Icq»: дыра в безопасности фирмы

[Shanker]

По информации Ferris Research, до 70% офисных работников пользуются «аськой» или другими IM-инструментами в деловых целях, целиком полагаясь на их надежность. Однако сервисы IM представляют собой огромную угрозу для безопасности фирмы.

Специалисты по безопасности, конечно, знают о рисках, связанных с использованием IM-сервисов. Они должны уведомить об этом руководство и разработать комплекс мер.

ИТ-службы компаний прекрасно знают обо всех уязвимостях, однако проблема заключается в том, что они изначально не могут контролировать использование этой программы пользователями. Люди самостоятельно скачивают дистрибутивы и устанавливают их на своих компьютерах. Большинство руководителей даже не знают, какое огромное число их подчиненных, не спросив разрешения, запустили ICQ на своих рабочих компьютерах, таким образом самостоятельно открыв доступ в корпоративную для любого желающего.

Когда ИТ-службы узнают, насколько популярны IM-сервисы среди пользователей, типичной реакцией является паника и попытки перекрыть трафик по известным портам. Это не является лучшим выходом, потому что может вызвать ненависть офисных работников к специалистам ИТ-службы.

К сожалению, IM-сервисы в принципе трудно поддаются защите, потому что в то время, когда они разрабатывались, никто не думал, что они будут широко использоваться в деловых целях. «Аська» и другие интернет-пейджеры изначально были предназначены для тинейджеров. Поэтому программа проектировалась так, чтобы она легко устанавливалась и была максимально примитивна в использовании. Безопасность была излишней. Авторы программы ICQ, например, ввели чисто символическую парольную защиту, ограничив длину пароля шестью символами.

Другая проблема — несовместимость систем шифрования. Сейчас выпускаются специальные корпоративные системы мгновенных сообщений с установлением зашифрованных соединений. Например, Integrity IM Security от Zone Labs. Но при соединении «защищенного» пользователя с другим абонентом шифрование не используется и устанавливается обычное незащищенное соединение.

В данный момент пока не существует идеального решения для защиты сервисов мгновенных сообщений. Только появляются первые системы с применением шифрования каналов, шифрования архивов сообщений и другими мерами по безопасности: это разработки фирм Akonix Systems, Cordant, Facetime Communications и WiredRed Software и др., однако ни одна из них не является абсолютно надежной.

По мнению специалистов из фирмы Ferris Research, которая специализируется изучении способов защиты сервисов мгновенных сообщений, ИТ-службы компании должны провести тщательный аудит использования интернет-пейджеров на рабочих местах. Если сотрудник работает с важной информацией, то доступ к «аське» нужно ограничить. Пусть, например, отправляет сообщения через веб-интерфейс или запускает ограниченную, менее уязвимую, Java-версию ICQ.

Проблеме «аськи» на рабочих местах необходимо уделить самое пристальное внимание.

Ссылка

Цитата:

По мнению специалистов из фирмы Ferris Research, которая специализируется изучении способов защиты сервисов мгновенных сообщений, ИТ-службы компании должны провести тщательный аудит использования интернет-пейджеров на рабочих местах. Если сотрудник работает с важной информацией, то доступ к «аське» нужно ограничить. Пусть, например, отправляет сообщения через веб-интерфейс или запускает ограниченную, менее уязвимую, Java-версию ICQ.

Интересно, долго думали?...

[XoxoL]

Цитата:

Shanker:
К сожалению, IM-сервисы в принципе трудно поддаются защите, потому что в то время, когда они разрабатывались, никто не думал, что они будут широко использоваться в деловых целях. «Аська» и другие интернет-пейджеры изначально были предназначены для тинейджеров. Поэтому программа проектировалась так, чтобы она легко устанавливалась и была максимально примитивна в использовании. Безопасность была излишней. Авторы программы ICQ, например, ввели чисто символическую парольную защиту, ограничив длину пароля шестью символами

Ну да! за 5 минут перекрывается все что угодно и без гемороя.
А если эти "великие специалисты" исследовали одноранговые сети то я в очередной раз балдею от уровня IT компаний на западе.
Запретить ICQ доменной политикой -1 минута, полностью запретить трафик - 4.

