證系統(tǒng)正常運行時間。由于它能夠支持Windows、Solaris、NetWare等操作平臺,從而輕易而快速地集成到企業(yè)環(huán)境中。
賽迪網(wǎng) 中國信息化(industry.ccidnet.com)
相關(guān)鏈接: