Spyware a ti druzí

„Spyware je to, co teď potřebujeme potlačit,“ prohlásil v únoru 2005 Bill Gates na RSA Security Conference v San Franciscu. Jednak tím potvrdil, že Microsoft svá slova o bezpečnosti ve světě počítačů myslí vážně a jednak zdůraznil, že otázka spywaru a dalších škodlivých kódů je jedním z největších problémů současného světa.



Jen pro úplnost dodáváme, že se nejedná zase až tak o dobročinný skutek. Microsoft jen potřebuje reagovat na tlak trhu,

který jasně dává najevo odklon od nejpoužívanějšího prohlížeče Internet Explorer. Zatímco v polovině roku 2004 ho používalo 95,5 procenta uživatelů internetu, v lednu 2005 už jeho podíl představoval 90,3 procenta. Byť je stále zcela dominantním produktem na trhu, ztráta pěti procent podílu (tedy každého dvacátého uživatele) během pouhého půl roku je velmi výrazným signálem.

Nicméně neoddiskutovatelným faktem každopádně zůstává, že spyware je velkým problémem současných informačních technologií – a nejen spyware, ale i další škodlivé kódy, které se v posledních letech vyrojily jako houby po dešti. Začaly tak zaujímat místo virů, které nejsou pro své tvůrce až tolik zajímavé – pomocí spywaru lze totiž získat informace a ty následně různými způsoby zpeněžit.

Spyware je všeobecné označení pro veškerý software, který slouží k prohledávání systémů a/nebo monitorování aktivity uživatele na jiných počítačích (tedy ne vlastních) či místech v kyberprostoru.

Abychom jednotlivé kategorie škodlivého softwaru a jejich vlastnosti odlišili, potřebujeme zavést podrobnější dělení. (Upozorňujeme, že ne každý program, který nese níže uvedené označení, musí být automaticky škodlivý – nicméně tyto aplikace patří k nejčastěji zneužívaným.)

n Adware – program, který by se dal označit jako „osobní manažer reklamy na počítači“. Jde o aplikaci, která má za cíl zobrazovat reklamu, a to velmi agresivním způsobem: ve www stránkách nahrazuje skutečné bannery, obtěžuje pop-up (vyskakovacími) okny apod. Kromě toho adware mnohdy sbírá informace o uživateli a jeho zvyklostech: jaké www stránky navštěvuje, kolik času na nich tráví, jaké má zájmy apod. Jedná se tedy o shromažďování velmi soukromých informací. Adware nemusí být nutně škodlivý (mnoho uživatelů cílenou reklamu i vítá), ale většinou je instalován bez vědomí uživatele, což z něj činí kód nebezpečný.

n Backdoor – zadní vrátka jsou programem, který umožňuje nezvané osobě přístup do počítače. Zpravidla tak, že otevírá některé porty a na nich naslouchá povelům zvenčí.

n Browser Hijacker – „únosce prohlížeče“ mění nastavení použitého internetového prohlížeče (např. úvodní stránku nebo používaný vyhledávač). K této změně přitom často dochází velmi agresivním způsobem, takže je velmi obtížné nebo téměř nemožné nastavení upravit podle požadavků uživatele (či vrátit do původní podoby).

n Browser Plugin – jedná se o program, který specifickým způsobem rozšiřuje možnosti internetového prohlížeče. Pod pojmem „specifický“ přitom nemusí být vždy míněno „škodlivý“, protože mnoho takovýchto programů je užitečných a dobrovolně instalovaných. Nicméně to neplatí vždy, takže se lze setkat s i aplikacemi Browser Plugin, které provádějí škodlivou činnost (doplňování prohlížeče o sledovací funkce apod.).

n Bundled Software – připojený program je takový program, který získáváte jaksi „navíc“ při instalaci určité aplikace. Nejde tedy o její vlastnost, ale skutečně o samostatný program. Opět nemusí jít o škodlivý kód, ale právě tímto způsobem se do počítače nekorektní programy často dostávají – a zůstávají v něm zpravidla nadále i po odinstalování mateřské aplikace.

n DataMiner – program, jehož primární funkcí je shromažďovat data o koncovém uživateli. Např. většina adwaru (viz výše) má vlastnost DataMineru.

