Nebezpečí plížící se přes IM

14. 11. 2007

Sdílet

Dnes už stěží najdeme někoho, kdy by nepoužíval okamžité zprávy. Někdo jako doplněk k e-mailu, někdo rovnou jako náhradu za tuto technologii. Ať tak či onak, rostoucí popularita služby vede k tomu, že narůstají její bezpečnostní rizika.

bitcoin školení listopad 24

Rozepisovat se o výhodách nebo technologiích okamžitých zpráv (Instant Messaging, dále jen IM) není cílem tohoto článku, a tak se rovnou pojďme podívat na bezpečnostní rizika, která jsou s nimi spojená. Ta jsou přitom často podceňovaná, protože se o nich nepíše tolik jako o „klasických“ hrozbách (e-mailoví červi nebo internetové podvody).


Problémy IM spadají buď do kategorie bezpečnostních zranitelností (a jako takové nepoutají pozornost), nebo se týkají relativně úzkého okruhu lidí (a jako takové opět nepoutají pozornost). „Relativně úzký okruh lidí“ znamená, že pro úspěšný útok proti IM musí být zpravidla splněno více podmínek – např. nezáplatovaná aplikace a zároveň nezáplatovaný operační systém. Tzn. Že problém se vždy netýká všech uživatelů, ale jen některých. A to jsme ještě nezmínili fakt, že spektrum IM aplikací je velmi pestré (na rozdíl třeba od webových prohlížečů nebo poštovních klientů, kde se jedna chyba často týká většiny jejich uživatelů).

Pokud máme být v případě hrozeb konkrétní, pak si uvědomme, že technologie IM umožňuje nejen přenos zpráv, ale často i souborů. Tedy i škodlivých kódů. IM je dále možné zneužít pro získání přístupu do počítače a k obejití fi rewallu. Pro útok není zapotřebí znát nebo generovat IP adresu počítače – stačí jen IM identifi kátor. Útok tedy může být vedený proti konkrétní osobě, nikoliv proti konkrétnímu počítači. Většina IM aplikací podporuje sdílení souborů nebo adresářů, což usnadňuje jejich kompromitaci. Při jejich používání také může dojít k „odposlechu“ zpráv. Samostatné kapitoly pak představuje spam pro IM a možnost zneužití této technologie pro neoprávněnou manipulaci se soubory.

A pozor – do oblasti bezpečnosti patří také dostupnost! O tom se mohli přesvědčit po dva letošní srpnové dny uživatelé Skype. Poskytovatelé IM (a obecně i VoIP) tiše varují před tím, aby na jejich technologii běžely kritické aplikace (tísňová volání, zdravotnictví, energetika…), a to z jednoho prostého důvodu. Kontrolu nad celým prostředím má několik subjektů (jedna věc je aplikace, jiná věc je třeba síť pro přenos dat), které negarantují stoprocentní dostupnost.





Instantní útok
Typický útok proti IM vypadá tak, že se agresoři nejprve zaměří na získání seznamu kontaktů z určitého počítače. Získat totiž kontakty někde na internetu (jako třeba v případě spamu) nebo jiným podobným způsobem je v případě IM krajně nepraktické. Jakmile se ale hacker zmocní adresáře, může rozesílat zprávy, přičemž se maskuje jako majitel seznamu – mění tedy svoji identitu. Tím v očích příjemců zprávy získává útočník na důvěryhodnosti – když posílá zprávy, nejčastěji s výzvou k návštěvě nějaké webové stránky. Na této stránce pochopitelně už číhá nějaký škodlivý kód nebo skript, jímž dochází k infi kování počítače (třeba za předpokladu, že není odpovídajícím způsobem ošetřený proti aktuálním bezpečnostním chybám – záplatovaný).

Skutečností, která nahrává útočníkům, je fakt, že mnohé současné fi rewally nejsou schopné těmito programy generovaný provoz fi ltrovat či logovat. Čehož v konečném důsledku často zneužívají vlastní zaměstnanci k nelegálnímu (nikoliv z hlediska právního, nýbrž z hlediska vnitropodnikových předpisů) používání IM. Abychom jen neteoretizovali: toto na vlastní kůži pocítil internetový portál Yahoo!, jehož několik bývalých zaměstnanců použilo právě IM k distribuování tajných obchodních a technických informací, které předali svému novému zaměstnavateli. Tím byl nejmenovaný konkurenční start-up portál. Snažili se přitom využít právě slabin IM ve vztahu k zaměstnavateli – nicméně tvrdě narazili, neboť právě Yahoo! má monitorování IM velmi solidně ošetřené. Že celý případ skončil u soudu, jistě není nutné dvakrát zdůrazňovat.

