Oříšek jménem spyware

U spywaru více než kde jinde platí, že nejlepší problém je takový, který vůbec nevznikne. Jinými slovy: prevence je...


U spywaru více než kde jinde platí, že nejlepší problém je takový, který vůbec
nevznikne. Jinými slovy: prevence je nad zlato. Jenomže není ani trochu
jednoduchá. Ač je označení spyware zkrácenou verzí z anglického "spy software",
v podstatě se mnohdy nejedná o samostatné programy, jak by snad mohl název
evokovat, ale jen o jejich dílčí "vlastnost". A v tom je kámen úrazu, neboť
nikde není definováno, jak by se tato vlastnost měla přesně projevovat, aby ji
bylo možné detekovat a jednoznačně odstraňovat.
Spyware ostatně přichází do počítače velmi často legální cestou jako součást
řádných aplikací nebo s plným vědomím uživatele (třeba coby součást akce
"nainstalujte si utilitu, a získáte zdarma přístup na tyto webové stránky").
Díky tomu se v souvislosti se spywarem často hovoří o epidemii. Ostatně,
celosvětově je jím infikováno 67 % počítačů.

Osobní disciplína
Jak tedy zajistit, aby počítač nebyl zasažen spywarem? Stačí dbát osobní
disciplíny tedy vyhýbat se pochybným webovým stránkám (pro dospělé, warez,
sériová čísla, nelegální hudba aj.), nové programy instalovat s velkou rozvahou
(a po předchozím prostudování licenčních podmínek) a používat antispywarový
program (viz níže) i personální firewall (aby se případný spyware prozradil
pokusem o komunikaci).
Využití některých alternativních webových prohlížečů také zpravidla nebývá ke
škodě věci. Není-li ale zbytí a je třeba pracovat s aplikací Internet Explorer,
není nic ztraceno. Je ovšem nutné používat nejnovější verzi s instalovanými
všemi dostupnými záplatami (nutnost záplatování ostatně platí i v případě
jakéhokoliv jiného softwaru na úrovni systému nebo aplikací). Ve volbě Nástroje/
Možnosti/Zabezpečení je pak třeba zvolit volbu internet na úroveň "Vysoká".
Krom toho je minimálně vhodné změnit nastavení ve složce Nastavení/Ovládací
panel/Možnosti internetu/Bezpečnost na:
lNahrávání podepsaných ActiveX skriptů dotázat se.
lNahrávání nepodepsaných ActiveX skriptů zakázat.
lSpustit a skriptovat ActiveX neoznačené jako bezpečné zakázat.
lInstalace nastavení pracovní plochy dotázat se. lSpustit programy a soubory v
IFRAME dotázat se. (Samozřejmě, že i volby "dotázat se" je možné rovnou
zakázat. Berme proto výše popsanou konfiguraci jako "minimální doporučenou".)

V síti
Výše uvedené úkony jsou samozřejmě relativně jednoduché u samostatné stanice,
hůře se provádějí v síti. Nicméně i zde jsou k dispozici prostředky k ošetření
problematiky spywaru. Bezpečnost počítačů je sice do značné míry závislá na
disciplíně (většího počtu) uživatelů, nicméně tento mnohdy negativní fakt lze
obrátit ve prospěch správce sítě. Stačí jen, aby byla ve vnitroorganizačních
směrnicích problematika práce s počítači upravena i s výčtem možných sankcí (na
což uživatelé slyší). Směrnici je pak samozřejmě dobré/nutné doplnit školením.
Pokud se podaří upozornit uživatele na skutečnost, že směrnice není jen cárem
papíru a že hrozba sankcí je reálná ("včera jsi byl na těch a těch stránkách
pokud se to bude opakovat, museli bychom věc řešit jinak"), máme napůl vyhráno.
Správce pak má i další možnosti (například problematiku záplatování jsme
probrali v minulém vydání Computerworldu). Sem patří také nastavení či
blokování provozu internetu (nebo jen přístupů na některé konkrétní weby) třeba
na úrovni sítě. Jako výborný zdroj informací lze doporučit třeba část programu
IE-Spyad (ke stažení na adrese https://netfiles.uiuc.edu/
ehowes/www/res/ie-spyad.zip), neboť utilita (sloužící primárně k blokování
některých nekorektních stránek) obsahuje seznamy stovek "nekorektních" serverů
(na které je lepší uživatele nepouštět). Podobné blokování některých webových
stránek umožňuje (na úrovni stanic) program Spybot Search and Destroy (viz
níže).
Omezení práv jednotlivých uživatelů ohledně instalace nových programů a změn
nastavení počítače by mělo být naprostou samozřejmostí (síť, v níž má každý
práva administrátora, je totiž sebevražedná).

