即时信息(IM:instant message)最初以好友间聊天服务开始,经过发展壮大,现已成为上亿互联网用户的必备工具。对于即时信息的应用前景,业界权威调查机构的分析结果显示,企业在线即时信息用户正处于快速增长期,到2005年将达到三亿用户。面对这一蓬勃发展的巨大市场,我们在为即时信息技术的迅猛发展感到高兴的同时,也对这一新兴信息交换工具的安全缺陷表示担忧。
即时信息 先天脆弱
今天使用的诸多即时信息系统,大多数在设计的时候都考虑了可扩展性,而较少考虑到安全问题。一个普遍的现象是几乎所有免费在线即时信息系统都缺乏加密功能;大多数都具备绕过传统的企业防火墙的功能,给管理员对它们在企业内使用的管理带来了很大的困难。这些系统中的密码管理不安全,容易受到账户哄骗程序的攻击,还可能受到拒绝服务攻击。
而且,我们的调查发现,目前即时信息系统是传播计算机蠕虫和混合威胁的理想平台。具体来说,即时信息交换的安全缺陷有如下几点:
信息交换并非直接互通:目前,大多数即时信息系统采用客户机/服务器结构。一般在安装时,用户都在自己的客户端机器上安装即时信息代理,然后通过即时信息提供商的即时信息服务器实现信息的通信交换。在大部分情况下,即时信息并不是从用户计算机直接发送给他的好友的,而是通过公用的互联网从第一个用户发送至即时信息服务器,然后发送到接收者的计算机那里。由于几乎在所有的即时信息系统中,用户之间发送的信息未加密(也没法加密),导致信息容易遭到窃取。
文件交换未加密:即时信息系统允许用户以非加密形式传输、交换文件。这样的文件交换会导致传统病毒、蠕虫、特洛伊木马以及混合威胁的大量传播。此外,尽管从技术上讲,提供能在即时信息文件交换穿越企业防火墙时对其进行扫描的安全产品是可以实现的,但是目前还没有安全软件提供商提供这样的网关扫描解决方案,其中部分原因在于即时信息协议的专有性。
脚本功能存在缺陷:因为最流行的一些即时信息平台提供脚本编写功能。这一功能在提供了方便的同时,也帮助了计算机蠕虫和混合威胁的传播;已知的基于脚本的即时信息蠕虫已经多达十几种,使得这一问题变得非常现实。因此,非常有必要在所有的桌面计算机上实施防病毒保护,预防这类基于即时信息的恶意编码。
除上述安全缺陷之外,IM还有一些易被利用的弱点。首先,与其它基于Internet的应用软件相似,即时信息程序中可能会有一些漏洞,攻击者可能会通过Internet利用这些漏洞发起攻击。借助缓冲器溢出和畸形数据包攻击,攻击者可以访问任何一台安装带有易攻击点的即时信息客户端PC。其次,很多即时信息系统提供商还为即时信息添加了与聊天无关的功能,使得即时信息系统客户端软件向Internet开放,这无疑增加了遭受攻击的可能。此外,很多即时信息系统很容易受到帐户窃取和哄骗程序的攻击,这些易攻击点可能会允许攻击者窃取其他用户的即时信息账户,并扮演该用户与他人通信。最后,由于用户在很多系统上经常使用同一个密码,这样攻击者在打开安全措施不够的加密即时信息交换文件以后,还可通过同一密码侵入企业其它系统。
确保安全 对症下药
尽管即时信息发展时间较短、协议专有,并以此造成了现有的信息安全工具在安全防护方面的不匹配,但由于其已具有了广阔用户群,发展十分迅速,为此赛门铁克的网络安全专家正在对这项技术进行研究,以推出相应的安全防护工具。
基于即时信息本身的这些缺陷,为了确保即时信息的安全,我们建议企业在所有台式机上实施台式机防火墙解决方案(或集成的防病毒/防火墙解决方案)。这样的防火墙可以帮助阻止未经批准使用的即时信息程序,从而防止针对即时信息系统的攻击。赛门铁克前不久推出的硬件防火墙VelociRaptor即是这种集成的防病毒/防火墙解决方案。
此外,要预防通过即时信息文件交换造成病毒的传播与基于脚本的即时信息蠕虫,最好的方法就是在所有客户端台式机上部署最新的防病毒软件。目前在这方面赛门铁克已有针对客户端的防病毒软件解决方案—诺顿防病毒企业版7.6,它同时提供桌面计算机和文件服务器的全面防毒保护功能,并特别针对Microsoft Exchange、Lotus Notes服务器设计了自动化电子邮件防毒及内容过滤功能,并且支持漫游用户,从而可为即时信息交换提供全面防毒功能。
