脆弱的QQ MSN 即时通讯安全问题凸显

“我们上班时不可以使用任何即时通讯(IM)软件的,可以使用工作电子邮箱,但发的邮件是被监控的,主要是公司为了防止员工将程序源代码泄露出去。”这是一位在国内著名IT企业上班的朋友对我描述他们的工作环境。当然,虽然都是每天面对电脑、面对网络,但是工作性质不同,不同的公司在对IM软件使用上的限制自然也有所区别。

大家一谈到IM软件应用,往往首先想到的就是聊天。现在,诸如MSN、ICQ、Yahoo、QQ、UC等IM软件越来越多地进驻办公室,仍然主要是作为聊天工具,或者就是个传传文件,发发消息的小玩意,只不过现在大家聊的话题涉及公事更多而已。对企业的管理者而言,多半并不喜欢员工进行工作以外的事情,因此企业需要在便利及安全之间作选择。

虽然说目前大部分企业还是把IM软件定义为聊天而非沟通工具。因此国内有些大企业还是以限制与监控网络通讯过程,作为员工考核与奖惩的依据。不少企业为了避免员工在上班时没事就跟人聊天闲扯,便主张禁止IM软件的使用;然而,把IM软件列为禁忌,可能有点因噎废食,毕竟,使用IM软件好比双刃剑,利弊参半。一项针对IM软件使用情况所做的调查报告指出,有39%的使用者认为IM可以提升工作效率;若以即时沟通的观点出发,有82%的使用者认为网络即时通讯可以快速解决工作上沟通的问题;另有70%认为可以快速知道对方是否在线。由这些数据可以看出,IM软件对企业具有正面的效益。对于这样一个双刃剑,如何才能扬长避短,就需要考验企业的管理功力了。

最近,Gartner分析也指出,目前全球有30%以上的企业使用IM来从事商业沟通,但是只有少于1%的企业对IM做过管控。然而,面对近年来不断出现的通过IM软件传播的网络病毒,(IM)软件的有效管理就要提到企业的管理日程上来

脆弱的IM

大多数IM系统在设计的时候都考虑了可扩展性,但却没有充分地考虑安全问题。一个普遍的现象是,几乎所有免费的在线即时信息系统都缺乏加密功能,其中大多数都具备绕过传统的企业防火墙的功能,为网络管理带来了很大的困难。此外,这些系统中的密码管理不够安全,使账户容易受到攻击,还可能受到拒绝服务等方式的攻击。Gartner研究部副总裁Carl Claunch在谈起(IM)软件的安全问题时曾经忧心忡忡地说,安全顾虑、缺乏事后可追查的文件记录、服务品质有限、整合问题和欠缺对非文字媒体的支持,令企业对投资即时通信技术裹足不前。“IM的安全性不足,因为基本的IM架构不是专为信息保全而设计,”Claunch说:“你不会想电子转账10亿美元到瑞士的某家银行,然后用IM来确认这笔交易。”

事实上,IM一些自身的特点使很多IM系统成为迅速传播计算机蠕虫和混合病毒的理想平台。例如,IM普及迅速、应用广泛,为病毒传播提供了环境;IM集成可用来查找新目标目录,适合病毒的集群传播;在很多情况下,IM可以被简单易编的脚本控制,并容易被怀有恶意的人利用。

据了解,现在大多数IM系统采用了C/S结构。在大多数情况下,IM的传播是借助于服务器的,用户之间发送的信息未经加密(也没有办法加密),信息对于攻击者是清楚可见的,很容易导致信息被窃取。另外,即时信息系统还允许用户用非加密形式传输、交换文件,这样会导致蠕虫、特洛伊木马以及混合病毒的大量传播。而且,到目前为止,还没有安全软件提供商提供相应的网关扫描解决方案。

如果我们剖析一下IM软件的系统内部就会发现,很多IM系统都提供脚本编写功能,可以帮助用户编写VB、javascript等标准Windows 程序,以便控制不同方式的信息代理。但它在为用户提供方便的同时,也为一些蠕虫和混合病毒的传播提供了途径。因此,专家提醒用户:非常有必要在个人计算机或终端计算机上实施防病毒保护,预防这类基于IM的恶意编码。

寻找某个软件的漏洞可以说是网络黑客的“主营业务”,而对这些基于Internet的应用软件,寻找程序漏洞对他们来说更是乐趣之一。黑客可以借助缓冲器溢出和畸形数据包等方式,攻击者可以访问任一台安装带有易攻击点的即时信息的客户端。有时候,系统供应上位用户提供的很多IM软件附加功能提高了即时信息系统客户端软件向Internet的开放程度,增加了系统遭受攻击的可能,也成了漏洞产生的“温床”,增加了系统遭受攻击的可能。此外,很多即时信息系统很容易受到账户窃取和哄骗程序的攻击,这些易攻击点允许攻击者窃取其他用户的即时信息账户,并扮演该用户与他人通信。此外,最要命的就是大多数人为了方便记忆,经常使用同一个密码,这样攻击者在打开没有安全措施的加密即时信息交换文件以后,还可通过同一密码进入其它的企业信息系统。

安全保卫战

虽然说IM软件发展的时间较短、协议专有,造成了现有信息安全工具在安全防护方面的不配套。但由于它已具有了广泛的用户群,并且发展十分迅速,所以,用户对相应的安全防护工具的要求十分迫切。现在已经有很多IT公司开发出了专门针对IM软件的安全保障系统。对企业来讲,有两种行之有效的方法可以对 IM软件进行管理

“封闭式”管理

所谓“封闭式”管理就是建置企业内部的“实时信息系统”。企业必需设置自己内部的信息服务器,每台个人计算机必需安装特定的实时信息程序,该实时信息系统完全运作在企业的Intranet环境并不与外界有任何联系。“封闭式”实时信息系统的优点是可以提供企业更为安全文件及信息传输服务,同时信息管理人员又可对企业内部实时信息的使用加以管理,目前提供这方面解决方案的厂商有IBM、Jabber、Bantu等。

设置网关器

设置实时信息网关器(Messaging Gateway):使用公开的“实时信息”程序(如AOL、ICQ、MSN),但在公司内部设置实时信息网关器(Messaging Gateway)。与其让使用者“非法”(不在企业的SecurITy Policy之内)使用这些具有安全考量的实时信息,企业可以考虑将这些“非法使用”的情形“合法化”并加以管理,主要的精神就在于“凡走过必留下痕迹”,任何进出的信息都必须留下记录,必要时信息管理人员才能根据这些记录追查来龙去脉。而目前提供这方面解决方案的厂商有Akonix Systems、FaceTime等。

而对于流行的即时通讯语音服务,窃听和携带恶意代码的数码照片的传播是主要的不安全因素之一。世界著名的咨询机构Gartner提醒各大企业要尤其注意即时通讯的安全性问题。Gartner建议企业用户采用三个方法进行预防:应用企业级的IM工具,对公共IM服务提供具体的管理工具和配套服务,或是这两种方法同时使用。

当我们无法抗拒Windows桌面右下角种着的ICQ绿色小花,或是伫立着MSN Messenger的蓝色小人带来的“魅力”,但又害怕这朵带刺的玫瑰时,回避问题不是办法,勇敢面对并解决问题才是首选!