Security World

Technologie IM
Než se podíváme na bezpečnostní aspekty a rizika související s technologií IM, pojďme se s ní nejprve alespoň letmo seznámit.
IM je druh elektronické komunikace, která vytváří spojení mezi komunikujícími stranami. Zprávy psané na klávesnici (případně může docházet i k předávání elektronických dat získaných jinak - zvuk, obraz...) jsou při tomto způsobu komunikace okamžitě zasílané k příjemci. Dřívější programy okamžitě u partnera zobrazovaly každé napsané písmenko - když jste se překlepli a smazali ho, smazalo se následně i u partnera. Dnes se zpravidla odesílají až celé řádky nebo odstavce textu.
Nejlépe by se IM dal přirovnat k telefonické konverzaci - ovšem s nižšími náklady a vyšším komfortem (příjemce zprávu sice vidí okamžitě, ale nemusí na ni okamžitě reagovat, pokud nechce nebo se mu to nehodí).
IM umožňuje v reálném čase sledovat, kdo se fyzicky nachází u počítače (či přesněji: kdo má zapnutý počítač s puštěným IM klientem) a s kým je možné okamžitě komunikovat.
Technologie má oproti e-mailu (kde nemusí být obě komunikující strany on-line přítomny) ještě jednu výhodu: je považována za důvěryhodnější než právě elektronická pošta. Navíc je pohodlnější a jistější než třeba tolik oblíbené SMS zprávy.
Komunikující strany při IM bývají zpravidla dvě, ale může jich být i více. Pozor, někdy je komunikace pomocí IM označována jako chat, ale to není zcela přesné (i když třeba IRC, Internet Relay Chat, je jednou z podmnožin IM). Při chatování dochází ke komunikaci zpravidla "na neutrální půdě" (speciální stránky se speciálními místnostmi) - při IM se vytváří komunikace přímo mezi počítači (i když z principu nic nebrání vytvoření chatovacího prostředí přímo mezi počítači). Je to zhruba stejný rozdíl jako mezi veřejným a soukromým klubem. Nicméně oba způsoby komunikace jsou si z principu opravdu hodně podobné.
Kromě toho IM umožňuje výměnu nejen textových zpráv, ale třeba i souborů, nově pak internetovou telefonii nebo videokonference. Dokonce umožňuje hrát v reálném čase hry - kulečník, piškvorky, šachy (ti dříve narození si ještě možná vzpomenou na korespondenční šachové partie, kdy si partneři jednotlivé tahy zasílali v dopisech, na pohlednicích či korespondenčních lístcích). A k tomu všemu je potřeba jen stálé a dostatečně výkonné připojení k internetu (pro pouhé psaní zpráv ani to ne), plus sluchátka s mikrofonem nebo malá kamera - v ceně zanedbatelných několika stokorun.
Budoucnost IM je přitom více než růžová. Mnohé prognózy předvídají, že se tato technologie brzy stane elektronickou jedničkou a překoná dosud bezkonkurenční e-mail.
Podle analýzy z prosince 2005 předpovídá analytická firma Gartner, že v roce 2010 bude mít celosvětově devadesát procent firem
s e-mailovou adresou také nějaký IM systém. Dnes například v USA používají IM čtyři osoby z deseti, které vlastní e-mailovou schránku. V podnikovém sektoru je to dokonce sedm z deseti.
Zpráva firmy Gartner přitom důrazně připomíná: "S tím, jak IM provoz narůstá co do objemu a co do hodnoty, musí organizace nasazovat nejen odpovídající podnikatelské IM technologie, ale také zajišťovat IM hygienu (bezpečnost) k zajištění efektivního, neporušeného, spolehlivého a bezpečného použití této technologie."


