即时信息最初以好友间聊天服务开始,经过发展壮大,现已成为上千万互联网用户的必备工具。现在比较受欢迎的系统,如Microsoft的MSN Messenger、ICQ 和IRC等都已经改变了我们与朋友、熟人及同事的在线交流方式。
即时信息(IM:instant message)最初以好友间聊天服务开始,经过发展壮大,现已成为上千万互联网用户的必备工具。现在比较受欢迎的系统,如美国在线(American-on-Line)的即时信息系统、Microsoft的MSN Messenger、ICQ 和IRC等都已经改变了我们与朋友、熟人及同事的在线交流方式。
而对于即时信息的应用前景,根据 IDC 的业界分析结果,企业在线即时信息用户正处于增长趋势,到2005年将达到三亿人。 面对这一蓬勃发展的巨大市场,我们在为基于互联网的即时信息技术发展为我们提供许多便利的同时,同时也对这一新兴信息交换工具的安全缺陷担忧。
即时信息 先天脆弱
经权威人士研究发现,今天使用的诸多即时信息系统大多数在设计的时候都考虑了可扩展性,而没有考虑到安全问题。一个普遍的现象是几乎所有免费在线即时信息系统都缺乏加密功能;大多数都具备绕过传统的企业防火墙的功能,给管理员对它们在企业内使用的管理带来了很大的困难。这些系统中的密码管理不安全,容易受到帐户哄骗的攻击,还可能受到拒绝服务攻击。
而且,来自网络安全专家赛门铁克的调查发现,目前即时信息系统是迅速传播计算机蠕虫和混合威胁的理想平台,这是由于它们自身先天具备以下的特点决定的,例如:
- IM普及迅速 应用广泛 为病毒传播提供了广泛环境;
- IM提供功能出色的通信架构 受到用户亲睐 也易于被利用;
- IM集成可用来查找新目标的目录(如好友列表)适合病毒的集群传播 ;
- 在很多情况下,IM 可以由简单易编的脚本控制 容易被怀有恶意的人利用
具体到即时信息交换的安全缺陷,我们总结发现有如下几点:
- 信息交换并非直接互通
目前,大多数即时信息系统采用客户机/服务器结构。一般在安装时,用户都在自己的客户端机器上安装即时信息代理,然后通过即时信息提供商架构中的即时信息服务器实现信息的通信交换。在大部分情况下,即时信息并不是从用户计算机直接发送给他或她的好友的,而是通过公用的互联网从第一个用户发送至即时信息服务器,然后发送到接收者的计算机那里。由于几乎在所有的即时信息系统中,用户之间发送的信息未加密(也没法加密)是清楚可见的,导致信息容易遭到窃取。
- 文件交换未加密
即时信息系统还允许用户以非加密形式传输、交换文件。这样的文件交换会导致传统病毒、蠕虫、特洛伊木马以及混合威胁的大量传播。此外,尽管从技术上讲,提供能在即时信息文件交换穿越企业防火墙时对其进行扫描的安全产品是可以实现的,但是目前还没有安全软件提供商提供这样的网关扫描解决方案,其中部分原因在于即时信息协议的专有性。
- 脚本功能存在缺陷
因为最流行的一些即时信息平台提供脚本编写功能,帮助用户编写Visual Basic、JavaScript和专利脚本编码或标准的Windows程序以控制信息代理不同的特色。这样的脚本可以执行自动指导即时信息代理自动与其他 用户联系、发文件、改变程序设置、执行其他可能的恶意程序等操作。这一功能不但提供方便,而且还帮助计算机蠕虫和混合威胁的传播;已知的基于脚本的即时信息蠕虫已经多达十几种,使得这一问题变得非常现实。因此,非常有必要在所有的桌面计算机机上实施防病毒保护,预防这类基于即时信息的恶意编码。
- 其它易被被利用的方式
