reklama

ICQ, Miranda a další: Rychlé instantní nebezpečí

Instant messaging je vedle e-mailu nejčastější formou komunikace na webu. Jaká jsou však jeho rizik a hrozby, na co bychom si měli dát pozor?

Minulý týden jsme informovali o nové verzi populárního IM klienta Miranda, která byla po té předchozí uvolněna ve velice krátkém intervalu. Současně s tím do časopisu Jak na počítač 10/09 připravovali tematický článek právě o instant messagingu, s UPC zase jsme pro JNP.cz natáčeli videonávod pro Skype, a tak měli tak trochu „přemessengerováno“. Věnujme moderním komunikátorům i aktuální komentáře – jak je to vlastně s jejich bezpečností?

Bezpečnostní klasika: Lámeme hesla

Na první pohled instant messaging představuje zábavu a urychlení práce, našlo by se jen velmi málo uživatelů, kteří jej aspoň jednou nevyzkoušeli. Nicméně v celém počítačovém světě platí, že jakmile je některá služba nebo aplikace rozšířenější, dřív nebo později se stane terčem útočníků. Vlaštovky zneužití různých IM sítí a klientů se objevovaly průběžně a nepřekvapí, že se často jednalo o techniky podobné nebezpečným e-mailům. Viry, červy, spam, navíc také zneužití skuliny konkrétního klienta.

Jedno ze základních rizik instant messagingu však představuje zneužití konkrétního účtu, uživatelské jméno zpravidla není skryto, zbývá tedy rozlousknout heslo. Vznikly i specializované komerční aplikace, za pár dolarů (nebo částečně s trial verzí) si tak kdokoliv může vyzkoušet rekonstrukci hesla, robustním programem v tomto ohledu je například Advanced IM Password Recovery s podporou více než sedmdesáti klientů.

Výhodou pro bezbranného uživatele je, že pro rekonstrukci hesla musí být odpovídající podoba někde lokálně uložena, například hash kódem v souboru apod. Pokud tedy heslo v klientovi lokálně neukládáte, riziko se výrazně snižuje, programy zpravidla nemusí spolehlivě sniffovat a zachytávat nešifrovaná hesla putující sítí. Obecně tedy vám největší nebezpečí lokálního prolomení přihlašovacího hesla hrozí v případě, kdy využíváte automatického přihlášení, a tedy máte předvyplněno uživatelské jméno a heslo. Další možností, jak si to vyzkoušet u konkrétního kliena, je například Password Recovery for MSN, který lokálně uložené uživatelské jméno a heslo odhalí během okamžiku.

Klepněte pro větší obrázek
Password Recovery for MSN v praxi

Detaily, které často sami netušíte

Podobně jako u e-mailu se lze také v případě instant messagingu setkat se spamem, nicméně v této podobě jde nejčastěji o automaticky rozesílané zprávy po zneužití škodlivým kódem. Šíření malwaru má pak lavinový efekt: na všechny položky contact listu se rozešle zpráva s podvrženým odkazem, po jeho následování u příjemce se opět vykrade seznam kontaktů a obešle se atp. Pro příjemce je riziko o to větší, že se zpráva tváří jako naprosto legitimní od daného uživatele.

Rychlý test: Pokud vám od známého přes IM přijde prostá zpráva s jediným hypertextovým odkazem a smajlíkem, následujete ji? V drtivé případů běžných uživatelů bude odpověď nejspíš kladná, a tak i výrobci antivirů zabudovali do rezidentních komponent speciální ochranu pro IM. Riziko škodlivého kódu samozřejmě není pouze doménou klasických PC, ale s rozšířením IM klientů pro mobilní telefony hrozí i v této oblasti. Jak již bylo zmíněno, základní obrana spočívá v použití zdravého rozumu (nenásledovat podezřelé odkazy) a případně antiviru sledujícího IM komunikaci.

Především v případě Windows Live Messengeru se vyplatí projít nastavení programu a uživatelského profilu. Některé funkce (typicky například volba pro zobrazení přehrávaných videí a hudby ve Windows Media Playeru) dokážou občas přímo u vašeho kontaktu zobrazit informace, které byste všem známým vyzrazovat nechtěli. To samé platí i ve spolupráci s dalšími Live službami, kdy se mohou automaticky zobrazovat upozornění na nové soubory a komentáře v rámci SkyDrive. Vše je dobré pro kompletní komunikaci a spolupráci online, nicméně někdy to může obtěžovat.

Klepněte pro větší obrázek
Oblast s novinkami WLM. Zjistěte si, co všechno se o vás zobrazuje ostatním

Proč to zase spadlo?

Programy pro instant messaging jsou aplikace jako každé jiné, a tak se i u nich čas od času objeví zranitelnost. Jedná se o jednu z nejméně používaných technik napadení IM, nicméně klasikou je zde využití skuliny vzdáleně (například zasláním speciálně upraveného obsahu zprávy, který funguje jako spoušť) a následně například přetečení zásobníku s pádem aplikace a možností spuštění vlastního kódu. Tento postup však na straně útočníka vyžaduje detailní technické znalosti, a tak jde spíš o raritu.

Jak se díváte na bezpečnost instant messagingu? Používáte automatické přihlášení nebo šifrovaný přenos, pokud je k dispozici? Kdy jej preferujete nebo naopak zavrhujete před klasickými e-maily? Podělte se s ostatními čtenáři v diskuzi pod článkem.

Témata článku: Password, Recovery

30 komentářů

Nejnovější komentáře

  • Vykook 6. 10. 2009 22:18:01
    Jaky je rozdil mezi texotvym editorem a procesorem, je snad jasne uplne...
  • Voty 6. 10. 2009 22:09:16
    1) Blesk má jedny z nejlépe tvořených nadpisů tuzemských médií. Děkuji...
  • TrSek 6. 10. 2009 17:37:49
    Tiez som mal pocit ze to bude o bezpecnostnej chybe Mirandy. Takze sa...
reklama
Určitě si přečtěte

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

UPC překopli páteřní kabel. V Brně i druhý den nejede internet ani kabelovka

** V Brně byl velký výpadek služeb UPC ** Důvodem je překopnutý páteřní kabel ** V některých lokalitách služby stále nefungují

5.  12.  2016 | Jakub Čížek | 103

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

17 expertek Microsoftu předpovědělo rok 2027. Splní se alespoň něco?

** Zmizí klasické vyhledávače ** Budeme programovat buňky ** Kvantové počítače překonají šifry

6.  12.  2016 | Jakub Čížek | 36

11 tipů na dobrý stolní počítač: od základu po herní mašiny

11 tipů na dobrý stolní počítač: od základu po herní mašiny

** Postavte si stolní počítač! Máme pro vás 11 vzorových sestav s rozpisem komponent ** Většina tipů cílí na hráče, věnujeme se ale i základnímu PC a počítačům na střih videa ** Nadělte si nový počítač třeba pod stromeček

5.  12.  2016 | Adam Kahánek | 74

Nejlepší notebooky nad 20 tisíc: poradíme, které teď chcete

Nejlepší notebooky nad 20 tisíc: poradíme, které teď chcete

** V notebooku s cenou nad 20 tisíc nesmí chybět kvalitní displej a rychlé úložiště ** Za dalších deset tisíc můžete dostat navíc styl nebo výkonnější komponenty ** Vybírat můžete z různých velikostí i konstrukcí

8.  12.  2016 | Stanislav Janů | 84


reklama