Дмитровский Форум V2

[xxxx1]

По информации Ferris Research, до 70% офисных работников пользуются «аськой» или другими IM-инструментами в деловых целях, целиком полагаясь на их надежность. Однако сервисы IM представляют собой огромную угрозу для безопасности фирмы.

Специалисты по безопасности, конечно, знают о рисках, связанных с использованием IM-сервисов. Они должны уведомить об этом руководство и разработать комплекс мер.

ИТ-службы компаний прекрасно знают обо всех уязвимостях, однако проблема заключается в том, что они изначально не могут контролировать использование этой программы пользователями. Люди самостоятельно скачивают дистрибутивы и устанавливают их на своих компьютерах. Большинство руководителей даже не знают, какое огромное число их подчиненных, не спросив разрешения, запустили ICQ на своих рабочих компьютерах, таким образом самостоятельно открыв доступ в корпоративную для любого желающего.

Когда ИТ-службы узнают, насколько популярны IM-сервисы среди пользователей, типичной реакцией является паника и попытки перекрыть трафик по известным портам. Это не является лучшим выходом, потому что может вызвать ненависть офисных работников к специалистам ИТ-службы.

К сожалению, IM-сервисы в принципе трудно поддаются защите, потому что в то время, когда они разрабатывались, никто не думал, что они будут широко использоваться в деловых целях. «Аська» и другие интернет-пейджеры изначально были предназначены для тинейджеров. Поэтому программа проектировалась так, чтобы она легко устанавливалась и была максимально примитивна в использовании. Безопасность была излишней. Авторы программы ICQ, например, ввели чисто символическую парольную защиту, ограничив длину пароля шестью символами.

Другая проблема — несовместимость систем шифрования. Сейчас выпускаются специальные корпоративные системы мгновенных сообщений с установлением зашифрованных соединений. Например, Integrity IM Security от Zone Labs. Но при соединении «защищенного» пользователя с другим абонентом шифрование не используется и устанавливается обычное незащищенное соединение.

В данный момент пока не существует идеального решения для защиты сервисов мгновенных сообщений. Только появляются первые системы с применением шифрования каналов, шифрования архивов сообщений и другими мерами по безопасности: это разработки фирм Akonix Systems, Cordant, Facetime Communications и WiredRed Software и др., однако ни одна из них не является абсолютно надежной.

По мнению специалистов из фирмы Ferris Research, которая специализируется изучении способов защиты сервисов мгновенных сообщений, ИТ-службы компании должны провести тщательный аудит использования интернет-пейджеров на рабочих местах. Если сотрудник работает с важной информацией, то доступ к «аське» нужно ограничить. Пусть, например, отправляет сообщения через веб-интерфейс или запускает ограниченную, менее уязвимую, Java-версию ICQ.

Проблеме «аськи» на рабочих местах необходимо уделить самое пристальное внимание.

[PS]

Есть вполне нормальное решение как замена "Аське" - Jabber.
Достаточно секурное решение как на уровне фирмы, так и на уровне каналов связи - SSL. Плюс более развитый сервис, навешиваемый в виде плагинов на ядро (чат, RSS, гейты в ту же AOL, MSN....)

[xxxx1]

а миранда? в ней вроде багов меньше... да и отстроить ее можно больше, чем асю...

[PS]

Миранда это клиентская часть. А Jabber это сервер. (Кста, в Миранде есть плагин джабберовский)