Spyware: Špioni ve firmách i v domovech uživatelů

Pojem spyware patří v současnosti v oblasti IT bezpečnosti k nejskloňovanějším. Dokonce i ta nejneškodnější forma ...


Pojem spyware patří v současnosti v oblasti IT bezpečnosti k nejskloňovanějším.
Dokonce i ta nejneškodnější forma spywaru totiž představuje zásah do soukromí.
Většina těchto programů sice nepáchá přímé finanční škody mění třeba jen
startovní webovou stránku nebo zobrazuje reklamy znepříjemňuje ale uživatelům
práci, a tím snižuje jejich produktivitu. A navíc jsou tu i zákeřnější formy
spywaru takové, které například připojují uživatele k internetu přes draze
placená telefonní čísla nebo dávají všanc jeho data.
Primárně je spyware využíván pro účely cílené reklamy sleduje návyky uživatele
při prohlížení webových stránek a informuje o nich své tvůrce. Některé programy
ukládají stisky kláves či dokonce zachytávají a přenášejí snímky obrazovky.
"Těmto programům je obtížné se vyhnout, neboť jsou součástí jiných produktů, a
není vždy zřejmé, že se také instalují. A jakmile se ocitnou na počítačích, je
jejich odstranění často náročné, a to časově i finančně," říká Michael Steffen,
analytik washingtonského Centra pro demokracii a technologii (CDT, Center for
Democracy and Technology).
Ve své nejhorší podobě se spyware stává nebezpečným nástrojem v rukách špatných
lidí. "Dnes je spyware otravný, ale relativně neškodný. Firma Gartner se však
domnívá, že v budoucnu bude čím dál tím škodlivější a bude využíván pro
zjišťování hesel, čísel kreditních karet a pro další formy krádeže identity,"
upozorňuje John Pescatore, viceprezident pro bezpečnostní výzkum firmy Gartner.
Mark Maiffret, šéf pro odhalování hackingu v eEye Digital Security, vidí i
další nepříjemné možnosti využití spywaru, jako například zachytávání a přenos
dokumentů Wordu a Excelu za účelem průmyslové špionáže.

Jak se vyhnout spywaru
První linií obrany je zajištění dodržování politik pro využívání internetu
jednotlivými zaměstnanci. Maiffret radí, že je třeba přijmout následující
bezpečnostní opatření:
Nastavit internetové prohlížeče a Outlook pomocí doménových bezpečnostních
politik.
Blokovat ActiveX a další spustitelné programy.
Kontrolovat skriptování.
Filtrovat obsah webu pomocí HTTP proxy.
Je-li to nutné, znemožnit určitým zaměstnancům používání internetu, pokud jej
nepotřebují ke své práci.
"Zaměstnanci by také měli projít školením, jak bezpečně surfovat po webu,"
dodává Ian Pointer, šéf pro bezpečnost společnost Bit9, která se zabývá vývojem
softwaru. Školení zaměstnanců by mělo probíhat jednoduchou formou, důraz by měl
být kladen na dodržení následujících zásad:
Nestahujte peer-to-peer aplikace nebo jiné programy, se kterými nejste
obeznámeni.
Neklikejte zbytečně na legrační obrázky například na tancující medvědy.
Nestahujte freeware bez souhlasu oddělení IT.
Sečteno a podtrženo: Pokud něco nepotřebujete pro svou práci, neklikejte na to.