Instantní viry

Dnes známe tisíce škodlivých kódů, které více či méně napadají nebo zneužívají technologii IM. Nejde přitom o žádnou novinku, první se objevily již v roce 2001 (zatímco v jiném oboru šest let nic neznamená, v ICT je to opravdu dlouhá doba).

První IM virus se jmenoval Hello a šířil se v souboru Hello.exe, přičemž napadal aplikaci MSN Messenger. Hello byl napsaný v programovacím jazyce Visual Basic 5, přičemž po aktivaci uživatelem se kopíroval do složky Spustit po startu a zajistil si tak spuštění při každém (re)startu počítače. Následně odesílal na všechny kontakty v IM adresáři zprávu se svou kopií a s textem „i have a file for u. its real funny“. Nebezpečnost kódu Hello nebyla nikterak vysoká, šlo skutečně jen o technologický důkaz, že to vůbec jde.

Jen krátce po tomto „důkazu“ se objevil skutečně nebezpečný kód (SoFunny), který se po instalaci do počítače snažil zcizovat hesla a šířil se v souborech Sofunny.exe nebo Love.exe. Skutečně masového rozšíření se dočkal kód Goner.A, ovšem částečně i proto, že kromě IM využíval také jiných vektorů šíření (např. elektronickou poštu).





Dalším rozšířeným virem byl např. Sdbor, zneužívající aplikaci AIM. Je schopen se rozeslat nejen na seznam kontaktů, ale umí se šířit i v chatovacích místnostech AIM, navštívených z infi kovaného stroje. Jeho možnosti jsou velmi široké: do počítače může stahovat nové aplikace (především spyware), monitorovat chování uživatele, vypínat antivirový program, měnit vyhledávací stránku prohlížeče (tzv. únos prohlížeče). A to není vše, neboť do napadeného počítače instaluje ještě i rootkit! Virus Maniccum využívá aplikace AIM a MSN. Po své instalaci do počítače se snaží vypnout přítomné bezpečnostní programy (antivirovou ochranu, fi rewall aj.). Dále pak instaluje backdoor, s jehož pomocí mohou do napadené stanice pronikat další škodlivé aplikace. Backdoor je ovládaný příkazy posílanými přes IRC (což je mimořádně oblíbený nástroj komunikace mezi hackerem a jím ovládanými počítači). Kromě dalších věcí umí Maniccum posílat IM zprávy nebo provádět DoS útoky (odepření služby, v daném případě „zasypávat“ vybraný cíl lavinou nevyžádaných IM zpráv).

Červ yhoo32.explr se zase snaží do počítače proniknout tak, že se vydává za bezpečný webový prohlížeč „Safety Browser“. Odkaz v IM zprávě slibuje návštěvu webu právě s touto aplikací. Jenomže po její instalaci se uživatel dočká nemilého překvapení, když je unesen jeho původní prohlížeč (je změněno mnoho nastavení, včetně domovské stránky). Kód yhoo32.explr kromě toho vytváří na ploše svůj odkaz se stejnou ikonkou jako má Internet Explorer. A navíc uživateli „zpříjemňuje“ život tak, že donekonečna pouští hudební motiv, který se nedá jednoduše vypnout. Červem yhoo32.explr jsou zasaženi pouze uživatelé aplikace Yahoo! Messenger.
Velmi vysoko zvedl laťku pro škodlivé kódy v květnu 2006 Nagache.A. Ten je opravdu velmi komplexní, využívá klienty AIM a MSN, ale šíří se i přes e-mail či síťová sdílení. Unáší prohlížeč i počítač (tzn. že agresor mu může na dálku zadávat úkoly – jako třeba provádění určitých operací či rozesílání spamu). A pokud napadený počítač není záplatovaný proti dvojici chyb z roku 2004 postihujících operační systém Windows, tak se instalují ještě další komponenty.

