ICQ, Miranda a další: Rychlé instantní nebezpečí

Instant messaging je vedle e-mailu nejčastější formou komunikace na webu. Jaká jsou však jeho rizik a hrozby, na co bychom si měli dát pozor?
ICQ, Miranda a další: Rychlé instantní nebezpečí

Minulý týden jsme informovali o nové verzi populárního IM klienta Miranda, která byla po té předchozí uvolněna ve velice krátkém intervalu. Současně s tím do časopisu Jak na počítač 10/09 připravovali tematický článek právě o instant messagingu, s UPC zase jsme pro JNP.cz natáčeli videonávod pro Skype, a tak měli tak trochu „přemessengerováno“. Věnujme moderním komunikátorům i aktuální komentáře – jak je to vlastně s jejich bezpečností?

Bezpečnostní klasika: Lámeme hesla

Na první pohled instant messaging představuje zábavu a urychlení práce, našlo by se jen velmi málo uživatelů, kteří jej aspoň jednou nevyzkoušeli. Nicméně v celém počítačovém světě platí, že jakmile je některá služba nebo aplikace rozšířenější, dřív nebo později se stane terčem útočníků. Vlaštovky zneužití různých IM sítí a klientů se objevovaly průběžně a nepřekvapí, že se často jednalo o techniky podobné nebezpečným e-mailům. Viry, červy, spam, navíc také zneužití skuliny konkrétního klienta.

Jedno ze základních rizik instant messagingu však představuje zneužití konkrétního účtu, uživatelské jméno zpravidla není skryto, zbývá tedy rozlousknout heslo. Vznikly i specializované komerční aplikace, za pár dolarů (nebo částečně s trial verzí) si tak kdokoliv může vyzkoušet rekonstrukci hesla, robustním programem v tomto ohledu je například Advanced IM Password Recovery s podporou více než sedmdesáti klientů.

Výhodou pro bezbranného uživatele je, že pro rekonstrukci hesla musí být odpovídající podoba někde lokálně uložena, například hash kódem v souboru apod. Pokud tedy heslo v klientovi lokálně neukládáte, riziko se výrazně snižuje, programy zpravidla nemusí spolehlivě sniffovat a zachytávat nešifrovaná hesla putující sítí. Obecně tedy vám největší nebezpečí lokálního prolomení přihlašovacího hesla hrozí v případě, kdy využíváte automatického přihlášení, a tedy máte předvyplněno uživatelské jméno a heslo. Další možností, jak si to vyzkoušet u konkrétního kliena, je například Password Recovery for MSN, který lokálně uložené uživatelské jméno a heslo odhalí během okamžiku.

Klepněte pro větší obrázek
Password Recovery for MSN v praxi

Detaily, které často sami netušíte

Podobně jako u e-mailu se lze také v případě instant messagingu setkat se spamem, nicméně v této podobě jde nejčastěji o automaticky rozesílané zprávy po zneužití škodlivým kódem. Šíření malwaru má pak lavinový efekt: na všechny položky contact listu se rozešle zpráva s podvrženým odkazem, po jeho následování u příjemce se opět vykrade seznam kontaktů a obešle se atp. Pro příjemce je riziko o to větší, že se zpráva tváří jako naprosto legitimní od daného uživatele.

Rychlý test: Pokud vám od známého přes IM přijde prostá zpráva s jediným hypertextovým odkazem a smajlíkem, následujete ji? V drtivé případů běžných uživatelů bude odpověď nejspíš kladná, a tak i výrobci antivirů zabudovali do rezidentních komponent speciální ochranu pro IM. Riziko škodlivého kódu samozřejmě není pouze doménou klasických PC, ale s rozšířením IM klientů pro mobilní telefony hrozí i v této oblasti. Jak již bylo zmíněno, základní obrana spočívá v použití zdravého rozumu (nenásledovat podezřelé odkazy) a případně antiviru sledujícího IM komunikaci.

