Проблемы защиты мгновенной передачи сообщений
Существует огромное число пользователей таких сервисов, у них масса сторонников и даже своих идеологов, доказывающих, что использование мгновенной передачи сообщений на рабочем месте вместо традиционной электронной почты ведет к более эффективной и надежной связи и, поэтому, к более высокой производительности труда сотрудников. /* существует, однако, не меньше приверженцев диаметрально противоположного мнения ;) — прим. ред. */ В результате, IM быстро развивается и в профессиональных, и в личных приложениях. Однако здесь имеется неприятная закономерность, выведенная для большинства Интернет-программ – увеличение скорости передачи информации ведет к связанному увеличению риску защиты.
В этой статье описана мгновенная передача сообщений и рассмотрен краткий обзор некоторых из угроз защиты, связанных с ее обслуживанием.
как работает мгновенная передача сообщений?
IM cети состоят из клиентов и серверов. Пользователь устанавливает на свою машину клиента, который соединяется с сервером, управляемым распространителем данной программы — типа AOL, ICQ, или Yahoo Messenger. Всем пользователям, подписанным на IM-услуги, дают уникальный идентификатор, который может быть и именем, и номером. Пользователь может сообщить свой уникальный идентификатор людям, с которыми он хочет контактировать через IM-сеть.
Пользователь начинает IM-сеанс через аутентификацию на сервере. Когда два зарегистрированных пользователя хотят связаться между собой, происходит следующая последовательность событий:
1. Первый пользователь, к примеру, Ваcя Пупкин, инструктирует IM-клиента послать текстовое сообщение для своего знакомого, к примеру, Гоги Макакашвили. Клиент создает пакет, содержащий нужное сообщение и посылает его серверу.
2. Сервер просматривает пакет и определяет, что получатель – зарегистрированный пользователь Гоги Макакашвили. Сервер создает новый пакет с сообщением от Ваcи Пупкина и отсылает его Гоги.
Большинство сообщений продолжают проходить через центральный сервер. Однако, некоторые программы создают прямое подключение между пользователями после первого сообщения. Использование центрального сервера выгодно по многим причинам. Например, Ваня Пупкин обязан знать идентификатор Гоги для соединения. Кроме того, он может посылать сообщения даже если получатель не находится в сети. Сервер сохранит сообщение, пока Гоги не соединится с ним для аутентификации, после чего сообщение будет передано.
проблемы защиты
Сети мгновенной передачи сообщений обеспечивают способность передачи не только текстовых сообщений, но также и перемещения файлов. Следовательно, такие сети вполне годятся для передачи вирусов, червей, троянов и других пакостей. Особенно удобны такие сети для заброски троянов. Хакеры могут использовать мгновенную передачу сообщений для открытия лазеек и получения доступа к компьютеру без сканирования и открытия портов, эффективно проходя все имеющиеся защиты периметра. Кроме того, обнаружение новых жертв не требует длительного просмотра множества неизвестных IP-адресов, а сводится к простому выбору очередной жертвы из имеющегося на зараженном компьютере контакт-листа. В дополнение к простой передаче файлов, все основные системы мгновенной передачи сообщений поддерживают совместное использование файлов, где каждый имеет возможность открыть для совместного использования любые свои каталоги или диски. На практике это означает, что все файлы (в том числе и самые конфиденциальные) на всех дисках зараженного компьютера могут быть открыты для свободного доступа через IM-клиента. Есть еще одно напрашивающееся использование этой опции — быстрое распространение файлов, зараженных вирусами, и не только ими.
сетевые черви
Черви электронной почты – уже обыденная и привычная часть ежедневной жизни для любого специалиста в области компьютерной защиты. Однако с этой угрозой практически всегда можно эффективно бороться путем контроля шлюза и установки на рабочем столе AV-защиты. Поэтому, как только программами обнаруживается зараженное письмо, оно будет остановлено еще до того, как сможет причинить какой-либо вред. В случае же мгновенной передачи сообщений, клиентское антивирусное программное обеспечение, существующее в настоящее время, не способно эффективно контролировать трафик. Если червь распространяется через IM-систему, его невозможно /* по крайней мере затруднительно — прим. ред. */ остановить, и он без труда достигнет компьютера жертвы.