首先,与其它基于Internet的应用软件相似,即时信息程序中可能会有一些漏洞,攻击者可能会通过Internet利用这些漏洞发起攻击。借助缓冲器溢出和畸形数据包攻击,攻击者可以访问任一台安装带有易攻击点的即时信息客户端的PC。其次,很多即时信息系统提供商还为即时信息添加了与聊天无关的功能,使得即时信息系统客户端软件向Internet开放,这即增加了遭受攻击的可能。此外,很多即时信息系统很容易受到帐户窃取和哄骗程序的攻击,这些易攻击点可能会允许攻击者窃取其他用户的即时信息帐户并扮演该用户与他人通信。最后,由于用户在很多系统上经常使用同一个密码,这样攻击者在打开安全措施不够的加密即时信息交换文件以后,还可通过同一密码入其它企业系统。
确保安全 对症下药
尽管即时信息发展时间较短、协议专有,并以此造成了现有的信息安全工具在安全防护方面的不配套,但由于其已具有了广阔用户群,发展十分迅速,为此网络安全专家赛门铁克现正在对这项技术进行研究,以推出相应的安全防护工具。
基于即时信息本身的这些缺陷,为了确保即时信息的安全,赛门铁克建议企业在所有台式机上实施台式机防火墙解决方案(或集成的防病毒/防火墙解决方案)。这样的防火墙可以帮助阻塞未经批准使用的即时信息程序,从而防止来自或针对即时信息系统的攻击。赛门铁克前不久推出的硬件防火墙VelociRaptor即是这种集成的防病毒/防火墙解决方案。与其它防火墙产品相比,VelociRaptor的最大产品特色在于即插即用的快速安装、远程管理接口、快速过滤且高度安全等优点。作为高度集成软硬件的防火墙/虚拟专用网络装置,以"Full-Inspection Technology" 扫描技术提供企业级的网络安全防护,确保为企业提供稳固、快速和安全的 Internet 联机。它具备即插即提供安全防护的特性, 并在其网关安全防护架构中,整合了用来过滤网络资料的先进资料检查技术、应用层代理、网络流向分析(network circuit analysis)和封包过滤等功能。此外,VelociRaptor同时还内建了赛门铁克的企业虚拟专用网络(VPN),提供"站点到站点"的虚拟专用网络支持。这使得有行动商务人士的企业用户还可升级至拥有完全虚拟专用网络支持,享受包含免费的私人防火墙控管与延长对远程及移动通讯工作者的保护功能。
此外,要预防通过即时信息文件交换造成病毒的传播与基于脚本的即时信息蠕虫,最好的方法就是在所有客户端台式机上部署最新的防病毒软件。目前在这方面赛门铁克已有针对客户端的防病毒软件解决方案--诺顿防病毒企业版7.6,它同时提供桌面计算机和文件服务器的全面防毒保护功能,并特别针对Microsoft Exchange 、Lotus Notes服务器设计了自动化电子邮件防毒及内容过滤功能,并且支持漫游用户,从而可为即时信息交换提供全面防毒功能。
减低危险 建议多多
要降低即时信息系统给企业带来的风险,在具体应用中,除了建议用户在所有台式机上部署防病毒软件和个人防火墙,安全专家还提请广大用户注意以下建议:
- 在企业内部建立即时信息使用策略,确保企业内人员安全的使用即时信息,避免滥用;
- 向企业内部的人员宣传不要用公共的即时信息系统发送机密信息;
- 恰当配置企业防火墙,阻挡未受经批准的"非法"即时信息通信 ;
- 如果可能,建议部署企业专用即时信息服务器,将企业的即时信息系统与外部隔离 ;
- 执行客户端即时信息设置(默认情况下,拒绝文件传输等……);
- 尽快安装即时信息软件的补丁程序。
总之,即时信息系统依靠其效率和方便性,正迅速被公司接纳。但不幸的是,几乎没有供应商提供统一的即时信息解决方案,而是任由用户自己选择,这即给企业内部安全带来了隐患。现在很多即时信息系统都是为了个人用户聊天设计的,而不是为了方便企业安全通信。因此,它们给企业带来了新的隐患。基于以上原因,赛门铁克建议企业应及时制订并实施即时信息策略以便全面享受即时信息系统带来的通信优势,同时降低遭受安全攻击的可能性。