Hrozby a problémy IM
Podle průzkumu provedeného jinou firmou, společností Nemertes Research, plných 62 procent dotázaných charakterizovalo IM ve vztahu k zajištění bezpečnosti jako "kritický problém".
Proč tomu tak je? Odpověď na tuto otázku není jednoduchá a těžko ji shrneme do jedné věty. Problém je třeba v tom, že zatímco jiná témata jsou poměrně široce medializovaná, okolo bezpečnostních děr, virových incidentů či jiných problémů IM vládne ticho. Přitom těchto problémů je poměrně hodně - a nabývají na významu (viz dále). Na to navazuje obecně nízké povědomí o celé technologii, přestože je poměrně rozšířená (a to i u nás).
V technologiích IM jsme s bezpečností jakoby v době před několika lety, tedy v éře prvních e-mailových červů. Tehdy si ještě lidé často neuvědomovali, že s nimi nekomunikuje osoba známá, nýbrž automatický software - virus. A zasílaným zprávám či přílohám beze-
zbytku věřili. Ostatně pamatujete si ještě poučky typu "neotevírejte přílohy od neznámých osob, jen od známých jsou bezpečné?"
Pokud máme nechat promluvit suchá čísla statistik, pak v prvním čtvrtletí roku 2005 bylo objeveno zhruba sto různých bezpečnostních hrozeb pro technologii IM. Což představuje čtyřistaprocentní nárůst oproti stejnému období roku předcházejícího.
A to byla jen předzvěst z bezpečnostního pohledu velmi neradostného roku 2005. Celkem se totiž objevilo přes 2 400 virů, červů, trojských koní a dalších škodlivých kódů (bezpečnostní chyby a zranitelnosti tedy nepočítaje!), zaměřených právě na IM technologii a systémy. V konečném důsledku to představovalo nárůst o 1 600 (!) procent oproti roku 2004. Pokud bychom srovnali třeba prosinec 2005 s prosincem 2004, pak můžeme jen smutně konstatovat osmisetprocentní nárůst (podle IMlogic's Threat Center).
A jak vypadá rok 2006? Mezi letoškem a katastrofálním rokem 2005 je zhruba stejně propastný rozdíl jako mezi lety 2005 a 2004... V prvním čtvrtletí 2006 jsme zaznamenali o více než 160 procent útoků více než před rokem.
V zásadě můžeme identifikovat tři hlavní důvody, proč se bezpečnost v oblasti IM takto dramaticky zhoršuje. Prvním je nárůst masového používání IM ve firmách, a to velmi často bez vědomí vedení! Tím se pochopitelně otevírá nová příležitost pro agresory. Druhým je fakt, že ochrana proti klasickým typům útoků se už dostala na velmi dobrou úroveň, takže hackerům opravdu nezbývá nic jiného, než hledat nové cesty. Jinými slovy: staré dobré osvědčené způsoby už se nedají používat a napadnout firemní síť je čím dál tím složitější.
Třetím důvodem je narůstající sofistikovanost a komplexnost útoků. Hackeři se zkrátka v IM prostředí naučili rychle orientovat a využívat jeho slabin ku svému prospěchu. Obratně také přenášejí dosavadní typy útoků (jako je falšování identit, phishing, sociální inženýrství) do nového prostředí.
Typický IM útok vypadá tak, že se agresoři nejprve zaměří na získání seznamu kontaktů z určitého počítače. Získat totiž kontakty někde na internetu (jako třeba v případě spamu) nebo jiným podobným způsobem je při IM krajně nepraktické. Jakmile se ale hacker zmocní adresáře, může rozesílat zprávy, přičemž se maskuje jako majitel seznamu - mění tedy svoji identitu. Tím v očích příjemců zprávy získává útočník na důvěryhodnosti - když posílá zprávy, nejčastěji s výzvou k návštěvě nějaké www stránky. V této stránce pochopitelně už číhá nějaký škodlivý kód nebo skript, jímž dochází k infikování počítače (třeba za předpokladu, že není odpovídajícím způsobem ošetřený proti aktuálním bezpečnostním chybám - záplatovaný).
To je mimochodem jeden z podstatných trendů v oblasti škodlivých kódů: přesun z jiného média (zpravidla e-mail) právě na webové stránky. Důvodů je několik. V první řadě se třeba u e-mailů velmi snadno kontroluje přítomnost virů - a kdo se nechce obtěžovat s kontrolou, může rovnou zakázat přijímání nejpoužívanějších nebezpečných příloh (EXE, COM, VBS apod.) a nastaví formátování zpráv tak, aby je dostával jen v podobě prostého textu (protože formátování HTML poskytuje hostitelské prostředí pro viry).
Dalším důvodem přechodu na web je to, že tento způsob šíření představuje větší výzvu pro antivirové firmy. Vzorky už k nim neputují jako na stříbrném podnose elektronickou poštou či v nějakých souborech, ale jsou staticky umístěné na internetu. S tím jde ruku v ruce fakt, že škodlivé kódy na www stránce se hackerům nepoměrně snadněji aktualizují - třeba pokud je chtějí doplnit o nové funkce nebo upravit tak, aby se vyhnuly nejnovějším verzím bezpečnostních programů. Což pochopitelně u jednou vypuštěného viru, následně si žijícího vlastním životem, není možné.
Tyto trendy názorně ilustrují dvě informace z poslední doby. První je zpráva společnosti BlackSpider Technologies, že míra zavirování e-mailů dosáhla v květnu 2006 historického minima: na 1 000 zpráv připadalo 7,3 infikovaných. A o měsíc později ještě více poklesla, neboť zavirováno bylo jen 6,8 e-mailu z tisíce.
Druhou zprávou je průzkum provedený Department of Computer Science and Engineering na University of Washington v USA, který odhalil, že jedna ze 67 stránek na internetu obsahuje nějaký škodlivý kód! Průzkum přitom nelze podezřívat z neobjektivnosti, neboť v jeho rámci bylo monitorováno osmnáct miliónů náhodně vybraných www stránek - tedy dostatečně významný statistický počet.
Vraťme se ale zpět k technologii IM: dalším problémem, který nahrává útočníkům, je fakt, že mnohé současné firewally nejsou schopné provoz generovaný těmito programy filtrovat či logovat. Toho v konečném důsledku často zneužívají vlastní zaměstnanci k nelegálnímu (nikoliv z hlediska právního, nýbrž vnitropodnikových předpisů) používání IM.
Abychom jen neteoretizovali: na vlastní kůži to pocítil internetový portál Yahoo!, jehož několik bývalých zaměstnanců použilo právě IM k distribuování tajných obchodních a technických informací, které předali svému novému zaměstnavateli. Tím byl nejmenovaný konkurenční start-upový portál. Snažili se přitom využít právě slabin IM ve vztahu k zaměstnavateli - nicméně tvrdě narazili, neboť právě Yahoo! má monitorování IM velmi solidně ošetřené. Že celý případ skončil u soudu, jistě není nutné dvakrát zdůrazňovat.
Technologie IM představuje dvě základní nebezpečí: jednak možnost infikování počítačů, jednak schopnost rychlé výměny souborů (právě bez možnosti kontroly ze strany zaměstnavatele). Útočníci pak mají zájem prostřednictvím IM přebírat kontrolu nad počítači, krást hesla, odcizovat soubory...


