»Russian - Новости - Интересная статейка: "Нападение на ICQ - уязвимости мессенджеров"
»
  http://www.micq.org/page.php?id=277

Author: , Posted: 19.02.2011 18:12.
Первая программа для мгновенного обмена сообщениями была разработана восемь лет назад, но за все то время, что ей пользуются миллионы интернетчиков, ICQ (а это была именно она) так и не обзавелась надежной защитой против нападения извне.

С чем у вас ассоциируется услышанный рано утром гудок? Например, люди старшего поколения вспоминают заводскую сирену, возвещающую о начале рабочего дня. А что вспомнить нашим современникам? Почти в каждой конторе пять раз в неделю по утрам в нижнем правом углу монитора расцветает маленький зеленый цветочек, сопровождающийся протяжным гудком из динамиков компьютера. Вот мимо прошел мой начальник, со своей женой он познакомился три года назад именно по ICQ… Как же много она теперь значит в нашей жизни. Но столько же может доставить и хлопот.
ICQ (I seek you), она же по-простому — «аська». В переводе на русский язык название этой программы означает «Я ищу тебя». Программа была написана в 1996 году группой талантливых программистов из Израиля, позже основавших компанию Mirabilis. По прошествии чуть менее полутора лет в ICQ уже были зарегистрированы порядка миллиона человек, с тех пор тенденция не только не снижается, но и растет. Что же так привлекает в этой простой программе миллионы пользователей Интернета во всем мире? Возможность мгновенного обмена сообщениями? Возможность знать, находится ли твой друг, знакомый или сотрудник вИнтернете в данный момент? Возможность передачи файлов? Потоков данных (к примеру, видео или аудио)? На все эти вопросы можно ответить утвердительно. На волне успеха ICQ многие другие компании пошли не только на создание собственных клиентов для протокола ICQ (&RQ, Miranda, Odigo), но и собственных сетей (MSN, Yahoo, Odigo). Но именно те плюсы ICQ, которые привлекают пользователей, оказываются большим минусом для коммерческих компаний и персонала тех предприятий, для которых вопросы обеспечения информационной безопасности стоят очень остро.

Недавно компания Ferris Research (www.ferris.com) провела исследование, посвященное применению IM-клиентов (Instant Message Clients — клиенты мгновенной передачи сообщений). В отчете указано, что 70% сотрудников коммерческих компаний, имеющих доступ в Интернет, пользуются ICQ или какимилибо другими клиентами. Итак, какие же три очевидных факта становятся опасными для компаний?

* ICQ — способ и средство утечки конфиденциальной (и не только) информации из компании;
* ICQ отнимает значительную часть рабочего времени сотрудников на общение, зачастую не связанное с делами компании;
* безопасность как протоколов, так и клиентов сетей IM находится на еще крайне низком уровне, использование ICQ увеличивает окно безопасности и повышает риск угроз извне.

А теперь подробнее о вышеперечисленном. Утечка конфиденциальной информации из компании — очень острая проблема на сегодняшний день. Мало кто из руководителей среднего и высшего звена не слышал о промышленном шпионаже, бизнес-разведке и прочем. А какие пути утечки остаются? Если физический вынос носителей из офиса невозможен, то что остается у пользователя? Электронная почта? Вряд ли. На это есть вкупе с антиспамовыми и антивирусными системами системы фильтрации и анализа содержания. Внешняя почта или файловый сервер? Так, на прокси-сервере компании также стоят системы анализа содержимого.

Одно время администраторам безопасности удалось блокировать соединения, используемые IM-клиентами, но с тех пор как появились технологии работы по протоколу HTTP, почти нигде не блокируемому, задача возросла во сто крат. Существуют программы для анализа данных просто TCP/IP-пакетов, которые, конечно, могут обнаружить и пресечь утечку, но ничто не мешает злоумыленнику внутри компании использовать системы шифрования сообщений для ICQ. Многие администраторы пытаются закрыть порты, используемые ICQ, но пользователи начинают использовать ICQ-прокси и Socks-серверы, установленные на нестандартных портах. В итоге пользователи бесконтрольно и беспрепятственно могут отсылать любую информацию из корпоративной сети компании наружу, во внешнюю сеть.

Одним альтернативным способом защиты является грамотное применение групповых политик в компании и наложение запрета на установку IM-программ средствами операционной системы.