[Shanker]

Alexs-B

Цитата:

Ну да! за 5 минут перекрывается все что угодно и без гемороя

Ты неправильно понял: имеется в виду, что сам протокол очень примитивен и незащищён! Перехватить данные - расплюнуть! Шифрования как такового - нет!

Читай внимательней!!!

[XoxoL]

Это понятно и без исследованей. Мне больше всего нравится подход иностранных исследовательских компаний, им я и восторгаюсь.
Большинство IT спецов в нашей стране в первую очередь затыкает ICQ и иже с ним как самые опасные приложения. И делается это по умолчанию. К примеру у меня в конторе ICQ закрыт уже 5 лет (с момента создания конторы), а на западе только исследования ведутся -

[Shanker]

Alexs-B
Ну, тогда и почту надо закрыть! У вас там в конторе помимо аськи почтовые протоколы не закрыли?

Кстати, кому надо - может аську открыть на произвольном порту! И закрыть её будет достаточно сложно!!! Хотя, вряд ли рядовые сотрудники знают как это делать

[CaLuNer]

А что Вы думаете нащет такой защиты?

Цитата:

Безопасность обмена сообщениями путём ICQ, E-mail либо других клиентов которыми вы пожелаете воспользоваться.

Top Secret Messenger работает посредством шифрования Elliptic Curve Cryptography который считается более мощной и эффективной альтернативой по сравнению с алгоритмом RSA. Платная версия TSM предоставляет возможность шифровать данные используя ключ в 307 бит ECC, что является эквивалентом 4,096 бит RSA. Это означает, что даже если кому-то удасться перехватить информацию передаваемую по ICQ или E-mail, то понадобится 2^160 MIPS (Million of Instructions Per Second) лет чтобы разшифровать эти данные.

_http://www.encrsoft.com/products/tsm.html

Если кто заинтересовался, в PM или асю.

[Supervisor]

Цитата:

Shanker:
Кстати, кому надо - может аську открыть на произвольном порту!

Это точно. Когда у нас на работе прикрыли. Спокойно перенастроил на 80 порт (HTTP). Помоему не напутал, давно это было.

[XoxoL]

Цитата:

Shanker:
Ну, тогда и почту надо закрыть! У вас там в конторе помимо аськи почтовые протоколы не закрыли?

Кстати, кому надо - может аську открыть на произвольном порту! И закрыть её будет достаточно сложно!!! Хотя, вряд ли рядовые сотрудники знают как это делать

Согласен - Закрыта почта на 100%
В сети юзверь может только на корпоративный почтовик почту отправлять, он отправляет ее дальше на гейтовый сервер в DMZ и только он непосредственно получателям в Интернете.

Прямой доступ в интернет запрещен всем поголовно (за исключением админов )
В интернет с помощью бровзера напрямую выходить нельзя, только через специальный терминальный сервер в DMZ.
т.е. простой смертный может просматривать Интернет, скачивать с него файлы и ложить их в определенную папку где они проверяются антивирусом. После этого он заказывает у администратора тот файл который скачал. Идея этого еще и в том, что бы юзер не имел возможности слить в интернет какую либо информацию без надлежащего контороля. Все сесии и почта логируются и анализируются.

П.С. Так что у меня ICQ возможен только в виде WEB.

[Supervisor]

Alexs-B
Shanker

Вот спор можно сказать и разрешился. На мой взгляд западные спецы стремятся обезопасить пользователей не в ущерб их свободам, а у нас как обычно - отрубим доспуп и все. А еще лучше вообще компы повыключать, на выключенный комп и вирус не заберется.

Говорю так зло потому, что наша служба безопасности рядовым юзерам (к каким слава богу не отношусь) отключает сидиромы и флопы, также USB-порты, COM-порты и LPT. Параное конца быть не может.

[XoxoL]

Сам считаю что параноя, но это вынужденная параноя.
У меня в сети 1200 компов (не считая серверов), а людей их обслуживающих всего 4 (я пятый). До 800 компов был я один. Офисы по всему городу. Попробуй повостанавливай компы после гуляний бездарных (к моему великому сожалению) по инету и экспериментов с операционкой!. Приходится бороться! Тут хочеш - не хочеш злым админом станишь.

