即时通讯软件(IM)方便、快捷,但它也许并没有你想象的那么安全。网络专家告诉你,使用IM软件的时候,千万要小心。
在美国,走进任何一家公司,往往会看到员工们的计算机上,打开着一个IM软件:Icq或MSN或其它玩意儿。根据IDC去年三月的一份调查报告。全球有500万到600万家公司使用IM软件。估计到2004年,这个数字会增加到1800万。原因很简单,所有的IM软件都安装方便,升级容易,可以作为一个非常理想的内部交流工具。
利用IM交换意见,召开会议,看起来非常的隐秘,安全。很多人都认为这些IM工具安全性能好,所以,估计用IM软件传输一些带有隐秘性质的信息的人可能比用电子邮件的还多。
但是,一些安全专家认为,在QQ商讨大事是不足取的;而在IM软件上谈论敏感话题更危险。为什么?因为其实IM软件的保密性最差。IM软件中的信息很少加密,所以很容易在谈话者不知情的情况下被人窃取。
IM软件的工作原理也决定了它的不安全性。利用IM发送信息,最先都是将信息发送到第三方服务器上,然后再传到接收终端,同电话系统非常类似。网络安全公司@stake的安全专家克里斯说,“我觉得,很多人都认为他们在使用IM软件的时候都以为是两方在直接交流,就好象P2P系统一样。而实际上,一个公司用户在使用IM同他隔壁的同事交流的时候,他的信息是送出了公司的防火墙,到AOL或MSN的服务器,然后再通过这些服务器传回来。这同电子邮件不同,很多公司内部都拥有自己的电子邮件系统。”
克里斯说,IM软件运行的原理使得提供IM服务的公司的服务器可以“抓住”通过IM软件传输的一切信息。这比窃听电话更加容易,因为语音资料往往更难数字化,而且需要庞大的存储设备来储藏。IM谈话记录还可以用于法庭证据。目前AOL保留10天的IM记录。而欧盟的一项网络犯罪条例更是准备强迫ISP们保留IM谈话记录。如果任何一个黑客供入这些服务器,取得谈话记录的话,恐怕很多公司的机密都会被大白于天下。三月份就发生了这样一起黑客事件:一名黑客盗取了ICPeFront的首席执行官的IM谈话记录,并将这些记录发布到互联网上。从谈话记录中可以看到这名执行官讲了不少客户的坏话。
另外一个不安全的因素来自软件本身。由于IM软件的设计最终目的只是实现简单、便捷的交流。便捷的代价往往是安全。很多IM软件的漏洞比瑞士奶酪都多。很多黑客已经发现了不少IM软件的漏洞。IM软件的开发公司们也明白软件的不安全性。而用户们在下载安装IM的时候,安全往往是他们最后考虑的一件事情。
一些安全专家建议公司内部禁止使用IM软件,但另外一方面,IM给人们带来的沟通上的便捷能够增加生产力(当然也可以让员工浪费更多时间,那是另外一个问题),让人又无法舍弃IM 。而且禁止使用IM也会给员工带来反感。安全专家约翰.克莱斯说,“我知道,当一些公司封锁了Yahoo的谣言论坛和Fuckedcompany.com(一个发牢骚的网站)以后,一些员工又开始重新制作简历了。”
一个解决办法是:让网管们接受IM不安全这个事实,并把这当成是作生意的成本和风险之一,而雇员和公司负责人在按下发送键的时候,也最好三思而后行:用IM发送一条剔除供应商,或转卖公司的信息,到底安不安全?另外一个解决办法就是,公司使用更好的系统,将IM信息加密,就象Novell和Mercury公司那样。
那些公司里没有IM使用限制的员工们,在使用IM的时候一定要抱着“即使我的网管知道我在用IM干什么,我也不怕”的心态。一定要记住,当你用IM软件发送那些敏感内容的时候,很有可能这些内容就很快为人所知,成为你的麻烦。 (2001年4月20日)