即时消息,你离安全有多远?
陈长松 2003/01/14
Instant Messaging(IM即时消息)是通过Internet即时和他人联系的一种方式,用户可以通过它查看朋友或者同事是否连接在Internet上,并能给在线的用户即时地发送短小而简单的消息,甚至包括多媒体等其他更为复杂的文件。
1988年始于芬兰的IRC(Internet Relay Chat)是IM的最早的表现形式,随着IM在全球范围的普及,现在已经有越来越多的应用程序被广泛地使用,包括AOL
Instant Messenger(AIM)、ICQ、Yahoo Messenger和MSN Instant Messenger(MSN IM)等,以及国内用户使用较多的QQ(原称OICQ)等。IM的最大特色就在于“即时”,工作组中的每个人都知道其他人是否在线,这样就能实时地进行信息交流;而相比之下使用E-mail时,发信者通常不知道接收者是否处于联网状态,何时能够回信更是未知。
大多数人认为,IM将成为下一个阶段风靡全球的应用程序。据Gartner Group调查表明,到2005年,IM将超过E-mail而成为用户主要的电子交流方式。
7大隐患威胁IM安全
由于IM系统是建立在一些不安全通信协议的基础上,在设计的时候都考虑了可扩展性,而没有考虑到安全问题,因此就带来了许多安全威胁和隐患,主要表现为以下七个方面。
穿透防火墙。为了具有更好的灵活性,大多数IM软件都允许用户选择使用的端口,甚至会自动尝试链接未被封住的端口,因此任何局域网内具有Web浏览权限的用户,都可以通过一个外部的代理服务器和特定的未被防火墙禁止的端口(例如80端口、或者telnet使用的23端口),将信息发送到外部网络。这样,防火墙已经不再发挥其作用,而通过端口号来限制非授权访问也是不可能的,无形中给安全带来很大的隐患。
绕过防病毒网关。与通过E-mail传输附件类似,许多IM软件可以将文件作为附件通过点对点方式传送,绕过网络周边安全防御设施。由于点对点隧道直接传到桌面计算机,因此受感染的文件借IM通信就能绕过防病毒网关的扫描,病毒、蠕虫和特洛伊木马可以借此轻松地进入网络。
“脚本”存在缺陷。目前流行的一些IM系统大都提供了脚本编写功能,帮助用户编写VB、JavaScript和专利脚本编码或标准的Windows程序,以控制信息代理不同的特色。这样的“脚本”可以执行自动指导IM代理自动与其他用户联系、发文件、改变程序设置、执行其他可能的恶意程序等操作。这一功能虽然为用户提供了方便,但同时也助长了计算机蠕虫和混合威胁的传播,因为已知的基于脚本的即时信息蠕虫已经多达十几种。
被黑客攻击。与其它基于Internet的应用软件相似,IM软件中存在着一些安全漏洞,攻击者可能会通过Internet利用这些漏洞发起攻击。借助缓冲器溢出和畸形数据包攻击,黑客能获取用户工作站的远程控制权,从而干这个用户能干的任何事情,比如获取保密性资料,甚至以该机器为跳板,对该局域网内的其他机器发起攻击。
未加密或弱加密。在IM的数据中,有两类内容必须加密:一类证明鉴别信息,另一类会话数据。虽然一些IM软件开始加强了鉴别数据的加密,但仍然很少对会话数据进行安全性加密,会话数据通常都通过明文传输的,再加上大多数IM系统都采用Client/Server架构,用户端通过公共网上的IM服务器转发信息传送到接收端电脑,因此只要在网络上安装上监听软件,就能截获这些消息的内容。而那些对会话数据进行加密的IM软件,由于它们采用的加密算法往往非常脆弱,很容易被破解。
身份缺乏安全认证。身份的冒用是IM系统的另一安全问题。任何人都可以在公用的IM服务器中以任何身份和姓名注册,很难确定一个使用某姓名的账户确实是他所宣称的那个人。而且,一些攻击者利用密码窃取或哄骗手段窃取其他用户的账户,并冒充用户与他人通信。同时,IM系统的用户还可能收到一种诱骗用户下载非法程序的信息,例如:“由于您的计算机感染了病毒,请下载位于这一网址(URL)的程序,清除病毒。否则,今后您将无法加入这一在线聊天系统”。如果按该信息的提示下载并执行文件的话,用户的计算机就会遭到攻击和植入木马或蠕虫病毒,从而被完全控制甚至成为DDoS攻击的帮凶。