IM, zaměstnanci a zaměstnavatelé
V současné době (srpen 2006) používá celosvětově IM přes 105 milionů lidí. Jen zanedbatelný zlomek z nich přitom vlastní antivirový program speciálně vytvořený pro IM - a jen o něco málo více uživatelů si uvědomuje, že IM přináší stejné hrozby jako třeba e-mail...
Ačkoliv používání IM dramaticky roste, na trhu nejsou prakticky žádné obranné či ochranné programy. Na jedné straně běžnému uživateli stačí pro IM klasický antivirový program, nastavit program a dodržovat určitá bezpečnostní doporučení. Na straně druhé je zde ale firemní klientela, která potřebuje otázku zabezpečení IM řešit úplně jinak. Právě absence kvalitních řešení znamená, že IM se raději zakazují nebo přinejlepším tiše tolerují - jen aby je nebylo nutné zapracovávat do bezpečnostní politiky.
Často se tak lze ze strany vedení setkat s názorem: "IM nedovolujeme používat, takže se nepoužívá". Což je ale zcela chybné - a zpravidla první, kdo výhody této technologie ocení, jsou oddělení informatiky. Která by ovšem jako první v řadě měla dbát na bezpečnost...
Většina zaměstnanců dříve či později začne IM používat - ať už je to povoleno nebo ne. A pokud opravdu bude nějaká organizace natolik tvrdá, že si zákaz této technologie za cenu tvrdých represí vynutí, bude to pro ni v konkurenčním prostředí představovat velké mínus. Proto je lepší IM kontrolovat a stanovit pravidla používání - a tím tuto technologii koneckonců využít ve svůj prospěch. Neboť největší bezpečnostní problém představuje IM právě v organizacích, kde tuto technologii zaměstnanci houfně nasazují z vlastní iniciativy.
Ještě jedno malé upozornění: někdy se uvádí, že IM je zcela zdarma. Tedy pokud máme stálé připojení k internetu a počítač. Ovšem pozor, není zdarma jako "zdarma". Zvláště gigantické firmy si na nějakou dobročinnost příliš nepotrpí - a jsou vlastníky mnoha patentů v technologii IM. Čili se dá předpokládat, že nabídka "zdarma" je jen jedním z obchodních modelů. Nehledě na to, že "platidlem" často nebývají peníze, ale třeba vyplněný formulář s osobními údaji.


