Hlavní navigace

Instant messaging: Neprávem přehlížená hrozba

Pavel Čepský

Uživatelé mezi aktuálními riziky, která na ně na webu číhají, často opomíjejí zmínit instant messaging. Existuje přitom hned několik zajímavých cest, jak jej úspěšně zneužít.

nedávném vydání těchto pravidelných bezpečnostních komentářů jsme se věnovali aktuálním hrozbám a možnostem případného odhalení soukromí nebo citlivých informací pomocí Facebooku a Twitteru. Útoky (ať už prostřednictvím sociálního inženýrství nebo více automatizované) mají jednoho společného jmenovatele: podvodníci i pokročilejší útočníci se snaží zapůsobit tak, že první kontakt a pokus o podvržení informací nebo podstrčení škodlivého kódu na první pohled vypadá, jako by šlo o korektní zprávu od někoho z přátel. Podobně je na tom často i instant messaging, jenž se v různých vlnách objevuje v žebříčcích aktuálních trendů nebezpečí.

Instant messaging bývá zneužíván hned několika různými technikami, jejichž zpracování je často velice zajímavé. Nejjednodušší útoky mívají čistě vizuální podobu – jakmile přijdete na některou stránku, v okně maximalizovaného prohlížeče se v pravém dolním rohu objeví zpráva od neznámého kontaktu. Bez bližšího zkoumání to tedy vypadá jako upozornění přímo z hlavního panelu Windows, po klepnutí dojde k přesměrování na stránku se škodlivým kódem.

U nás v Česku mají tyto pokusy samozřejmě z pohledu útočníků hned několik nevýhod, na prvním místě použití anglického jazyka jako univerzální varianty. Sice se i zde najde několik uživatelů, kteří v rámci IM komunikují se zahraničními přáteli či pracovními kolegy, nicméně je jich minimum. Navíc často bývá napodobeno zobrazení dialogu prostřednictvím Windows Live Messengeru, který u nás není nejvíce rozšířen – výsledná skupina potenciálních obětí je tak hodně omezena, tím spíš, pokud k tomu připočteme podmínku nutnou (nikoliv postačující), že se chytí pouze začínající uživatelé.

Další z rizik, která se zaměřují hlavně na začínající a anglicky komunikující uživatele a jež útočí skrze instant messaging, představuje nepopulární spam. Naštěstí se nejedná o tolik rozšířený nešvar, avšak nevyžádané zprávy rozesílané prostřednictvím různých protokolů a skrze rozličné klienty bývají odhadovány jako jedny z dalších, hodně intruzivních variant hromadné reklamy. První vlaštovky tohoto takzvaného spIMu mají jednoduchý princip – okno klienta nebo jeho imitace se zobrazí s popisem reklamy a odkazem na stránku s daným produktem. Nabídky jsou tím zrádnější, pokud je pro sběr adres využit škodlivý kód dolující seznamy kontaktů a rozesílající automaticky generované zprávy s hlavičkou daného, cílovému uživateli známého přítele.


Rychlý export informací z účtu u starších verzí ICQ je otázkou pár vteřin

Na útoky hlavně lokálně

Řada uživatelů také poukazuje na to, že drtivá většina IM protokolů a odpovídajících klientů nativně nepodporuje možnost šifrování, tedy že jednotlivé texty putují sítí v otevřené podobě. Ano, jde o potenciální riziko, nicméně osobně bych zde přímo v případě instant messagingu takový problém neviděl. Přece se totiž jedná o komunikaci, která nebývá používána pro firemní důležitou firemní komunikaci, a například e-mailem jsou zasílány mnohem citlivější a lépe zneužitelné informace. E-mail přitom také nenabízí možnost šifrování a jen minimum společností implementuje odpovídající kryptografické doplňky.

Problémy se týkají také místního uložení jednotlivých uživatelských účtů, jako příklad vezměme v Česku stále ještě nejpopulárnější ICQ. Jedinečné identifikátory každého ICQ uživatele (UIN) se do profilových souborů starších verzí promítaly přímočaře, přesněji tak, že všechny relevantní informace jsou k nalezení v souborech s názvem UIN.dat. Uživatel číslo 12345678 tak má svůj seznam kontaktů, heslo a další informace uloženy v souboru 12345678.dat.

Pro vypsání všech potřebných informací můžete využít hned několika utilit, které svou práci dobře odvedou ihned po otevření daného .dat souboru. Jedna ze starších variant, která je však k dostání jako freeware, nese název ICQr Information a lze ji stáhnout ze stránek Headstrong.de. ICQr Information kromě „prostého“ zobrazení údajů umožňuje také jejich export do přehledného a dobře strukturovaného HTML souboru. Pamatujte ale na to, že ji můžete využít pouze u profilových souborů starších verzí, jež jsou však občas stále ještě k dispozici.