Этим объясняется все больший интерес злоумышленников именно к IM-червям. Количество таких червей постоянно увеличивается, масштабы заражения также стремительно растут. Только за последние два года появилось пять известных IM-червей (это без учета менее удачных их собратьев):
W32.Choke (6 июня 2001);
W95.SoFunny.Worm@m (3 июля, 2001);
W32.Goner.A@mm (4 декабря, 2001);
W32.Led@mm (22 января, 2002);
W32.Seesix.Worm (15 мая, 2002).
Все эти черви прекрасно себя чувствуют и размножаются в IM-сетях, а обнаруживаются, как правило, уже после проведения ими разрушительных действий. И, несмотря на растущую угрозу, до сих пор нет никаких антивирусных приложений, способных эффективно контролировать мгновенный трафик на уровне сервера. Это происходит из-за трудности в обнаружении трафика IM-приложений, поскольку он часто внедряется в HTTP-пакеты. Другой путь пресечения подобной вредной деятельности – просмотр файлов сразу при получении. Антивирусные программы пошли именно по этому пути. Недостаток такого способа очевиден — трудности в контроле IM-трафика из-за постоянных модификаций клиентов и протоколов, которые они используют. К сожалению, все это делает IM-системы открытой нараспашку дверью на клиентский компьютер, поскольку непроверенный трафик обойдет большинство существующих сервер-основанных мер защиты. Только антивирусные программы, работающие на уровне каждого компьютера, могут перехватить таких червей.
Способы, которыми размножаются сетевые черви, постоянно изменяются. Часть распространяется как через электронную почту, так и через IM-систему. Другие распространяются исключительно через IM-сообщения. Однако, в настоящее время IM-черви все еще требуют непосредственного участия человека для своего запуска и размножения. Ни один из видов современных IM-червей пока еще не способен автоматически выполнятся после получения. Поэтому, если пользователи IM-систем лучше узнают обо всех имеющихся угрозах и методах их предотвращения, способность червей к размножению будет существенно снижена.
троянские кони
Каждый желающий может открыть для совместного доступа все файлы на чужом компьютере при использовании IM-системы. Все популярные IM-программы имеют возможность совместного использования файлов или способны добавить такую функциональную возможность при использовании патчей. Поскольку клиенты мгновенной передачи сообщений позволяют одноранговое совместное использование файлов, троян может конфигурировать IM-клиента, чтобы он позволил совместное использование всех файлов системы с полным доступом для каждого, и этот способ может применяться для установок любых лазеек на компьютер. Очевидна выгода для хакера, использующего мгновенного посыльного для обращения к файлам на удаленном компьютере, вместо установки традиционного трояна – даже в случае использования компьютером динамического IP-адреса, экранное название обычно не будет изменяться. Кроме того, хакер будет получать уведомление каждый раз, когда компьютер жертвы появляется в сети. Слежение за компьютерами и доступ к инфицированным компьютерам становится очень простым для хакера. Кроме того, хакер не должен открывать новые подозрительные порты для связи (через которые его обычно и засекают), но может вместо этого использовать порты, открытые IM-клиентом.
В настоящее время существует лишь горстка троянских программ, созданных для IM-систем. Подавляющее большинство из них изменяют параметры настройки конфигурации, так что файлы на жестком диске становятся доступными для совместного использования. Эти типы троянов представляют особую угрозу, поскольку они позволяют получить полный доступ к файлам компьютера любому злоумышленнику.
Существуют также и классические троянские кони, которые используют IM-системы для шпионажа за компьютерами жертвы и способны передавать хозяину информацию о паролях, логинах, настройках зараженного компьютера и т.д. Кроме того, недавно появились и трояны, позволяющие превратить компьютер жертвы в зомби и использовать в различных неблаговидных целях. Контроль и инструктаж такого компьютера осуществляется также через IM-систему.
Оставшаяся часть троянов позволяет получить доступ к компьютеру, используя IM-клиента, после чего открывается классический backdoor со всеми вытекающими последствиями. Пресечь работу такого трояна намного тяжелее, чем предотвратить работу классического backdoor-трояна. Действие традиционного трояна можно предотвратить с помощью нормально настроенной межсетевой защиты. Однако если троян работает через IM-клиента, он не открывает никаких новых портов. Он использует для своей работы уже существующий, разрешенный межсетевой защитой канал, и в большинстве случаев защита игнорирует вредную деятельность. Число IM-троянов этого типа растет самыми быстрыми темпами.
