Instant messaging je vedle e-mailu nejčastější formou komunikace na webu. Jaká jsou však jeho rizik a hrozby, na co bychom si měli dát pozor?
Minulý týden jsme informovali o nové verzi populárního IM klienta Miranda, která byla po té předchozí uvolněna ve velice krátkém intervalu. Současně s tím do časopisu Jak na počítač 10/09 připravovali tematický článek právě o instant messagingu, s UPC zase jsme pro JNP.cz natáčeli videonávod pro Skype, a tak měli tak trochu „přemessengerováno“. Věnujme moderním komunikátorům i aktuální komentáře – jak je to vlastně s jejich bezpečností?
Bezpečnostní klasika: Lámeme hesla
Na první pohled instant messaging představuje zábavu a urychlení práce, našlo by se jen velmi málo uživatelů, kteří jej aspoň jednou nevyzkoušeli. Nicméně v celém počítačovém světě platí, že jakmile je některá služba nebo aplikace rozšířenější, dřív nebo později se stane terčem útočníků. Vlaštovky zneužití různých IM sítí a klientů se objevovaly průběžně a nepřekvapí, že se často jednalo o techniky podobné nebezpečným e-mailům. Viry, červy, spam, navíc také zneužití skuliny konkrétního klienta.
Jedno ze základních rizik instant messagingu však představuje zneužití konkrétního účtu, uživatelské jméno zpravidla není skryto, zbývá tedy rozlousknout heslo. Vznikly i specializované komerční aplikace, za pár dolarů (nebo částečně s trial verzí) si tak kdokoliv může vyzkoušet rekonstrukci hesla, robustním programem v tomto ohledu je například Advanced IM Password Recovery s podporou více než sedmdesáti klientů.
Výhodou pro bezbranného uživatele je, že pro rekonstrukci hesla musí být odpovídající podoba někde lokálně uložena, například hash kódem v souboru apod. Pokud tedy heslo v klientovi lokálně neukládáte, riziko se výrazně snižuje, programy zpravidla nemusí spolehlivě sniffovat a zachytávat nešifrovaná hesla putující sítí. Obecně tedy vám největší nebezpečí lokálního prolomení přihlašovacího hesla hrozí v případě, kdy využíváte automatického přihlášení, a tedy máte předvyplněno uživatelské jméno a heslo. Další možností, jak si to vyzkoušet u konkrétního kliena, je například Password Recovery for MSN, který lokálně uložené uživatelské jméno a heslo odhalí během okamžiku.
Password Recovery for MSN v praxi
Detaily, které často sami netušíte
Podobně jako u e-mailu se lze také v případě instant messagingu setkat se spamem, nicméně v této podobě jde nejčastěji o automaticky rozesílané zprávy po zneužití škodlivým kódem. Šíření malwaru má pak lavinový efekt: na všechny položky contact listu se rozešle zpráva s podvrženým odkazem, po jeho následování u příjemce se opět vykrade seznam kontaktů a obešle se atp. Pro příjemce je riziko o to větší, že se zpráva tváří jako naprosto legitimní od daného uživatele.
Rychlý test: Pokud vám od známého přes IM přijde prostá zpráva s jediným hypertextovým odkazem a smajlíkem, následujete ji? V drtivé případů běžných uživatelů bude odpověď nejspíš kladná, a tak i výrobci antivirů zabudovali do rezidentních komponent speciální ochranu pro IM. Riziko škodlivého kódu samozřejmě není pouze doménou klasických PC, ale s rozšířením IM klientů pro mobilní telefony hrozí i v této oblasti. Jak již bylo zmíněno, základní obrana spočívá v použití zdravého rozumu (nenásledovat podezřelé odkazy) a případně antiviru sledujícího IM komunikaci.
Především v případě Windows Live Messengeru se vyplatí projít nastavení programu a uživatelského profilu. Některé funkce (typicky například volba pro zobrazení přehrávaných videí a hudby ve Windows Media Playeru) dokážou občas přímo u vašeho kontaktu zobrazit informace, které byste všem známým vyzrazovat nechtěli. To samé platí i ve spolupráci s dalšími Live službami, kdy se mohou automaticky zobrazovat upozornění na nové soubory a komentáře v rámci SkyDrive. Vše je dobré pro kompletní komunikaci a spolupráci online, nicméně někdy to může obtěžovat.
Oblast s novinkami WLM. Zjistěte si, co všechno se o vás zobrazuje ostatním
Proč to zase spadlo?
Programy pro instant messaging jsou aplikace jako každé jiné, a tak se i u nich čas od času objeví zranitelnost. Jedná se o jednu z nejméně používaných technik napadení IM, nicméně klasikou je zde využití skuliny vzdáleně (například zasláním speciálně upraveného obsahu zprávy, který funguje jako spoušť) a následně například přetečení zásobníku s pádem aplikace a možností spuštění vlastního kódu. Tento postup však na straně útočníka vyžaduje detailní technické znalosti, a tak jde spíš o raritu.
Jak se díváte na bezpečnost instant messagingu? Používáte automatické přihlášení nebo šifrovaný přenos, pokud je k dispozici? Kdy jej preferujete nebo naopak zavrhujete před klasickými e-maily? Podělte se s ostatními čtenáři v diskuzi pod článkem.
