Icq»: дыра в безопасности фирмы
 

По информации Ferris Research, до 70% офисных работников пользуются «аськой» или другими IM-инструментами в деловых целях, целиком полагаясь на их надежность. Однако сервисы IM представляют собой огромную угрозу для безопасности фирмы.

Специалисты по безопасности, конечно, знают о рисках, связанных с использованием IM-сервисов. Они должны уведомить об этом руководство и разработать комплекс мер.

ИТ-службы компаний прекрасно знают обо всех уязвимостях, однако проблема заключается в том, что они изначально не могут контролировать использование этой программы пользователями. Люди самостоятельно скачивают дистрибутивы и устанавливают их на своих компьютерах. Большинство руководителей даже не знают, какое огромное число их подчиненных, не спросив разрешения, запустили ICQ на своих рабочих компьютерах, таким образом самостоятельно открыв доступ в корпоративную для любого желающего.

Когда ИТ-службы узнают, насколько популярны IM-сервисы среди пользователей, типичной реакцией является паника и попытки перекрыть трафик по известным портам. Это не является лучшим выходом, потому что может вызвать ненависть офисных работников к специалистам ИТ-службы.

К сожалению, IM-сервисы в принципе трудно поддаются защите, потому что в то время, когда они разрабатывались, никто не думал, что они будут широко использоваться в деловых целях. «Аська» и другие интернет-пейджеры изначально были предназначены для тинейджеров. Поэтому программа проектировалась так, чтобы она легко устанавливалась и была максимально примитивна в использовании. Безопасность была излишней. Авторы программы ICQ, например, ввели чисто символическую парольную защиту, ограничив длину пароля шестью символами.

Другая проблема — несовместимость систем шифрования. Сейчас выпускаются специальные корпоративные системы мгновенных сообщений с установлением зашифрованных соединений. Например, Integrity IM Security от Zone Labs. Но при соединении «защищенного» пользователя с другим абонентом шифрование не используется и устанавливается обычное незащищенное соединение.

В данный момент пока не существует идеального решения для защиты сервисов мгновенных сообщений. Только появляются первые системы с применением шифрования каналов, шифрования архивов сообщений и другими мерами по безопасности: это разработки фирм Akonix Systems, Cordant, Facetime Communications и WiredRed Software и др., однако ни одна из них не является абсолютно надежной.

По мнению специалистов из фирмы Ferris Research, которая специализируется изучении способов защиты сервисов мгновенных сообщений, ИТ-службы компании должны провести тщательный аудит использования интернет-пейджеров на рабочих местах. Если сотрудник работает с важной информацией, то доступ к «аське» нужно ограничить. Пусть, например, отправляет сообщения через веб-интерфейс или запускает ограниченную, менее уязвимую, Java-версию ICQ.

Проблеме «аськи» на рабочих местах необходимо уделить самое пристальное внимание.

Ссылка

Интересно, долго думали?...

Ну да! за 5 минут перекрывается все что угодно и без гемороя.
А если эти "великие специалисты" исследовали одноранговые сети то я в очередной раз балдею от уровня IT компаний на западе.
Запретить ICQ доменной политикой -1 минута, полностью запретить трафик - 4.

Alexs-B
Ты неправильно понял: имеется в виду, что сам протокол очень примитивен и незащищён! Перехватить данные - расплюнуть! Шифрования как такового - нет!

Читай внимательней!!!

Это понятно и без исследованей. Мне больше всего нравится подход иностранных исследовательских компаний, им я и восторгаюсь.
Большинство IT спецов в нашей стране в первую очередь затыкает ICQ и иже с ним как самые опасные приложения. И делается это по умолчанию. К примеру у меня в конторе ICQ закрыт уже 5 лет (с момента создания конторы), а на западе только исследования ведутся -:)

Alexs-B
Ну, тогда и почту надо закрыть! У вас там в конторе помимо аськи почтовые протоколы не закрыли?

Кстати, кому надо - может аську открыть на произвольном порту! И закрыть её будет достаточно сложно!!! Хотя, вряд ли рядовые сотрудники знают как это делать:rolleyes:

А что Вы думаете нащет такой защиты?

_http://www.encrsoft.com/products/tsm.html

Если кто заинтересовался, в PM или асю.

Это точно. Когда у нас на работе прикрыли. Спокойно перенастроил на 80 порт (HTTP). Помоему не напутал, давно это было.

Согласен - Закрыта почта на 100%
В сети юзверь может только на корпоративный почтовик почту отправлять, он отправляет ее дальше на гейтовый сервер в DMZ и только он непосредственно получателям в Интернете.

