Good Bye ICQ!!! - Безопасность

ShooTer · 30.10.2003, 13:59

В статье описываются проблемы безопасности связанные с использованием программ мгновенного обмена сообщениями в корпоративной сети и предлагается несколько вариантов запрета использования подобных программ.
Различные системы мгновенного обмена сообщениями пользуются огромной популярностью со стороны пользователей и не меньшей ненавистью со стороны руководителей и администраторов. Лидерство несомненно принадлежит программе ICQ во всех разнообразных её вариантах. В расхожей фразе ICQ называют «Зеленым цветком на могиле рабочего времени».

Чем же так досаждает «тетя Ася» руководителям всех рангов, и как следствие взмыленным администраторам? Причин, как водится – множество.

Первая, конечно, это то количество рабочего времени, которые пользователи убивают «Обсуждая с клиентом детали операции», а как правило обмениваясь свежими и не очень анекдотами или флиртуя в сети посредством этой милой программки. Как показывает практика, для деловой переписки все же больше подходит email, а для оперативного обсуждения – телефон. Наиболее деловой фразой, передаваемой по ICQ, обычно являются вариации на тему «Пойдем покурим, потрещать надо!…» и соответствующие ответы.

Следующей угрозой является то, что ICQ является неконтролируем каналом утечки информации из внутренней сети. В отличии от Web и email на настоящий момент не существует приемлемых систем фильтрации содержимого для промышленной эксплуатации, ориентированных на ICQ. Поэтому, у многих страдающих паранойей руководителей, ICQ вызывает негативные эмоции.

Наиболее актуальной для администраторов является угроза целостности сети, которая возникает при использовании систем мгновенного обмена сообщениями. Написанные третьими производителями, созданные с целью предоставить максимальный комфорт и функциональность пользователю данные системы обладают огромным количеством довольно серьезных уязвимостей, зачастую не закрываемых годами. Естественно, уязвимости существуют во всех программах, но дело усугубляется тем, что программы типа ICQ не включаются в корпоративный план управления обновлениями, устанавливаются и поддерживаются самими пользователями. Производители редко обращают внимание на найденные и обнародованные уязвимости, ограничиваясь закрытием их в новой версии, естественно, пользователи работают на старых версиях программы. Ну кто из пользователей читает bugtraq?

Соответственно, программы подобные ICQ, являются прекрасным вектором для распространения сетевых червей, даже без использования присутсвующих в них уязвимостей. Только радует, что уязвимость «object-data» в Internet Explorer пока не была использована подобным червяком. Представьте себе следующий сценарий:

к вам приходит сообщение от человека из вашего списка контактов, содержащее ссылку на Web страницу с припиской а-ля «He-he-he!».
открыв эту страницу в IE вы получаете себе на машину червяка, который превращает вашу машину в Web сервер, содержащий вредоносный код, а затем отправляет ссылку на него далее по списку контактов.
Для повышения вероятности заражения можно использовать несколько ссылок, на тот случай, если машины разделены межсетевым экраном, запрещающим прохождение HTTP трафика. Скорость распространения подобного червя будет огромна. У червя не возникает необходимости сканирования, поиска уязвимых машин, их список предоставляются самим ICQ клиентом.
Встроенные в некоторые клиенты функции автоматического обновления настолько далеки от совершенства, что я удивляюсь, почему злоумышленники до сих пор не обратили на них внимания.

Однако запретить использование ICQ в корпоративной сети весьма непросто. Производители позаботились о максимальном комфорте пользователя и максимальной головной боли администратора. ICQ может взаимодействовать с сервером по любому открытому TCP, поддерживает посредники сеансового уровня socks 4 и socks 5, посредники HTTP и HTTPS (метод connect). Соответственно, разрешая на межсетевом экране любую службу вы отрываете пользователю путь к вожделенному коннекту. Для самых ленивых в ICQ встроена даже функция «авто настройки», суть сканирования, для определения того, по какому номеру порта доступен сервер AIM.

Запрет на межсетевых экранах IP адресов серверов ICQ подвигает наиболее продвинутых пользователей на использование анонимных серверов – посредников для подключения к серверам. Что же делать?

Во первых, у меня существует глубокое убеждение, что для нормальной работы пользователю достаточно доступа к ресурсам внешней сети через посредник уровня приложений по HTTP.

Затем мы запрещаем на межсетевом экране соединение с серверами AOL (64.12.1.1 - 64.12.255.255) или просто *.icq.com.

