IM危機將逐一浮現
Symantec亞太區技術顧問林育民指出,即時通訊一開始只是朋友間的聊天服務工具,儘管許多企業IT部門並不支援IM系統,可是當員工發現IM系統的溝通成效比電子郵件或電話更快速且方便時,IM就在員工、朋友和客戶之間迅速普及,因此即時傳訊已發展成為數千萬網路使用者主要的通訊模式,徹底改變了與朋友、熟人甚至工作夥伴之間的溝通模式。代理Websense公司IM產品的達友科技公司技術經理沈伯高則認為,IM已成為現代主要的溝通工具之一,其實企業機構也明顯從IM中獲得益處,例如大幅降低電信費用或多人同時上線開會等,這也是IM能在未經企業主管核准依然被默許的重要原因。然而,縱使IM存在許多眼前的優點,但由於IM難於管控,各種解決方案也不可能100%防堵所有漏洞,因此將極可能引發更嚴重的網路安全威脅,如同利基網路行銷業務部協理江旻樺所言,IM早期為突破防火牆,因此在伺服器上開放所有Port,後來IM工具更可自由設定HTTP/SOCKS4/SOCKS5的Proxy Port,隨著Skype的出現,用以鑽出企業防線的方式又是另一項里程碑,未來IM發展很有可能會群起模仿Skype的特性,但這些不受控管的IM連線讓企業網路病毒防護產生嚴重漏洞,最令人印象深刻就是利用MSN傳檔來攻擊的Funny.exe病毒程式,因此針對各種IM的控管已成為企業體另一重視的層面。以下就彙整了Symantec、Websense、數位商業資訊和利基網路等公司對於當前IM潛藏危機的看法。
*帳號竊取:大多數即時傳訊系統對密碼的保護非常有限,且IM的使用者往往會將密碼儲存在電腦的資料檔中。某些情況下密碼會進行加密;但多數情況中卻是清楚可見,讓攻擊者可竊取即時傳訊帳號,或假扮使用者與他人對話。
*資料存取與修改:IM程式會因系統漏洞問題讓駭客透過網站加以刺探利用,也由於IM產品多會提供大量輔助功能將成為被攻擊的潛在區域,例如w00w00的駭客集團曾發現某一即時傳訊程式的部分程式碼有漏洞,因此可進行相關資料存取、修改和竊取密碼等不法手段。
*駭客攻擊仍將持續:駭客很容易運用IM工具發起攻擊,包括緩衝區滿溢或整個網站只能運行一個執行檔,例如攻擊者會造成使用MSN、Yahoo! Messenger、ICQ、QQ等機器的緩衝區滿溢而導致系統癱瘓,或讓攻擊者借機將有害程式碼安裝到機器上。此外,透過IM進行檔案傳輸或語音聊天等動作時可能造成IP位址洩露,以致留下無窮後患。
*病毒、間諜程式和蠕蟲將無可避免:許多IM系統允許用戶直接向其他用戶傳送檔案,完全避開邊界網路安全系統,如防火牆、防毒軟體或電子郵件伺服器等,致使病毒、木馬程式和蠕蟲等很容易滲透進入網內傳播,例如新蠕蟲病毒SMB(smbmsn)和Jitux可劫持MSN Messenger帳戶,將複製的病毒檔案寄給IM通訊錄中的每一個人,現在已有大量的病蟲利用IRC作為傳播的平台,而這些病蟲傳染途徑是藉由IRC用戶端軟體提供的程序語言寫成,典型的散播過程就是當一個被病毒感染的電腦使用者加入了一個討論群組並且開始聊天,病毒就會偵測到新使用者,且以程序檔傳送並複製自己到他們的電腦中。在某些情況中,收到的使用者會被提示而開啟檔案,但某些情況中,使用者卻不會收到通知,一旦病蟲感染了新電腦,這樣的循環就會一再發生。除了IRC病蟲,現在還有一些Windows型的病蟲將目標對準某些特定的IM系統。這些病蟲使用類似Nimda、LoveLetter、SirCam及Funny威脅的程序檔案技術,透過即時傳訊軟體在使用者間來自我傳送。幸運的是,這些病蟲到目前為止還沒有被大量散佈,但是它們無疑地證明即時傳訊平台是很容易被這類攻擊所威脅。
企業如何看待IM使用?
