W 2006 roku przygotowaliśmy na własne potrzeby raport o zagrożeniach wynikających z używania komunikatorów (w szczególności Gadu-Gadu) w instytucjach o podwyższonym poziomie ryzyka (Banki, Instytcje Finansowe).Nasz zespół przygotował w 2006 roku ciekawy raport opisujący jakie zagrożenia wynikają z wykorzystywania popularnych komunikatorów przez pracowników instytucji o podwyższonym poziomie ryzyka.

Raport przedstawia stan na rok 2006 i nie był wcześniej nigdzie publikowany. Wiele z opisanych zagrożeń i niebezpieczeństw występuje do dzisiaj. Pewne problemy z bezpieczeństwem opisane w artykule są pomocne przy planowaniu wyboru komunikatora korporacyjnego.

Komunikatory a bezpieczeństwo informacji – na przykładzie Gadu-Gadu

Program Gadu–Gadu jest popularnym polskim komunikatorem dla systemów Microsoft Windows ™, służącym do wymiany informacji przy u yciu specjalnie stworzonego do tego celu zamkniętego protokołu. Pierwsza jego wersja została stworzona w 2000 roku, przez firmę SMS-Express.com Sp. z o.o, obecnie Gadu-Gadu S.A. Gadu–Gadu jest programem typu Adware, to znaczy, że użytkownicy w zamian za możliwość komunikowania się są zmuszeni oglądać reklamy.

Zgodnie z punktem 5 regulaminu korzystania z serwisu Gadu-Gadu „Korzystanie z usług komunikatora Gadu-Gadu w celach zarobkowych bądź komercyjnych lub w celach związanych z prowadzoną jakąkolwiek działalnością gospodarczą bądź w związku z prowadzeniem takiej działalności mo e nastąpić wyłącznie na podstawie pisemnego porozumienia z Operatorem.” [3].

Program Gadu-Gadu nie jest zalecany do komunikacji w firmach, szczególnie o zwiększonym ryzyku informatycznym. Użytkownik tego komunikatora nie może liczyć na adne wsparcie ze strony producenta, a oficjalnie zgłaszane błędy nie są usuwane przez bardzo długi okres czasu od momentu powiadomienia o nich twórców programu. Sytuacja taka miała miejsce w 2002 roku. Użytkownik o pseudonimie MadCow poinformował serwis hacking.pl o wykryciu przez siebie błędu umożliwiającego zawieszenie programu Gadu-Gadu [4]. Według jego relacji w tydzień po zgłoszeniu błędu do działu technicznego firmy SMS- Express.com Sp. z o.o. adnej odpowiedzi nie otrzymał. Jak napisał w liście do serwisu hacking.pl : “Chciałem sie przyczynić do poprawy bezpieczeństwa ale widocznie mają wa niejsze sprawy od bezpieczeństwa kilkunastu tysięcy użytkowników (…) Marnie widzę przyszłość tej firmy“.

W lutym 2003 roku serwis hacking.pl poinformował, że Artur Poczekalewicz i Marcin Bukowski odkryli poważne błędy w serwisie internetowym portalu producenta Gadu-Gadu, umożliwiające poznanie adresów email oraz haseł dowolnego użytkownika sieci Gadu-Gadu, znając jedynie jego numer identyfikacyjny (UID) [6]. Błąd ten został naprawiony dopiero po dziesięciu dniach od zgłoszenia. W międzyczasie inne osoby odkryły tą lukę oraz opublikowały listę haseł do wielu kont Gadu-Gadu na kilku serwisach internetowych.

Podobna sytuacja pojawiła się równie w 2004 roku. Błąd zgłoszony 24 września 2004 roku, oficjalnie został wyeliminowany dopiero 30 sierpnia 2005 roku. Jak podaje autor wykrytego błędu umożliwiającego sprawdzanie „niewidoczności”, po ogłoszeniu wyeliminowania tej usterki błąd mógł być nadal wykorzystany [10].

Kolejną poważną wadą w zabezpieczeniach jest brak szyfrowania transmisji. Protokół SSL (ang. Secure Socket Layer) dostępny jest w klientach Gadu-Gadu już od ponad trzech lat, lecz nadal nie został włączony na serwerach producenta, pomimo oficjalnych petycji użytkowników w tej sprawie [8]. Brak szyfrowania umożliwia podsłuch komunikatów oraz haseł dostępu do konta użytkownika.

Informacje dotyczące bezpieczeństwa znajdujące się na stronie producenta są bardzo pobieżne i nie zawierają  żadnych technicznych szczegółów zaimplementowanych rozwiązań [2]. Zapewnienia producenta dotyczące wysokiego bezpieczeństwa komunikatora Gadu-Gadu nie są niczym poparte. Informacja o tym, że hasło zawsze przesyłane jest w postaci zaszyfrowanej nie jest prawdziwa. Prawdą jest jedynie wtedy, gdy klient inicjuje połączenie z serwerem, a podczas operacji takich jak:

1. Import oraz export kontaktów,
2. Sprawdzenie oraz modyfikacja danych personalnych

hasło nie jest zaszyfrowane, co umożliwia przechwycenie ruchu internetowego wraz z hasłem lub listą kontaktów.

Wszystkie te nieścisłości i podejście do kwestii bezpieczeństwa świadczą o braku profesjonalizmu ze strony producenta komunikatora. Nie powinno to wzbudzać zaufania do takiej formy komunikacji, zwłaszcza w instytucji finansowej o zwiększonym ryzyku ze strony informatycznej. Program Gadu-Gadu nie umożliwia pełnej kontroli nad transmisją oraz treściami wysyłanych komunikatów przez użytkowników. Nie jest dostępna funkcja archiwizacji wiadomości od określonej grupy użytkowników, nie jest także prostym zadaniem filtrowanie ruchu wychodzącego poza sieć firmową z powodu używania do komunikacji portów, które standardowo używane są na przykład do łączenia ze stronami WWW.

Z tego powodu systemy antywirusowe nie mogą odfiltrować podejrzanych treści zanim jeszcze trafią one bezpośrednio do komputera ofiary. Również bardzo trudne jest wychwycenie sygnatur ataków oraz analiza ruchu generowanego przez komunikator, który jest w stanie używać różnych popularnych protokołów w celu transmisji danych. Istnieje wiele odmian komunikatorów internetowych bardzo często wykorzystujących własne protokoły komunikacji, jak na przykład protokół Gadu-Gadu, co powoduje brak, bądź znikomą ilość dedykowanych rozwiązań zabezpieczających przed złośliwym oprogramowaniem oraz atakami.

Brak kontroli nad treściami komunikatów oraz brak funkcji archiwizującej oraz zarządzającej wiadomościami uniemożliwia wykrycie źródła ewentualnej kompromitacji, czy te ujawnienia poufnych danych. Używanie komunikatora, który umożliwia transmisję danych wykraczającą poza obszary sieci firmowej stwarza wiele dodatkowych zagrożeń. Użytkownicy mogą stać się ofiarami ataków bazujących na inżynierii socjalnej co może stać się przyczyną ujawnienia różnych cennych informacji dla atakującego.

Już w 2002 roku organizacja CERT zajmująca się nadzorowaniem ruchu internetowego i podejmowaniem natychmiastowych akcji w razie pojawienia się zagrożenia opublikowała w swoim biuletynie (Incident Note IN-2002-03) informację o niebezpieczeństwie ataków poprzez komunikatory [11]. Użytkownik komunikatora może spotkać się z wiadomością o następującej treści: “Twój komputer zarażony jest wirusem umożliwiającym hakerom dostęp do twoich plików. Sugerujemy, abyś załadował ze strony … [tu adres] … specjalny program który usunie wirusa z Twojego systemu. W innym przypadku zostaniesz odcięty od sieci IRC.” Kliknięcie na odnośnik może spowodować zarażenie komputera użytkownika złośliwym oprogramowaniem, i przejęciem kontroli przez napastnika.

W dniu 18 lipca 2006 roku Firma Dagma wykryła atak na użytkowników Gadu- Gadu powodujący infekcję komputera użytkownika programami typu spyware [1], po kliknięciu na link wysyłany w wiadomości o treści: “witam! mysle ze teraz jest odpowiednia chwila zebysmy sie poznali… [...] moje fotki sa tutaj www.e-fotki.ryj.pl/?katalog=%d “.

Ten i podobne ataki świadczą o ciągle nowych zagrożeniach pojawiających się w Internecie i skierowanych do użytkowników komunikatora Gadu-Gadu. Popularność i dostępność komunikatora Gadu-Gadu sprawia, że powstaje coraz więcej nowych zagrożeń związanych z tym środkiem komunikacji. Zwiększone zagrożenie jest spowodowane ciągłym wzrostem użytkowników sieci Gadu-Gadu.

Od początku istnienia tego komunikatora znaleziono w nim i opublikowano szereg krytycznych błędów bezpieczeństwa, mogących spowodować przejęcie kontroli nad systemem, na którym działała program, uszkodzenia danych, zniszczenia procesu aplikacji i wiele innych.

W lipcu 2002 roku anonimowy czytelnik portalu hacking.pl poinformował o wykryciu przez siebie usterki umożliwiającej zaimportowanie listy kontaktów innej osoby oraz manipulację danymi publicznymi nawet, gdy napastnik nie zna hasła [5].

W lipcu 2003 roku wystąpiła awaria serwerów sieci Gadu-Gadu, przez co wiadomości umieszczone na serwerach trafiały do przypadkowych osób z prawdziwym adresem nadawcy [7].

W kwietniu 2004 roku Bartosz Kwitkowski opublikował błąd umożliwiający ukrycie prawdziwego rozszerzenia pliku wysyłanego do odbiorcy [13]. Błąd mógł spowodować uruchomienie złośliwego oprogramowania, nawet jeśli odbiorca myślał, że plik jest na przykład plikiem graficznym.

We wrześniu 2004 roku grupa Sec-Labs opublikowała informację o błędzie przepełnienia sterty w funkcji służącej do wysyłania wiadomości graficznych [14]. Wykorzystanie tego błędu umożliwiało napastnikowi wykonanie dowolnego kodu u ofiary.

W grudniu 2004 roku zespół specjalistów bezpieczeństwa Poznańskiego Centrum Superkomputerowo – Sieciowego opublikował aż siedem poważnych błędów w komunikatorze Gadu-Gadu, umożliwiających między innymi wykonanie dowolnego kodu, pobranie z komputera użytkownika plików konfiguracyjnych zawierających jego hasło, wysłania specjalnie spreparowanych obrazków, pomimo możliwości wyłączenia funkcji przyjmowania grafiki [15]. W tym samym miesiącu Jarosław Sajko oraz Błażej Miga z Poznańskiego Centrum Superkomputerowo – Sieciowego opublikowali kolejne dwa błędy [16]. Pierwszy z nich polegał na nieprawidłowym walidowaniu danych wejściowych co zagrażało atakiem wstrzykiwania kodu HTML. Drugi z nich stwarzał możliwość przeprowadzenia ataku typu odmowa usługi.

Kolejne błędy odkryte przez Błażeja Migę oraz Jarosława Sajko zostały opublikowane w listopadzie 2005 roku [17]. Dwa z nich odnosiły się do funkcji umożliwiającej wysyłanie obrazów, kolejne dwa do błędów obsługi połączeń bezpośrednich, piąty błąd odnosił się do specjalnej funkcji wywołującej instancję programu Gadu-Gadu po kliknięciu na specjalny odnośnik, wreszcie ostatni z błędów dotyczył obsługi połączeń głosowych. Błędy te zostały szczegółowo omówione oraz przeprowadzona została demonstracja wykorzystania ich w praktyce na konferencji CONFidence 2005 oraz IT Underground 2005. Uczestnicy konferencji IT Underground mogli pobrać programy demonstrujące wykorzystanie błędów, co potencjalnie mogło stworzyć dodatkowe zagrożenie skierowane w stronę użytkowników komunikatora Gadu-Gadu.

Podczas skutecznego ataku, osoba, która wykorzysta lukę w celu kompromitacji systemu i zdobycia uprawnień administracyjnych może zainstalować złośliwe oprogramowanie. Po instalacji backdoora, czyli „tylnego wejścia” może wykorzystywać komunikację poprzez port otwarty przez aplikację komunikatora. Napastnik nie musi otwierać nowego portu do komunikacji, co od razu zostałoby wykryte poprzez osobistą zaporę ogniową. Jeżeli dozwolona jest transmisja ruchu internetowego poprzez komunikator, wówczas nie będzie możliwe wykrycie połączenia zestawionego przez złośliwe oprogramowanie, które może wykorzystywać już zestawione połączenie aplikacji Gadu-Gadu.

Innym zagrożeniem komunikacji poprzez Gadu-Gadu jest możliwość ataku typu odmowa usługi (DoS) nie wykorzystując przy tym wykrytych luk w aplikacji. Atakujący może posłużyć się setkami automatycznie zakładanych kont, i wysłać z każdego z nich dużą ilość wiadomości tekstowych do jakiegoś użytkownika, co może spowodować uszkodzenie procesu aplikacji komunikatora, bądź znaczne zużycie zasobów procesora i pamięci.

Kolejnym zagrożeniem jest zapisywanie logów rozmów w katalogu dyskowym użytkownika w pliku, który nie jest w żaden sposób zabezpieczony na przykład za pomocą szyfrowania. Brak możliwości archiwizowania w bezpieczny sposób informacji na przykład na dedykowanym do tego celu serwerze może doprowadzić do ujawnienia poufnych informacji w przypadku dostępu do jednej ze stacji klienckich używających komunikatora.

Oprócz błędów związanych bezpośrednio z bezpieczeństwem, w komunikatorze Gadu-Gadu występuje bardzo wiele problemów związanych z użytecznością. W 2003 roku został opublikowany raport przez Marcina Wicharego opisujący błędy związane z aplikacją Gadu-Gadu [18]. Raport zawiera opis aż 111 błędów utrudniających użytkowanie programu.

Aplikacja Gadu-Gadu nie jest rozwiązaniem bezpiecznym dla użytkowników firmy, w szczególności, gdy potencjalne zagrożenie ze strony informatycznej jest bardzo duże. Komunikator ten nie został zaprojektowany do użytkowania w korporacjach, w których szczególną rolę odgrywa bezpieczeństwo zasobów oraz informacji. W celu nieautoryzowanego dostępu do treści wysyłanych z użyciem komunikacji Gadu-Gadu tworzone są konie trojańskie, wirusy oraz programy wykorzystujące wykryte luki. Powstają dedykowane programy do podszywania się pod inne osoby, do przechwytywania treści wiadomości, wreszcie do zdalnego zawieszania pracy komunikatora. Destrukcyjne programy bez trudu można ściągnąć z wielu witryn internetowych włącznie z ich kodem źródłowym, co powoduje, że wiele ludzi jest narażonych na ataki ze strony domorosłych włamywaczy.

Alternatywą dla komunikatora Gadu-Gadu mogą być dedykowane rozwiązania czołowych producentów oprogramowania, służące do komunikacji w przedsiębiorstwie i spełniające określone kryteria ochrony informacji, czy te przepisów prawnych i norm Mnogość błędów w tym krytycznych na przestrzeni kilku lat oraz opóźniona reakcja na zgłoszenia ze strony producenta nie świadczy najlepiej o bezpieczeństwie komunikatora Gadu-Gadu.

Użytkownicy nie mogą liczyć na wsparcie techniczne, lecz jedynie na okresowe aktualizacje.

Komunikator Gadu-Gadu nie jest rozwiązaniem rekomendowanym do komunikacji w przedsiębiorstwach, w szczególności w sektorze bankowym.

Referencje:

[1] http://antyspyware.pl/atak-drive-by-download.php

[2] http://gadu-gadu.pl/program.html

[3] http://gadu-gadu.pl/program-regulamin.html

[4] http://hacking.pl/1528

[5] http://hacking.pl/1589

[6] http://hacking.pl/2041

[7] http://hacking.pl/2443

[8] http://petycje.pl/petycjePodglad.php?petycjeid=857

[9] http://security.proidea.org.pl/2005/

[10] http://soltysiak.com/articles/gg_ir.php

[11] http://www.cert.org/incident_notes/IN-2002-03.html

[12] http://www.itunderground.org/

[13] http://www.securityfocus.com/bid/11017/

[14] http://www.securityfocus.com/bid/11158/

[15] http://www.securityfocus.com/bid/11899/

[16] http://www.securityfocus.com/bid/11998/

[17] http://www.securityfocus.com/bid/15520/

[18] 111 problemów z Gadu-Gadu, Marcin Wichary

[19] Bezpieczeństwo komunikatorów, Sławomir Górniak, Przemysław Jaroszewski

[20] Dwadzieścia Najbardziej Krytycznych Internetowych Luk Bezpieczeństw, SANS Institute

[21] Instant Insecurity, Security Issues of Instant Messaging; Neal Hindocha

[22] Securing Against the Threat of Instant Messengers, Gunter Ollmann