特別推薦msn 下戴網站: http://www.zwzpyg.com/?p=369

2010年9月17日星期五

脆弱的QQ、MSN 即時通訊軟件安全問題凸顯

脆弱的QQ、MSN 即時通訊軟件安全問題凸顯


【賽迪網-IT技術社區整理】“我們上班時不可以使用任何即時通訊(IM)軟件的,可以使用工作電子郵箱,但發的郵件是被監控的,主要是公司為了防止員工將程序源代碼洩露出去。”這是一位在國內著名IT企業上班的朋友對我描述他們的工作環境。當然,雖然都是每天面對電腦、面對網絡,但是工作性質不同,不同的公司在對IM軟件使用上的限制自然也有所區別。

大家一談到IM軟件應用,往往首先想到的就是聊天。現在,諸如MSN、ICQ、 Yahoo、QQ、UC等IM軟件越來越多地進駐辦公室,仍然主要是作為聊天工具,或者就是個傳傳文件,發發消息的小玩意,只不過現在大家聊的話題涉及公事更多而已。對企業的管理者而言,多半並不喜歡員工進行工作以外的事情,因此企業需要在便利及安全之間作選擇。

雖然說目前大部分企業還是把IM軟件定義為聊天而非溝通工具。因此國內有些大企業還是以限制與監控網絡通訊過程,作為員工考核與獎懲的依據。不少企業為了避免員工在上班時沒事就跟人聊天閒扯,便主張禁止IM軟件的使用;然而,把IM軟件列為禁忌,可能有點因噎廢食,畢竟,使用IM軟件好比雙刃劍,利弊參半。一項針對IM軟件使用情況所做的調查報告指出,有 39%的使用者認為IM可以提升工作效率;若以即時溝通的觀點出發,有82%的使用者認為網絡即時通訊可以快速解決工作上溝通的問題;另有70%認為可以快速知道對方是否在線。由這些數據可以看出,IM軟件對企業具有正面的效益。對於這樣一個雙刃劍,如何才能揚長避短,就需要考驗企業的管理功力了。

最近,Gartner分析也指出,目前全球有30%以上的企業使用IM來從事商業溝通,但是只有少於1%的企業對IM做過管控。然而,面對近年來不斷出現的通過IM軟件傳播的網絡病毒,(IM)軟件的有效管理就要提到企業的管理日程上來

脆弱的IM

大多數IM系統在設計的時候都考慮了可擴展性,但卻沒有充分地考慮安全問題。一個普遍的現像是,幾乎所有免費的在線即時信息系統都缺乏加密功能,其中大多數都具備繞過傳統的企業防火牆的功能,為網絡管理帶來了很大的困難。此外,這些系統中的密碼管理不夠安全,使賬戶容易受到攻擊,還可能受到拒絕服務等方式的攻擊。 Gartner研究部副總裁Carl Claunch在談起(IM)軟件的安全問題時曾經憂心忡忡地說,安全顧慮、缺乏事後可追查的文件記錄、服務品質有限、整合問題和欠缺對非文字媒體的支持,令企業對投資即時通信技術裹足不前。 “IM的安全性不足,因為基本的IM架構不是專為信息保全而設計,”Claunch說:“你不會想電子轉賬10億美元到瑞士的某家銀行,然後用IM來確認這筆交易。 ”

事實上,IM一些自身的特點使很多IM系統成為迅速傳播計算機蠕蟲和混合病毒的理想平台。例如,IM普及迅速、應用廣泛,為病毒傳播提供了環境;IM集成可用來查找新目標目錄,適合病毒的集群傳播;在很多情況下,IM可以被簡單易編的腳本控制,並容易被懷有惡意的人利用。

據了解,現在大多數IM系統採用了C/S結構。在大多數情況下,IM的傳播是藉助於服務器的,用戶之間發送的信息未經加密(也沒有辦法加密),信息對於攻擊者是清楚可見的,很容易導致信息被竊取。另外,即時信息系統還允許用戶用非加密形式傳輸、交換文件,這樣會導致蠕蟲、特洛伊木馬以及混合病毒的大量傳播。而且,到目前為止,還沒有安全軟件提供商提供相應的網關掃描解決方案。