Spam pro IM
má jméno spim
Vznik označení spam je všeobecně známý. Takže jen pro připomenutí: dnes již legendární skupina Monthy Python's Flying Circus natočila skeč s restaurací, kde každé jídlo obsahuje "spam" (přesný překlad do češtiny neexistuje, jedná se o lančmít či šunku v plechovce). Takže ať si hosté objednají cokoliv, vždy dostanou spam. A když chtějí něco bez spamu, je jim nabídnuto jídlo, kde je spamu opravdu jen trošičku... Spam se tak v elektronické poště stal synonymem nevyžádaných zpráv.
Naproti tomu slovíčko spim označuje spam v IM. Tentokrát ale jde o uměle vytvořený výraz, kombinující zlidovělé označení SPam a Instant Messaging. Volně by se dalo říci, že jde o nevyžádané zprávy znečišťující IM.
Poslat nevyžádanou poštu (spam či spim - objevuje se už dokonce i spit - SPam over Internet Telephony) nepředstavuje žádný velký problém, stačí jen vytvořit jednoduchý skriptovací program. Potřebujete jen příslušné adresy - a pak spamovat či spimovat do omrzení...
Ovšem ve světě IM to tak jednoduché není. Podotýkáme totiž, že většina IM protokolů je proprietárních. Čili jen jednoduchými úpravami se lze spimu poměrně úspěšně bránit. Proto také IM zatím ani zdaleka není pod takovou záplavou nevyžádaných zpráv jako elektronická pošta.
Samotným případem je Messenger Service
ve Windows, což je služba umožňující zobrazování pop-up (vyskakovacích) oken s informací. Jinými slovy: kdekdo vám může nechat na obrazovce vyskočit okno s informací. Samozřejmě i s nevyžádanou. Zajímavé ovšem je, že nejčastěji zobrazovaným oknem je zprávička: "Vadí vám takovéto a podobné obtěžující zprávy? - navštivte naše www stránky, za mírný poplatek se s vámi podělíme o návod, jak se jich zbavit". Absurdní na celé situaci je to, že tyto zprávy s nabídnou blokování jsou jediné, co uživatel dostává - čili vytváří problém, který řeší.
Mimochodem, podobně je na tom s nevyžádanými zprávami i technologie IRC, kde uměle vytváření automatičtí boti vstupují do komunikačních kanálů - a účastníky následně zasypávají zprávami, o které nikdo nestojí.


Základy IM hygieny
Pokud je tedy bezpečnost IM tak podceňována a nebezpečí je tak velké a reálné - co máme dělat?
Už třeba při vytváření svého identifikačního jména se snažte, aby vás nijak necharakterizovalo. Pochopitelně to není vždy možné nebo žádoucí, ale pokud to jen trochu jde, tak této možnosti využijte. Stejně tak do různých databází, seznamů a adresářů sdělujte jen minimum osobních informací. Půjdete sice hůře "vypátrat" - ale opravdu je cílem hry, aby si o vás mohl kdekdo zjistit kdeco? (Toto pravidlo platí především pro soukromé uživatele - pochopitelně, že komerční firma či úřad být vidět musí.)
Budete-li navíc svoji komunikační adresu zveřejňovat co nejméně (nebudete ji vystavovat na webu, poskytovat cizím lidem apod.), pak zároveň vytvoříte přirozenou bariéru (těžko vás osloví někdo, kdo o vás neví) nejen proti spimu, ale třeba i proti obtěžování apod.
Stejně tak své osobní či citlivé údaje nesdělujte při konverzaci, a to i se známými lidmi. Technologie IM na podobné důvěrnosti prostě není stavěna.
Při přihlašování k účtu IM z veřejného počítače neukládejte své přihlašovací informace! Někdo by mohl odcizit vaši identitu nebo ji jinak zneužít. Podotýkáme, že veřejným počítačem nemusí být jen internetová kavárna, ale třeba i školní prostředí - nebo firemní počítač, jehož služeb pravidelně využívá více osob!
Pozor také na to, co o sobě prozrazujete po dobu nepřítomnosti. Drtivá většina IM systémů totiž umožňuje nejen sledovat, zda je účastník on-line, ale také důvod, proč se nachází off-line. Což je z jistého úhlu pohledu bezesporu užitečné ("jsem na obědě" znamená, že se během několika desítek minut vrátím apod.), ale na straně druhé je to informace útočníky zneužitelná. Třeba lze takto zjistit, zda je někdo doma (či v kanceláři). Nejde přitom pouze o vloupání, ale třeba i o zneužití metodami sociálního inženýrství: útočník se může dožadovat informace, kterou mu "slíbila" osoba momentálně nepřítomná.
Že tyto informace mohou vidět jen lidé, se kterými komunikujete? Velmi přesně! Právě proto se vyhýbejte komunikaci s lidmi cizími nebo neznámými.
Nikdy neotevírejte přílohy příchozí pomocí IM nebo soubory nabízené ke stažení pomocí zpráv IM. Přílohy od neznámých odesílatelů neotevírejte vůbec, od známých si jejich odeslání ověřte - dva kratičké řádky s dotazem vás mohou ušetřit mnoha nepříjemných problémů.
Milou vlastností IM sice na rozdíl od elektronické pošty je, že pouhým otevřením zprávy nelze aktivovat virus. I když: třeba i tato doba jednoho dne nastane...
Nastavte si svůj software tak, aby umožňoval filtrování i blokování obsahu. Prakticky každý výrobce/dodavatel na svém webu přináší seznam bezpečných nastavení. Věnujte jim pozornost, neboť doba, kdy se dal software implementovat systémem "nainstaluj a zapomeň", je nenávratně pryč.
Zacházejte s IM podobně jako s elektronickou poštou. Není nutné používat speciální antivirové řešení, ale standardní antivir nutností bez diskuse je. Stejně jako třeba osobní firewall či antispywarová aplikace.
Existují dokonce lidé, kteří opustili elektronickou poštu a nahradili ji právě IM. Kromě dalších výhod, jako je třeba pohodlnost nebo rychlost, argumentují i vyšší bezpečností. Jenomže všichni do jednoho dříve či později poznávají, že všechno je jaksi jinak...

