Az Instant Messaging nem a titkokhoz való!

Zsadányi Pál, 2001. október 10. 22:23
Fred Langa a levelezőlistájának legutóbbi kiadásában arra hívja föl a figyelmet, hogy minden eszköznek, így a direkt üzenetszolgálatnak (Instant Messaging – a továbbiakban: IM) is megvannak a maga korlátai. Nem szabad tehát figyelmetlenül arra használni, amire nem való. Az IM, például, bizalmas magán vagy üzleti adatok közvetítésére biztosan nem.
Az IM-et, mint elődjét, az ICQ-t (I seek you – kereslek), arra használták, hogy gyorsan lehessen kommunikálni könnyed témákról. Horribile diktu, az eredeti témakör ugyancsak könnyednek mondható, hisz a szextelefonokat váltotta ki, jóval olcsóbban. Ami azonban a nagy interaktivitási igényű szextéma esetében jó eszköz, ne várjuk, hogy majd minden más megbeszélendő témánknál is megfelel.

Az IM teljesen transzparens, tehát bárkinek átlátszó protokoll. Nem fed el semmit. Hacsak nem egyezik meg előre a két oldal valami partizánkódolásban. Még a kicsit lassúbb elektronikus levelezés is jobb ennél, hisz a bizalmas információkat titkosítva lehet csatolni a levelekhez. Persze, ha a kísérőlevélben a jelszó is ott van, akkor nem sokat ér a titkosítás az emileknél sem, de a jelszót el lehet küldeni külön, egy másik postaládán át, esetleg egyszerűbb titkosítással stb.

Műszakilag ugyan nem föltétlen kellene ennyire védtelennek lennie az IM rendszenek, de a protokoll szenved a védelmi résektől, amelyeken már csak az implementációk ronthatnak. És a szállítók be is vallják, hogy sajnos tényleg vannak védelmi rések. Ezek révén ellophatók az azonosítók jelszavai, úgyhogy az sem biztos, ki is hívott bennünket tulajdonképpen, de elég, ha csak hallgatódzik vagy szimatol utánunk valaki, mert a rések megengedik.

A legnagyobb piaci tortaszelet az IM területén az AOL birtokában van. Utána jön a Microsoft MSN Messenger, majd sokan mások. Minden IM alapvető konstrukciós tulajdonsága, hogy állandóan a háttérben marad, lényegében soha nem lép ki. Ez nem is túlságosan ügyes hackereknek is alkalom a szereplopásra, mivel, ugyancsak konstrukciós okokból, folyamatosan meghirdetik a szereplők jelenlétét a hálón. Ezt még azután is folytatják, ahogy a kliensablakot becsuktuk. Az aktivitást csak az implementáció explicit ’exit’ funkciójának a hívása tudja megszüntetni. És ezen még a tűzfalak sem tudnak tökéletesen segíteni. Az ellen szerencsére védenek, hogy a helyi logállományt ne tudják arra nem illetékesek kiolvasni. Persze, ha a rendszergazda jelszó közismert, akkor ez sem véd. Ezzel a lezserséggel egyenrangú, hogy némelyek az IM alapbeállításait úgy hagyják, ahogy a gyártó leszállította. Ezeket azután szinte mindenki ismeri.

Az IM gyártók is sokat tesznek azért, hogy ne legyen biztonságos az IM. Az AOL/Netscape IM-ek például egyenesen aláássák a böngészők biztonsági eszközeit. Amikor az AIM-et telepítjük vagy frissítjük, az IE Trusted Sites Zone, azaz, megbízható helyek zónájába fölkerül a free.aol.com hálószem. Ugyanez a helyzet az AIM-el integráltan letöltött Netscape 6.x telepítésekor. A free.aol.com kapcsolaton át azután bárhová kapcsolódni lehet (hisz ez a működés alapja). Mivel pedig az IE megbízható zónáját alapállapotban gyengének állítják be (a lényegéből fakadóan!), az áttörése nem lehet túl nehéz azoknak, akik ilyenre vadásznak. Például megteszik magukat free.aol.com-nak. Az AOL nem is tagadja, hogy az AIM nem biztonságos az érzékeny információk megtárgyalásához, és erre nem is ajánlja! Fred Langa cikke az Informationweek-ben még további AIM horror eseteket is elemez.

Az MSN Messenger még mindig kevesebb balhéval terhes, jóllehet a hírcsatornák folyton tele vannak MS védelmi rés hírekkel. Védelme egyébként is a MS különálló ’Passport’ szolgáltatásán alapul, amelyet aztán más szolgáltatások is használhatnak. Így aztán a Passport védelmi rései egyszerre mindegyik rá épülő szolgáltatást sújtják. Szumma szmmárum, lényegében minden IM megoldás védelmi résekkel terhes, tehát érzékeny információk kezelésére alkalmatlan, és hosszú távon sem lesz alkalmas. Arra biztosan jól használható, hogy kilocsogjuk féltett titkainkat a fél világnak.