Především v případě Windows Live Messengeru se vyplatí projít nastavení programu a uživatelského profilu. Některé funkce (typicky například volba pro zobrazení přehrávaných videí a hudby ve Windows Media Playeru) dokážou občas přímo u vašeho kontaktu zobrazit informace, které byste všem známým vyzrazovat nechtěli. To samé platí i ve spolupráci s dalšími Live službami, kdy se mohou automaticky zobrazovat upozornění na nové soubory a komentáře v rámci SkyDrive. Vše je dobré pro kompletní komunikaci a spolupráci online, nicméně někdy to může obtěžovat.

Klepněte pro větší obrázek
Oblast s novinkami WLM. Zjistěte si, co všechno se o vás zobrazuje ostatním

Proč to zase spadlo?

Programy pro instant messaging jsou aplikace jako každé jiné, a tak se i u nich čas od času objeví zranitelnost. Jedná se o jednu z nejméně používaných technik napadení IM, nicméně klasikou je zde využití skuliny vzdáleně (například zasláním speciálně upraveného obsahu zprávy, který funguje jako spoušť) a následně například přetečení zásobníku s pádem aplikace a možností spuštění vlastního kódu. Tento postup však na straně útočníka vyžaduje detailní technické znalosti, a tak jde spíš o raritu.

Jak se díváte na bezpečnost instant messagingu? Používáte automatické přihlášení nebo šifrovaný přenos, pokud je k dispozici? Kdy jej preferujete nebo naopak zavrhujete před klasickými e-maily? Podělte se s ostatními čtenáři v diskuzi pod článkem.

Témata článku: Riziko, Přetečení, Password, Legitimní využití, Windows Live Mail, ICQ, Uživatelské jméno, Robustní obrana, Podvržený soubor, Instant, Zdravý pár, Recovery

Určitě si přečtěte

Dnes je Black Friday: Přehled slev na elektroniku a počítače

Dnes je Black Friday: Přehled slev na elektroniku a počítače

** Začala slevová mánie zvaná Black Friday ** Pozor, ne všechny slevy jsou opravdu výhodné ** Průběžně sledujeme slevové akce v počítačových e-shopech

22.  11.  2017 | David Polesný | 37

Google Mapy mají nový design. Líbí se vám víc než předchozí? Tady je srovnání

Google Mapy mají nový design. Líbí se vám víc než předchozí? Tady je srovnání

** Nový design Google Map přijde na počítače i mobilní telefony. ** Zaměřuje se na zvýraznění konkrétních míst, mapové podklady jsou mnohdy upozaděné. ** Lépe pracuje s chráněnými oblastmi a parky.

20.  11.  2017 | Vladislav Kluska | 30

Microsoftu se invaze na Android daří, jeho launcher aktivně používá přes milion lidí

Microsoftu se invaze na Android daří, jeho launcher aktivně používá přes milion lidí

** Microsoft se zabydluje na platformě Android ** Nedávno představený launcher už používá milion uživatelů ** Je to stále jen zanedbatelný zlomek uživatelů Androidu, ale slibný růst

22.  11.  2017 | Vladislav Kluska | 35

Co je to láska? Milujeme se pouze kvůli chemickým látkám, nebo je v tom něco víc?

Co je to láska? Milujeme se pouze kvůli chemickým látkám, nebo je v tom něco víc?

** Co je to vlastně láska? Dá se vysvětlit vědecky? ** Výzkum ukázal, že zamilovaní jedinci mají mj. zvýšenou hladinu fenyletylaminu a množství testosteronu ** Je ale rozdíl mezi zamilovaností a láskou

21.  11.  2017 | Vojtěch Malý | 23


Aktuální číslo časopisu Computer

Otestovali jsme 5 HDR 4K televizorů

Jak natáčet video zrcadlovkou

Vytvořte si chytrou domácnost

Radíme s koupí počítačového zdroje