Tipy pro organizace
Předchozí body byly určené především domácím uživatelům - nicméně nepochybně stojí mnohé z nich za pozornost také v rámci zajištění bezpečného IM v organizacích.
Problematika bezpečného IM je zde přece jen širší a složitější. Zatímco virus v domácím počítači způsobí jen omezené škody (byť pro postiženého jedince či rodinu třeba s hrozivými následky), tak ve firemním prostředí je možnost škod o několik řádů vyšší. Vyzrazení tajných informací, pokles ceny akcií firmy, ztráta důležité zakázky a s ní spojené propouštění...
Nejde přitom o malování čerta na zeď. V dubnu 2005 byla společnost Reuters Group PLC zasažena virem, infikujícím IM systémy. Přitom tento IM systém byl hojně využívaný obchodními partnery a finančním průmyslem. V důsledku útoku musela společnost Reuters svůj systém odpojit a "vyčistit". Což se nepříjemně dotklo mj. mnoha obchodníků na burzách. Výše vzniklé škody nebyla nikdy zveřejněna.
Na firemní úrovni je v první řadě žádoucí používat třeba filtr, který sleduje využití sítě a který umožňuje odhalit třeba neautorizovaný IM. Buďte si totiž jisti, že i když bude tato technologie povolena, tak se najdou věční nespokojenci (vadí jim určité konkrétní řešení nebo budou prostě na určité řešení zvyklí a z pohodlnosti odmítnou přejít na jiné).
Dále vytvořte politiky a pravidla. A to nejen pro používání IM, nýbrž pro celou komunikační infrastrukturu. Jaké informace se mají předávat telefonicky, jaké e-mailem, k čemu používat IM, fax či fyzické doručení materiálů.
Logujte a auditujte! Informace předávané pomocí IM nelze považovat za zpětně nedohledatelné. Třeba ve Spojených státech platí v některých oblastech u IM přísnější pravidla než u elektronické pošty! Například v bankovním sektoru musí být IM konverzace dohledatelná po dobu sedmi let! Toto nedávno nesplnila americká banka Morgan Stanley a aby si ušetřila nepříjemné tahanice, slíbila nejen, že se polepší, ale zároveň nabídla příslušné federální komisi i dobrovolnou pokutu ve výši 15 milionů dolarů.
Na logování a auditování navazuje monitorování provozu. Jen vědomí, že dochází k monitorování, zvyšuje produktivitu práce a znamená vyhnutí se nevhodnému chování (používání IM pro soukromé účely, flirtování apod.). Historickým precedentem budiž třeba telefonická call-centra, u nichž prudce vzrostla kvalita služeb poté, co se hovory začaly pro účely "auditu a tréninku" nahrávat.
Pamatujte si, že IM zvyšuje produktivitu - ale to by v žádném případě nemělo být omluvou (či spíše výmluvou) pro nedodržování bezpečnostních předpisů.
Dvojsečnou zbraň představuje třeba šifrování, které mají některé IM systémy implementované. Na jedné straně totiž pomáhá chránit obsah komunikace, na straně druhé znemožňuje právě monitorování, zda je IM používaný opravdu jen k autorizovaným účelům.
Snažte se nasadit uzavřené řešení: pochopitelně, pokud vyloženě nepotřebujete komunikovat s vnějším světem. Uzavřené řešení rovná se systém s pevně danými mantinely, bez přístupu vnějších osob.
Můžete zvážit také nasazení proprietárních řešení - tedy nikoliv softwaru od velkých firem, ale od menších dodavatelů. Či dokonce vlastních, protože IM systém "na míru" vůbec není problém vytvořit. Zvláště má-li jít o uzavřené řešení. Jen pro úplnost: většina ze 2 200 známých řešení pro IM a P2P používá právě proprietární protokoly. Ovšem toto na druhé straně přináší problémy s nekompatibilitou, padání vlastního IM i dalších aplikací, síťové potíže...
Používejte standard XMPP (eXtensible Messaging and Presence Protocol), což je formalizace základních protokolů XML právě pro IM. Tento standard umožňuje organizacím nastavit způsob fungování IM a veškerá komunikace může být díky němu autentizována. Neautentizovaná spojení pak nejsou umožněna, což snižuje šance IM způsobit bezpečnostní problémy.
Nezapomínejte také na častokrát zanedbávané vzdělávání! Vzdělaný a poučený uživatel působí mnohem méně problémů než neproškolený experimentátor a dobrodruh.
A ještě jedna poznámka závěrem. Zásluhou absence globálního standardu v oblasti IM neexistují ani stoprocentně platná globální doporučení. Díky tomu dochází často k rozporům. Bezpečnostní firmy na jedné straně doporučují používat šifrování, auditovací společnosti jej na druhé straně přísně zakazují. Někdo jiný zase doporučuje proprietární řešení, protože je konfigurovatelné podle skutečných potřeb, jiný jej kvůli nekompatibilitě s ostatními protokoly nenávidí...