誠如上述,未經IT部門允許在公司內部使用IM工具已是一個公開的祕密,但不可諱言的,即時通訊軟體衝擊最大的並非電信業者,相反的,企業組織所面臨安全管理風險才是最嚴重的考驗。對此,有些企業已全面禁止即時傳訊系統的使用,例如台積電,而某些企業則採用特殊的IM工具版本,例如寶僑家品(P﹠G),當然也有許多企業放任IM工具的使用,但究竟是該全面禁止?亦或熱情擁抱?面對此一惱人狀況,企業主該如何看待IM工具的使用呢? 林育民和數位商業資訊總經理王志良一致認為,IM工具固然有其存在的價值,但許多公司在未配置完善IM監控解決方案下,依舊開放員工使用IM工具將是非常危險,如近來嚴重氾濫的網路釣魚郵件(Phishing)、病毒等。至於IM具有即時快速傳遞的特性,要將公司文字訊息或檔案資料傳送出去,可以說輕而易舉,一但機密資料被員工惡意或無意外洩,造成智慧產權損失,再來尋求法律途徑解決將曠日費時。而當員工透通企業網路傳送、下載資料等將牽扯版權侵犯是否合法的問題,將使企業必須承擔法律責任,如藉由IM傳送享有版權保護的MP3檔案等!更何況,沒安裝任何IM監控系統,就算知道是哪位員工外洩資料或做非法下載,在尋求法律解決須提出實際證據時都將產生困難!且時間一長久,將更難以矯正員工使用IM不當的偏差行為。此外,相信企業管理者都會有一個疑問?員工每天用多少時間使用IM?到底有多少時間處理公事、還是私人聊天?到底IM是給企業帶來的效益多、還是生產力的流失?當企業管理者關心這些議題時,都可能得不到實際的統計報告。 沈伯高也補充說明,在企業環境採用即時訊息工具時,要對使用IM的員工進行有效管理,假若只試圖透過防火牆、IPS和防毒等工具將無法讓問題得到徹底解決。企業必須掌握包括使用哪些IM應用軟體在使用?規定可以接受及禁止使用IM應用軟體的政策?規定哪些人可以使用IM?允許或禁止員工收發IM檔案附件等議題,而整體說來,即時通訊的確是工作上的利器,最好的管理方式並非只一味的禁止使用,反而要採用專門為企業設計且擁有完整安全防護的IM應用軟體,此類產品必須擁有存檔、監看、授權、加密和支援其他商務軟體等功能,才能在使用IM工具之餘,真正保障企業的資訊安全。
結合『人員控管』與『防護工具』有效預防攻擊
對於IM工具所造成的網路危機,企業主已逐漸認知到問題的嚴重性,因此以往公司會採取相關措施來提供系統管理員改進IM的安全問題,例如利用防火牆來封鎖使用IM應用軟體,或封鎖IM網路服務器外部位址等;但由於IM能經過配置來自動改變port,或利用其他應用軟體來穿透防火牆,如port 80等,因此仍將造成許多網路攻擊事件。針對這些漏洞問題,目前也已有多家國內、外廠商提出相關IM解決方案。 林育民表示,針對IM的攻擊方式,Symantec認為企業的IT系統管理員必須先檢閱其資安政策、防火牆規則和網域攔截等,並採用Proxy、入侵預防系統、防毒軟體及其他有效的解決方案來進行防範。有了這些阻擋設備之後,再針對公司內部人員做管控,而賽門鐵克目前已提供相關IM工具的解決方案,包括用戶端多功能安全解決方案『SCS,Symantec Client Security』,可以限制IM程式對外連線的動作,只有SCS允許的程式才能對外連線,來對用戶端提供即時的防護;閘道端多功能硬體式防火牆『SGS,Symantec Gateway Security』,可以在閘道端用防火牆規則去限制IM對外連線的通訊埠,有效阻止IM程式對外連線;至於入侵預防硬體式裝置,如Symantec Network Security 7100系列產品,可以偵測是否有員工使用IM和針對這些使用IM的員工去加以攔截,也可以去偵測網路上已知及未知的IM攻擊。 