Все вы наверняка также слышали о стремлении многих пользователей к обладанию короткими, легко запоминающимися именами. Короткий номер прежде всего выдает в его владельце либо человека, использующего Интернет еще с тех времен, когда можно было обзавестись шестиили семизначным номером совершенно легально, либо человека «со связями». Компании, у которых поддержка пользователей или консультации клиентов осуществляются по ICQ, заинтересованы в том, чтобы номер ICQ совпадал с номером телефона или факса. Встречаются люди, которым хочется иметь номер, сходный с их датой рождения. Так его легче запомнить и обменяться с человеком, продиктовав номер вслух.

Вот вам выдержки из реально существующего прейскуранта:

* пятизначные номера ICQ — $1300;
* флуд (посылка огромного числа сообщений на один номер IM-клиента, что приводит к его отключению от сети) — $80;
* некоторые шестизначные номера: 100013 — $350, 333338 — $200.

И еще строки из того же объявления. «Угон номеров на заказ. В данный момент, как это ни прискорбно, в природе не существует стопроцентного способа завладеть нужным номером. Но шанс всегда есть. Цена договорная. Чем болье информации предоставите о владельце, тем лучше». «ICQ 2003 DOS Private exploit. Вешает разные официальные клиенты (от ICQ Lite до ICQ Pro разных версий). Некоторые версии ICQ облада-ют иммунитетом, потому что не было времени проверить все. Цена — $60».

Дополнительно:

* «Серверы с удаленным управлением под Windows NT/XP/2003 (10/100/1000 Мбит/c) — доступ по citrix/msts/pcanywhere. Администраторы на этих серверах — дятлы. Второй раз, естественно, один сервер никому не продам. Сейчас в наличии около сотни серверов. Флудить с их каналов — одно удовольствие. $40 за сервер».
* «Номера, с которых можно рассылать спам. Самому регистрировать — слишком муторно. 40 WMZ за тысячу штук». Обратимся к вопросу безопасности клиентов ICQ. Какие типы угроз рассматриваются в подходах к информационной безопасности? Конфиденциальность, целостность и доступность.

Угрозы конфединциальности

* При регистрации пользователь сам вводит информацию о себе: личные данные, порой включающие домашний адрес, домашний, рабочий и мобильный телефоны, и злоумышленник, собирая о нем информацию, без проблем получит ее.
* В стандартных IM-клиентах нет никакого шифрования пакетов, посему злоумышленник, отслеживая или перехватывая сетевые пакеты в локальной сети пользователя IM, может читать все, что пишет или получает пользователь.
* Злоумышленник может получить доступ через уязвимости в программном обеспечении системы, где установлен ICQ-клиент, и прочесть всю историю общения пользователя, хранящуюся на этой системе.
* Тот же протокол ICQ позволяет отправлять сообщения другим пользователям с любого номера, то есть злоумышленник спокойно может подставить целевого пользователя, рассылая от его имени сообщения различного содержания.

Угрозы целостности

* Получив доступ к вашей системе через уязвимости в программном обеспечении или другими иными средствами, злоумыленник может попросту украсть ваш номер ICQ. Соответственно, удалив все данные на вашем компьютере.
* Если вы используете несложные, легко угадываемые пароли не только на сам номер ICQ, но и также на адрес электронной почты, куда высылается пароль в случае, если вы его забыли, то хакер попросту может подобрать пароль и опять же присвоить себе ваш номер, а, следовательно, и список всех ваших контактов.
* Если вы слишком долго не пользовались, к примеру, почтовым ящиком, предоставленным сервисом бесплатной почты, он будет удален и вскоре станет заново доступен для регистрации. Тем самым любой желающий может зарегистрировать его после того, как вы его лишитесь, и потом запросить на него пароль от вашего номера ICQ. Что опять же означает, что он украл у вас номер.
* Кроме того, известны случаи создания фальшивых серверов ICQ третьими лицами. Злоумышленники привлекали наивных интернетчиков быстрым доступом без каких либо задержек, однако, зарегистрировавшись на этом сервере, незадачливые пользователи попросту отдавали сами свой пароль в чужие руки.

Угрозы доступности

В различных реализациях IM-клиентов находили, находят и будут находить всевозможные уязвимости, влияющие на заданный режим работы программ. Приведем пример, чтобы ситуация была ясна. Уязвимости ICQ 2003a.