Několik slov závěrem
Technologie IM, umožňující komunikaci v reálném čase, je nesmírně silným pomocníkem a pracovním nástrojem. Ale zároveň je velkým (a rostoucím) nebezpečím. Mějme to při jejím nasazování i používání na paměti. 06s0077/jp o


I to se někdy stává...

Následující příběh se stal jistému nejmenovanému viceprezidentovi jedné americké firmy. Virus napadl jeho IM aplikaci, přičemž na všechny kontakty v osobním adresáři odeslal kompletní historii zpráv. Za to dostal na hodinu výpověď. Důvodem k výpovědi nebyla skutečnost, že došlo k zavirování počítače, ale právě obsah odeslaných zpráv. Dotyčný viceprezident se totiž při komunikaci s přáteli vyjadřoval velmi neuctivě a vulgárně o většině svých spolupracovníků či podřízených...


Nejznámější a nejrozšířenější systémy IM:

n AOL Instant Messenger (AIM) - program uvolněný poprvé společností America On-Line v říjnu 1997. Nejnovější verze (uvolněna 2006) je označována jako Triton. Nejpopulárnější aplikace IM, má přes 63 milionů aktivních uživatelů.
Oficiální web: www.aim.com.

n Google Talk - relativně nové řešení, ve zkušebním provozu od srpna 2005. Zatím pouze pro uživatele služby Gmail.
Web: www.google.com/talk/.

n ICQ (I-seek-you, hledám tě) - celosvětově dvacet milionů aktivních uživatelů. Aplikace vyvinutá roku 1996, o dva roky později odkoupeno AOL. Pro formát ICQ existuje mnoho více či méně kompatibilních programů třetích stran.
Web: www.icq.com.

n Jabber - soubor otevřených protokolů založených na XML pro IM a sdílení informací. Právě otevřený protokol toto řešení odlišuje od ostatních - většina IM je totiž založená na uzavřeném řešení. Jabber byl poprvé uvolněn v roce 2000. Zhruba dvacet milionů aktivních uživatelů.
Web nadace spravující vývoj: www.jabber.
org (jinak česky např. www.jabber.cz).