А с другой стороны - безопасность прежде всего, и сделано у меня все по учебнику (я его себе сам написал исходя из основных глупостей юзверей).

Кстати, права в данной системе не у кого не ущемлены. Единственное ограничение - передача информации во вне. Но это связано со спецификой работы.

На самом деле... Нужно шифрование - пожалуйста, можно обеспечить - на более высоком уровне, предварительно устанавливая ssh-туннель между клиентами - делов-то!! Только вот опять-таки вопрос: кому это надо? Вести деловые переговоры по Асе - это нонсенс.

Кстати, про альтернативу... Сейчас бедная несчастная ИРКа на подобный же уровень массовости выходит - тут с защитой все в порядке.

Shanker
Сам не пробовал, но думаю, что закрыть ее на произвольном порту - ничего особенного. Описание протокола есть, остается посмотреть, чего Ася в ИП-пакетах пишет...


Alexs-B
Кстати, насчет целесообразности закрытия почты я бы поспорил. И еще поспорил бы с отсылкой почты через сервак... Странное дело, но обычно пользователям не нравится, если их почту еще и просматривают...

Цитата:

Идея этого еще и в том, что бы юзер не имел возможности слить в интернет какую либо информацию без надлежащего контороля.

Это понятно, но зачем для этого такую обширную схему с запросом к админу разрабатывать? Есть внутренняя VPN, есть (похоже, должны быть) маршрутизаторы умные одной очень попсовой компании, которые вопросы насчет внутренних-внешних ИП разруливают.... Какая-то излишняя безопасность с этими запросами, как мне кажется....

[Shanker]

CaLuNer
Ты шапку полностью прочитал?

Цитата:

Другая проблема — несовместимость систем шифрования

[XoxoL]

Цитата:

sasa001:
Сам не пробовал, но думаю, что закрыть ее на произвольном порту - ничего особенного. Описание протокола есть, остается посмотреть, чего Ася в ИП-пакетах пишет...

Абсолютно верно. проблем нет.

Цитата:

sasa001:
Кстати, насчет целесообразности закрытия почты я бы поспорил. И еще поспорил бы с отсылкой почты через сервак... Странное дело, но обычно пользователям не нравится, если их почту еще и просматривают...

А когда обычный пользователь начинает на голову садиться т отсылать картинки по метру через 256к канал, ложит почту на сутки (фоток то штук 50) или клипы порнушные по 30-40 мег - это уже не нравится админу. А у меня таких юзверей - человек 900.

Кстати, то что почта логируется - просто информация для пользователей, что бы дурью не маялись. Текст никому не упал, достаточно обычного лога почты. Хотя с другой стороны недавно уволили человечка который начал через корпоративную почту свою фирму рекламировать (при чем нашим же дилерам). Неприятно однако!

Добавлено через 5 минут:
По моему ветку пора переместить (по крайней мере частично) в Фрейм, а то уже от темы ушли в противоположную сторону.

Цитата:

Если кто заинтересовался, в PM или асю.

Ты может еще решил кряк к TSM продовать? Нафига в аську то когда по этой фигне инфы больше чем завались

Вообще аська это отдельный разговор. Админы аськи заберают себе и своим друзьям красивые уины, читают чужую переписку и были случаи, что выкладывали ее на форумах, кидали людей на бабки от имени их уинов, предлогают услуги слежки за любым уином ... Пока только, что уины сами продавать не начали Хотя кто знает, может поставщиками работают, крупным оптом продают

Впринципе вероятность того, что вы заинтересуете админов равна 1% если вы не юзаите 5, 6-и знаки и нигде ваш уин не светится и если никто не соберается вкладывать приличные бабки чтобы получить логи всех ваших бессед. Можете конечно случайно познакомится с админом и он чисто из любопытства за вами будет следить

Еще ходит миф о том, что на серваках аськи стоит COPM который начанает вести лог если в разговорах по аськи упоменаются слова "fraud" "trojan" "hack" и т.д. лично мне кажется это все фигня, но кто знает.