一般に、Jabberプロトコルに基づいた通信ソリューションは、情報セキュリティの点で最も脆弱ではないことが受け入れられています。 この記事では、これが実際にそうであるかどうかと、XMPPがこの方向に実際に持っているものを分析しようとします。 この問題は、パブリックサービスとプライベートサービスの個人的な目的、および企業の設定の両方でメッセージングにプロトコルを使用するという文脈で検討されます。
個人的なコミュニケーションのためのJabber
未承諾メッセージ
個人的なコミュニケーションのために、比較的最近Jabberが大規模に使用されるようになりました。これにより、商用スパム(またはXMPP Standards Foundationの用語のスピム)が実際に存在しなくなりました。 私は特に商用スパムの不在に焦点を当てました。現時点では、大学生向けのPythonスクリプトを使用して、楽しみのために単一のメールがあり、商品やサービスを宣伝することを目的としていないためです。 近い将来、Jabberに商用スパムが出現する可能性がありますが、ICQのように大量に開発されることはありません。 この前提は、 この投稿で詳しく説明されています。
XMPPはオープンで拡張可能なプロトコルであり、開発者があらゆる種類のシェーパーとフィルターを作成するのを制限しません。 そのため、qip.ru jabber-server URLおよびJIDフィルターは正常に機能し、jabber.ruではサードパーティサービス(ボット)を使用して会議でmucフィルターを有効にできます。 さらに、Jabberにはプライバシーリストをアクティブにする機能があり、ユーザーは、名簿からではなく連絡先からのメッセージの受信を規制できます。
XEP-0159が存在し、スパムメッセージをブロックする方法を説明していることに注意してください。
ユーザーまたは会議JIDを狙ったフラッド攻撃
現時点では、Jabberでの洪水攻撃の問題は依然として関連しています。 同時に、特定のユーザーJIDに対するこのような攻撃は困難です。これは、第1に、サーバー側で単位時間あたりの送信情報量を制限するシェーパーのため、第2に、プライバシーリストを使用する可能性のためです。
ジャバー会議での攻撃は次第に過去のものになりつつあります-ルーム設定でキャプチャ保護を有効にすることでそれらと戦うことができます(サーバーがこの機能をサポートしている場合)。 ただし、問題には裏返しがあります-複数のキャプチャ要求があると、キャプチャ生成サービス自体のサービス拒否が発生する可能性があります(これにより、この方法で保護されている攻撃されたサーバー上のすべてのチャットにログインできなくなります)。
パスワードセキュリティ
最も一般的なEjabberd jabber-serversの1つは、「そのまま」パスワードをクリアテキストで保存しますが、ODBCを使用する場合、md5ハッシュの形式でパスワードを保存することができます(たとえば、 このパッチを使用)。
JIDからのユーザーパスワードを侵害する悪意のあるソフトウェアは非常に小さいです。 通常、これらはさまざまなオープンソースクライアントの変更であり、一般的なジャバー会議のメーリングリストを介して配布されます。 最近、人気のモバイルジャバークライアントBombusの悪意のある変更が発見されました。これは、入力されたJIDとパスワードを特定の電子メール(Kaspersky Labの分類ではTrojan-PSW.J2ME.Bomzuz.a)に送信します。 この場合、ユーザーはそのような変更に注意し、公式/信頼できるリソースからのみクライアントプログラムをダウンロードするようにアドバイスすることができます。
現在存在するほとんどすべてのジャバーサーバーは、まだ大規模に観測されていないブルートフォース攻撃から保護されていませんが、原則的には可能です。 この状況は修正可能です-一時的なブロックは問題の解決に役立ち、パスワードの試行回数を制限します。
データ保護
ほとんどすべての大規模サーバーには、ssl / tls暗号化を使用して安全な接続を確立する機能があり、パスワードと通信を傍受する可能性を排除します。 暗号化も独自のサーバーで簡単に設定できます。
少し前に、ICQでは安全なデータ転送を有効にすることもできましたが、この機能を保持しているMail.Ru Groupによるこのサービスの購入後は機能しなくなりました。 これは、AOLがこの機能の実装を販売しなかったためです。
一部のクライアントプログラムでは、特別なプラグインを使用して、送信された情報をGPGおよびOTRを使用してさらに暗号化できます。 同時に、両方の対話者にそのようなプラグインをインストールする必要があります。
企業環境におけるコミュニケーションツールとしてのJabber
エンタープライズ環境でJabberを使用する場合、外部アクセスが無制限のさまざまなサービス(jabber会議、トランスポート、vcard検索サービス-vjud)が潜在的な脅威をもたらします。
もちろん、ジャバー会議は非常に便利なコミュニケーション手段です。 ただし、多くの場合、企業のxmppサーバーの管理者はs2での会議(つまり、他のサーバーのユーザー)へのアクセスをブロックし忘れ、重要な企業情報がパブリックドメインに表示される場合があります。 また、攻撃者は安全でないサービスで会議のフラッド攻撃を仕掛けることができるため、xmppサーバー全体のサービス拒否につながる可能性があります。
すべてのサーバーのユーザーに開かれたトランスポートは、サイバー犯罪者が実際のIPを隠すのに役立ちます(たとえば、サードパーティのユーザーがIRCトランスポートにログインすると、エンタープライズジャバーサーバーがあるIPからIRCチャットにログインします)。 他の車両(ICQ、MRAなど)の場合、サードパーティのユーザーは余分な負荷をかけることができるため、サービスのフォールトトレランスが低下します。
最も危険なのは、名刺(vjud)からのデータのパブリックアクセス検索サービスです。 非常に多くの場合、jabberサーバーは内部ソースからvcardのデータを取得し(LDAPを使用する場合など)、その結果、vcardには従業員に関する非公開情報(個人およびビジネスの電子メール、電話番号、部門名、さらには自宅の住所まで)が含まれる場合があります。 攻撃者は、vjudを使用して一般的な名前と姓の自動検索を整理し、それにより公式の使用を目的としたデータを取得できます。
企業のジャバーサーバーの管理者は、起動されたモジュールを注意深く監視し、未使用のサービスへのアクセスを無効化またはブロックする必要があります。
企業サーバーとプライベートサーバーの両方の管理者は、新しいユーザーを登録するポリシーにより注意を払う必要があります。 企業サーバーの場合、管理者が従業員のアカウントを設定する必要があるため、他の内部アカウントと一緒に仕事に参加することが許可されているため、オープン登録を完全に禁止する必要があります。 プライベートサーバーの場合、新しいアカウントの登録を制限する(たとえば、captchaを使用する)か、この機能を無効にすることをお勧めします。
まとめ
Jabberプロトコルの人気が高まっているにもかかわらず、脅威はまだ非営利です。 ただし、近い将来、商用スパムメッセージや悪意のあるリンクを含むメッセージをアクティブ化する可能性があります。 ただし、プロトコルは拡張性があるため、このような脅威に効果的に対処し、エンドユーザーが不適切なコンテンツを取得する可能性を最小限に抑えることができます。
企業の通信ツールとしてのJabberはかなり安全で信頼性がありますが、サーバー管理者はサービスへのアクセスレベルを注意深く監視する必要があります。