Spyware proniká do firem a hrozí krádežemi dat

Kdysi byl spyware chápán jen jako takřka zanedbatelný problém koncových uživatelů. Situace se ale mění. Objem spywar...


Kdysi byl spyware chápán jen jako takřka zanedbatelný problém koncových
uživatelů. Situace se ale mění. Objem spywaru roste a zvětšují se rovněž jeho
schopnosti. Mnoho škodlivých kódů tak už nehrozí pouze sběrem informací o tom,
jaké webové stránky uživatel navštívil, ale i krádežemi důležitých firemních
dat. Je na čase zmobilizovat obranu.
V současně době již v mnoha firmách spadá řešení problému spywaru nikoli do
kompetence oddělení pro správu desktopů, ale přímo pod oddělení IT nebo IT
bezpečnosti. Příklady z praxe ukazují, že rostoucí pozornost bezpečnostních
expertů je v případě tohoto druhu škodlivých kódů opodstatněná.
Bruce Edwards, který pracuje jako správce sítě v soudním administrativním
centru, začal chápat, že spyware je více než jen záležitost koncových PC, ve
chvíli, kdy si uživatelé začali hlasitě stěžovat na špatný výkon svých počítačů
a zvyšující se počet vyskakující (pop-up) reklamy. Ale až v okamžiku, kdy
zkontroloval všechny počítače ve firmě, pochopil konečně záležitost v plné míře.
"Pracovní stanice koncových uživatelů byly neuvěřitelně zaneřáděny," říká
Edwards. Na dvou stech spravovaných kancelářských strojích běžela spousta
spywaru, u mnoha počítačů hned několik programů současně. Tyto aplikace běžely
na pozadí, aniž by o tom uživatelé věděli, přičemž sbíraly informace o
činnostech při surfování po internetu a přitom stahovaly reklamu, kterou
využívaly v pop-up oknech.
Spolu s tím, jak se zvyšoval počet oněch skrytých programů, narůstalo zatížení
systémových zdrojů a snižovala se dostupná šířka pásma v síti. Kvůli znechucení
z vyskakujících oken s inzeráty si někteří uživatelé stáhli freewarové aplikace
na blokování pop-up oken, které nainstalovaly ještě další spyware.

Kde se berou
Spywarové programy se na koncových počítačích instalují diskrétně a samy, bez
vědomí uživatele. Potom si vytvoří zadní kanál, který slouží k získávání
informací o uživateli a typicky také ke stahování reklamy, často přes HTTP port
80.
Programy, které jsou speciálně navrženy pro zobrazování cílové reklamy, se
nazývají adware. Ale adware a další druhy aplikací, které se instalují bez
výslovného souhlasu uživatele a navazují komunikaci na pozadí, a to včetně
špionů, aplikací zaznamenávajících stisky kláves, nástrojů pro vzdálené
ovládání počítače a trojských koní, jsou také zařazovány do skupiny spyware.

Snaha o obranu
Firmy tradičně vnímaly spyware jako nepříjemnost, kterou by měly řešit skupiny
pro podporu koncových uživatelů. Nicméně IT firmy jej začínají považovat také
za bezpečnostní problém, protože se spyware šíří stále více a složitost těchto
programů se zvyšuje.
Bruce Edwards použil nástroj PestPatrol, který slouží ke zjišťování a
odstraňování spywaru. Nicméně hlavním problémem pro něj není výkon systémů nebo
pop-up okna snižující produktivitu, ale nepříjemný pocit, že ony programy
otevřely neautorizovaný komunikační kanál, který ohrozil citlivé soudní
dokumenty. Obává se, že kromě získávání informací o internetových aktivitách
může spywarová aplikace odchytávat i přihlašovací údaje uživatelů jména a hesla.
Zlomyslný program by také mohl vytvořit komunikační cestu, která by mohla být
zneužita ke stahování dalšího škodlivého softwaru. Analytici tvrdí, že zatímco
některé adwarové aplikace jenom monitorují aktivity při surfování po webu a
uživatelům předkládají otravnou reklamu, jiné mohou nerušeně krást e-mailové
adresy a nejrůznější přístupová hesla, umožnit na pozadí stahování dalších
škodlivých kódů nebo dokonce odesílat citlivé údaje konkurenčním firmám.
"Domníváme se, že těmito schopnostmi některé programy disponují již dnes,"
varuje John Pescatore, analytik společnosti Gartner.

Rizikové chování
Spyware se může nainstalovat poté, co uživatel klikne na pop-up okno, otevře
přílohu e-mailu nebo si stáhne nesolidní freeware. V některých případech mohou
být nezáplatované počítače s operačním systémem Windows zranitelné rovněž vůči
útokům, při nichž je škodlivý kód součástí webových stránek, které zneužívají
zranitelných míst Internet Exploreru a laxních bezpečnostních nastavení k tomu,
aby se sám nainstaloval, aniž by uživatel někam klikl nebo cokoliv provedl.
S tím, jak se spyware na počítači hromadí, spotřebovává stále větší množství
zdrojů. "Jediný program může nainstalovat až 300 souborů a vytvořit na 500
položek v registru," upozorňuje Roger Thompson, viceprezident vývoje
společnosti PestPatrol.

