SPIM - Spam via IM

Solange die Spezialisten und frühen Anwender untereinander mit Mail (SMTP) kommuniziert haben, gab es fast keinen Bedarf für Spam und Virenschutz. Erst als die Zahl der Anwender und damit möglichen Empfänger stark angewachsen war, habt auch der kriminelle Anteil der Bevölkerung die Chance ergriffen, über dieses Medium seine "Informationen" kostengünstig zu vertreiben. Der unerwünschte Anteil solche Meldungen nimmt zu, wenn die Kosten für den Versand sinken und/oder die VerdienstMöglichkeiten hoch sind. Das gleiche Schema können Sie sicher auch von der Telefonwerbung, Postwurfsendungen etc.

Aktuelle Lage

Bislang ist der Anteil an "SPIM"-Nachrichten zumindest in der Lync Umgebung nicht auffällig. Das mag aber auch daran liegen, dass man sich nicht grade mal einen Lync Server mit Zertifikat installiert und ein Versender müsste erst Domänen mit Open Federation ermitteln und dann eine passende SIP-Adresse können. Sicher kann er einen Bestand von Mailadressen durchlaufen aber selbst dann gibt es immer noch das "Lync Edge Throttling", bei dem nicht explizit angegebene Domains eben nur eine gewisse Anzahl von SIP-Messages pro Zeiteinheit versenden dürfen. Es wird sicher nicht einfach hier ein Bot-Netz von simulierten Lync Edge Servern samt offiziellen Zertifikat aufzubauen.

Office 365, Skype, MSN, AOL

Interessanter kann es natürlich werden, wenn eine Firma ihre Lync-Umgebung per Federation mit Skype, AOL etc. verbindet. Dahinter stecken in der Regel keine Firmen, sondern Privatpersonen und sicher auch einige "falsche" Accounts. Es ist auch relativ einfach sich schnell ein Skype- oder AOL-Konto anzulegen. Die einzige Verifikation dabei ist ja eine Mailadresse und die sind leicht zu erhalten.

Interessanter wird SPIM und Lync für die Verursacher in dem Maße, in dem Office 365 ein Erfolg wird. für ganz wenig Geld kann hier eine Firma einen Account kaufen, der auch Lync IM/Presence kann. In sehr kurzer Zeit kann der Office 365-Zug auf der einen Seite und Skype auf der anderen Seite eine sehr hohe Anzahl an möglichen Empfängern generieren. Und dann wird es natürlich für einen Angreifer wieder interessant, hierüber seinen Müll loszuwerden.

Ich erwarte nicht, dass diese Personen sich dann selbst ein Konto bei Skype oder Office 365 kaufen, was mit gefälschten Daten und Kreditkarten sicher möglich sein wird. Viel interessanter ist hier der gleiche Ansatz, den Viren schon mit Outlook und anderen Programmen gegangen sind. Sie verteilen sich als Schadcode auf die Arbeitsplätze der Anwender und nutzen die offenen APIs von Lync (z.B. UCWA, Lync COMApi) um als Benutzer ihre Nachrichten zu versenden. Die Schadprogramme erscheinen beim Empfänger dann sogar als "Vertrauenswürdiger Absender" und können über das Adressbuch des Absenders auch noch gültige Empfängeradressen auslesen. Es wird also nur eine Frage der Zeit sein, bis der erste "Love-Letter" als SPIM-Version erscheint.

Filtern in Lync

Und natürlich werden Betreiber des Service und Drittprodukte ihnen Lösungen versprechen. Aus der Lync-Brille kann ich ihnen heute schon sagen, dass die APIs schon lange vorhanden sind und z.B. über ein MSPL-Skript problemlos Filter einzubauen sind. Lync selbst hat schon einen einfachen Dateifilter und URL-Filter eingebaut, der einfach per GUI zu konfigurieren ist.

Beachten Sie aber, dass über den Registar immer nur die SIP-Steuerungsmeldungen gehen. Ein Dateitransfer zwischen zwei Clients können die Clients dank ICE und Kandidaten am Registar vorbei abwickeln. Ein Virenscan für am Server vorbei übertragenen Dateien ist nicht möglich. Allerdings kann natürlich die SIP-Meldung, die über den Server als Relay zwischen den Clients übertragen wird, am Server eingesehen und ggfls. geblockt oder verändert werden.

Eigene Erweiterungen bis hin zu Mitschnitten der SIP-Kommunikation sind möglich und mit der Lync Archivrolle sogar mit Bordmitteln installierbar. Wenn es nicht um "Realtime"-Auswertungen ankommt, reicht die Lync Archivrolle, um die Meldungen in eine SQL-Datenbank für eine spätere Auswertung vorzuhalten.

Um aber SPIM zu verhindern, muss natürlich der "Echtzeit-Ansatz" gewählt werden.

Produkte

Es soll schon die ersten Produkte geben, die sich in Lync integrieren. Sie können den IM-Datenstrom auf unerwünschte Worte etc. filtern. Sie können aber auch die INVITE-Messages verändern, dass z.B.: ein Dateitransfer nicht zwischen den Clients sondern ein andere Relay-System geht, das dann wieder den Inhalt scannen kann.

Ich habe bislang aber noch keine Installation selbst durchgeführt oder gesehen. Insofern verschiebe ich einen Erfahrungsbericht und eine Liste der Produkte auf einen späteren Zeitpunkt.

Weitere Links