Léčba
Nicméně i přes veškerou opatrnost a prevenci je možné, že se do počítače nějaký
sledovací program dostane. Tuto skutečnost jednak potřebujeme zjistit a jednak
ji potřebujeme vyřešit. K detekci spywaru můžeme použít celou škálu programů. V
zásadě se dá říci, že k ní má nejblíže (technologicky i oborově) antivirový
software. Byť se mnohé antivirové firmy vyhledávání spywaru dlouho bránily
(především kvůli hrozbě nepříjemných, nákladných a vleklých soudních sporů jak
už bylo uvedeno výše, sledovací programy jsou často z hlediska legality
složitou otázkou), situace se v poslední době začala měnit. Stalo se tak na
nátlak uživatelů antivirových systémů, jimž problém začal přerůstat přes hlavu.
Některé antivirové systémy jsou v detekci spywaru na vyšší úrovni než ostatní,
ale žádné komplexnější testy zatím nebyly provedeny. Proto je potřeba spoléhat
především na osobní zkušenosti nebo na doporučení (ostatně, každé prostředí si
žádá nebo umožňuje implementovat něco jiného). Upozorňujeme ovšem, že spoléhání
se pouze na antivirové programy není ideální, je dobré mít i čistě
antispywarové řešení. Ostatně, proti spywaru se doporučuje používání alespoň
dvou nezávislých aplikací na rozdíl od antivirové ochrany zde totiž nedochází
ke kolizím. Hlavní důvod je ale praktický: Neexistují žádné globálně platné
seznamy spywaru (oč je problematika virů a antivirové ochrany jednodušší!)
Proto každý výrobce přistupuje k řešení problému vlastními metodami, má vlastní
zdroje škodlivých kódů apod.
Na špici antispywarových aplikací jsou přitom programy Ad Aware
(www.lavasoft.de) a Spybot Search & Destroy (www.safer-net
working.org/en/index.html). Pro domácí použití jsou k dispozici zdarma. Obě
aplikace dokáží velmi spolehlivě spyware i odstraňovat. Nicméně ne pokaždé v
takovém případě je možné využít služeb dalších (ne tolik rozšířených) programů
Spy Sweeper (www.webroot.com/products/spyswee
per) a Pest Patrol (www.pestpat rol.com).

Kudy dál
Ale ani všechny výše uvedené postupy někdy nestačí autoři spywaru jsou
obdivuhodně vynalézaví. Kromě používání antispywarového programu (s aktuální
databází škodlivých programů) je zapotřebí při odstraňování spywaru restartovat
počítač v nouzovém režimu. Jen tehdy totiž systém běží s minimem aplikací a
systémových služeb, navíc není připojený k internetu. Pokud totiž odstraňujete
spyware za normálního provozu počítače, tak se může stát, že fyzicky odstraníte
soubor na disku, ale spyware v paměti zůstane, při vypínání systému se někam
opět uloží a po příštím spuštění počítače máte problém zpátky.
Ale ani tehdy, když uvedené automatické nástroje neodhalí přítomnost nějakého
nežádoucího kódu v počítači, nemáte jistotu, že je stoprocentně čistý. Zvláště
pokud se "chová podivně". Zde přichází na řadu manuální pátrání. Začít s ním
lze třeba ve volbě Start/Nastavení/Kontrolní panel ve složce Přidat/ubrat
programy. První letmý pohled může napovědět, zdali tu není něco "nového" (tedy
nežádoucího). Zkontrolovat doporučujeme také složku Start Menu (Spustit po
startu), kam se škodlivé kódy s oblibou uchylují.
Poté může přijít na řadu kontrola běžících aplikací operačního systému. Jsou-li
o nějakém běžícím programu pochybnosti, lze jej zkontrolovat na adrese
www.processlib rary.com nebo www.liutilites. com/products/wintaskpro/proces
slibrary. Přitom je vhodné procesy nejprve sesumarizovat v nouzovém režimu (kde
jsou opravdu jen systémové) a následně zkontrolovat při normálním běhu počítače.

Boj se spywarem
Boj se spywarem je jednou z největších výzev soudobé informační bezpečnosti.
Studie společnost IDC zveřejněná 1. prosince 2004 hovoří o tom, že se dostal na
čtvrté místo největších nebezpečí pro organizace. A svědčí o tom i ekonomické
ukazatele: čistě antispywarové aplikace zaznamenaly v roce 2003 celosvětový
obrat 12 milionů dolarů, pro rok 2004 už se předpokládal nárůst o 260 % na více
než 43 milionů dolarů.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.