Jak odhalit špiona
Přestože jsou v řadě firem zavedeny do praxe všechny výše uvedené postupy,
spyware se dovnitř mnohdy stejně dostane. "Donedávna bylo možno jej odhalit
jediným způsobem čekat, až zaměstnanec zavolá na helpdesk," říká Shane Allen,
síťový inženýr firmy Special Devices, jež vyrábí pyrotechnické roznětky airbagů.
"Uživatel zavolal a řekl: Nejde mi otevřít tento soubor. Nefunguje mi tisk.
Nemohu prohlížet web. A my jsme museli jít k jeho počítači a zopakovat kroky,
které předtím prováděl," vysvětluje Allen. "Nejrůznější chyby se začnou
objevovat z toho důvodu, že na pozadí běží nějaké další procesy," vysvětluje.
Allen začal podnikat proaktivnější kroky vloni v březnu, kdy firma Websense
přidala možnosti pro blokování spywaru do svého nového produktu Client
Application Module (CAM). CAM stojí při 1 000 licencích 25 dolarů za uživatele
a integruje se do centrální nástroje pro správu z názvem Websense Enterprise.
"Vzhledem ke každodenním aktualizacím zachytí Websense Enterprise většinu
spywaru ještě dříve, než se dostane na počítače v síti," tvrdí Allen. "A pokud
se spywaru podaří tuto ochranu překonat, pak CAM zabrání jeho spuštění
prostřednictvím ovladače na úrovni jádra operačního systému, který při
spouštění aplikací sleduje kategorizované chování spywaru," dodává.
Tímto způsobem Websense odhaluje spyware, který pronikl první linií ochrany.
Nigel Smithson, DSO (Data Security Officer) Boston Private Bank, využívá zpráv
Websense ke zjištění počítačů, které je nutné vyčistit.
"Spyware je naším prokletím," říká Smithson. "Dříve jsme se s ním vypořádávali
reaktivně. Ale nyní se nám podařilo snížit počet incidentů způsobených spywarem
na všech počítačích s výjimkou těch, které zaměstnanci využívají doma, pomocí
komerčních nástrojů a freewaru v celkové hodnotě zhruba 2 000 dolarů," dodává.
"Nesnažíme se ošetřit vše," upřesňuje. "Antivirové programy nyní pokročily v
oblasti boje proti spywaru. A jiné nástroje využíváme pro vyčištění počítačů v
případě podezření na infekci. Avšak bezpochyby nejdůležitější je filtrování
webu, které většině problémů zamezí."

Jak spyware odstranit
Pokud spyware překoná webové filtry, je jeho odstranění bez příslušného
automatického nástroje určeného pro tyto účely obtížné. Podle zprávy CDT
týkající se spywaru je většina těchto programů odolná proti odinstalování.
"Spyware za sebou zanechává položky, které jsou důkladně ukryty v registrech a
nemůžete se jich zbavit. Vyčištění znamená projít registry a vědět, které
soubory hledat," vysvětluje Michael Wood, představitel společnosti Lavasoft,
která vytváří jak freewarový, tak profesionální nástroj na odstraňování spywaru
z názvem Ad-Aware. Profesionální verze stojí 39,95 dolarů za jeden počítač.
Allen využívá freewarovou verzi Ad-Aware vždy, když potřebuje vymýtit spyware z
infikovaných počítačů. Smithson využívá rovněž zdarma dostupný produkt Spybot.
Smithson dodává, že rovněž vyzkoušel Ad-Aware, ale Spybot podle něj odhalil
větší množství spywaru a přitom nevyžadoval speciální nastavení, které bylo
nutné provést u Ad-Aware.
"Díky Websense nemusíme aplikovat nástroje pro odstraňování spywaru na všechny
počítače ve firmě. Využíváme je pouze příležitostně, pokud má někdo problém,"
říká Smithson. "Avšak domácím uživatelům doporučujeme, aby si tyto nástroje
instalovali na své počítače a nechali je běžet na pozadí," dodává.
Mezi další produkty dostupné na trhu patří SpySubtract firmy InterMute, LLC
Mechanic od Iolo Technologies, Sygate SSE firewally či GhostSurf Pro
společnosti Tenebril.
I u spywaru funguje známý strašák v podobě zaměstnanců pracujících z domova.
Stávající nástroje pro správu, jako je třeba Websense, nezajišťují dodržování
webových politik na domácích počítačích.
V těchto případech pomohou podle Allena počítače ochránit pouze nástroje typu
Ad-Aware nebo Spybot.

Jak filtrovat port 80
Jelikož se spyware běžně instaluje a funguje prostřednictvím portu 80, dostane
se podle Johna Pescatoreho na počítače, aniž by si toho povšimly současné
firewally.
Mezi antivirové/firewallové balíky, které kontrolují vzorce spywaru v HTTP
provozu na portu 80, patří Fortinet Fortgate, McAfee Internet Security Suite,
Norton Internet Security 2004 a TrendMicro InterScan Web Security Suite for
Windows.
Trend Micro ani Symantec nenabízejí detekci spywaru na podnikové úrovni.
Produkt firmy Norton pro domácí uživatele zahrnuje 313 definic spywaru,
Symantec plánuje zahrnout do svého podnikového softwaru stejné funkce koncem
prvního čtvrtletí letošního roku.
IDS zatím není podle uživatelů ani analytiků tím správným způsobem, jak
zjišťovat spyware. Spoléhá totiž na signatury útoku a ne na analýzu vzorků
provozu. "Je obtížné odchytit spyware vyhledáváním signatur útoku, protože
spyware se instaluje na desktopy prostřednictvím ActiveX pluginů a dalších
doplňků prohlížeče," objasňuje Jeff Horne, výzkumný pracovník Internet Security
Systems, výrobce IDS software RealSecure.
"Spyware se proměňuje každým dnem. Proto byste potřebovali celý tým výzkumníků,
který bude psát signatury, a stejně byste nedokázali udržet aktuálnost
souborů," dodává. Je tedy třeba použít software schopný rozpoznávat vzorce
chování jen ten bude umět odhalit nové formy spywaru.
"Vezměme si například spyware program s názvem Trickler. Ten stahuje malé části
spywaru po celé hodiny či dny a postupně se na klientském počítači kompletuje.
Určitý spustitelný soubor si stáhne další spustitelný soubor a tak dále.
Heuristická analýza by takové chování odhalila a zastavila," říká Horne. Tudy
by tedy podle jeho názoru mohla vést cesta k ochraně.

