Komerčný spyware dvíha hlavu

Zo spywaru sa stáva komerčne zaujímavý segment trhu, ktorý poskytuje dostatok priestoru pre vstup nových spoločností. ...


Zo spywaru sa stáva komerčne zaujímavý segment trhu, ktorý poskytuje dostatok
priestoru pre vstup nových spoločností.

Preto je dÖležité si uvedomiť, ako sa budú vyvíjať spywarové spoločnosti a ich
produkty od tohoto vývoja sa budú odvíjať aj nástroje pre boj proti spywaru.
Čoraz viac bezpečnostných manažérov si začína uvedomovať, že spyware sa stáva
jedným z najväčších problémov dnešnej doby. Mnohé firmy začínajú híadať
systémové riešenia pre boj proti spywaru preto je dÖležité si už v dnešnej dobe
uvedomiť budúci vývoj spywaru, pretože nesprávny výber korporátneho riešenia
mÖže priniesť viac škody než úžitku. Situáciu im komplikuje skutočnosť, že
väčšina dnes dostupných antispyware nástrojov je postavená na zastaralých a
neadekvátnych metódach.

Spyware sa hlási o svoje práva
V budúcnosti mÖžeme očakávať rozdelenie spywarových produktov na tzv. blackhat
spyware a whitehat spyware. Rozdiel medzi nimi je v dodržiavaní určitých
podmienok/štandardov whitehat spyware bude produkovaný regulérnymi
spoločnosťami, mimo iné bude možné ho odobrať z panelu Pridať/odobrať programy,
bude obsahovať jasné podmienky svojej činnosti v EULA a podobne. Na oplátku ho
antispywarové produkty buď nezaradia do svojej databáze, alebo jasne označia,
že sa jedná o light verzie spywarových produktov. Tieto podmienky definovalo už
konsorcium C.O.A.S.T., ktoré ale vďaka zlej organizácii a neprimeranému pomeru
zastúpenia spywarových a antispywarových spoločností nebolo príliš úspešné a v
dnešnej dobe už neexistuje. Štandardy musia byť postavené na spolupráci
spywarových a antispywarových spoločností hlavnú snahu o presadenie týchto
štandardov mÖžeme očakávať práve od veíkých spywarových spoločností, ktoré
týmto spÖsobom budú chcieť vylepšiť svoje poškodené meno.
V blízkej dobe mÖžeme očakávať príchod profesionálnych spywarových spoločností
ich výnosy budú narastať závratnou rýchlosťou, podobne ako aj počet
zamestnancov. V dnešnej dobe medzi tieto spoločnosti už mÖžeme rátať napríklad
Claria Corporation (ex-Gator) alebo 180Solutions (viac ako 250 zamestnancov).
Rast spoločnosti 180Solutions (neuveriteíných 2 444 percent! www.inc.com/app/
inc500/viewCompany.jsp?cmpId=2004039) upozornil na tento segment investorov už
v dnešnej dobe je jasne viditeíný záujem (viď www.benedelman.org/
spyware/investors). Do budúcnosti to znamená, že v rámci boja proti spywaru
tieto spoločnosti už nebude možné brať ako anonymnú hrozbu a priamo odstraňovať
ich produkty, pretože možné právne dÖsledky takéhoto počínania značne
skomplikujú situáciu výrobcom antispywarových riešení. Portfolio spywarových
spoločností sa zmení produkty budú profesionálnejšie a zmení sa ich celkový
charakter nebude sa jednať vyslovene o parazitické programy, s ktorými sa
stretávame v dnešných dňoch, ale skÖr o produkty pre marketingový prieskum a
advertisement. Zároveň sa zníži počet spywaru, ktorý bude infikovať počítače
pomocou chyb v zabezpečení omnoho častejší bude bundleware, t.j. spojenie
spywaru s normálnym softwarom. Vzniknú distribučné firmy, zamerané hlavne na
mladé vývojárske týmy. Budú poskytovať kompletné služby pre vývojárov od
financovania projektov až po distribúciu. Ako kompenzáciu budú tieto produkty
dostupné len vo forme bundlu, spolu s nejakým ďalším softwarom. Svoje služby
budú tieto spoločnosti ponúkať hlavne spywarovým spoločnostiam.
Nastupujúci trend je možné vidieť už v dnešnej dobe na príklade spoločnosti
Zango (www.zango.com). Tento typ spywaru bude len ťažko odstrániteíný, pretože
užívateí súhlasil s jeho inštaláciou a je si vedomý jeho negatívnych stránok.
Ďalšou typickou vlastnosťou spywaru bude jeho funkčnosť začne poskytovať
užitočné funkcie a užívatelia ho budú vyhíadávať a odporúčať svojim známym.

Antispyware v úzkych?
Pretože dokážeme odhadnúť budúci vývoj spywaru, už v dnešnej dobe vieme, že
súčasné antispywarové nástroje (Spybot, Ad-Aware) nie sú postavené na
efektívnych metódach. Fungujú na zastaralom princípe on-demand scanningu a
signatúr, ktorý už nie je u spywarových produktov príliš použiteíný. Nachádzame
sa v situácii, ktorá panovala u vírusov v dosových dobách. Preto bude nutné
tieto nástroje upraviť, aby splňovali požiadavky trhu. Prvou oblasťou, v ktorej
sa antispywarové produkty zdokonalia je centralizovaná správa väčšina
dÖležitých hráčov ju ponúka už v dnešnej dobe (McAfee, Computer Associates...),
výnimku tvorí Microsoft, ktorý ale projekt korporátnej verzie zdedil po
spoločnosti Giant, takže sa ho pravdepodobne dočkáme pomerne skoro po uvedení
Home edície. Pri výbere korporátneho riešenia je ale dÖležité zistiť si všetky
vlastnosti a dÖkladne si produkt otestovať. Niektoré produkty (Pest Patrol)
majú veími veía fake alarmov, iné (LANDesk) poskytujú len on-demand scanning.
Ideálnym kandidátom sa v dnešnej dobe javí práve technológia Microsoft/Sunbelt
s možnosťou konfigurácie jednotlivých agentov. Ďalší vývoj bude smerovať k
rezidentnej ochrane, v tomto ohíade má veíký náskok riešenie Microsoft/Sunbelt.
Riešenia, ktoré poskytujú napríklad Spybot alebo Ad-Aware, nie sú pre bežných
užívateíov použiteíné. Tieto riešenia sú postavené na rozhodnutiach užívateíov,
a to znamená, že vyžadujú istú vyššiu mieru znalosti ako problematiky spyware,
tak aj lepšiu orientáciu v používanom software a operačnom systéme, pretože je
nutné, aby užívateí bol schopný sám rozhodovať, ktorú zmenu chce schváliť a
ktorú nie. Riešením by mohlo byť rozšírenie komunít, ako je napríklad
SpyNet/ThreatNet, a možnosť konfigurácie jednotlivých komponent rezidentnej
ochrany (ako jednotlivý agenti v riešeniach postavených na Giante). Keď
antispywarové produkty poskytnú tieto dve základné funkcionality na uspokojivej
úrovni, zmení sa samotný základ detekcie spywaru signatúry budú fungovať len
ako doplnok k ostatným ochranám, samotné už nebudú stačiť pre ochranu. DÖvodov
je niekoíko jeden spočíva v "reťazení" (jednotlivé spywarové produkty často
spolupracujú, takže stačí jedna chyba v signatúrach, a počítač je o chvilku
zahltený spywarom), ďalším problémom je komerčné zameranie spywaru (nie je
problém financovať tým programátorov, ktorí budú každý deň zdokonaíovať a meniť
kód) a na záver bundlovanie produktov (odstrániť spyware mÖže znamenať
porušenie podmienok definovaných v EULA). Preto sa omnoho viac bude spoliehať
na spywarovú heuristiku s použitím metód, ako je Gatekeeper
(research.microsoft.com/sm/stri der/Strider_Gatekeeper_Usenix_LISA_2004.pdf)
alebo technológie pre bezpečnostnú analýzu procesov (na podobnom princípe ako
Security Task Manager od spoločnosti Neuber Software). DÖležitým krokom v boji
proti spywaru by mali byť aj systémové zmeny napr. ďalší OS od spoločnosti
Microsoft je pripravovaný s ohíadom na túto hrozbu dnešnej doby, dočkať by sme
sa mali zredukovania práv koncového užívateía
(msdn.microsoft.com/library/default.asp?url=/library/en-us/dnlong/html/leastpriv
lh.asp), podía neoverených informácií sa začína rozmýšíať nad oživením
technológií SAFER/EPAL, ktoré priraďujú prístupové práva k procesom a nie k
užívateískému účtu (technológie v Longhorne označované ako Protected
Administrator). Windows XP SP2 priniesol prvé dÖležité zmeny, ktoré blokujú
drive-by inštalácie, Internet Explorer 7, a Longhorn by v tomto smere mal
pokračovať ďalej. Zlepší sa aj schopnosť dopátrania, kedy a odkiaí sa spyware
dostal na počítač, prípadne s ktorým programom je bundlovaný. Príklad takéhoto
monitoringu poskytuje projekt AskStrider vyvíjaný v rámci Microsoft Research
divízie (research.microsoft.com/research/pubs/view. aspx?tr_id=704).

Záver
V dnešnej dobe nastáva ten správny čas pre výber riešenia pre boj proti
spywaru. Nie je ale vždy dobré vybrať si prvé dostupné riešenie alebo
automaticky použiť produkt favorizovaného dodávateía dnešné produkty nebudú
schopné bojovať s ďalšou vlnou spywaru, ktorá je už na ceste. Zase sa
stretávame s jednou zo základných poučiek každého bezpečnostného manažéra
bezpečnosť nie je stav, bezpečnosť je neustály proces.
Pracovníci zodpovedný za bezpečnosť si budú musieť uvedomiť, že bezpečnostnú
politiku nie je možné podceňovať a obmedzovať len na problematiku vírusov a IDS
systémov.
Nastáva doba, keď budú musieť podrobne sledovať i aktuálny vývoj na spywarovej
a antispywarovej scéne. Pre mnohých to bude znamenať nielen prehodnotenie voíby
nástrojov pre aktívny boj proti spywaru, ale aj zmenu na rebríčku priorít
zabezpečenia firemného prostredia, pretože problematika spywaru odkrýva nedávno
ešte netušené možnosti a linie sa z nej lákavý zvuk cinkania peniažkov.
Autor je senior IT konzultantem společnosti E-Webmastr.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.