管理出现问题。且不说IM软件弹出的窗口影响用户作研究、写报告或进行其它工作,以及在办公时间与朋友聊天的诱惑也降低了员工的工作效率。允许使用IM系统的公司势必要担心员工是否会利用IM程序发送受限制的消息,即使会话数据是通过加密的,那只是防止旁人监听和截取,公司仍然存在其知识产权被员工有意地从IM窗口中泄露出去的隐患。
5个方面健全IM安全方案
鉴于IM系统的诸多安全隐患,我们要谨慎地使用IM软件,尤其是在企业网中使用或作为电子商务用途时。出于安全的角度考虑,企业彻底禁止使用IM并非一个非常奏效的方法,最好还是,要借助理想的安全解决方案来将安全风险降低到最低。企业用户可以借鉴以下五个方面。
使用基于网络的入侵检测系统。IM软件可以灵活地使用通信端口和代理服务器,并且这种点对点通信程序能突破企业的边界安全控制,穿透防火墙、防病毒网关的监控,因此,一个比较有效的解决方案是使用基于网络的入侵检测系统,来监视所有通过边缘防火墙的数据,并将它调整为可以有效鉴别IM数据传输模式。同时,企业还可以使用专门的全面网络记录系统去监视网络中的数据,以鉴别和控制IM。
安装个人防火墙和桌面防病毒软件。为了确保IM安全,我们还应该在用户的终端上安装桌面防火墙,这样的防火墙可以帮助阻塞未经批准使用的IM程序,从而防止来自或针对IM系统的攻击。同时,为了预防通过IM的文件交换造成病毒的传播以及基于脚本的IM蠕虫和恶意代码,最好的方法就是在所有客户端机器上部署最新的防病毒软件。值得一提的是,防病毒软件通常还能将DDoS代理作为一种病毒检测出来,因此能防止被黑客利用而成为发起DDoS攻击的跳板。
及时安装IM软件的补丁。有数据表明,IM系统正成为恶意代码和病毒的下一个主要攻击目标。目前,已有一些蠕虫病毒成功地感染了部分IM软件,一些漏洞和弱点也使客户端软件受到安全威胁,因此,包括AIM、ICQ、MSN
Messenger和Yahoo Messenger在内的各种IM软件都在不断地发行新版本,修复旧版本的程序错误和漏洞,并提供新式安全功能。用户及时地安装补丁和升级IM软件,也可以有效地增强IM系统的安全性,减少被攻击的危险。
利用公用IM系统传送机密信息时使用加密技术。在IM软件还没有提供加密功能或者其加密方法不够强壮时,建议不要使用公用IM系统发送机密信息。如果非要借助IM系统通过公用网传输重要资料,那么应该借助第三方的加密软件,对通信进行加密,保证安全文件传输,同时还需要考虑鉴别和认证过程以及访问控制,以避免身份窃取和非授权访问。
加强安全使用的意识。IM软件被黑客攻击后可能在后台隐蔽地寄出资料,如果要解决后顾之忧,最好的办法还是关闭档案传送。而使用IM系统之外的其他网络工具,例如通过浏览器或ftp下载软件时,用户仍然需要加强安全意识,下载文件应该从软件提供商的官方站点下载,而不要轻信其他网站的提示信息,因为那可能会是个陷阱——一个木马、蠕虫、病毒程序可能在等着你去下载呢。另外,用户还应该定期地更换密码,使黑客即使窃取了密码,也无法长期登堂入室。
如果这些措施还无法达到企业的安全要求,那么企业就需要考虑使用一个针对自己网络的专用解决方案,以使所有的IM都限制在一定范围的地理空间内,这样将不安全的IM与公共网络隔离,就可以有效地控制企业信息外泄和保护企业信息安全,从而把安全风险控制在可以接受的范围内。
3“化”预示IM未来
IM的标准化
包括AOL的Instant Messenger、ICQ、Yahoo Messenger以及MSN Messenger在内的几大主要IM网络都不愿意向竞争对手开放自己的网络系统。这就意味着Yahoo
IM的用户不能够通过AOL的好友名单来与别人聊天,尽管目前一些第三方操作的网关提供这种通信服务,IM的“互联互通”还是没有得到很好的解决。
互联网技术管理组织(IETF)一直在促成IM标准的制订。占据IM绝大多数市场份额的AOL公司一直抵制标准的建立,虽然它在去年6月向IETF提出了一份IM技术标准化方案,但是仍然禁止其他公司开发的IM软件访问AOL公司的IM网络,因此受到了其他公司的联名抗议。在AOL表示退出标准化工作过程后,IETF将制订技术标准的权力授予开放源代码的IM制造者Jabber。