Průmyslová špionáž
Spyware programy lze také využít pro průmyslovou špionáž. Thor Larholm,
výzkumný pracovník výrobce produktů pro síťovou bezpečnost PivX Solutions,
popisuje, jak hacker odcizil obchodní tajemství jisté firmy tím, že využil
komunikačního kanálu adwarové aplikace k nasazení trojského koně na firemní
desktopy.
Adware byl nastaven tak, aby komunikoval s webovými stránkami výrobce a z nich
stahoval nové reklamní bannery. Útočník využil útoku typu "man-in-the-middle"
(tedy třetí osobu, která se vloudí mezi dva legitimně komunikující subjekty) k
tomu, aby pozměnil webové stránky a umístil na ně škodlivý kód, který byl
schopen využít zranitelného místa Internet Exploreru na nezáplatovaných
počítačích. A protože počítače cílové firmy byly zranitelné, mohl na ně útočník
nainstalovat backdoorový program. "S pomocí adware provozu získal přístup k
pěti počítačům," vysvětluje Larholm. Celé dva měsíce pak útočník shromažďoval
obchodní informace a údaje o nových projektech; až poté byla bezpečnostní díra
odhalena a odstraněna. Z toho podle Larholma plyne následující poučení:
"Libovolná neznámá aplikace, která na desktopech běží, představuje potenciální
nebezpečí."
Hlášení podobných událostí, které jsou skutečnou noční můrou zaměstnanců firem
zodpovědných za informační bezpečnost, je zřídkavé. Nicméně Sean, bezpečnostní
inženýr velké finanční skupiny, který si nepřál být jmenován, se jich obává.
"Nemyslím, že spywaru věnujeme takovou pozornost, jakou bychom měli. A věřím,
že se situace bude zhoršovat," tvrdí Sean. "Narušení každodenních operací
způsobené spywarem by mohlo způsobit výrazné finanční ztráty naší firmě,"
dodává. Sean ovšem pochybuje, že by s tím jeho firma něco dělala dokud nedojde
k nějakému závažnému incidentu. "Vyšší management tomuto problému nevěnuje
dostatečnou pozornost. Máme plné ruce práce s tím, abychom se vypořádali s
viry," dodává.

Preventivní opatření
Ochrana před spywarem není jednoduchá to potvrzují uživatelé i výrobci. Pomoci
mohou antivirový software a filtry webového obsahu. Má-li však být prevence
dostatečná, vyžaduje také instalace osobních firewallů na každém počítači, kde
je nainstalován operační systém Windows. Firewall pak odhaluje a blokuje pokusy
o instalaci spywaru. A to jak ty, ke kterým dochází bez přispění uživatele, tak
ty, jež spoléhají na triky sociálního inženýrství ty tvůrci spywaru využívají k
tomu, aby uživatele donutili kliknout na pop-up okno se zavádějícím textem.
Dále je nutná rigorózní instalace bezpečnostních záplat a aktualizací Windows a
Internet Exploreru. A nesmíme zapomenout na blokování spustitelných příloh
e-mailu.
Dalším způsobem, jak překazit stahování spywaru, je nastavení nikoliv
administrátorských, ale omezených lokálních práv pro uživatele Windows XP.
"Uživatelé Linuxu by nikdy nepoužívali root účet počítače při čtení e-mailů,
ale právě tohle dělají uživatelé Windows neustále," říká Mikko Hypponoen,
ředitel výzkumu antivirových produktů společnosti F-Secure.
Mnoho spywarových aplikací se jednoduše nemůže nainstalovat, pokud nemá
uživatel práva lokálního administrátora. "Diskutuji každý týden s lidmi z
velkých firem. Překvapuje mne, jak mnoho z nich stále dává uživatelům plná
administrátorská oprávnění k jejich počítači," konstatuje Candace Worley,
produktový manažer McAfee VirusScan. Sean ze společnosti poskytující finanční
služby připouští, že mnozí z více než 100 000 uživatelů v jeho firmě mají plná
práva ke svým počítačům. Nicméně dodává, že není praktické desktopy kompletně
zajistit, jelikož uživatelé vyžadují určitou míru flexibility.
"Záplatování je kritickou záležitostí, ale nedokáže zablokovat všechna
zranitelná místa," říká Larholm, který nedávno na webu PivX zveřejnil seznam
neopravených děr v Internet Exploreru. V jedné chvíli tento seznam čítal 32
položek. "Dnes odhaduji, že existuje stále zhruba 14 neopravených chyb. Zhruba
polovina z nich umožňuje vykonávání příkazů. A zhruba polovina z těch
zbývajících dovoluje cross-domain skriptování," říká. Mnohé z nich podle něj
opraví nadcházející Service Pack 2 (SP2).

