 |
|
 |
| 您现在的位置: 先创网 >> 聊天软件 >> 其他 >> 文章正文 |
|
|
| 即时通讯常见安全问题大曝光 |
| eNet |
| 2005-5-16 8:40:00文/中国电脑教育报 红狼 |
|
|
|
|
|
利用IM破坏防御系统
类似防火墙这样常见的安全防御设备,很多时候会因为即时通讯工具的存在而被突破,这类情况对企业用户的损害尤其严重。大多数即时通信软件都允许用户选择使用的端口,或者能够自动尝试可以进行通信的端口,甚至利用某些机制绕过防火墙。在这种情况下防火墙就失去了其应有的保护作用,并且这些穿越防火墙的通讯很可能会被攻击者利用以突破防火墙,对防火墙所保护的网络和计算机造成破坏。
在企业环境中,即时通讯的应用总是个两难问题。在充分的应用即时通讯为企业提高效率和限制员工使用即时通讯工具中间做出选择,往往导致两种极端的结果,即对即时通讯放任自流和完全禁止企业的即时通讯应用。也许更适合的手段是找到一种折衷的方案,例如我们可以在防御系统中过滤文件传输,而不要整个将即时通讯划为非法应用。
对IM发起拒绝服务攻击
拒绝服务攻击特别是分布式拒绝服务攻击可以说是互联网先天性安全能力不足的一个例证。即时通讯服务商本身就面临着拒绝服务攻击的威胁。由于即时通讯服务商提供的用户服务能力通常要小于总用户数,所以在相对满载的时候,攻击者较易实施拒绝服务攻击。通过发送通过发送畸形的或者模拟的数据包到即时通讯服务器,可以大量消耗服务器的资源,造成服务瘫痪。
另外,即时通讯客户端软件也存在很多可能引发拒绝服务攻击的漏洞,使安装了即时通讯软件的机器遭受拒绝服务攻击。客户端的一个隐忧是用户现在通常是为了功能对即时通讯客户端进行升级,而很少象针对操作系统的安全问题那样及时更新补丁。这使得存在即时通讯漏洞的计算机数量相当可观,当然这和厂商的推广方式有很大的关联。
IM的网络钓钩
继利用电子邮件和网站等方式开展网络钓鱼之后,以即时通讯作为诱骗手段的网络钓鱼行为正越来越多的被诈骗者们实施。比较常见的手法是利用即时通讯发送消息将用户导向陷阱以及冒充即时通讯供应商开展某种活动骗取用户的敏感信息等等。例如雅虎就曾经证实其即时通讯工具雅虎通的用户曾经接收到类似的诱骗信息,将用户导向诈骗者的网站;而国内也曾发现过很多以赠送Q币为名获取QQ密码和传播恶意代码的网站。
除了以上行为之外,即时通讯应用的匿名特征使其也成为了各种骚扰行为的温床,大量的即时通讯用户都收到过一些自身不想收到的甚至给自己带来侮辱和困扰的信息。面对这类安全问题,需要即时通讯用户能更充分的认识即时通讯应用所具有的风险,以更高的警惕性约束自己的行为。
IM的明天
即时通讯系统仍处于高速发展之中,很可能明天就会涌现出新的安全问题,有新的攻击手段被设计出来。包括用户、即时通讯服务商及相关厂商全体,都应该以积极的态度去面对这种形势,并履行自己的职责,以保证即时通讯应用在更健康的状态下成长。
上一页 [1] [2] |
|
|
|
|
|
|
 |
|
 |
|
|
|
相关文章 