Pomoc! Někdo unesl můj prohlížeč
Spyware může být problémem i pro nejvyspělejší uživatele internetu. Stačí jen
navštívit nějakou zákeřnou webovou stránku a nemít zapnutou nejvyšší (a z
hlediska funkčnosti poněkud prohibitivní) úroveň zabezpečení prohlížeče.
Na konci loňského roku dostal jeden novinář tip na dětskou pornografii,
nacházejí se na určitých webových stránkách pro dospělé. Navštívil proto
zmíněné stránky, aby si informaci ověřil, avšak žádné nelegální obrázky
neobjevil. Co však odhalil, byl trojský kůň, který vypnul bezpečnostní
nastavení ActiveX jeho prohlížeče a převzal nad ním kontrolu.
"Slyšel jsem, jak pevný disk vrčí, spustil jsem správce úloh a viděl, jak se
samy instalují spustitelné programy," říká Chris Brandon z firmy Internet
Services. "Když jsem zjistil, že nemohu tyto programy ze správce úloh ukončit,
věděl jsem, že nastanou problémy."
Během doby, kdy kontroloval registry, nainstaloval trojský kůň desítky
programů, které nahradily výchozí webovou stránku svou vlastní, a umístily své
IP adresy do oblíbených položek, zástupců a bezpečných zón. Když se pokusil
programy smazat a restartoval počítač, virus se znova nainstaloval.
Tento program je dokonalým příkladem vražedného útoku spywaru. Sám se
nainstalovat kvůli bezpečnostní chybě v Internet Exploreru verze 4.x a 5.x,
která dovoluje nepodepsaným apletům vytvářet a využívat ovládací prvky ActiveX.
Poté převzal kontrolu nad Brandonovým prohlížečem tomuto chování se říká
web-ja-king. Ale mohlo být i hůře. Některé varianty zahrnují dialery, které v
případech, kdy oběť využívá telefonického připojení k internetu, vytáčejí čísla
speciálně placených linek. Takové připojení se pak značně prodraží.

Stálý růst
"Poslední dobou jsou tyto typy virů stále rozšířenější," říká Ken Dunham,
ředitel pro výzkum škodlivých kódů firmy iDefense, která se zabývá
problematikou bezpečnosti. "Trojské koně se vyskytují na určitých
pornografických či jiných stránkách, s nimiž jsou jejich autoři ekonomicky
propojeni. Ukončují aplikaci regedit.exe a zbavit se jich může být velmi
obtížné."
Firma PestPatrol, dodávající antispywarové produkty, hlásí za posledních
několik měsíců ohromný nárůst viru, který Symantec označuje názvem
Trojan.Norio. Nyní se po internetu podle Spywareinfo.com pohybuje nejméně 24
jeho variant.
Každá z nich je navržena pro jiné účely. Jedna mění nastavení vyhledávače
například na allhyperlinks.com. Jiná přesměrovává veškeré vyhledávání na
podvrženou adresu Coolwebsearch.com. Další směruje Verisign Site Finder na
podvodnou stránku Site Finder. Ještě další spouští automatický dialer. A tak
dále.
"Dá se očekávat, že podobné typy trojských koní budou využity pro ještě
zákeřnější účely, jako je sbírání čísel kreditních karet a hesel," varuje
Dunham.
"Trojan Norio mění registry a soubor hosts. Pokud napíšete nějakou adresu,
například www.microsoft.com, pak vás přesměruje na jiné stránky. Mohl by vás
také přesměrovat například na falešný web www.citibank.com, kde následně
vyplníte citlivé informace a ty se odešlou útočníkovi," dodává.
Brandon odstranil škodlivý kód pomocí nástroje CWSweep firmy Spywareinfo.
(Podobný nástroj nabízí také společnost PestPatrol.) Od té doby sleduje IP
adresy a doménové názvy, které virus umístil do registrů.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.