Легенды об уязвимости ICQ

Еще в 1998 году я заметил, что в огромном количестве контор аська категорически запрещена к использованию. Категорически! Насмерть! Причем приказ об этом, как правило, отдавал сам генеральный директор! У которого на компьютере, разумеется, ICQ непременно была установлена. И у сетевого администратора, который громче всех кричал о недопустимости использования аськи, она была установлена. И у всех хороших знакомых админа, работающих в этой конторе. И не у очень хороших знакомых ад-мина, которые догадались поставить ему бутылочку тортика. Так что аська не была установлена только у тех, кто вообще не очень знал, что делать с компьютером, стоящим на его рабочем месте.

И такая картина наблюдалась в большинстве контор. Причем доходило до абсурда! Генеральный категорически запрещал использование ICQ в офисе, громогласно объявляя об этом через ICQ. Менеджеры по аське отправляли сообщения «Будет сделано, шеф», после чего благоразумно уходили для шефа в режим Invisible (Невидимый). Далее шеф, скрипя клавиатурой, сочинял меморандумы для менеджеров и отправлял их по e-mail, после чего, не увидев реакции в течение пяти минут, по той же аське начинал раздавать пинки. После этого генеральный договаривался с менеджерами о том, что им разрешено пользоваться аськой, но низовому звену — ни-ни. Ага, ага, кивали менеджеры и просили низовое звено для генерального быть невидимыми.

Поскольку подобная картина наблюдалась в довольно большом количестве всяких разных фирм, я все время пытался выяснить причину такой нелюбви к данному мессенджеру. Что интересно, только в пяти процентах мне отвечали, что аська, мол, мешает работе, потому что сотрудники занимаются с ее помощью пустой болтовней. В остальных девяноста пяти процентах случаев админы, сдвинув брови, сурово заявляли: «Безопасность, старик, безопасность. Аська - она очень дырявая. Через нее любой негодяй проникнет в нашу локальную сеть и украдет все секреты фирмы». Ну, когда подобные вещи заявляли директора, это было еще туда-сюда. Но когда точно такие же фразы, причем с повторением директорских интонаций, я слышал от самих сетевых администраторов, сразу возникал законный вопрос: «А ты тут зачем сидишь?» Любая операционная система, любая программа может быть как почти полностью открытой, так и почти полностью защищенной. Все зависит от прямизны или кривизны ручек администратора. «А при чем тут аська?» — спрашивал я этих админов. Боишься (и правильно боишься) прямых соединений от ICQ к ICQ? Тогда запрети их через файрвол. ICQ без проблем работает через файрвол и вполне нормально под него настраивается. Нуда, после этого нельзя будет отправлять напрямую файлы и пользоваться некоторыми другими небезопасными сервисами (использующими прямое соединение). Но письмами через серверы ICQ можно будет обмениваться без проблем. А мессенджер, собственно, только для этого и нужен.

Каждый раз, когда очередной админ начинал мне вешать лапшу на уши о жуткой «дырявости» ICQ, я его просил привести мне хоть один пример, когда с помощью данной программы злоумышленник проник в локальную сеть и сотворил там что-то зловредное. Не беря, конечно, в расчет случаи админов-идиотов, у которых безо всяких асек можно из локальной сети хоть слона утащить.

Что характерно, ни один из опрашиваемых не привел мне ни одного примера взлома сети через ICQ. Более того, ни один из них даже и не слышал о таких случаях. Из чего мною был сделан законный вывод, что все эти разговоры о жуткой «дырявости» ICQ — просто старые интернетовские легенды. А в конторах до сих пор играют в забавную игру: аська категорически запрещаеся, но все ее используют. Эдакий парадокс круговорота запрещенной аськи в природе.

Да, при использовании ICQ в офисе действительно существуют две совершенно реальных неприятности:
• работники болтают черт знает о чем по аське, вместо того чтобы работать;
• почтовый трафик при обмене сообщениями идет через внешние серверы, что является нарушением безопасности.
Первый пункт относится к разрухе в головах, а не в программном обеспечении. Если сотрудники используют ICQ не для дела, а для пустой болтовни, то они и компьютер будут использовать для игр, а не для составления документов или чего-то в этом роде. Поэтому данная неприятность лечится вовсе не сносом аськи. Уберите у них ICQ — будут переписываться по e-mail, перекидываться бумажными голубями и т.д. Возможности сотрудников, не желающих работать, в области отлынивания от работы совершенно безграничны.

Второй пункт более существенный. И действительно, если аська используется для делового общения, прохождение трафика через внешние серверы — это нарушение безопасности. С другой стороны, если речь идет об обычной переписке, то кого в ICQ Inc. будет интересовать обмен почтой между Васей Пупкиным из российской фирмы «Альбатрос» и Петей Мокиным из российской же фирмы «Главмосторгсырьепродукт»?

И опять же, если речь идет о действительно секретной переписке, то для этого используются специальные механизмы (виртуальная частная сеть, обмен зашифрованными сообщениями через специальные программы и специальные каналы), а не мессенджер.

Мессенджер — это сообщения из серии «Сидоров, немедленно зайдите ко мне! Целую, начальник Вася» или «Петя, ты контракт получил?», ну или «Василь Петрович, там ваша жена пришла.  Сказать ей, что Вас нет на месте?». Такие сообщения не раскроют никаких корпоративных секретов, даже если они будут перехвачены создателями ICQ Inc.

Ну и в свете этого особенно странно выглядят требования администраторов использовать вместо ICQ альтернативные клиенты вроде Miranda. Данные программы используют все те же серверы ICQ. Значит, основные проблемы остаются. А разговоры о том, что, например, Miranda более защищена, чем «родной» клиент ICQ, — это вообще админские легенды. Я не нашел ни одного доказательства в пользу подобных утверждений, хотя очень старался.