использование хакерами чужих данных
Хакеры могут маскироваться под других пользователей самыми различными способами. Наиболее часто используемый способ — простой перехват информации об учетной записи ничего не подозревающего пользователя. Также распространенным методом является использование троянских программ для получения и пересылки пароля для IM-клиента. И если сами процессы нахождения пароля в различных троянах мало отличается друг от друга, то средства для отправки украденного пароля хакеру могут сильно различаться и включать как использование IM-системы непосредственно, так и IRC, и, естественно, электронной почты.
Кроме того, ни один из четырех основных IM-протоколов передачи сообщений не шифрует свой сетевой трафик, что дает злоумышленнику возможность подключения в режиме "man-in-the-middle". Вставляя сообщения в текущий разговор, хакер выполнять роль одного из собеседников. И хотя существует несколько специфических трудностей в такого рода соединении, этот тип нападения вполне реален и дает злоумышленнику несомненные преимущества. Для того чтобы собеседник жертвы не мешал, хакер может его через какое-то время отключить, послав разъединяющее сообщение, которое обычно исходит от сервера. Еще одним способом отключения одного собеседника является атака типа «отказ в обслуживании» или другие действия, что позволит предотвратить повторное соединение.
Так как сервер в этом случае сохраняет подключение, жертва не будет догадываться, что произошла замена собеседника в процессе разговора, и хакер будет вполне способен исполнить роль знакомого жертвы. Данная ситуация, очевидно, может быть весьма разрушительной. Поскольку хакер маскируется под пользователя, которого собеседники знают и, скорее всего, многие доверяют, приятели жертвы могут обнародовать самую конфиденциальную информацию или без опасений получить и открыть любые опасные файлы. Таким образом, потеря пароля IM-клиента опасна для гораздо большего числа людей, чем только непосредственный пользователь, потерявший пароль.
отказ в обслуживании
IM-передача сообщений довольно уязвима к отказу в обслуживании (DoS-нападениям). Эти нападения могут иметь самые различные результаты: некоторые создают мгновенный аварийный отказ работы IM-клиента, другие просто «подвешивают» его, а в некоторых случаях создается настолько большой массив данных, что с ним не справляется центральный процессор, что вызывает нестабильную работу или даже зависание всего компьютера.
Существует много путей, которыми хакер может вызвать отказ в обслуживании IM-клиента. Самый традиционный способ состоит в затоплении выбранного пользователя огромным количеством сообщений. Все самые распространенные IM-системы передачи сообщений содержат некую встроенную защиту от такого типа атак, что позволяет жертве игнорировать некоторых конкретных пользователей. Однако имеется много инструментальных средств, позволяющих хакеру использовать множество учетных записей одновременно, или автоматически создавать необходимое количество учетных записей, чтобы преодолеть порог, с которого уже возможна flood-атака. Добавим здесь, что когда flood-нападение началось, жертва сразу поймет, что случилось, но его компьютер к этому моменту уже практически обречен. Потому что добавление учетных записей злоумышленника к игнорирующемуся списку IM-клиента может быть весьма трудно осуществимо.
Конечно, такие формы DoS-нападений больше являются раздражителями, созданными скорее для выведения жертвы из равновесия, но они легко могут служить лишь ширмой для других, действительно опасных действий злоумышленника.
неправомочное раскрытие информации
Раскрытие конфиденциальной информации может произойти и без использования троянов. Так как данные, передаваемые по сети IM-передачи сообщений, не шифрованы, в большинстве IM-сетей самый обычный сетевой сниффер может использоваться для их перехвата. Используя сниффер, хакер может перехватывать пакеты, а это критически опасно, так как он способен получить доступ к самой конфиденциальной информации. Это особенно опасно в крупных корпорациях, так как часто личная, секретная и другая конфиденциальная информация передается по ICQ или другой IM-сети (так как существует распространенное ошибочное мнение о большей надежности именно такого способа передачи самой секретной информации).
Сохраненные данные — еще один способ раскрытия информации. Некоторые IM-клиенты позволяют сохранение в журнал всех имевших место переговоров. Даже при том, что это – дополнительное свойство, которое часто требуют сами пользователи, и которое требуется службам безопасности многих компаний для предотвращения утечки информации, именно эти сохраненные журналы являются концентратом всех личных и корпоративных тайн и представляют особую угрозу безопасности.