Прямой доступ в интернет запрещен всем поголовно (за исключением админов :) )
В интернет с помощью бровзера напрямую выходить нельзя, только через специальный терминальный сервер в DMZ.
т.е. простой смертный может просматривать Интернет, скачивать с него файлы и ложить их в определенную папку где они проверяются антивирусом. После этого он заказывает у администратора тот файл который скачал. Идея этого еще и в том, что бы юзер не имел возможности слить в интернет какую либо информацию без надлежащего контороля. Все сесии и почта логируются и анализируются.

П.С. Так что у меня ICQ возможен только в виде WEB.

Alexs-B
Shanker

Вот спор можно сказать и разрешился. На мой взгляд западные спецы стремятся обезопасить пользователей не в ущерб их свободам, а у нас как обычно - отрубим доспуп и все.:mad: А еще лучше вообще компы повыключать, на выключенный комп и вирус не заберется.

Говорю так зло потому, что наша служба безопасности рядовым юзерам (к каким слава богу не отношусь) отключает сидиромы и флопы, также USB-порты, COM-порты и LPT. Параное конца быть не может.:(

Сам считаю что параноя, но это вынужденная параноя.
У меня в сети 1200 компов (не считая серверов), а людей их обслуживающих всего 4 (я пятый). До 800 компов был я один. Офисы по всему городу. Попробуй повостанавливай компы после гуляний бездарных (к моему великому сожалению) по инету и экспериментов с операционкой!. Приходится бороться! Тут хочеш - не хочеш злым админом станишь. :mad: :mad: :mad:

А с другой стороны - безопасность прежде всего, и сделано у меня все по учебнику (я его себе сам написал :) исходя из основных глупостей юзверей).

Кстати, права в данной системе не у кого не ущемлены. Единственное ограничение - передача информации во вне. Но это связано со спецификой работы.

На самом деле... Нужно шифрование - пожалуйста, можно обеспечить - на более высоком уровне, предварительно устанавливая ssh-туннель между клиентами - делов-то!! Только вот опять-таки вопрос: кому это надо? Вести деловые переговоры по Асе - это нонсенс.

Кстати, про альтернативу... Сейчас бедная несчастная ИРКа на подобный же уровень массовости выходит - тут с защитой все в порядке.

Shanker
Сам не пробовал, но думаю, что закрыть ее на произвольном порту - ничего особенного. Описание протокола есть, остается посмотреть, чего Ася в ИП-пакетах пишет...


Alexs-B
Кстати, насчет целесообразности закрытия почты я бы поспорил. И еще поспорил бы с отсылкой почты через сервак... Странное дело, но обычно пользователям не нравится, если их почту еще и просматривают...

Это понятно, но зачем для этого такую обширную схему с запросом к админу разрабатывать? Есть внутренняя VPN, есть (похоже, должны быть) маршрутизаторы умные одной очень попсовой компании, которые вопросы насчет внутренних-внешних ИП разруливают.... Какая-то излишняя безопасность с этими запросами, как мне кажется.... ;)

CaLuNer
Ты шапку полностью прочитал?

Абсолютно верно. проблем нет. А когда обычный пользователь начинает на голову садиться т отсылать картинки по метру через 256к канал, ложит почту на сутки (фоток то штук 50) или клипы порнушные по 30-40 мег - это уже не нравится админу. А у меня таких юзверей - человек 900.

Кстати, то что почта логируется - просто информация для пользователей, что бы дурью не маялись. Текст никому не упал, достаточно обычного лога почты. Хотя с другой стороны недавно уволили человечка который начал через корпоративную почту свою фирму рекламировать (при чем нашим же дилерам). Неприятно однако!

Добавлено через 5 минут:
По моему ветку пора переместить (по крайней мере частично) в Фрейм, а то уже от темы ушли в противоположную сторону.

Ты может еще решил кряк к TSM продовать? Нафига в аську то когда по этой фигне инфы больше чем завались :)

Вообще аська это отдельный разговор. Админы аськи заберают себе и своим друзьям красивые уины, читают чужую переписку и были случаи, что выкладывали ее на форумах, кидали людей на бабки от имени их уинов, предлогают услуги слежки за любым уином ... Пока только, что уины сами продавать не начали :biggrin: Хотя кто знает, может поставщиками работают, крупным оптом продают :ooh:

Впринципе вероятность того, что вы заинтересуете админов равна 1% если вы не юзаите 5, 6-и знаки и нигде ваш уин не светится и если никто не соберается вкладывать приличные бабки чтобы получить логи всех ваших бессед. Можете конечно случайно познакомится с админом и он чисто из любопытства за вами будет следить :)

Еще ходит миф о том, что на серваках аськи стоит COPM который начанает вести лог если в разговорах по аськи упоменаются слова "fraud" "trojan" "hack" и т.д. лично мне кажется это все фигня, но кто знает.