IM и прочие средства корпоративной коммуникации проблемы и решения с точки зрения ИБ

Илья Сачков
руководитель направления, группа информационной безопасности Group-IB

Сервисы Instant Messengers (IM - программы для обмена сообщениями через Интернет в реальном времени через службы мгновенных сообщений). Отличие от электронной почты здесь в том, что обмен сообщениями идет в реальном времени.

IM давно вошли в привычную корпоративную жизнь многих компаний, однако есть ряд организаций, где IM-про-граммы априори запрещены политикой информационной безопасности. Конечно, как полный бесконтрольный доступ, так и полный запрет на использование IM-сервисов являются крайностью. С одной стороны, использование в компании Instant Messengers дает бизнесу больше динамики и мобильности, с другой - количество инцидентов, связанных с применением IM-систем, огромно.

Классификация IM-сервисов

IM-сервисы можно разделить на:

• клиент-серверные IM с закрытым протоколом (ICQ, MSN Messenger, Yahoo!  Messenger; неофициальные клиенты: QIP, Miranda IM, R&Q);
• децентрализованные клиент-серверные IM с открытым протоколом - Jabber (Google Talk, Я.Онлайн,  Gizmo,  LiveJournal, Diary.ru и QIP Infium);
• децентрализованные IM на самоорганизующейся  распределенной  пиринговой  сети - Skype.

Сразу стоит отметить, что третий тип IM-систем относится к VoIP-трафику. Основным назначением Skype является передача голоса и видео. Тем не менее он входит в класс IM-систем, которые утратили в последнее время такое целевое назначение, как передача текста: современный IM - это текст, голос, данные (File Transfer) и видеопотоки.

Первый класс IM-систем является самым распространенным. Архитектура данного класса подразумевает обмен информацией через отдельный сервер (группу серверов), который принадлежит компании-разработчику данного IM-сер-виса. При этом каждая из этих IM-сетей имеет различные серверы и протоколы, а также отличается своими правилами и особенностями. Между различными сетями обычно нет никакой взаимосвязи и обмена трафиком. Получается, что пользователь сети ICQ не может связаться с пользователем сети MSN.

Риски использования IM первого класса

С точки зрения информационной безопасности можно выделить следующие риски использования IM первого класса в корпоративных сетях (в этом обзоре риск "неэффективное использование рабочего времени" не будет учитываться, так как выходит за рамки информационной безопасности):

• Возможность заражения вредоносным программным обеспечением. Известно, что в настоящее  время сети ICQ, MSN регулярно используются для массовой отправки сообщений, содержащих ссылки на страницы с загружаемой через уязвимости ОС или браузера вредоносным ПО. Так как основная цель таких рассылок -создание потока человеческого трафика для создания бот-сетей, то используются чаще всего новые уязвимости и новые типы вирусов/червей.
• Утечка информации. С учетом того, что протоколы данных IM являются закрытыми и достаточно часто меняются, то даже  применение DLP-реше-ний не гарантирует закрытие данного риска и ведение должного аудита. Кроме того, многие альтернативные  клиенты имеют встроенные возможности шифрования трафика, которые сильно затруднят его анализ или сделают эту процедуру невозможной. Однако некоторые протоколы, наоборот, являются простыми для анализа. Таким образом, появляется возможность перехватывать и получать доступ  к информации, когда трафик выходит за периметр компании.
• Компрометация сервера и доступ к информации. Так как обмен трафиком  идет через сервер, который не является контролируемым объектом, то велика вероятность его компрометации.  Это уже случалось с локальными серверами ICQ на Украине, в Болгарии и других странах.
• Отсутствие возможности проводить аудит безопасности выбираемого пароля. Чаще всего IM-сервисы не накладывают ограничений с точки зрения ИБ на выбираемый пароль (исключение составляет длина пароля). При этом компания не может  контролировать  безопасность  выбранного сотрудником пароля. Интересный факт: 20 процентов ICQ-паро-лей подбирается по словарю за один час.

Второй класс IM - Jabber

Это система мгновенного обмена сообщениями на основе открытого протокола XM PP. В отличие от распространенных коммерческих IM-систем, таких как ICQ, MSN, AIM, и Yahoo, Jabber является децентрализованной, расширяемой и открытой системой. Любая компания может создать и поддерживать свой сервер мгновенных сообщений, регистрировать на нем пользователей  и  взаимодействовать с другими серверами Jabber. На основе протокола ХМРР уже открыто множество частных и корпоративных серверов Jabber. Среди них есть достаточно крупные проекты, такие как Google Talk, Я.Онлайн, Gizmo, LiveJournal, Diary.ru, QIP Infium и много других. Jabber имеет следующие достоинства по сравнению с IM первого класса:

• Децентрализованность: любая компания может запустить свой собственный сервер Jabber. Отсюда следует, что создать контролируемый сервер для обмена сообщениями внутри компании не составит труда.
• Безопасность: любой сервер Jabber может быть изолирован от общедоступной сети Jabber, многие из вариантов реализации сервера используют SSL при обмене между клиентом и сервером,  большинство Jabber-клиентов поддерживают шифрование с помощью PGP/GPG внутри протокола.
• Открытость протокола: протокол Jabber открыт и общедоступен.  Существует большое количество реализаций серверов и клиентов, а также библиотек с открытым исходным кодом. Таким образом, любая DLP-система без проблем может работать с XMPP.
• Расширяемость: с помощью языка XML можно расширить протокол Jabber для выполнения любых дополнительных задач. А главное, что Jabber позволяет    использовать    собственные серверы в качестве шлюза  между   IM-системами второго и первого класса, то есть, используя сервер Jabber внутри компании, можно снизить риски, которые имели место в первом классе IM.

Сервер Jabber позволит осуществлять:

• контроль обмена трафика и его типа (даже без использования DLP-решений);
• менеджмент учетных записей;
• передачу данных, используя надстройку  над  протоколом, которая подойдет под политику ИБ;
• полный аудит всех действий в IM-системе;
• контроль политики безопасности паролей;
• безопасный обмен IM-сооб-щениями между компанией и внешними  IM-сервисами,  используя Jabber-шлюз;
• фильтрацию спама.

Skype

Приведем некоторые сведения:

1.  Skype использует:
-  закрытый протокол, который до сих пор не изучен;
-  многоуровневую систему шифрования, при этом шифрует трафик, активно используя продвинутые технологии, препятствующие  выделению постоянных сигнатур в полях заголовков. Обнародованных фактов расшифровки трафика Skype нет.
2. В технологии передачи трафика отсутствует понятие "сервер". Любой узел с установленным Skype-клиентом является потенциальным сервером, то есть при этом реализовывается P2P-подход.
3. Skype без проблем обходит межсетевые экраны. Методы,  позволяющие заблокировать трафик Skype, устаревают с выходом новой версии.
4. Несмотря  на заявления некоторых DLP-компаний, трафик Skype (и голосовой и текстовый)   нельзя   контролировать.

Вывод

Возможно использование IM-систем в корпоративной практике с учетом требований политики информационной безопасности. Описанный выше метод с применением сервера Jabber является фундаментом безопасности использования Instant Messengers в компании. С помощью этой логики можно построить эффективную, а главное, безопасную и поддающуюся аудиту ИТ-систему обмена быстрыми сообщениями, которые с точки зрения бизнеса очень часто увеличивают его эффективность. Стоимость данного решения является приемлемой даже для компаний малого бизнеса (затраты будут складываться только из стоимости оборудования, так как ПО не является коммерческим).

IM первого класса и Skype не рекомендуется использовать в корпоративной ИТ-инфра-структуре, так как подобные IM создают значительные угрозы информационной безопасности, и, к сожалению, риски физически не могут быть минимизированы, или процедура минимизации рисков не будет экономически обоснованной.

IM и прочие средства корпоративной коммуникации - проблемы и решения с точки зрения ИБ

Комментарий эксперта

Григорий Васильев
технический директор ESET

В  сфере  информационной безопасности отношение к IICQ и другим Интернет-пейджерам как к средствам корпоративной коммуникации неоднозначное. Противники IM на рабочем месте уверены, что использование этих сервисов гарантированно приводит к нецелевому расходу рабочего времени, представляет серьезную угрозу безопасности информационной сети. Упрощенная аутентификация пользователя и отсутствие защиты трафика от перехвата, централизованная архитектура с единым сервером для всех клиентов - вот лишь некоторые существенные недостатки.

Оставим проблемы, которые создают излишне общительные сотрудники, HR-менеджерам и поговорим об угрозах, связанных с IM-сервисами. Статистика утверждает, что критические уязвимости есть в любом Интернет-пейджере. Черви, эксплуатирующие подобные уязвимости, распространяются с той же скоростью, что и пакеты протокола IM. Кстати, не все IM поддерживают функцию шифрования пакетов, и в случае перехвата трафика злоумышленник может легко прочитать всю переписку.

Трафик по IM-протоколам сложно контролировать, что увеличивает риски утечки закрытой информации. В случае кражи аккаунта от имени владельца могут быть отправлены любые сообщения, компрометирующие и самого сотрудника, и организацию, а также ссылки на вредоносные файлы и ресурсы. Адресаты сообщений будут уверены, что общаются с легитимным пользователем. Это дает злоумышленникам прекрасную возможность путем несложных манипуляций получить практически любую информацию.

И все же бесплатные IM-сервисы сохраняют свои позиции, в том числе в корпоративных сетях. Альтернативные коммерческие продукты класса Unified Communications (UC), интегрирующие сервисы электронной почты, IM, телефонии, видеоконференцсвязи на базе единой платформы, имеют неоспоримые преимущества, но их распространение, особенно в России, идет очень медленно.

Сложившаяся ситуация требует особого внимания к вопросам безопасности сети со стороны IT-специалистов компаний, где установленная "аська" все еще остается нормой. Наиболее эффективными способами предотвращения заражений через IM-сервисы остаются контроль портов, используемых Интернет-пейджерами, защита периметра сети, анализ трафика средствами антивирусных решений.