Это сделалось очевидным после 2001 года, когда хакеру удалось получить доступ к журналу IM-клиента, хранившемуся у руководителей компании eFront. Данные сведения были опубликованы в Интернет в самых различных местах, что вызвало массу корпоративных скандалов. Файлы регистрации включали крайне чувствительные данные о деловых партнерах, принадлежащих им веб-сайтах и массу различных паролей для самых различных служебных и банковских программ. После этого множество сотрудников были уволены, часть руководства eFront ушла в отставку.
блокирование IM-передачи сообщений
Самое забавное – то, что сделать это не так то просто. Даже в случае явной угрозы для безопасности организации традиционное блокирование портов не будет эффективным, потому что IM-клиенты могут использовать самые различные порты, в том числе и распространенные типа HTTP (80) и FTP (21). Более того, часть IM-клиентов способны автоматически переконфигурироваться и использовать другой порт в случае невозможности связи по заданному по умолчанию.
Системы межсетевой защиты с анализом протокола могут пресекать трафик IM-клиента даже через обычные порты адресата, типа 80 порта, так как IM-трафик отличается от обычного HTTP-трафика. Однако, последние версии всех IM-клиентов туннелируют свои данные через HTTP, совершая, таким образом, обход защиты с анализом протокола.
Некоторые IM-системы, типа ICQ и AIM, добавляют данные в HTTP-заголовки только в случае использования HTTP-прокси. Однако служба AOL обеспечивает бесплатный доступ к такому прокси-серверу www.proxy.aol.com, и IM-клиенты автоматически меняют конфигурацию на использование этого прокси-сервера, если прямой доступ блокируется защитой по всем портам.
Даже в случаях, когда защита вашей организации настроена на блокирование всех запросов к прокси-серверам AIM и ICQ, в Интернете существует множество других бесплатных прокси-серверов. Простой поиск в Интернет даст любому желающему сотни доступных прокси-серверов, причем их список постоянно пополняется. Блокирование каждого из них – прямо скажем, не самый легкий путь, кроме того, всегда будет оставаться возможность использования сотрудниками неизвестного вам и еще не запрещенного сервера.
В общем, IM-системы, как и сорняки, легко появляются и очень тяжело выкорчевываются. Лучшим выходом обычно является проработанная корпоративная политика безопасности, когда все сотрудники предупреждены о возможных рисках и последствиях своих действий. Она, если и не запретит использование на рабочем месте IM-передачи данных, то, по крайней мере, предотвратит применение IM-систем для передачи конфиденциальной информации.
обеспечение работы IM-передачи сообщений
Как мы уже говорили, у IM-передачи данных множество сторонников. Подавляющее большинство организаций и сотрудников никогда не смирятся с необходимостью отказываться от этого очень удобного инструмента из-за каких-то неопределенных проблем безопасности. В этом случае в обязанности администраторов должна входить настройка таких систем для увеличения их безопасности, насколько это вообще возможно.
И опять, обеспечение безопасной мгновенной передачи сообщений — не самая простая задача. Один из лучших способов сохранения информации, передаваемой по IM-сети, состоит в шифровании передаваемых данных. В настоящее время существуют несколько компаний, которые предлагают свои продукты для шифровки IM-передачи.
В дополнение к шифрованию, имеет смысл обеспечивать запись и сохранение всех файлов регистрации. Однако, как мы уже описывали, эти файлы представляют особую ценность для злоумышленников и должны охраняться особенно тщательно и находиться в недоступном извне месте.
Кроме того, передача любых файлов по IM-сети должна быть категорически запрещена, поскольку именно перемещаемые файлы представляют наибольшую угрозу для безопасности.
заключение
Маловероятно, что IM-системы в ближайшее время вытеснят или хотя бы сравняются по распространенности с электронной почтой. Пока еще действия хакеров или червей, ориентированные именно на такие системы являются, скорее, оригинальными исключениями из правил. Но популярность IM-систем растет, и ситуация может со временем измениться. Уже сейчас появляются вирусы, черви и трояны именно для таких систем, причем число их неуклонно увеличивается.
Появление особо опасных и заразных червей для IM-систем уже можно смело предсказывать. И если нынешняя ситуация с защищенностью не улучшится, то мы вскоре можем стать свидетелями эпидемий, практически мгновенно поражающих миллионы компьютеров по всему миру.
обсуждение статьи
Сетевые решения. Статья была опубликована в номере 04 за 2003 год в рубрике save ass…