在IM开放标准制订之后,发送IM的人就不必考虑接受对方使用的是何种IM软件,而且除了兼容性之外,新标准还会增加安全性,包括认证、隐私性以及对即时消息内容的访问控制等。
IM的安全化
现有的IM安全问题,一方面是由于IM自身的安全机制不够完善,另一方面则是由于IM标准尚未制订,通信数据因IM系统而异,防火墙等安全设备无法很好地识别并控制通信数据流。
因此,在IM标准制订之前,IM系统厂商和网络安全厂商的合作是必要的,IM系统向安全厂商公开其通信的协议和机制,那么诸如防火墙、防病毒网关和入侵检测系统就可以设计成完全识别IM数据,这样所有的IM信息都可以经由安全设备检验,从发信人、收信人甚至到通信内容都可能做到安全扫描,安全性就能大大提高。当然,解决IM安全问题的关键还是在于IM系统本身的安全性,这也正是新制订标准中的一项内容。
IM的商业化
IM最早是作为一种聊天工具推出的,面对大多数用户的服务是免费提供的。据美国IDC调查显示,目前已经有约6500万名公司员工在使用面向消费者的IM产品,预计到2006年这一数字将超过3亿。不知不觉中,一些企业的员工也开始使用IM系统辅助电子商务提供在线服务,更快捷、互动地回答在线购物用户的提问。IM已经成为企业进行通信和提高生产效率不可或缺的一个手段。
但是,鉴于IM在安全上的缺陷,企业用户也发现传统的IM系统在安全、管理和整合的功能上都无法满足他们的要求,他们愿意为IM服务付费,以获得给信息加密、集中管理客户端设置、信息文档备份等能力。这给IM带来了巨大的商机,IBM的Lotus
Sametime对此应该体会最深。同时,也有不少厂商开始提供商用的IM系统,并且还根据企业的具体情况定制开发系统,金融服务业是目前从IM中受益最大的行业。我们坚信,总有一天,IM不仅作为个人沟通的一个通信手段,还将和电话与E-mail一起逐步成熟地应用于企业之中。
相关链接
反病毒软件呵护IM安全
《商业周刊》在预测“2003年网络安全面临五大挑战”时指出,IM工具照样难逃垃圾信息之劫。由于垃圾邮件传播者会通过种种手段清理搜集到大量的网络地址,然后再给正处于IM状态的用户们发去信息,诱导他们去访问一些非法收费网站。《商业周刊》同时还指出,目前市场上还没有任何一种反IM干扰信息的软件,这对软件公司来说无疑也是一个商机。
此前,全球领先的互联网安全技术与解决方案供应商赛门铁克公司早就开始研究现有IM平台的有关安全问题,同时已经意识到IM的危险性,并开始创建插件,用于其桌面产品中的各种IM客户端。
Norton AntiVirus 2003单机版就是对将要插入各种客户端,并扫描接收到的任何文件的一种防病毒产品。 Symantec AntiVirus
Enterprise Edition V8.5则融合了几种业界领先的防病毒解决方案,可以提供高性能的防护和灵活性,保护网关、服务器和工作站的安全。这种全面的套装可以消除多厂商产品组合、管理安全产品时所产生的复杂性。它由业界最大的安全专家团队支持,可以提供全面防护,对新型威胁进行灵活的全球响应。
Symantec AntiVirus Enterprise Edition V8.5使组织可以灵活地部署多种防病毒解决方案,满足企业用户的独特需求。其中,数字免疫系统极大地缩短了自动提交潜在病毒威胁和返回解决方案的周期其完善的后端架构和几种智能技术提高了自动响应性能,并最大限度地确保了正常运行时间;Virus
Definition Transport Method VDTM病毒定义码传送方法 提供向管理桌面和文件服务器快速部署新病毒定义码的最佳方法,只需将一套新的病毒定义码放到一个主服务器上,病毒定义码将自动扩散到辅服务器和客户台式机;LiveUpdate提供保证病毒定义码更新的快速简便的方法,尤其适用于有远程用户或慢LAN和WAN链接的客户。
此外,赛门铁克防病毒引擎技术不需要重新安装软件就可以更新病毒定义码和引擎扩展,从而最大地保证系统正常运行时间。由于它能够支持Windows、Solaris、NetWare等操作平台,从而轻易而快速地集成到企业环境中。
赛迪网 中国信息化(industry.ccidnet.com)
相关链接: