И вы всё еще пользуетесь ICQ?
Sep. 26th, 2007 03:56 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vitus_wagnerКогда о взломе аськи или ЖЖ сообщает журналист, политический деятель или ещё кто-то, кто с компьютерами знаком на уровне книжки "за 21 день для полных идиотов" - это понятно. Можно порекомендовать товарищу пройти краткий ликбез в области информационной безопасности и на этом успокоиться, считая себя надежно защищенным.
Но когда взламывают аську у сисадмина с многолетним стажем, в халатном отношении к информационной безопасности почти не замеченном...
Причем единственный известный AOL E-Mail этого человека находится на подконтрольном ему сервере, и этот сервер был немедленно подвергнут аудиту, следов взлома не выявившему. Так что это не взлом почтового ящика на публичном сервере.
Похоже, что это называется inherently insecure. Скорее всего, несекьюрность на уровне собственно протокола. icq как-то не замечена в шифровании данных или использовании сильных криптографических алгоритмов для аутентификации.
В общем, если ваше реноме как пользователя IM-сервиса чем-то вам дорого, крайне рекомендуется использовать jabber, причем
1. Использовать сервер, поддерживающий SSL/TLS или хотя бы схему аутентикации, отличную от передачи пароля открытым текстом
2. При использовании TLS научить ваш клиент проверять сертификат сервера, дабы исключить MitM-атаку.
3. Научиться самому и по возможности научить корреспондентов пользоваться электронной подписью джабберных сообщений.
Но когда взламывают аську у сисадмина с многолетним стажем, в халатном отношении к информационной безопасности почти не замеченном...
Причем единственный известный AOL E-Mail этого человека находится на подконтрольном ему сервере, и этот сервер был немедленно подвергнут аудиту, следов взлома не выявившему. Так что это не взлом почтового ящика на публичном сервере.
Похоже, что это называется inherently insecure. Скорее всего, несекьюрность на уровне собственно протокола. icq как-то не замечена в шифровании данных или использовании сильных криптографических алгоритмов для аутентификации.
В общем, если ваше реноме как пользователя IM-сервиса чем-то вам дорого, крайне рекомендуется использовать jabber, причем
1. Использовать сервер, поддерживающий SSL/TLS или хотя бы схему аутентикации, отличную от передачи пароля открытым текстом
2. При использовании TLS научить ваш клиент проверять сертификат сервера, дабы исключить MitM-атаку.
3. Научиться самому и по возможности научить корреспондентов пользоваться электронной подписью джабберных сообщений.
no subject
Date: 2007-09-26 05:24 pm (UTC)Впрочем, это всё никакой роли не играет, потому что никакого challenge-response в icq нет. Пароль передаётся фактически открытым текстом (замаскированным ксоркой с известным ключом).
Для безопасной передачи пароля нужно: 1) достаточно длинный неугадываемый пароль 2) полноценная криптография или challenge-response. Если одно из условий не выполнено - обломайтс, один раз подсмотрели - и пароль капут.
В icq нет ни одного, ни другого ;-)