n Skype - proprietární síť pro internetovou telefonii, doplněná také o možnosti IM. V roce 2005 došlo k akvizici Skypu aukčním portálem eBay za 1,9 miliard dolarů.
Web: www.skype.com.

n Windows Messenger - Program uvolněný v červenci 1999, část on-line služeb Windows Live. Přes třicet miliónů aktivních uživatelů.
Web: http://get.live.com/messenger/
overview.

n Yahoo! Messenger - aplikace, která se pokusila vytvořit několik nových vlastností (soukromé chatovací místnosti apod.), ale později je zrušila. Důvodem se stalo nekontrolovatelné porušování zákona (softwarové pirátství, dětská pornografie apod.), k němuž jejich pomocí docházelo. Nicméně i tak má přes 20 milionů aktivních uživatelů.
Web: http://messenger.yahoo.com.

(Poznámka: "aktivní uživatelé" představuje počet uživatelů, kteří jsou průměrně v jednom okamžiku on-line. Celkový počet uživatelů bývá zpravidla čtyři- až pětkrát větší, v případě ICQ dokonce desetkrát.)



Škodlivé kódy pro Instant Messaging

Okamžik, na který se snad nikdo netěšil a o kterém všichni věděli, že jednoho dne musí přijít, nastal v posledních dubnových dnech roku 2001. Světlo světa spatřil první virus pro technologii Instant Messaging...
Antivirové společnosti virus pojmenovaly Hello. Šířil se totiž v souboru Hello.exe, přičemž napadal aplikaci MSN Messenger. Hello byl napsaný v programovacím jazyce Visual Basic 5, přičemž po aktivaci uživatelem se kopíroval do složky "Spustit po startu". A to bez názvu či bez ikonky - takto se snažil alespoň na první pohled svoji přítomnost v počítači maskovat. A zajistil si tak spuštění při každém (re)startu počítače.
Následně odesílal na všechny kontakty v IM adresáři zprávu se svou kopií a s textem "i have a file for u. its real funny". Nebezpečnost kódu Hello nebyla nikterak vysoká, šlo skutečně jen o technologický proof-of-concept (důkaz, že to vůbec jde).
Ze stejné kategorie byl i virus Choke, který se objevil jen o pět týdnů později. Šířil se v souboru ShootPresidentBUSH.EXE, přičemž neprováděl žádnou škodlivou činnost - jen se šířil. Ani jeden z těchto prvních dvou virů pro IM nepředstavoval žádnou technickou či technologickou novinku, v podstatě šlo jen o úpravu stávajících kódů právě pro IM prostředí. Nicméně džin byl z láhve venku...
Třetí škodlivý kód pro IM (SoFunny) ale už tak nevinný nebyl, po instalaci do počítače se snažil odcizovat hesla. Šířil se v souborech Sofunny.exe nebo Love.exe.
Zatímco zmíněné viry a několik dalších bezprostředně po nich následujících se nedočkaly prakticky žádného rozšíření, nemůžeme totéž prohlásit o viru Goner.A. Detekovaný byl v prosinci 2001, přičemž pro své šíření zneužíval nejen IM, ale také klasickou elektronickou poštu. To značně znásobilo jeho možnosti, takže souborem Gone.scr bylo celosvětově infikováno několik tisíc počítačů. Podle dnešních měřítek to sice nebyla převratná epidemie, leč musíme srovnávat s ostatní do té doby známými IM kódy: všechny předchozí napadly vždy jen několik desítek počítačů.
Za pět let existence virů pro IM se objevily tisíce (!) škodlivých kódů, určených buď plně či alespoň částečně k napadání této aplikace. Těžko je budeme vyjmenovávat všechny, zaměříme se proto jen na několik nejrozšířenějších, nejnovějších či nejzajímavějších.
Mezi ně patří třeba Sdbor, zneužívající aplikaci AIM. Je schopen se rozeslat nejen na seznam kontaktů, ale šíří se i v chatovacích místnostech AIM, navštívených z infikovaného stroje. Jeho možnosti jsou velmi široké: do počítače může stahovat nové aplikace (především spyware 180Solutions, Zango, MaxSearch, Media Gateway či SearchMiracle), monitorovat chování uživatele, vypínat antivirový program, měnit vyhledávací stránku prohlížeče (tzv. browser hijack, únos prohlížeče). A to není vše, neboť do napadeného počítače instaluje i rootkit! Pro připomenutí: rootkit je aplikace, která zásadním způsobem mění běh operačního systému, takže ani antivirový program nemusí být schopen detekovat třeba viry.