n Dialer – program, který tajně nebo pod nějakou záminkou („lepší internet“, „rychlejší připojení“ apod.) mění telefonní číslo vytáčeného připojení k internetu na číslo velmi draze zpoplatňované nebo číslo mezinárodní.

n Keylogger – program sloužící k monitorování aktivity uživatele, nejčastěji ke sledování stisknutých kláves (obvykle za účelem špionáže nebo zcizení přihlašovacích jmen a hesel). Některé keyloggery jsou prodávané jako běžné komerční nástroje (Commercial Keylogger), přičemž ty právě pro svoji běžnou dostupnost (a tedy z právního hlediska korektnost) nejsou bezpečnostními programy zpravidla detekované. Jejich nebezpečnost ale není o nic menší.

n LoyaltyWare – jedná se o program (mnohdy nedobrovolně instalovaný), který uživatele odměňuje za věrnost. Jinak řečeno: pokud opakovaně navštěvuje určité www stránky nebo nakupuje v jistých obchodech, získává nějakou výhodu.

n Network Management Tool – nástroje pro správu sítí. Mohou být pasivní (naslouchací) nebo aktivní (vyhledávací), přičemž jejich použití bývá rozličné. Každopádně ale nejde o nástroje instalované na lokální stanice, ale jejich místo je zpravidla na centrálním serveru. Z toho důvodu mohou monitorovat pouze data vyskytující se v síti (v pasivním režimu jen data jdoucí přímo přes ně) a nemohou posloužit pro sledování lokálních dat. K dispozici je také Network Management Tool ve verzi Commercial, který charakterizuje stejný problém jako v případě keyloggerů.

n Parasites – parazitní software je všeobecné označení pro programy, které v počítači jen parazitují – nepřinášejí žádnou užitnou hodnotu (nebo dokonce přímo škodí).

n Password Stealer – speciální případ keyloggeru (viz výše), který slouží pouze k odcizení hesel.

n Remote Access Tool – aplikace pro vzdálenou správu. Nástroj pro správce sítí, kteří
mohou vzdáleně instalovat, odinstalovat ne-
bo konfigurovat programy na jednotlivých PC v síti. Bohužel bývá často zneužíván hackery jako nástroj pro skrytou instalaci škodlivých programů.

n Remote Administration Tool – program, který je primárně určen správcům sítí ke vzdálené správě jednotlivých PC, zpravidla za účelem inventarizace nebo kontroly. Bohužel tento nástroj bývá často zneužíván hackery jako nástroj pro průzkum.

n Scumware – je program, který na www stránky přidává odkazy, jež by ale měly být placené. Scumware také slouží k přesměrování již existujících odkazů/inzerátů na jiné než určené lokality.

n Trojan Horse – trojský kůň (slangově trojan) vykoná v počítači nejen úkon, jehož provedení sliboval, ale provede i úkony, o nichž uživatel nemá ponětí a s nimiž by nejspíše nesouhlasil.

Upozorňujeme, že tento seznam nejrozšířenějších škodlivých kódů – byť dlouhý – nemusí být zdaleka úplný a že se v praxi lze setkat i s dalšími typy škodlivých programů. Neobsahuje například viry nebo červy, protože jejich primárním cílem je šíření – nikoliv působení škod. To samozřejmě neznamená, že viry nebo červi nejsou škodlivé nebo že škodlivé rutiny neobsahují. Zpravidla se ale v takovém případě jedná o vlastnosti trojanů, back-
doorů a podobně, které v seznamu zmíněny byly.

Důležitá je každopádně otázka: „Jak svůj počítač chránit?“ Pamatujte si, že základem je prevence, protože nejlepší problém je ten, který nevznikne.

Pokud používáte Internet Explorer, používejte jeho nejaktuálnější verzi vybavenou všemi bezpečnostními záplatami (pravidlo o záplatování ostatně platí i pro operační systém a všechny ostatní aplikace). Nicméně je možné pro pohyb na internetu používat i alternativní prohlížeče jako Firefox, Opera nebo Safari.

Vyhýbejte se nekorektním stránkám – s pornografií, nelegální hudbou, hrami či programy, se sériovými čísly apod.

Instalujte do svého počítače jen to, co opravdu potřebujete – ne každý program, který vám přijde pod ruku nebo který se na internetu podbízí.