При соединении через HTTP туннель ICQ сервер в http запросе рапортует, что данные он вернул в формате MIME aim/http (заголовок HTTP Content-type: AIM/HTTP). Для запрета данного типа MIME на ISA создается новое правило Site and Content Rule запрещающее всем пользователям обращаться ко всем серверам если запрос или ответ попадает в Content Group aim/http (естественно, перед этим её необходимо создать).

Если используется сервер SQID, то для запрета можно воспользоваться следующим правилом:

acl aim_http reply_mime_type -i ^aim/http$
http_reply_access deny aim_http

Что бы дополнительно усложнить жизнь любителям ICQ на сервере ISA можно потребовать, что пользователь проходил аутентификацию, используя метод Integrated (NTLM), что сразу отсечет большую часть чатлан, поскольку клиент ICQ данного типа аутентификации не поддерживает.
Однако в довершение всех непотребств, клиент ICQ может взаимодействовать с внешней сетью через HTTPS, используя метод Connect. Если пользователи освоят и этот метод настройки соединения, то перечисленные ранее способы запрета ICQ (за исключением аутентификации Integrated на ISA) окажутся бессильными.

В этом случае нам могут помочь сетевые системы обнаружения атак. За пятнадцать минут исследования протокола обмена клиента ICQ с сервером по HTTPS туннелю я обнаружил, что большая часть трафика передается в открытом виде и обнаружил некоторые закономерности, которые были использованы при написании следующих правил для NIDS Snort.

# icq.rules
# snort rules for ICQ http/https tunnels
# (c)ded by asu4ka 2003.
# v 0.0.0.1

var PR_IP x.x.x.x
var PR_TCP 8080

alert tcp any any -> $PR_IP $PR_TCP (msg: "ICQ HTTPS/HTTP _basic_, mf!";\
flow: to_server, established; content: "ICQBasic";)

alert tcp any any -> $PR_IP $PR_TCP (msg: "ICQ HTTPS _key_, mf!";\
flow: to_server, established; content: "<key>"; content: "</key>"; nocase;)

alert tcp $PR_IP $PR_TCP -> any any (msg: "ICQ HTTP _aim/http_, mf!";\
flow: from_server,established; content: "AIM/HTTP"; nocase;)

Первое из них отрабатывает в том случае, если клиент после установки соединения с сервером посылает ему запрос, содержащий строку «ICQBasic». Это происходит при соединении ICQ с сервером.
Второе правило срабатывает в том случае, когда в запросе клиента обнаруживается строка содержащая теги . Они используются ICQ для загрузки различной дополнительной информации (например баннеров).

И последнее правило проверяет наличие строки AIM/HTTP в ответах сервера и принципе дублирует запрет Content-type: AIM/HTTP на серверах-посредниках. Использовать его я не рекомендую в связи с большой вероятностью ложных срабатываний.

Если вы хотите, что бы попытки соединения по ICQ не только отслеживались, но и разрывались сервером, вам необходимо собрать snort с поддержкой flexible-response (для чего необходимо наличие библиотеки libnet и в качестве ответа в правилах указать тип ответа resp: rst_all. Весьма внимательно относитесь к использованию flexible-response, пару раз я умудрялся «зациклить» snort и убивать tcp направо и налево.

Использование IDS поможет и в том случае, если пользователи попытаются использовать установленные на их компьютерах посредники поддерживающие NTLM аутентификацию.

«А как же Real Secure!!!» воскликнут разведенные на кучу бабок админы, глядя на консоль Site Protector. «Мы тоже хотим убивать тётю Асю!». Не беспокойтесь. Просто зайдите в свойства сетевого сенсора и укажите TRONS файл с правилами snort. Дополнительно могу посоветовать «убивая» ICQ дать людям удобоваримую альтернативу. В одной компании я просто развернул на машинах Microsoft IM client таким образом, что бы он ходил через корпоративный Exchange. После пары дней ворчания, даже бухгалтерия просила «поучить их работать со снеговиком». Тем более он прекрасно развертывается и настраивается через групповые политики, а так же поддерживается Microsoft и производителями антивирусов.

Теперь немного о правовых аспектах. Перехватывая сообщения и ICQ и Email, не имея при этом согласия отправителя, вы нарушаете законы Российской федерации. На моей памяти проскальзывало несколько прецедентов, когда пользователи подавали в суд и выигрывали иски за незаконную перлюстрации их корреспонденции. При чем «политики безопасности» и т.д. созданные, как правило, задним числом не принимались в качестве ощутимого доказательства невиновности шпионов.

Таким образом, если у вас действительно существует необходимость хранения и анализа сообщений пользователя, необходимо получить от каждого из них письменное согласие на подобные действия. Иначе «посодют».

by asu4ka

*helldomain* · 03.11.2003, 18:22

Welikolepnij top! Spasibo za infu!

P.S. Samij nadejnij sposob blokirowki - po setke serverow ;-).

*KpNemo* · 04.11.2003, 07:03

ShooTer
супер .. на всяк случай еще пятак тебе фоткну.

*helldomain* · 04.11.2003, 07:21

Em, a kuda wtikaesh?
Gi.

ShooTer · 05.11.2003, 00:59

helldomain
KpNemo
Спасибо.

Oleg · 10.12.2004, 12:46

Как настроить Асю в обход ограничений?

Стоит ISA сервер, на нем поднят http и https сервисы. Socks вроде нет (как проверить - не знаю).
На сервере закрыты исходящие пакеты на подсеть 205.188.*
Подсеть 64.* работает (login.icq.com иногда резолвится в 64.*).
Клиент - Miranda 0.3, до последнего времени логинился на сервер 64.12.200.89:443 через https прокси. Но когда перекрыли подсеть 205.188.* , почему-то Ася сразу перестала работать, пишет в логе :

===================================

[11:55:06 ICQ] Authenticated. Connecting to 205.188.9.140:443
[11:55:06 ICQ] (00C73D20:460) Data sent (proxy)
CONNECT 205.188.9.140:443 HTTP/1.0

[11:55:06 ICQ] (00C73D20:460) Data received (proxy)
HTTP/1.1 302 Object Moved

[11:55:06 ICQ] (00C73D20:460) Data received (proxy)
Date: Fri, 10 Dec 2004 08:55:06 GMT

Content-Length: 0

Location: http://localhost

[11:55:06 ICQ] C:\Documents and Settings\Default\Desktop\mim\Miranda-IM\protocols\netlib\netlibopenconn.c 298: HTTPS request failed (302 Object Moved)
[11:55:06 ICQ] Unable to connect to ICQ communication server

The connection with the server was abortively closed during the connection attempt. You may have lost your local network connection. (error 31)
[11:55:06 ICQ] Abortive closure of server socket

===================================

Или посоветуйте плиз какой-либо другой IM протокол (джаббер, MSN и тому подобное), который бы позволял слать сообщения на ICQ номера.

CriS · 10.12.2004, 13:06

Не уверен, но возможно поможет использование для работы с ICQ вервиса IM Smarter, который, по сути является простым SOKCS прокси сервером, который ещё заодно и историю сохранияет, что удобно, когда приходится использвать ICQ и дома и на работе...

_http://www.imsmarter.com

Настройка миранды проста до безобразия:

Настройки-Сеть

Для соединений ICQ прописываем прокси-сервер:

Тип прокси: SOKCS 4
Прокси-сервер: рroxy.imsmаrter.nеt
Порт: 80
ОБЯЗАТЕЛЬНО! Убираем галочку около пункта "Использовать DNS на прокси"

После этого коннектимся к ICQ и от сервиса IM Smarter по ICQ приходит сообщение, в котором указана ссылка на страницу регистрации аккаунта!

FantomIL · 10.12.2004, 13:12

Цитата:

Сообщение от Oleg+

Но когда перекрыли подсеть 205.188.* , почему-то Ася сразу перестала работать

Что значит почему-то? Потому что это их подсеть. Например 205.188.179.233= login.icq.com,а 205.188.248.25=icq.com

А в логе она тебе ясно пишет, что

Цитата:

Сообщение от логфайл

...Connecting to 205.188.9.140:443...

Цитата:

Сообщение от Oleg+

Как настроить Асю в обход ограничений?
Стоит ISA сервер, на нем поднят http и https сервисы. Socks вроде нет (как проверить - не знаю).

А как устроена сеть и как именно прописаны ограничения на ИСЕ? Можно попробовать организовать связь через SOCS или тунелинг, но если админ грамотый, то никак ты не прорвешься.
Еще можно попробовать пользоваться Аськой-онлайн (может по http для браузера нет ограничний или попробовать вводить адрес в разных видах (двоичный, шестнадцатиричный и т.п.), часто админы это забывают и не фильтруют)? Попробуй здесь _http://go.icq.com/ Только Ява должна быть установлена.

Oleg · 14.12.2004, 11:50

Всем спасибо за ответы. Хосты go.icq.com и www.911.ru у меня тоже "перекрыты" на ISA сервере.

30.10.2003, 13:59	# 1
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	Good Bye ICQ!!! В статье описываются проблемы безопасности связанные с использованием программ мгновенного обмена сообщениями в корпоративной сети и предлагается несколько вариантов запрета использования подобных программ. Различные системы мгновенного обмена сообщениями пользуются огромной популярностью со стороны пользователей и не меньшей ненавистью со стороны руководителей и администраторов. Лидерство несомненно принадлежит программе ICQ во всех разнообразных её вариантах. В расхожей фразе ICQ называют «Зеленым цветком на могиле рабочего времени». Чем же так досаждает «тетя Ася» руководителям всех рангов, и как следствие взмыленным администраторам? Причин, как водится – множество. Первая, конечно, это то количество рабочего времени, которые пользователи убивают «Обсуждая с клиентом детали операции», а как правило обмениваясь свежими и не очень анекдотами или флиртуя в сети посредством этой милой программки. Как показывает практика, для деловой переписки все же больше подходит email, а для оперативного обсуждения – телефон. Наиболее деловой фразой, передаваемой по ICQ, обычно являются вариации на тему «Пойдем покурим, потрещать надо!…» и соответствующие ответы. Следующей угрозой является то, что ICQ является неконтролируем каналом утечки информации из внутренней сети. В отличии от Web и email на настоящий момент не существует приемлемых систем фильтрации содержимого для промышленной эксплуатации, ориентированных на ICQ. Поэтому, у многих страдающих паранойей руководителей, ICQ вызывает негативные эмоции. Наиболее актуальной для администраторов является угроза целостности сети, которая возникает при использовании систем мгновенного обмена сообщениями. Написанные третьими производителями, созданные с целью предоставить максимальный комфорт и функциональность пользователю данные системы обладают огромным количеством довольно серьезных уязвимостей, зачастую не закрываемых годами. Естественно, уязвимости существуют во всех программах, но дело усугубляется тем, что программы типа ICQ не включаются в корпоративный план управления обновлениями, устанавливаются и поддерживаются самими пользователями. Производители редко обращают внимание на найденные и обнародованные уязвимости, ограничиваясь закрытием их в новой версии, естественно, пользователи работают на старых версиях программы. Ну кто из пользователей читает bugtraq? Соответственно, программы подобные ICQ, являются прекрасным вектором для распространения сетевых червей, даже без использования присутсвующих в них уязвимостей. Только радует, что уязвимость «object-data» в Internet Explorer пока не была использована подобным червяком. Представьте себе следующий сценарий: к вам приходит сообщение от человека из вашего списка контактов, содержащее ссылку на Web страницу с припиской а-ля «He-he-he!». открыв эту страницу в IE вы получаете себе на машину червяка, который превращает вашу машину в Web сервер, содержащий вредоносный код, а затем отправляет ссылку на него далее по списку контактов. Для повышения вероятности заражения можно использовать несколько ссылок, на тот случай, если машины разделены межсетевым экраном, запрещающим прохождение HTTP трафика. Скорость распространения подобного червя будет огромна. У червя не возникает необходимости сканирования, поиска уязвимых машин, их список предоставляются самим ICQ клиентом. Встроенные в некоторые клиенты функции автоматического обновления настолько далеки от совершенства, что я удивляюсь, почему злоумышленники до сих пор не обратили на них внимания. Однако запретить использование ICQ в корпоративной сети весьма непросто. Производители позаботились о максимальном комфорте пользователя и максимальной головной боли администратора. ICQ может взаимодействовать с сервером по любому открытому TCP, поддерживает посредники сеансового уровня socks 4 и socks 5, посредники HTTP и HTTPS (метод connect). Соответственно, разрешая на межсетевом экране любую службу вы отрываете пользователю путь к вожделенному коннекту. Для самых ленивых в ICQ встроена даже функция «авто настройки», суть сканирования, для определения того, по какому номеру порта доступен сервер AIM. Запрет на межсетевых экранах IP адресов серверов ICQ подвигает наиболее продвинутых пользователей на использование анонимных серверов – посредников для подключения к серверам. Что же делать? Во первых, у меня существует глубокое убеждение, что для нормальной работы пользователю достаточно доступа к ресурсам внешней сети через посредник уровня приложений по HTTP. Затем мы запрещаем на межсетевом экране соединение с серверами AOL (64.12.1.1 - 64.12.255.255) или просто .icq.com. При соединении через HTTP туннель ICQ сервер в http запросе рапортует, что данные он вернул в формате MIME aim/http (заголовок HTTP Content-type: AIM/HTTP). Для запрета данного типа MIME на ISA создается новое правило Site and Content Rule запрещающее всем пользователям обращаться ко всем серверам если запрос или ответ попадает в Content Group aim/http (естественно, перед этим её необходимо создать). Если используется сервер SQID, то для запрета можно воспользоваться следующим правилом: acl aim_http reply_mime_type -i ^aim/http$ http_reply_access deny aim_http Что бы дополнительно усложнить жизнь любителям ICQ на сервере ISA можно потребовать, что пользователь проходил аутентификацию, используя метод Integrated (NTLM), что сразу отсечет большую часть чатлан, поскольку клиент ICQ данного типа аутентификации не поддерживает. Однако в довершение всех непотребств, клиент ICQ может взаимодействовать с внешней сетью через HTTPS, используя метод Connect. Если пользователи освоят и этот метод настройки соединения, то перечисленные ранее способы запрета ICQ (за исключением аутентификации Integrated на ISA) окажутся бессильными. В этом случае нам могут помочь сетевые системы обнаружения атак. За пятнадцать минут исследования протокола обмена клиента ICQ с сервером по HTTPS туннелю я обнаружил, что большая часть трафика передается в открытом виде и обнаружил некоторые закономерности, которые были использованы при написании следующих правил для NIDS Snort. # icq.rules # snort rules for ICQ http/https tunnels # (c)ded by asu4ka 2003. # v 0.0.0.1 var PR_IP x.x.x.x var PR_TCP 8080 alert tcp any any -> $PR_IP $PR_TCP (msg: "ICQ HTTPS/HTTP _basic_, mf!";\ flow: to_server, established; content: "ICQBasic";) alert tcp any any -> $PR_IP $PR_TCP (msg: "ICQ HTTPS _key_, mf!";\ flow: to_server, established; content: "<key>"; content: "</key>"; nocase;) alert tcp $PR_IP $PR_TCP -> any any (msg: "ICQ HTTP _aim/http_, mf!";\ flow: from_server,established; content: "AIM/HTTP"; nocase;) Первое из них отрабатывает в том случае, если клиент после установки соединения с сервером посылает ему запрос, содержащий строку «ICQBasic». Это происходит при соединении ICQ с сервером. Второе правило срабатывает в том случае, когда в запросе клиента обнаруживается строка содержащая теги . Они используются ICQ для загрузки различной дополнительной информации (например баннеров). И последнее правило проверяет наличие строки AIM/HTTP в ответах сервера и принципе дублирует запрет Content-type: AIM/HTTP на серверах-посредниках. Использовать его я не рекомендую в связи с большой вероятностью ложных срабатываний. Если вы хотите, что бы попытки соединения по ICQ не только отслеживались, но и разрывались сервером, вам необходимо собрать snort с поддержкой flexible-response (для чего необходимо наличие библиотеки libnet и в качестве ответа в правилах указать тип ответа resp: rst_all. Весьма внимательно относитесь к использованию flexible-response, пару раз я умудрялся «зациклить» snort и убивать tcp направо и налево. Использование IDS поможет и в том случае, если пользователи попытаются использовать установленные на их компьютерах посредники поддерживающие NTLM аутентификацию. «А как же Real Secure!!!» воскликнут разведенные на кучу бабок админы, глядя на консоль Site Protector. «Мы тоже хотим убивать тётю Асю!». Не беспокойтесь. Просто зайдите в свойства сетевого сенсора и укажите TRONS файл с правилами snort. Дополнительно могу посоветовать «убивая» ICQ дать людям удобоваримую альтернативу. В одной компании я просто развернул на машинах Microsoft IM client таким образом, что бы он ходил через корпоративный Exchange. После пары дней ворчания, даже бухгалтерия просила «поучить их работать со снеговиком». Тем более он прекрасно развертывается и настраивается через групповые политики, а так же поддерживается Microsoft и производителями антивирусов. Теперь немного о правовых аспектах. Перехватывая сообщения и ICQ и Email, не имея при этом согласия отправителя, вы нарушаете законы Российской федерации. На моей памяти проскальзывало несколько прецедентов, когда пользователи подавали в суд и выигрывали иски за незаконную перлюстрации их корреспонденции. При чем «политики безопасности» и т.д. созданные, как правило, задним числом не принимались в качестве ощутимого доказательства невиновности шпионов. Таким образом, если у вас действительно существует необходимость хранения и анализа сообщений пользователя, необходимо получить от каждого из них письменное согласие на подобные действия. Иначе «посодют». by asu4ka* __________________ "That vulnerability is completely theoretical."

03.11.2003, 18:22	# 2
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Welikolepnij top! Spasibo za infu! P.S. Samij nadejnij sposob blokirowki - po setke serverow ;-). __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

04.11.2003, 07:21	# 4
helldomain Administrator Регистрация: 13.05.2002 Сообщения: 11 227	Em, a kuda wtikaesh? Gi. __________________ Осколки прошлого, как снег, закрутит ураган времён, В ушедший день для нас навек, обрушив мост, Оставив в наших душах след, тьма уплывёт за горизонт, И в чистом небе вспыхнет свет, свет новых звёзд.

05.11.2003, 00:59	# 5
ShooTer Chameleon MOD Регистрация: 29.04.2003 Сообщения: 2 515	helldomain KpNemo Спасибо. __________________ "That vulnerability is completely theoretical."

10.12.2004, 13:06	# 7
CriS ::VIP:: Регистрация: 02.06.2004 Адрес: Россия, Москва Пол: Male Сообщения: 365	Не уверен, но возможно поможет использование для работы с ICQ вервиса IM Smarter, который, по сути является простым SOKCS прокси сервером, который ещё заодно и историю сохранияет, что удобно, когда приходится использвать ICQ и дома и на работе... _http://www.imsmarter.com Настройка миранды проста до безобразия: Настройки-Сеть Для соединений ICQ прописываем прокси-сервер: Тип прокси: SOKCS 4 Прокси-сервер: рroxy.imsmаrter.nеt Порт: 80 ОБЯЗАТЕЛЬНО! Убираем галочку около пункта "Использовать DNS на прокси" После этого коннектимся к ICQ и от сервиса IM Smarter по ICQ приходит сообщение, в котором указана ссылка на страницу регистрации аккаунта! __________________ Спорить с тренером по борьбе может только тренер по стрельбе! Стрельба из Лука

04.11.2003, 07:03	# 3
KpNemo Administrator Регистрация: 12.11.2001 Адрес: Израиль Пол: Male Сообщения: 2 033	ShooTer супер .. на всяк случай еще пятак тебе фоткну.

10.12.2004, 12:46	# 6
Oleg ::VIP:: Регистрация: 03.11.2004 Адрес: Москва, Россия Пол: Male Сообщения: 982	Как настроить Асю в обход ограничений? Стоит ISA сервер, на нем поднят http и https сервисы. Socks вроде нет (как проверить - не знаю). На сервере закрыты исходящие пакеты на подсеть 205.188.* Подсеть 64.* работает (login.icq.com иногда резолвится в 64.). Клиент - Miranda 0.3, до последнего времени логинился на сервер 64.12.200.89:443 через https прокси. Но когда перекрыли подсеть 205.188. , почему-то Ася сразу перестала работать, пишет в логе : =================================== [11:55:06 ICQ] Authenticated. Connecting to 205.188.9.140:443 [11:55:06 ICQ] (00C73D20:460) Data sent (proxy) CONNECT 205.188.9.140:443 HTTP/1.0 [11:55:06 ICQ] (00C73D20:460) Data received (proxy) HTTP/1.1 302 Object Moved [11:55:06 ICQ] (00C73D20:460) Data received (proxy) Date: Fri, 10 Dec 2004 08:55:06 GMT Content-Length: 0 Location: http://localhost [11:55:06 ICQ] C:\Documents and Settings\Default\Desktop\mim\Miranda-IM\protocols\netlib\netlibopenconn.c 298: HTTPS request failed (302 Object Moved) [11:55:06 ICQ] Unable to connect to ICQ communication server The connection with the server was abortively closed during the connection attempt. You may have lost your local network connection. (error 31) [11:55:06 ICQ] Abortive closure of server socket =================================== Или посоветуйте плиз какой-либо другой IM протокол (джаббер, MSN и тому подобное), который бы позволял слать сообщения на ICQ номера.

14.12.2004, 11:50	# 9
Oleg ::VIP:: Регистрация: 03.11.2004 Адрес: Москва, Россия Пол: Male Сообщения: 982	Всем спасибо за ответы. Хосты go.icq.com и www.911.ru у меня тоже "перекрыты" на ISA сервере.