* Спуфинг — проблема использования ложных сетевых адресов в «Features on Demand » (возможности по требованию). Адрес ссылки, который используется для загрузки модулей в «Features on Demand», жестко прописан в подкаталоге DataFiles директории, где установлена ICQ. Нападение возможно из-за недостатка опознавательных методов, используемых при загрузке новых пакетов, помогающих удостовериться, что это именно то, что запрашивал пользователь, а не то, что хочет установить ему злоумышленник. Атакующий может имитировать Package Repository Service, используемый для обновления, подделывая исходный адрес и устанавливая другой источник для загрузки злонамеренного программного обеспечения на системе ICQ-клиента.
* DoS-атака рекламными баннерами. URL, используемый для загрузки баннеров, имеет следующий формат: «http://web.icq.com/client/ate/ad-handler/ ad_468/0,,[RANDOM],00.htm», где [RANDOM] — положительное целое шестнадцатибитное случайное число. Библиотека для обработки URL уязвима к ошибочным атрибутам, указанным в теге table. Определяя значение атрибута «width» равным «-1», библиотека будет использовать 100% мощности CPU, что приведет к нарушению работы ICQ и всей системы. Нападение возможно из-за недостатка опознавательных методов, используемых в запросах. Атакующий может имитировать «ADS server», подделывая URL-адрес и устанавливая другой источник для загрузки злонамеренных баннеров.
* Уязвимость в проверке правильности ввода в ICQ-библиотеке GIF parsing/rendering. При анализе заголовка файла GIF89a библиотека ICQ GIF parsing/rendering ожидает одно из значений GCT (Global Color Table) или LCT (Local Color Table) после «Image Descriptor». Когда ни одна из этих таблиц цветов не существует, библиотека будет работать со сбоями.
* Из-за большого количества уязвимостей в IM-клиентах вы рискуете подвергнуться вирусному заражению. 1 апреля 2003 года специалисты CERT предупредили об обнаружении нового интернет-червя. По механизму распространения вирус похож на известные почтовые черви вроде Klez, но есть и опасное новшество: вместо рассылки себя по всем адресам, перечисленным в адресной книге Outlook, новый червь рассылает себя по всем номерам ICQ из списка контактов.

В первой половине 2004 года Лаборатория Касперского объявила об обнаружении нового сетевого червя Bizex, который вызвал глобальную эпидемию среди пользователей ICQ. На компьютер жертвы доставляется ICQ-сообщение, где, в частности, предлагается посетить хакерский веб-сайт. Для маскировки пользователю показываются мультфильмы из популярного сериала «Joecartoon». Тем временем в систему незаметно проникает Java-вирус, который, используя брешь в ICQ, незаметно рассылает от имени владельца компьютера ссылку на вышеуказанный веб-сайт по всем получателям из списка контактов. Этот вирус был не первой ласточкой. На протяжении последних лет были зарегистрированы следующие вредоносные программы:

* W32.Choke (6 июня 2001 года);
* W95.SoFunny.Worm@m (3 июля 2001 года);
* W32.Goner.A@mm (4 декабря 2001 года);
* W32.Led@mm (22 января 2002 года);
* W32.Seesix.Worm(15 мая 2002 года).

IM-клиенты по-прежнему не могут обработать огромное число одновременно пришедших сообщений, что или вызывает сбой в программе, или приводит к истощению программных ресурсов системы.
Вывод

Использование IM-служб в коммерческих компаниях в том виде, в котором они используются повсеместно, крайне небезопасно. Фирмам, нуждающимся во внутренних системах мгновенных сообщений, та же израильская компания Mirabilis предлагает внутренние корпоративные решения.

Пока не существует идеального решения для защиты сервисов мгновенных сообщений. Первые системы с применением шифрования каналов архивов сообщений и с другими мерами безопасности только появляются: это разработки фирм Akonix Systems, Cordant, FaceTime Communications, WiredRed Software и других, однако ни одна из них не является абсолютно надежной.

По мнению специалистов компании Ferris Research, которая специализируется на изучении способов защиты сервисов мгновенных сообщений, необходимо провести аудит использования интернет-пейджеров на рабочих местах. Если сотрудник работает с важной информацией, доступ к подобным программам нужно ограничить. В качестве замены можно предложить отправлять сообщения через веб-интерфейс или запускать ограниченную, менее уязвимую Javaверсию ICQ. А домашним пользователям ICQ всегда надо помнить о своей безопасности и о безопасности данных на своем компьютере.

Автор : Павел Первин
Источник: CHIP