即時通訊工具（Instant Message）簡稱IM，是目前使用最為普遍的網絡應用之一。繼QQ的小企鵝圖標以驚人的速度出現在我們的計算機上之后，網易、新浪、搜狐等知名廠商也迫不及待地加入這場如火如荼的競爭，而微軟、雅虎、AOL這些國際巨頭，也一刻沒有停止他們擴張的腳步。
即時通訊平臺真正在全球范圍內拉近了人與人的距離，無論對于個人用戶還是企業用戶，都成為一種不可或缺的交流工具。現今的即時通訊工具不僅能夠實現文字聊天，而且能夠在兩臺計算機之間傳送文件以及進行音頻和視頻等方式的通信。
正是因為即時通訊應用的高速普及和廣受歡迎，使得安全攻擊獲得了擁有了極大的發展空間和破壞能力。豐富的功能是即時通訊吸引用戶的主要手段之一，但從安全的角度來講，功能的豐富化恰恰是與嚴格的安全準則背道而馳的。作為一種為了最大化溝通能力而存在的應用系統，其認證機制和保護手段是相對比較薄弱的，這很容易為惡意攻擊行為所利用。下面讓我們分幾個方面來逐一認識即時通訊應用系統所面臨的安全問題。
IM系統自身的問題
在我們討論其它問題之前，首先來看一下即時通訊系統本身如果遭遇攻擊可能會帶來哪些破壞。首先是即時通訊的基礎設施，比如存儲所有傳輸數據和通信記錄的服務器，一旦被攻破，成百上千萬用戶的記錄將暴露在攻擊者的面前。盡管所有的即時通訊服務商都提醒其的用戶不要利用即時通訊傳輸敏感信息，但是這些記錄中仍然會包含大量的密碼和重要資訊。除了服務商的服務器之外，用戶的個人電腦也存儲著大量該類信息。
相對于服務端比較正式的安全防范，個人電腦中的數據被竊取的可能性往往更大。而信息的被竊不僅僅會給用戶帶來經濟上的損失，同樣需要我們關注的是所造成的隱私危機。除了通訊兩端的安全風險之外，由于即時通訊工具通常使用弱加密甚至不加密的數據傳輸方式，所以網絡竊聽活動也會給即時通訊系統造成很大的威脅。
讓人發瘋的MSN“性感雞”

利用IM系統傳播的病毒
近年來病毒的發展趨勢主要是通過Internet傳播的網絡蠕蟲。即時通訊自身具備完善的聯系人列表，為蠕蟲病毒傳播提供了很好的傳染目標獲取機制。而即時通訊用戶之間較高的信任程度，又無形中為病毒傳播提供了社交工程方面的基礎。現在通過感染即時通訊系統實現傳播的病毒主要呈現出以下幾類形態：以占用系統資源、破壞目標系統及種植木馬為行為，例如MSN“性感雞”病毒；竊取即時通訊系統賬號密碼及相關信息的病毒，比如QQ密碼結巴等竊取QQ密碼的木馬；利用感染的即時通訊系統發送各種消息的病毒，QQ尾巴就是這類病毒的代表，也是較早在即時通訊平臺上流行的病毒。
即時通訊病毒正在高速增長，很可能會在不遠的將來發展到和電子郵件病毒一樣嚴重的地步。要控制這種局勢，首先需要即時通訊廠商充分重視即時通訊軟件的安全問題，對其產品進行更嚴格的安全設計。同時，安全領域的供應商也應該積極行動，以更快的速度應對即時通訊安全事件，并研發出能夠更好與即時通訊系統集成的防護產品，例如嵌入到即時通訊軟件中并且可以保持更新的防病毒組件。

利用IM破壞防御系統
類似防火墻這樣常見的安全防御設備，很多時候會因為即時通訊工具的存在而被突破，這類情況對企業用戶的損害尤其嚴重。大多數即時通信軟件都允許用戶選擇使用的端口，或者能夠自動嘗試可以進行通信的端口，甚至利用某些機制繞過防火墻。在這種情況下防火墻就失去了其應有的保護作用，并且這些穿越防火墻的通訊很可能會被攻擊者利用以突破防火墻，對防火墻所保護的網絡和計算機造成破壞。
在企業環境中，即時通訊的應用總是個兩難問題。在充分的應用即時通訊為企業提高效率和限制員工使用即時通訊工具中間做出選擇，往往導致兩種極端的結果，即對即時通訊放任自流和完全禁止企業的即時通訊應用。也許更適合的手段是找到一種折衷的方案，例如我們可以在防御系統中過濾文件傳輸，而不要整個將即時通訊劃為非法應用。
對IM發起拒絕服務攻擊
拒絕服務攻擊特別是分布式拒絕服務攻擊可以說是互聯網先天性安全能力不足的一個例證。即時通訊服務商本身就面臨著拒絕服務攻擊的威脅。由于即時通訊服務商提供的用戶服務能力通常要小于總用戶數，所以在相對滿載的時候，攻擊者較易實施拒絕服務攻擊。通過發送通過發送畸形的或者模擬的數據包到即時通訊服務器，可以大量消耗服務器的資源，造成服務癱瘓。
另外，即時通訊客戶端軟件也存在很多可能引發拒絕服務攻擊的漏洞，使安裝了即時通訊軟件的機器遭受拒絕服務攻擊。客戶端的一個隱憂是用戶現在通常是為了功能對即時通訊客戶端進行升級，而很少象針對操作系統的安全問題那樣及時更新補丁。這使得存在即時通訊漏洞的計算機數量相當可觀，當然這和廠商的推廣方式有很大的關聯。
IM的網絡釣鉤
繼利用電子郵件和網站等方式開展網絡釣魚之后，以即時通訊作為誘騙手段的網絡釣魚行為正越來越多的被詐騙者們實施。比較常見的手法是利用即時通訊發送消息將用戶導向陷阱以及冒充即時通訊供應商開展某種活動騙取用戶的敏感信息等等。例如雅虎就曾經證實其即時通訊工具雅虎通的用戶曾經接收到類似的誘騙信息，將用戶導向詐騙者的網站；而國內也曾發現過很多以贈送Q幣為名獲取QQ密碼和傳播惡意代碼的網站。
除了以上行為之外，即時通訊應用的匿名特征使其也成為了各種騷擾行為的溫床，大量的即時通訊用戶都收到過一些自身不想收到的甚至給自己帶來侮辱和困擾的信息。面對這類安全問題，需要即時通訊用戶能更充分的認識即時通訊應用所具有的風險，以更高的警惕性約束自己的行為。
IM的明天
即時通訊系統仍處于高速發展之中，很可能明天就會涌現出新的安全問題，有新的攻擊手段被設計出來。包括用戶、即時通訊服務商及相關廠商全體，都應該以積極的態度去面對這種形勢，并履行自己的職責，以保證即時通訊應用在更健康的狀態下成長。(責任編輯：zhaohb)