Upgrade
Očekává se ovšem, že SP2 přinese problémy s kompatibilitou aplikací. John
Pescatore ze společnosti Gartner ale i přesto doporučuje jeho nasazení v
nejbližším možném okamžiku. "Zaznamenáme velmi vysoký výskyt případů, kdy
starší software nebude fungovat tak, jak má, ale přesto byste měli SP2
nainstalovat," radí.
SP2 však nepomůže Seanově firmě. Ta totiž stále využívá Internet Explorer verze
5.5; Sean poznamenává, že mnoho firem dosud nevyužívá nejnovější verze webových
prohlížečů, protože podle něj novější verze mohou způsobit nefunkčnost
intranetových aplikací."

Nebezpečné přílohy
Pete Simpson, manažer pro zkoumání hrozeb anglické firmy ClearSwift, která
prodává aplikace pro filtrování webového a e-mailového obsahu, říká, že je
nezbytné blokování veškerých spustitelných příloh, protože antivirový software
ne vždy vložený spyware odhalí.
Pete Munro, správce sítě u jednoho britského výrobce softwaru, vyprávěl, že
jednou obdržel e-mailem přílohu, která se tvářila jako pozvánka na svatbu.
Pokud by byla spuštěna, na počítač by se nainstalovala kopie iSpyNow, což je
spywarový program sloužící pro komerční špionáž. Munro, který si nepřál svého
zaměstnavatele jmenovat, říká: "Naše zdrojové kódy jsou velmi cenné. Pokud by
je kdokoliv odcizil, pozměnil nebo smazal, způsobilo by nám to mnoho problémů."
Munro přílohu zablokoval na e-mailové bráně. Uživatelé v jeho firmě jsou
chráněni také tím, že nemají lokální administrátorská práva ke svým počítačům.
Munro vzpomíná, jak byl rád, že gateway odvedla svou práci, protože antivirový
skener přílohu ignoroval. "Z pohledu výrobce skeneru se totiž jednalo o běžnou
komerční aplikaci," vysvětluje.
Podobné programy evidentně představují riziko. Přesto většina antivirových
nástrojů, a dokonce ani některé antispywarové aplikace nedetekují komerční
software a adware, který obsahuje licenční smlouvu, v níž je uživatel na
potenciálně nebezpečné funkce (byť ne vždy zcela zřetelně) upozorněn.
"Výrobci, kteří produkují nejrůznější druhy reklamního softwaru, vyhrožují, že
se s námi budou soudit, protože kvůli nám vypadají špatně," říká Hypponoen z
F-Secure. "Abychom se takovým problémům vyhnuli, naše firma poskytuje signatury
pouze pro škodlivé programy, které jsou využívány s úmyslem spáchat trestný
čin."
Společnosti Network Associates a Symantec začaly přidávat určité funkce pro
odhalování spywaru do svých produktů pro firmy, ale obě se potýkají se stejnými
problémy. "Jak Symantec, tak McAfee přidával funkce proti spywaru velmi pomalu;
není mi jasné proč vždyť se jedná o závažný problém," stěžuje si Pescatore.
IT organizace koneckonců nezajímá, zda v případě spywarových aplikací jde o
legitimní adware, špionážní nebo záměrně škodlivé programy. Potřebují vědět o
všem, co není součástí standardního systému. "Máte-li na svých počítačích tuny
spywaru, umožňujete jiným organizacím využívat vašeho soukromého vlastnictví k
jejich obohacení. A to představuje ve firmách významný problém," říká Larholm.
"Pokud by vůbec někdo měl monitorovat vaše zaměstnance, pak byste to měli být
vy sami," zakončuje.

10 tipů, jak zastavit spyware
Udržujte Windows a Internet Explorer aktualizované.
Aktualizujte definice antivirového softwaru.
Stanovte a prosazujte dodržování přísných pravidel týkajících se činností
uživatelů při surfování po webu a stahování.
Využijte filtry webového obsahu k monitorování aktivit uživatelů a k blokování
přístupu k webových stránkám, které jsou často využívány k šíření spywaru.
Na každém stolním i přenosném počítači nainstalujte osobní firewall.
Nastavte e-mailovou bránu tak, aby blokovala veškeré spustitelné přílohy
e-mailů.
Nedávejte uživatelům Windows práva lokálního administrátora.
Testujte SP2 tak, abyste byli připraveni jej okamžitě nasadit na veškerých
počítačích s operačním systémem Windows XP.
Vytvořte si seznam známých neškodných ovládacích prvků ActiveX a všechny
ostatní zablokujte. Takovéto seznamy dává k dispozici Symantec, PivX i další
výrobci bezpečnostních produktů.
Využívejte komerční antispywarové nástroje k odhalování a odstraňování
stávajícího spywaru. Vyhledávejte vylepšené produkty, které jsou schopny
identifikovat všechny druhy spywaru (včetně komerčních programů obsahujících
licenční smlouvu). Koncem tohoto roku by se měly objevit antispywarové produkty
s funkcemi pro centrální správu a řízení.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.