Zatímco většina IM virů využívá nejrozšířenější "počítačovou řeč", angličtinu, pak kód Hotmatom představuje pověstnou výjimku potvrzující pravidlo. Jeho rodným jazykem je totiž španělština. Napadá aplikaci MSN, přičemž využívá sociální inženýrství, neboť se tváří jako varování před velmi nebezpečným virem (v originále "virus muy peligroso"). Odkazuje na link s informacemi právě o tomto nebezpečí - kliknutím na odkaz se ale důvěřivý uživatel dostává právě na infikovanou stránku.
Hotmatom po instalaci do počítače smaže všechny rootové soubory na discích A:/ a C:/. Na jejich místo pak dává svoji kopii. Jedním z jeho projevů pak je přidávání výše zmíněných varování ke všem odesílaných IM zprávám.
Virus Maniccum využívá aplikace AIM a MSN. Po své instalaci do počítače se snaží vypnout přítomné bezpečnostní programy (antivirovou ochranu, firewall aj.). Pak instaluje backdoor, s jehož pomocí mohou do napadené stanice pronikat další škodlivé aplikace. Backdoor je ovládaný příkazy posílanými přes IRC (což je mimochodem mimořádně oblíbený nástroj komunikace mezi hackerem a jím ovládanými počítači). Kromě dalších věcí umí Maniccum posílat IM zprávy nebo provádět DoS útoky (odepření služby, v daném případě "zasypávat" vybraný cíl lavinou nevyžádaných IM zpráv).
Červ yhoo32.explr se zase snaží do počítače proniknout, když se vydává se za bezpečný webový prohlížeč "Safety Browser". Odkaz v IM zprávě slibuje návštěvu webu právě s touto aplikací. Jenomže po její instalaci se uživatel dočká nemilého překvapení, když je unesen jeho původní prohlížeč (je změněno mnoho nastavení včetně domovské stránky). Kód yhoo32.explr kromě toho vytváří na ploše svůj odkaz, ale se stejnou ikonkou jakou má Internet Explorer. A navíc uživateli "zpříjemňuje" život tak, že donekonečna pouští hudební motiv, který se vůbec nedá jednoduše vypnout... Červem yhoo32.explr jsou zasaženi pouze uživatelé aplikace Yahoo! Messenger.
Velmi vysoko zvedl laťku pro škodlivé kódy v květnu 2006 virus Nagache.A. Ten je opravdu velmi komplexní, z IM využívá AIM a MSN, ale šíří se i přes e-mail či síťová sdílení. Unáší prohlížeč i počítač (agresor mu tedy může na dálku zadávat úkoly - jako třeba provádění určitých operací či rozesílání spamu). A pokud napadaný počítač není záplatovaný proti dvojici chyb z roku 2004, postihujících operační systém Windows, instalují se ještě další komponenty.
Nagache.A komunikuje se svým "pánem" v šifrované podobě - a navíc prostřednictvím decentralizované vlastní P2P sítě. V takovémto prostředí je pak zhola nemožné identifikovat podle komunikace agresora (bylo by nutné monitorovat souběžně provoz na velkém množství stanic). A stejně tak nestačí vyřadit několik stanic třeba na základě IP adresy: systém to vůbec nepozná... Bitva s kódy jako Nagache.A je pro bezpečnostní firmy opravdovým oříškem.


Tipy pro zvýšení bezpečnosti MSN Messenger

Blokování nevyžádaných IM zpráv
V aplikace MSN Messenger zvolte Nástroje/Možnosti.
Zvolte Ochrana osobních údajů a klikněte na volbu Pouze uživatelé v seznamu povolených kontaktů uvidí můj stav a mohou mi odesílat zprávy. Klikněte na Použít. Díky tomu vám nebudou moci osoby, jež nejsou na vašem seznamu (nezapomeňte jej vytvořit!), posílat zprávy nebo si vás přidávat do svých seznamů.

Antivirová ochrana souborů
Aplikace MSN Messenger může automaticky skenovat všechny příchozí/odchozí soubory na přítomnost virů. Stačí jen zadat příkaz Nástroje/Možnosti a poté Přenos souborů. Zaškrtněte Při hledání virů v souborech použít a pomocí volby Procházet vyhledejte na vašem počítači antivirový program. Pak zvolte Použít.

(Tipy platí pro nejnovější verzi programu 8.0. Ve starších verzích se mohou mírně lišit.)

autor Tomáš Přibyl