Instantní spam

Spam v IM označujeme jako spim. Jedná se zkratku z anglického SPam a Instant Messaging. Volně by se dalo říci, že jde o nevyžádané zprávy zaneřáďující IM. Poslat nevyžádanou poštu (spam či spim – objevuje se už dokonce i spit – SPam over Internet Telephony) nepředstavuje žádný velký problém, stačí jen vytvořit jednoduchý skriptovací program. Musíte jen mít k dispozici příslušné adresy – a pak spamovat či spimovat do omrzení… Ovšem tak jednoduché to ve světě IM není. Podotýkáme totiž, že většina IM protokolů je proprietárních. Čili se lze spimu poměrně úspěšně bránit jednoduchými úpravami. Proto také IM zatím ani zdaleka není pod takovou záplavou nevyžádaných zpráv jako elektronická pošta.

Samotným případem je Messenger Service ve Windows, což je služba umožňující zobrazování pop-up (vyskakovacích) oken s informací. Jinými slovy: kdekdo vám může nechat na obrazovce vyskočit okno s informací. Samozřejmě i s nevyžádanou. Zajímavé ovšem je, že nejčastěji zobrazovaným oknem je zprávička „vadí vám takovéto a podobné obtěžující zprávy? – navštivte naše www stránky, za mírný poplatek se s vámi podělíme o návod, jak se jich zbavit“. Absurdní na celé situaci je to, že tyto zprávy s nabídkou blokování zpráv jsou to jediné, co uživatel dostává – čili vytvářejí problém, který řeší.

Mimochodem, podobně je na tom s nevyžádanými zprávami i technologie IRC, kde uměle vytváření automatičtí boti vstupují do komunikačních kanálů – a účastníky následně zasypávají zprávami, o které nikdo nestojí.





Instantní bezpečí
Dobře, ale jak se s rizikem ve světě IM vypořádat? Už třeba při vytváření svého identifi kačního jména se snažte, aby vás nijak necharakterizovalo. Pochopitelně, že to není vždy možné nebo žádoucí, ale pokud to jen trochu jde, tak této možnosti využijte. Stejně tak do různých databází, seznamů a adresářů sdělujte jen minimum osobních informací. Půjdete sice hůře „vypátrat“ – ale opravdu je cílem hry, aby si o vás mohl kdekdo zjistit kdeco?

Pokud navíc budete svoji komunikační adresu zveřejňovat co nejméně (nebudete ji vystavovat na webu, poskytovat cizím lidem apod.), pak zároveň vytvoříte přirozenou bariéru (těžko vás osloví někdo, kdo o vás neví) nejen proti spimu, ale třeba i proti obtěžování apod. Stejně tak své osobní či citlivé údaje nesdělujte při konverzaci, a to i se známými lidmi. Technologie IM na podobné důvěrnosti prostě není stavěná.

Při přihlašování k IM účtu z veřejného počítače své přihlašovací informace neukládejte! Někdo by mohl odcizit vaši identitu nebo ji jinak zneužít. Podotýkáme, že veřejným počítačem nemusí být jen internetová kavárna, ale třeba i školní prostředí – nebo fi remní počítač, jehož služeb pravidelně využívá více osob! Nikdy neotevírejte přílohy příchozí pomocí IM nebo soubory nabízené ke stažení pomocí zpráv IM. Přílohy od neznámých odesílatelů neotevírejte vůbec, od známých si jejich odeslání ověřte – dva kratičké řádky s dotazem vám mohou ušetřit mnoho nepříjemných problémů.

Nastavte si svůj software tak, aby umožňoval fi ltrování i blokování obsahu. Prakticky každý výrobce/dodavatel na svém webu přináší seznam bezpečných nastavení. Věnujte jim pozornost, neboť doba, kdy se dal software implementovat systémem „nainstaluj a zapomeň“, je nenávratně pryč.
Zacházejte s IM podobně jako s elektronickou poštou. Není nutné používat speciální antivirové řešení, ale standardní antivirový program nutností bez diskuse je. Stejně jako třeba osobní fi rewall či antispywarová aplikace.

Milou vlastností IM na rozdíl od elektronické pošty je, že pouhým otevřením zprávy nelze aktivovat virus. I když třeba i tato doba jednoho dne nastane. Jedním z argumentů, proč lidé opouštějí (třeba i úplně) e-maily, je vyšší bezpečnost IM. Zapomínají ale na to, že každá technologie je tak bezpečná, jak bezpečnou si ji uděláme. IM není výjimkou.