I'n Blog 之萬象真藏

2007-05-11 10:38 作者： 紅狼 出處： 中國電腦教育報 責任編輯：原野

　　即時通訊工具(Instant Message)簡稱IM，是目前使用最為普遍的網路應用之一。繼QQ的小企鵝圖示以驚人的速度出現在我們的電腦上之後，網易、新浪、搜狐等知名廠商也迫不及待地加入這場如火如荼的競爭，而微軟、雅虎、AOL這些國際巨頭，也一刻沒有停止他們擴張的腳步。

　　即時通訊平臺真正在全球範圍內拉近了人與人的距離，無論對於個人用戶還是企業用戶，都成為一種不可或缺的交流工具。現今的即時通訊工具不僅能夠實現文字聊天，而且能夠在兩台電腦之間傳送檔以及進行音訊和視頻等方式的通信。

　　正是因為即時通訊應用的高速普及和廣受歡迎，使得安全攻擊獲得了擁有了極大的發展空間和破壞能力。豐富的功能是即時通訊吸引使用者的主要手段之一，但從安全的角度來講，功能的豐富化恰恰是與嚴格的安全準則背道而馳的。作為一種為了最大化溝通能力而存在的應用系統，其認證機制和保護手段是相對比較薄弱的，這很容易為惡意攻擊行為所利用。下面讓我們分幾個方面來逐一認識即時通訊應用系統所面臨的安全問題。

　　IM系統自身的問題

　　在我們討論其它問題之前，首先來看一下即時通訊系統本身如果遭遇攻擊可能會帶來哪些破壞。首先是即時通訊的基礎設施，比如存儲所有傳輸資料和通信記錄的伺服器，一旦被攻破，成百上千萬使用者的記錄將暴露在攻擊者的面前。儘管所有的即時通訊服務商都提醒其的使用者不要利用即時通訊傳輸敏感資訊，但是這些記錄中仍然會包含大量的密碼和重要資訊。除了服務商的伺服器之外，使用者的個人電腦也存儲著大量該類資訊。

　　相對於服務端比較正式的安全防範，個人電腦中的資料被竊取的可能性往往更大。而資訊的被竊不僅僅會給用戶帶來經濟上的損失，同樣需要我們關注的是所造成的隱私危機。除了通訊兩端的安全風險之外，由於即時通訊工具通常使用弱加密甚至不加密的資料傳輸方式，所以網路竊聽活動也會給即時通訊系統造成很大的威脅。

　　利用IM系統傳播的病毒

　　近年來病毒的發展趨勢主要是通過Internet傳播的網路蠕蟲。即時通訊自身具備完善的連絡人清單，為蠕蟲病毒傳播提供了很好的傳染目標獲取機制。而即時通訊使用者之間較高的信任程度，又無形中為病毒傳播提供了社交工程方面的基礎。現在通過感染即時通訊系統實現傳播的病毒主要呈現出以下幾類形態：以佔用系統資源、破壞目標系統及種植木馬為行為，例如MSN “性感雞”病毒;竊取即時通訊系統帳號密碼及相關資訊的病毒，比如QQ密碼結巴等竊取QQ密碼的木馬;利用感染的即時通訊系統發送各種消息的病毒，QQ尾巴就是這類病毒的代表，也是較早在即時通訊平臺上流行的病毒。

　　即時通訊病毒正在高速增長，很可能會在不遠的將來發展到和電子郵件病毒一樣嚴重的地步。要控制這種局勢，首先需要即時通訊廠商充分重視即時通訊軟體的安全問題，對其產品進行更嚴格的安全設計。同時，安全領域的供應商也應該積極行動，以更快的速度應對即時通訊安全事件，並研發出能夠更好與即時通訊系統集成的防護產品，例如嵌入到即時通訊軟體中並且可以保持更新的防病毒元件。

利用IM破壞防禦系統

　　類似防火牆這樣常見的安全防禦設備，很多時候會因為即時通訊工具的存在而被突破，這類情況對企業使用者的損害尤其嚴重。大多數即時通信軟體都允許使用者選擇使用的埠，或者能夠自動嘗試可以進行通信的埠，甚至利用某些機制繞過防火牆。在這種情況下防火牆就失去了其應有的保護作用，並且這些穿越防火牆的通訊很可能會被攻擊者利用以突破防火牆，對防火牆所保護的網路和電腦造成破壞。

　　在企業環境中，即時通訊的應用總是個兩難問題。在充分的應用即時通訊為企業提高效率和限制員工使用即時通訊工具中間做出選擇，往往導致兩種極端的結果，即對即時通訊放任自流和完全禁止企業的即時通訊應用。也許更適合的手段是找到一種折衷的方案，例如我們可以在防禦系統中過濾檔案傳輸，而不要整個將即時通訊劃為非法應用。

　　對IM發起拒絕服務攻擊

　　拒絕服務攻擊特別是分散式拒絕服務攻擊可以說是互聯網先天性安全能力不足的一個例證。即時通訊服務商本身就面臨著拒絕服務攻擊的威脅。由於即時通訊服務商提供的使用者服務能力通常要小於總用戶數，所以在相對滿載的時候，攻擊者較易實施拒絕服務攻擊。通過發送通過發送畸形的或者類比的資料包到即時通訊伺服器，可以大量消耗伺服器的資源，造成服務癱瘓。

　　另外，即時通訊用戶端軟體也存在很多可能引發拒絕服務攻擊的漏洞，使安裝了即時通訊軟體的機器遭受拒絕服務攻擊。用戶端的一個隱憂是用戶現在通常是為了功能對即時通訊用戶端進行升級，而很少象針對作業系統的安全問題那樣及時更新補丁。這使得存在即時通訊漏洞的電腦數量相當可觀，當然這和廠商的推廣方式有很大的關聯。

　　IM的網路釣鉤

　　繼利用電子郵件和網站等方式開展網路釣魚之後，以即時通訊作為誘騙手段的網路釣魚行為正越來越多的被詐騙者們實施。比較常見的手法是利用即時通訊發送消息將使用者導向陷阱以及冒充即時通訊供應商開展某種活動騙取使用者的敏感資訊等等。例如雅虎就曾經證實其即時通訊工具雅虎通的用戶曾經接收到類似的誘騙資訊，將使用者導向詐騙者的網站;而國內也曾發現過很多以贈送Q幣為名獲取QQ密碼和傳播惡意程式碼的網站。

　　除了以上行為之外，即時通訊應用的匿名特徵使其也成為了各種騷擾行為的溫床，大量的即時通訊使用者都收到過一些自身不想收到的甚至給自己帶來侮辱和困擾的資訊。面對這類安全問題，需要即時通訊使用者能更充分的認識即時通訊應用所具有的風險，以更高的警惕性約束自己的行為。

　　IM的明天

　　即時通訊系統仍處於高速發展之中，很可能明天就會湧現出新的安全問題，有新的攻擊手段被設計出來。包括使用者、即時通訊服務商及相關廠商全體，都應該以積極的態度去面對這種形勢，並履行自己的職責，以保證即時通訊應用在更健康的狀態下成長。