V nedávném vydání těchto pravidelných bezpečnostních komentářů jsme se věnovali aktuálním hrozbám a možnostem případného odhalení soukromí nebo citlivých informací pomocí Facebooku a Twitteru. Útoky (ať už prostřednictvím sociálního inženýrství nebo více automatizované) mají jednoho společného jmenovatele: podvodníci i pokročilejší útočníci se snaží zapůsobit tak, že první kontakt a pokus o podvržení informací nebo podstrčení škodlivého kódu na první pohled vypadá, jako by šlo o korektní zprávu od někoho z přátel. Podobně je na tom často i instant messaging, jenž se v různých vlnách objevuje v žebříčcích aktuálních trendů nebezpečí.
Instant messaging bývá zneužíván hned několika různými technikami, jejichž zpracování je často velice zajímavé. Nejjednodušší útoky mívají čistě vizuální podobu – jakmile přijdete na některou stránku, v okně maximalizovaného prohlížeče se v pravém dolním rohu objeví zpráva od neznámého kontaktu. Bez bližšího zkoumání to tedy vypadá jako upozornění přímo z hlavního panelu Windows, po klepnutí dojde k přesměrování na stránku se škodlivým kódem.
U nás v Česku mají tyto pokusy samozřejmě z pohledu útočníků hned několik nevýhod, na prvním místě použití anglického jazyka jako univerzální varianty. Sice se i zde najde několik uživatelů, kteří v rámci IM komunikují se zahraničními přáteli či pracovními kolegy, nicméně je jich minimum. Navíc často bývá napodobeno zobrazení dialogu prostřednictvím Windows Live Messengeru, který u nás není nejvíce rozšířen – výsledná skupina potenciálních obětí je tak hodně omezena, tím spíš, pokud k tomu připočteme podmínku nutnou (nikoliv postačující), že se chytí pouze začínající uživatelé.
Další z rizik, která se zaměřují hlavně na začínající a anglicky komunikující uživatele a jež útočí skrze instant messaging, představuje nepopulární spam. Naštěstí se nejedná o tolik rozšířený nešvar, avšak nevyžádané zprávy rozesílané prostřednictvím různých protokolů a skrze rozličné klienty bývají odhadovány jako jedny z dalších, hodně intruzivních variant hromadné reklamy. První vlaštovky tohoto takzvaného spIMu mají jednoduchý princip – okno klienta nebo jeho imitace se zobrazí s popisem reklamy a odkazem na stránku s daným produktem. Nabídky jsou tím zrádnější, pokud je pro sběr adres využit škodlivý kód dolující seznamy kontaktů a rozesílající automaticky generované zprávy s hlavičkou daného, cílovému uživateli známého přítele.
Rychlý export informací z účtu u starších verzí ICQ je otázkou pár vteřin
Na útoky hlavně lokálně
Řada uživatelů také poukazuje na to, že drtivá většina IM protokolů a odpovídajících klientů nativně nepodporuje možnost šifrování, tedy že jednotlivé texty putují sítí v otevřené podobě. Ano, jde o potenciální riziko, nicméně osobně bych zde přímo v případě instant messagingu takový problém neviděl. Přece se totiž jedná o komunikaci, která nebývá používána pro firemní důležitou firemní komunikaci, a například e-mailem jsou zasílány mnohem citlivější a lépe zneužitelné informace. E-mail přitom také nenabízí možnost šifrování a jen minimum společností implementuje odpovídající kryptografické doplňky.
Problémy se týkají také místního uložení jednotlivých uživatelských účtů, jako příklad vezměme v Česku stále ještě nejpopulárnější ICQ. Jedinečné identifikátory každého ICQ uživatele (UIN) se do profilových souborů starších verzí promítaly přímočaře, přesněji tak, že všechny relevantní informace jsou k nalezení v souborech s názvem UIN.dat. Uživatel číslo 12345678 tak má svůj seznam kontaktů, heslo a další informace uloženy v souboru 12345678.dat.
Pro vypsání všech potřebných informací můžete využít hned několika utilit, které svou práci dobře odvedou ihned po otevření daného .dat souboru. Jedna ze starších variant, která je však k dostání jako freeware, nese název ICQr Information a lze ji stáhnout ze stránek Headstrong.de. ICQr Information kromě „prostého“ zobrazení údajů umožňuje také jejich export do přehledného a dobře strukturovaného HTML souboru. Pamatujte ale na to, že ji můžete využít pouze u profilových souborů starších verzí, jež jsou však občas stále ještě k dispozici.
Novější ICQ klienti již hesla nezačali ukládat čistě do souborů s profily, nýbrž pro tento účel využívají registru systému Windows. Je tedy jasné, že pro získání hesel a datových souborů registru systému musí mít případný útočník odpovídající práva. Pokud pak s nimi spustí vhodnou utilitu, získá ze šifrovaných hesel jejich otevřenou variantu během několika málo okamžiků. Heslo v nečitelné podobě lze v registru systému nalézt v klíči s ostatními nastaveními programu. Důležité pro případné lámání hesel nejen u zmíněného ICQ ale také dalších klientů je to, že jde zpravidla o lokální útoky – musí tedy být k dispozici přístup k počítači.
Instant messaging je populárním terčem malwaru, který automaticky rozesílá nebezpečné odkazy. Zdroj: Symantec
Spoléhejme hlavně sami na sebe
Mnoho uživatelů považuje instant messaging za bezpečnou formu komunikace, nikoliv však řečí zabezpečení přenosu jednotlivých zpráv a dat, ale vzhledem k nemožnosti virové nákazy. Opak je však pravdou, jelikož právě různí klienti bývají často terčem škodlivého kódu, typicky například potravou pro lačného červa. Navíc jsou jednotliví klienti samozřejmě programem jako cokoliv jiného, a tedy i tvůrci malwaru mohou čekat na objevení zneužitelné chyby.
Zapátráním v historii lze z této kategorie zmínit například červa Kelvir.B, o němž si můžete přečíst na stránkách společnosti Symantec. Kelvir.B prostřednictvím MSN Messengeru rozesílal na všechny kontakty zprávu obsahující URL adresu, po jejímž navštívení se stáhne soubor omg.pif. Po spuštění tohoto souboru dojde k pokusu o stažení obrázku me.jpg a jeho následnému uložení jako c:dumprep.exe – jedná se o variantu W32.Spybot.Worm. Pravidelně aktualizovaný antivirový program by již v současné době neměl mít s odhalením této hrozby problém.
Zmíněný scénář tak potvrzuje fakt, že instant messaging je jedním z univerzálně zneužitelných kanálů, kterými se škodlivý kód, jeho tvůrci a podvodníci mohou dostat přímo do uživatelova počítače, na jeho obrazovku. Riziko je tím větší, že se jedná o často opomíjený problém. Část obrany na sebe již berou specializované moduly jednotlivých antivirových programů, nicméně větší porce odpovědnosti stále leží na bedrech koncových uživatelů – před bezhlavým klikáním na odkazy týkající se zpráv v IM klientovi nebo možností přidání nových kontaktů je zapotřebí trochu se zamyslet. Zdravý rozum často nahradí i sebesofistikovanější softwarovou heuristiku.