Používejte antivirový program a svůj počítač též pravidelně kontrolujte na přítomnost spywaru nějakým antispywarovým programem.

A dobrá zpráva na závěr: Bill Gates na výše zmíněné konferenci prohlásil, že Microsoft připravuje uvolnění nové verze celosvětově nejrozšířenějšího prohlížeče Internet Explorer. Nová verze 7.0 by měla být k dispozici od letošního léta a bude klást velký důraz na bezpečnost – na ochranu uživatelů před viry, spywarem a dalšími aktuálními nebezpečími kybernetického prostoru. 05s0003/jp o



Microsoft AntiSpyware cílem prvních útoků


Je zcela logické, že nový antispywarový program od „nenáviděného“ Microsoftu se velmi záhy stal terčem útoků škodlivých kódů. Prvenství přitom patří trojskému koni BankAsh-A, který je primárně určen k odcizování přihlašovacích jmen a hesel uživatelů operačního systému Windows (orientuje se přitom na hesla k elektronickým aplikacím bankovních domů Barclays, Cahoot, Halifax, HSBC, Lloyds TSB, Nationwide, NatWest a Smile). Po vstupu do počítače se BankAsh-A snaží vypnout mimo jiné i aplikaci Microsoft AntiSpyware a následně smazat všechny soubory, které se nacházejí v adresáři s tímto programem.



Microsoft AntiSpyware přichází


V polovině ledna 2005 uvolnila společnost Microsoft program AntiSpyware v beta-verzi. Tím se na svět dostal nový nástroj pro boj se škodlivými kódy. Vlastně nástroj staronový, protože program je z větší části převzatý od společnosti Giant Company Software, kterou Microsoft na konci roku 2004 zakoupil.

Microsoft AntiSpyware je program (velikost instalačního balíčku 6,4 MB) určený pro platformy Windows 2000, Windows XP a Windows Server 2003. Velmi solidně pokrývá většinu potřeb uživatelů, protože umožňuje nejen hledat škodlivé kódy, ale také vracet systém do původního stavu. Tuto vlastnost ocení uživatelé zvláště v případě „únosu prohlížeče“ (browser hijack).

Ochrana počítače v reálném čase je také milou vlastností, protože umožňuje eliminaci nebezpečí už v okamžiku vstupu do PC. Tuto vlastnost mnoho antispywarových programů postrádá nebo ji nabízejí jako volitelnou – za příplatek. Microsoft AntiSpyware je k dispozici zdarma (byť je omezený do 31. 7. – ale to je pochopitelné, protože jde o beta-verzi). Uživatelé jistě ocení také funkci „track eraser“, která umožňuje z počítače odstranit stopy po předchozí činnosti (navštívené www stránky, uložená hesla, otevřené dokumenty apod.).

Microsoft AntiSpyware má i několik negativních vlastností. Jednak počítá jako s jediným prohlížečem s Internet Explorerem – u dalších prohlížečů nefunguje třeba funkce „track eraser“. Je pochopitelné, že Microsoft nabízí AntiSpyware jako službu svým zákazníkům, ale to neznamená, že tito nemohou mít možnost výběru. Některý spyware (zvláště komerčně prodávaný) AntiSpyware nedetekuje (zřejmě aby se Microsoft vyhnul případným žalobám, nicméně uživatele to rozhodně nepotěší). Program dále obsahuje několik drobných chyb, na které nejspíše přijde každý uživatel, ale nemá smysl se o nich zmiňovat, neboť nejde o definitivní verzi. V připravované plné verzi by však znepříjemňovaly život.

Microsoft AntiSpyware (www.microsoft.com/athome/security/spyware/software/default.mspx) je rozhodně dobrým počinem, ale je zapotřebí mít na paměti, že prozatím jde o beta-verzi. Vzhledem k tomu, že je doporučováno pro detekci spywaru používat alespoň dva antispywarové programy, jde o vítané rozšíření nabídky na trhu. Jen pro úplnost: aplikace Ad Aware SE Personal Edition (www.lavasoft.de/support/download/) a Spybot Search & Destroy (www.safer-networking.org/en/) jsou pro domácí uživatele k dispozici také zdarma.



P.S.: V únoru 2005 Microsoft oznámil, že i plná verze AntiSpyware bude pro legální uživatele Windows zdarma.










Komentáře