有關Websense所提供的Websense Enterprise解決方案,沈伯高指出,Websense Enterprise 是一種分層式的解決方案,包括:其一、內建的網頁瀏覽方式、報表機制和即時分析組成的綜合性報表工具(Explorer, Reporter和 Real-Time Analyzer),管理者可以首先偵測到IM的使用情況,然後對其進行分析。其二、可透過系統模組封鎖對IM網站連結,且能封鎖所有桌面未經核可安裝IM應用軟體,基至是尚未進入公司網域的NoteBook也可令其無法執行 IM 應用軟體。其三、IM Attachment Manager模組可提供管理者制定彈性的政策,只允許員工使用經過核可的IM應用軟體交換傳輸檔案,這對於允許使用IM,但又想降低因傳送檔案而招致病毒或管理問題的企業而言,這層管控是相當重要的。其四、管理者可以制定相應的政策強制執行政策,將使用限制在單獨且經過企業批准的IM用戶,如只能執行AOL Instant Messenger(即時訊息傳送管理器),對其他IM程式實行封鎖;也能允許某些部門或用戶群組使用 AOL Instant Messenger,與業務無關的用戶群組則全部封鎖IM或使用IM禁止聊天。此綜合管理能力可以充分發揮IM即時通訊的優勢,同時有效降低IM檔案傳送對系統安全構成的威脅。 王志良則強調,針對封包監控型產品PacketCapture有二大類,第一為旁聽式Sniffer監控系統;第二為閘道式Gateway過濾監控系統。旁聽式Sniffer監控系統屬於網路應用層,多採用Winpcap或WinSock 及NDIS Hook技術,優點是只需接於HUB環境,不影響原本網路架構,但缺點是Loss較為嚴重,無法跨多網段或不同交換機環境監控,且只能阻斷傳檔視訊,無法針對過濾訊息的關鍵字(詞)加以攔截。而閘道式 Gateway過濾監控系統屬於網路資料連結層(即Layer 2層),優點是較不會發生Loss,可跨多網段監控,對於傳檔視訊和關鍵字(詞)都可加以攔截,而數位商業科技所提供「DCI網路安全監控系統」就是屬於閘道式Gateway過濾監控的產品,其主要特點是針對公司對外Internet送出資料做監控,同時也可監控員工上網行為,且能過濾分析Web、Email、IM 多協議閘道式過濾系統,系統基於網路資料連結層Layer 2。能針對內容做“關鍵字”過濾攔截,例如HTTP送出的文字及IM即時通訊送出對外聊天內容與SMTP送出信件等。收發的E-mail、FTP傳送的檔案、瀏覽過哪些Web網站、甚至用即時通訊軟體(MSN、Yahoo、ICQ、AOL)聊天文字交互內容等,都能即時監控、記錄、關鍵字攔截。如此不僅能保護公司重要資料,避免洩漏重要商業機密,更能大幅度改善員工上網辦事效率,禁止員工瀏覽不當網站,也避免員工上班時間上網做私人事情! 江旻樺表示,利基網路提供InstantScan產品是以“人”為單位控管IM行為,且與企業現存LDAP、Radius、IMAP、POP3使用者資料庫做整合,可設定每個人在MSN、Yahoo、ICQ、AOL的各種細部動作,來達成企業安全政策。其特色與功能包括:其一、對一般的IM通道控管,甚至能穿過防火牆設計的HTTP / SOCKS4 / SOCKS5 Proxy等不定Port之IM流量都可以被控管;其二、針對IM使用者帳號對MSN/Yahoo/ICQ/AOL設定可否傳檔;其三是在違反公司政策時,使用者可在IM視窗內得知原因,輔以Email提醒。MIS也不用整天接電話處理用戶問題。至於InstantScan進階版支援傳檔內容管理,可針對不同使用者給予不同傳檔權限,例如RD部門不得傳PDF檔出去,或不准傳送exe檔進來。此外,也支援ICSA認證的Sophos防毒引擎,若能即時更新病毒碼,可保護開放IM傳檔的使用者,進而保護企業網路。而目前IM的攻擊多為傳檔,利基網路所提供之進階版更可支援ICSA認證的Sophos防毒系統,阻絕IM傳檔或壓縮檔的病毒;而未來也將提供SMTP / IMAP / POP3等內容控管模組,無須改變網路架構即可將加密過的Email流量解開來掃毒或內容控管。 值得一提的,由於IM工具的攻擊種類將越來越多,並非所有的IM解決方案都能夠100%阻擋各類攻擊,更何況上述所提及的解方案多半是針對公司內部人員使用IM工具所做的控管。對此,沈伯高強調,無論IM工具的解決方案如何嚴密,仍必須結合防毒、Firewall、VPN等安全設備,唯有透過防毒工具與內部人員控管雙管齊下方式才能有效解決IM的危機問題,也才能真正確保企業用戶使用IM工具的安全。
以新觀點和措施因應危機轉變
現今所見IM工具存在的攻擊和威脅也許只是冰山一角,「未來我們可以看見病蟲或混合式威脅發生在用戶端IM軟體的漏洞或其他弱點。」林育民指出,像駭客可以運用緩衝區溢位攻擊IM用戶端程式進入另一新系統,一旦進入新系統就可以獲得新的攻擊目標,類似的威脅可能會迅速散佈且會有大量的機器遭到感染,如Code Red可在幾個小時內攻擊數十萬個網際網路伺服器,而IM型的病蟲也有能力在相同時間內攻擊數百萬、甚至數千萬的家用電腦或無線裝置。另外,即時傳訊平台很容易被DoS攻擊所影響,例如攻擊者可以傳送大量特殊的 TCP/IP 封包到IM廠商架構的IM伺服器以妨礙正常的通訊傳輸,這會很像最近這幾年在主要網際網路工具上發動的拒絕服務攻擊。而當許多安全專家專注在IM用戶端的弱點時,IM伺服器弱點也是潛在的危機。如果攻擊者獲得伺服器存取權限,就可以竊聽所有對話、偽裝成其他的使用者、發動拒絕服務攻擊或輕易的散佈惡意攻擊。仔細想想,即使IM的通訊已經加密,攻擊者只要控制IM伺服器就可以取得所有傳訊的內容。 林育民則強調,有鑑於未來在IM攻擊行為的不可預知性,Symantec的解決方案會著重於透過特徵更新(signature update)來防範已知漏洞的攻擊行為。Symantec也可以透過通訊協定異常(protocol anomaly detection)技術來進行偵測,全面攔截預防未知的連線攻擊。此外,王志良提出另一解決觀點,他認為:「IM的攻擊型態多牽涉封包檢視,對已知攻擊自然容易防範,但阻隔未知攻擊就產生一定難度。」其實只需針對允許使用的權限做政策制定,即『黑、白名單』的觀點,就是將公司內部人員使用IM的權限做明確規範,諸如哪些檔案可傳送、哪些網站可上網、哪些IM帳號連結是不受歡迎等,只將允許連結內容列為白名單,其他皆成為不許使用的黑名單,就能有效阻擋可能發生的攻擊狀況,不必時時處於防禦攻擊狀態,否則將費時、費力,又可能無法有效阻擋各類攻擊。
後記
面對IM攻擊的危機將日益顯著,如果不能採取即時防備措施, IM所引發的危機效應將不下於當前的網路危險狀況,屆時企業用戶面對各類IM攻擊問題就只能走一步算一步了,因此必須即早預防並從危機根本來解決安全問題,才能讓企業用戶在使用之餘,不但可以享受到安全便利性,也可感受其安全性。