Az Instant Messaging nem a titkokhoz való!
Az IM teljesen transzparens, tehát bárkinek átlátszó protokoll. Nem fed el semmit. Hacsak nem egyezik meg előre a két oldal valami partizánkódolásban. Még a kicsit lassúbb elektronikus levelezés is jobb ennél, hisz a bizalmas információkat titkosítva lehet csatolni a levelekhez. Persze, ha a kísérőlevélben a jelszó is ott van, akkor nem sokat ér a titkosítás az emileknél sem, de a jelszót el lehet küldeni külön, egy másik postaládán át, esetleg egyszerűbb titkosítással stb.
Műszakilag ugyan nem föltétlen kellene ennyire védtelennek lennie az IM rendszenek, de a protokoll szenved a védelmi résektől, amelyeken már csak az implementációk ronthatnak. És a szállítók be is vallják, hogy sajnos tényleg vannak védelmi rések. Ezek révén ellophatók az azonosítók jelszavai, úgyhogy az sem biztos, ki is hívott bennünket tulajdonképpen, de elég, ha csak hallgatódzik vagy szimatol utánunk valaki, mert a rések megengedik.
A legnagyobb piaci tortaszelet az IM területén az AOL birtokában van. Utána jön a Microsoft MSN Messenger, majd sokan mások. Minden IM alapvető konstrukciós tulajdonsága, hogy állandóan a háttérben marad, lényegében soha nem lép ki. Ez nem is túlságosan ügyes hackereknek is alkalom a szereplopásra, mivel, ugyancsak konstrukciós okokból, folyamatosan meghirdetik a szereplők jelenlétét a hálón. Ezt még azután is folytatják, ahogy a kliensablakot becsuktuk. Az aktivitást csak az implementáció explicit exit funkciójának a hívása tudja megszüntetni. És ezen még a tűzfalak sem tudnak tökéletesen segíteni. Az ellen szerencsére védenek, hogy a helyi logállományt ne tudják arra nem illetékesek kiolvasni. Persze, ha a rendszergazda jelszó közismert, akkor ez sem véd. Ezzel a lezserséggel egyenrangú, hogy némelyek az IM alapbeállításait úgy hagyják, ahogy a gyártó leszállította. Ezeket azután szinte mindenki ismeri.
Az IM gyártók is sokat tesznek azért, hogy ne legyen biztonságos az IM. Az AOL/Netscape IM-ek például egyenesen aláássák a böngészők biztonsági eszközeit. Amikor az AIM-et telepítjük vagy frissítjük, az IE Trusted Sites Zone, azaz, megbízható helyek zónájába fölkerül a free.aol.com hálószem. Ugyanez a helyzet az AIM-el integráltan letöltött Netscape 6.x telepítésekor. A free.aol.com kapcsolaton át azután bárhová kapcsolódni lehet (hisz ez a működés alapja). Mivel pedig az IE megbízható zónáját alapállapotban gyengének állítják be (a lényegéből fakadóan!), az áttörése nem lehet túl nehéz azoknak, akik ilyenre vadásznak. Például megteszik magukat free.aol.com-nak. Az AOL nem is tagadja, hogy az AIM nem biztonságos az érzékeny információk megtárgyalásához, és erre nem is ajánlja! Fred Langa cikke az Informationweek-ben még további AIM horror eseteket is elemez.
Az MSN Messenger még mindig kevesebb balhéval terhes, jóllehet a hírcsatornák folyton tele vannak MS védelmi rés hírekkel. Védelme egyébként is a MS különálló Passport szolgáltatásán alapul, amelyet aztán más szolgáltatások is használhatnak. Így aztán a Passport védelmi rései egyszerre mindegyik rá épülő szolgáltatást sújtják. Szumma szmmárum, lényegében minden IM megoldás védelmi résekkel terhes, tehát érzékeny információk kezelésére alkalmatlan, és hosszú távon sem lesz alkalmas. Arra biztosan jól használható, hogy kilocsogjuk féltett titkainkat a fél világnak.
Kapcsolódó cikkek
- Kínai rakétahordozó tengeralattjáró a Google Earth-ön
- 11 hibát javít a Microsoft frissítőcsomag
- MSN: online nézettségi rekord a Live Earth koncerttel
- Kritikus fontosságú Windows-, Office-, Excel-javítások érkeznek
- Microsoft Update-nek álcázott trójai
- Készül a Google-barát Vista SP1
- 15 rést javít a Microsoft 6 biztonsági frissítése
- Négy kritikus javítás kiadására készül a Microsoft
- Big Brother szoftvert barkácsol a Microsoft
- Több előzetes részlet a Microsoft-frissítésekről