Novější ICQ klienti již hesla nezačali ukládat čistě do souborů s profily, nýbrž pro tento účel využívají registru systému Windows. Je tedy jasné, že pro získání hesel a datových souborů registru systému musí mít případný útočník odpovídající práva. Pokud pak s nimi spustí vhodnou utilitu, získá ze šifrovaných hesel jejich otevřenou variantu během několika málo okamžiků. Heslo v nečitelné podobě lze v registru systému nalézt v klíči s ostatními nastaveními programu. Důležité pro případné lámání hesel nejen u zmíněného ICQ  ale také dalších klientů je to, že jde zpravidla o lokální útoky – musí tedy být k dispozici přístup k počítači.


Instant messaging je populárním terčem malwaru, který automaticky rozesílá nebezpečné odkazy. Zdroj: Symantec

Spoléhejme hlavně sami na sebe

Mnoho uživatelů považuje instant messaging za bezpečnou formu komunikace, nikoliv však řečí zabezpečení přenosu jednotlivých zpráv a dat, ale vzhledem k nemožnosti virové nákazy. Opak je však pravdou, jelikož právě různí klienti bývají často terčem škodlivého kódu, typicky například potravou pro lačného červa. Navíc jsou jednotliví klienti samozřejmě programem jako cokoliv jiného, a tedy i tvůrci malwaru mohou čekat na objevení zneužitelné chyby.

Zapátráním v historii lze z této kategorie zmínit například červa Kelvir.B, o němž si můžete přečíst na stránkách společnosti Symantec. Kelvir.B prostřednictvím MSN Messengeru rozesílal na všechny kontakty zprávu obsahující URL adresu, po jejímž navštívení se stáhne soubor omg.pif. Po spuštění tohoto souboru dojde k pokusu o stažení obrázku me.jpg a jeho následnému uložení jako c:dumprep.exe – jedná se o variantu W32.Spybot.Worm. Pravidelně aktualizovaný antivirový program by již v současné době neměl mít s odhalením této hrozby problém.

Zmíněný scénář tak potvrzuje fakt, že instant messaging je jedním z univerzálně zneužitelných kanálů, kterými se škodlivý kód, jeho tvůrci a podvodníci mohou dostat přímo do uživatelova počítače, na jeho obrazovku. Riziko je tím větší, že se jedná o často opomíjený problém. Část obrany na sebe již berou specializované moduly jednotlivých antivirových programů, nicméně větší porce odpovědnosti stále leží na bedrech koncových uživatelů – před bezhlavým klikáním na odkazy týkající se zpráv v IM klientovi nebo možností přidání nových kontaktů je zapotřebí trochu se zamyslet. Zdravý rozum často nahradí i sebesofisti­kovanější softwarovou heuristiku.

Našli jste v článku chybu?

1. 2. 2011 16:33

*** Top Secret *** (neregistrovaný)

IMHO to bude trvat trochu dele nez par dni ... muj odhad je jeste minimalne tyden, protoze co jsem koukal, nez pridelili ty dva bloky tak ten stav se dlouho nemenil ...

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

DigiZone.cz: R2B2 a Hybrid uzavřely partnerství

R2B2 a Hybrid uzavřely partnerství

DigiZone.cz: Optimedia: hybridní kampaň Nescafé

Optimedia: hybridní kampaň Nescafé

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Perspektivy TV v roce 1939 podle časopisu Life

Perspektivy TV v roce 1939 podle časopisu Life

Měšec.cz: Europlatby: někde bez poplatku, jinde i 350 Kč

Europlatby: někde bez poplatku, jinde i 350 Kč

Podnikatel.cz: EET: Totálně nezvládli metodologii projektu

EET: Totálně nezvládli metodologii projektu

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Měšec.cz: Za palivo zaplatíte mobilem (TEST)

Za palivo zaplatíte mobilem (TEST)

Podnikatel.cz: Alza.cz má StreetShop. Mall.cz více výdejních míst

Alza.cz má StreetShop. Mall.cz více výdejních míst

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Vládu obejde, kvůli EET rovnou do sněmovny

Vládu obejde, kvůli EET rovnou do sněmovny

Root.cz: Mirai má nový cíl 5 milionů routerů

Mirai má nový cíl 5 milionů routerů

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Vitalia.cz: To nejhorší při horečce u dětí: Febrilní křeče

To nejhorší při horečce u dětí: Febrilní křeče