如果我們剖析一下IM軟件的系統內部就會發現,很多 IM系統都提供腳本編寫功能,可以幫助用戶編寫VB、javascript等標準Windows 程序,以便控制不同方式的信息代理。但它在為用戶提供方便的同時,也為一些蠕蟲和混合病毒的傳播提供了途徑。因此,專家提醒用戶:非常有必要在個人計算機或終端計算機上實施防病毒保護,預防這類基於IM的惡意編碼。

尋找某個軟件的漏洞可以說是網絡黑客的“主營業務”,而對這些基於Internet 的應用軟件,尋找程序漏洞對他們來說更是樂趣之一。黑客可以藉助緩衝器溢出和畸形數據包等方式,攻擊者可以訪問任一台安裝帶有易攻擊點的即時信息的客戶端。有時候,系統供應上位用戶提供的很多IM軟件附加功能提高了即時信息系統客戶端軟件向Internet的開放程度,增加了系統遭受攻擊的可能,也成了漏洞產生的“溫床”,增加了系統遭受攻擊的可能。此外,很多即時信息系統很容易受到賬戶竊取和哄騙程序的攻擊,這些易攻擊點允許攻擊者竊取其他用戶的即時信息賬戶,並扮演該用戶與他人通信。此外,最要命的就是大多數人為了方便記憶,經常使用同一個密碼,這樣攻擊者在打開沒有安全措施的加密即時信息交換文件以後,還可通過同一密碼進入其它的企業信息系統。

安全保衛戰

雖然說IM軟件發展的時間較短、協議專有,造成了現有信息安全工具在安全防護方面的不配套。但由於它已具有了廣泛的用戶群,並且發展十分迅速,所以,用戶對相應的安全防護工具的要求十分迫切。現在已經有很多IT公司開發出了專門針對IM 軟件的安全保障系統。對企業來講,有兩種行之有效的方法可以對IM軟件進行管理

“封閉式”管理

所謂“封閉式”管理就是建置企業內部的“實時信息系統”。企業必需設置自己內部的信息服務器,每台個人計算機必需安裝特定的實時信息程序,該實時信息系統完全運作在企業的Intranet環境並不與外界有任何联系。 “封閉式”實時信息系統的優點是可以提供企業更為安全文件及信息傳輸服務,同時信息管理人員又可對企業內部實時信息的使用加以管理,目前提供這方面解決方案的廠商有IBM、 Jabber 、Bantu等。

設置網關器

設置實時信息網關器(Messaging Gateway):使用公開的“實時信息”程序(如AOL、ICQ、MSN),但在公司內部設置實時信息網關器(Messaging Gateway)。與其讓使用者“非法”(不在企業的Security Policy之內)使用這些具有安全考量的實時信息,企業可以考慮將這些“非法使用”的情形“合法化”並加以管理,主要的精神就在於“凡走過必留下痕跡”,任何進出的信息都必須留下記錄,必要時信息管理人員才能根據這些記錄追查來龍去脈。而目前提供這方面解決方案的廠商有Akonix Systems、FaceTime等。

而對於流行的即時通訊語音服務,竊聽和攜帶惡意代碼的數碼照片的傳播是主要的不安全因素之一。世界著名的諮詢機構Gartner提醒各大企業要尤其註意即時通訊的安全性問題。 Gartner建議企業用戶採用三個方法進行預防:應用企業級的IM工具,對公共IM服務提供具體的管理工具和配套服務,或是這兩種方法同時使用。

當我們無法抗拒Windows桌面右下角種著的ICQ 綠色小花,或是佇立著MSN Messenger的藍色小人帶來的“魅力”,但又害怕這朵帶刺的玫瑰時,迴避問題不是辦法,勇敢面對並解決問題才是首選!

2 条评论: