Hrozba jménem spyware

11. 7. 2007

Sdílet

Sledovací či špionážní software, spyware. Dnes už asi jen málokoho jen trochu zběhlého v ICT napadne spojovat jej s činností výzvědných či zpravodajských služeb. Jde o monitorovací programy, které jsou rozšířené více, než by se nám líbilo – podle statistik AOL je jimi infikováno osmdesát procent koncových stanic na světě, podle US National Cyber Security Alliance dosahuje penetrace dokonce devadesáti procent!

Co to vlastně spyware je?
Řečí suchých definic je spyware počítačový software, který je instalovaný s cílem proniknout do nebo převzít kontrolu nad uživatelskou vazbou s počítačem, a to bez vědomí uživatele. Přeloženo do běžné řeči: jde o program, který má za úkol aktivně nebo pasivně monitorovat to, co uživatel na počítači dělá.
Spyware přitom není software určený pouze ke sledování, jak se někdy uvádí. Tyto aplikace sice primárně slouží ke shromažďování informací (o uživateli, o jeho chování, o systému…), ale zároveň čím dál tím více zasahují i do ovládání počítače. Třeba instalováním dalších programů nebo modifikováním internetových prohlížečů (nejčastějším projevem je změna domácí stránky – navíc změna, která se zpravidla špatně vrací). Spyware by se tak dal přirovnat k noze strčené do dveří, aby nešly zavřít, aby jimi mohly proudit další útoky.
V této souvislosti podotýkáme, že velmi často dochází ke snahám třídit škodlivé kódy na více a méně nebezpečné. Jistě, teoreticky to jde: spyware jen monitorující navštívené weby znamená asi relativně menší nebezpečí než aplikace odcizující hesla k internetovému bankovnictví. Jde ale o zjednodušování problému a jeho bagatelizaci označováním nějakého malwaru (malign software, škodlivý software) za méně nebezpečný. Jde o princip: pokud se do počítače dostane nějaký kód, znamená to, že je nezabezpečený a že do něj může proniknout jakýkoliv kód. Nehledě na to, že tento žebříček „nebezpečnosti“ hodnotí pouze projevy, ale nikoliv další důsledky kódů: třeba jeho nekompatibilitu se systémem, narušení činností, kolizi s programy, zabírání kapacity aj.
Často se také lze setkat s názorem, že spyware je vlastně jen podmnožinou virů – a že jde o mnoho povyku pro nic. Ani toto tvrzení není stoprocentně pravdivé. Ano, běžný antivirový program dokáže detekovat osmdesát až devadesát procent spywaru. Jenomže jednak je to málo a jednak toto číslo stále klesá. Spyware je zkrátka trend, klasické viry a podobné škodlivé kódy se stávají přežitkem.
Otázka „proč na spyware klasické antivirové programy nestačí“ je o něco složitější a budeme se jí v tomto materiálu věnovat opakovaně. Mnohé může napovědět už pouhé srovnání rozdílů mezi viry a spywarem. Prvním a zásadním rozdílem je, že viry se replikují (šíří), kdežto spyware ne. Detekci virů je možné založit na odchytávání vzorků v reálném světě – vzpomeňme si třeba na e-mailové červy, které se šíří z počítače na počítač rychlostí laviny. Bezpečnostní firma pak má prakticky ihned v okamžiku propuknutí epidemie k dispozici vzorek, který může „pitvat“ a na jehož základě může vytvořit detekční mechanizmus.
Naproti tomu spyware se nešíří, takže se ke vzorku lze dostat jen velmi obtížně. Pokud je vytvořený nějaký speciální kód pouze s cílem provést určitý útok, pak se antivirové firmě s vysokou mírou pravděpodobnosti vůbec nedostane do ruky. To znamená, že na něj není možné vytvořit unikátní vyhledávací algoritmus. A pokud čirou náhodou přece jen ano, pak už bývá pozdě: spyware svůj úkol splnil. U virů je tomu naopak: detekční mechanizmus je vytvořen v okamžiku, kdy je napadená menšina cílů na světě a kdy je třeba většinu počítačů chránit.
Útočníci mají na své straně jednu poměrně silnou zbraň: internet, z něhož si mohou stáhnout aktuální verze antivirových programů. Mohou pak své viry upravovat tak dlouho, dokud nedokáží proniknout citlivým sítem heuristiky. Ostatně, proč by virus vypouštěli do světa, kdyby věděli, že bude zastaven hned v zárodku svého šíření? Zajímavé je, že se útočníci zaměřují na tři největší antivirové programy na světě, protože ty pokrývají přes osmdesát procent trhu. Zbývající aplikace mají podíl maximálně v řádu procent, takže s nimi hackeři neztrácejí čas. Jinak řečeno: tři největší výrobci antivirových programů (Symantec, McAfee, Trend Micro) málokdy detekují nově vypouštěný virus do světa (ale zato velmi rychle reagují), zde dosahují nejlepších výsledků menší výrobci.
U spywaru to není tak jednoduché. Jednak na světě není dominantní výrobce nebo úzký okruh dodavatelů této technologie, takže i při extrémním úsilí by se hackerům nepodařilo obejít více než několik desítek procent ochranných systémů. To by nemuselo být až tak podstatné, protože spyware bývá často vytvářený s cílem napadnout konkrétní prostředí. A tady stačí vyhnout se konkrétní aplikaci. Podstatné ale je, že detekce spywaru není (nebo by neměla být…) založena na nějaké databázi vzorků, ale na sledování chování. Z toho důvodu by měl být spyware proti kvalitnímu systému ve značné nevýhodě – což dává další odpověď na otázku „proč antivirové programy nejsou v boji proti spywaru dostatečné“.
 
Najdi deset rozdílů
Další odlišností mezi viry a spywarem je, že se druhá jmenovaná kategorie na sebe snaží neupozorňovat. Viry často nosívaly nějaké „poselství“, kterým se netajily a halasně oznamovaly svoji přítomnost v systému: mazaly soubory, modifikovaly běh systému, přehrávaly hudbu, zobrazovaly grafické projevy, měnily nastavení programů… Filozofie spywaru by se naopak dala vyjádřit slovy: „jen na sebe neupozorňovat a hlavně, aby si mě nikdo nevšiml“.
Cílem spywaru není nějaké poselství nebo zlomyslnost, ale získávání informací či modifikace napadeného systému. A je logické, že když bude spyware odhalen, tak tento úkol těžko splní. Jeho síla je v nenápadnosti. To souvisí i s vývojem na poli bezpečnostních technologií, které nabubřelé programy spolehlivě detekují. Spyware se zkrátka hledá a odstraňuje hůře než běžné viry.
Z výše uvedeného vyplývá další rozdíl mezi oběma kategoriemi. Viry se vždy orientovaly na co nejširší záběr, kdežto spyware má zpravidla velmi úzký okruh působnosti: zaměřuje se na konkrétní data, konkrétní aplikaci, někdy dokonce jen na konkrétní systém nebo konkrétního uživatele. Z toho vyplývají specifické charakteristiky spywaru, mimo jiné schopnost unikat detekci: klasické viry musely být už z principu co nejuniverzálnější, tedy co nejkompromisnější (aby běžely na co nejvíce platformách a prostředích, jejich lokalizacích a nastaveních), zatímco spyware bývá podřízen jednomu jedinému úkolu.
Nesmíme zapomenout také na skutečnost, že spyware bývá často pouze vlastností – že tedy nejde o přesně definované kusy programového kódu, ale o vlastnost větší (často korektní) aplikace. Příkladem budiž třeba regulérně instalovaný software, který odesílá z počítače určité informace – ale zároveň k nim bez vědomí uživatele „přidává“ i další data.
A nakonec nesmíme zapomenout na rozdíl v motivaci. Hackeři píšící viry si chtěli „něco“ dokázat, kdežto za spywarem stojí mnohem jasnější motivy. Nejčastěji jde o motivaci finanční. Což představuje problém, protože peníze přitahují kvalitu – agresoři si mohou dovolit zaplatit specialisty, kteří často ani netuší, že se propůjčili ke službě „těm zlým“ (třeba pod záminkou analýzy trhu, bezpečnostních rozborů apod.). Právě v těchto ekonomických souvislostech vidí mnozí odborníci nejmarkantnější rozdíl mezi „starými“ viry a dnešní generací spywaru, protože vše jde ruku v ruce s penězi.
Při sledování mediální scény přitom může člověk snadno nabýt dojmu, že spyware není problém – mnohem větší nebezpečí představují viry nebo jiné hackerské útoky. To je ale zdání, které klame. Důvod je poměrně prozaický. Média referují především o společensky významných událostech. Tuto podmínku splňuje třeba právě virová epidemie zasahující miliony počítačů na světě – ale nikoliv spywarový útok poškozující jednu firmičku nebo vedoucí k „vyluxování“ několika bankovních účtů.
Mnohdy se ani nepřijde na to, že za nějakým problémem stojí spyware a hledají se jiné příčiny, nebo je tato označena jako neznámá/nezjistitelná. Protože kam se spyware dostane, tam evidentně chybí kontrolní mechanizmy – a kde chybí kontrolní mechanizmy, tam se jen těžko můžeme dopátrat původu problému.
Hledání rozdílů mezi viry a spywarem může někomu připadat jako oblíbená dětská hra „najdi deset rozdílů mezi dvěma obrázky“ – na první pohled jsou stejné a až při podrobnějším průzkumu zjistíme, že se liší v detailech. Tyto detaily jsou ovšem z technického hlediska dosti podstatné – stejně jako zavirovaný a nezavirovaný soubor se na první pohled nijak výrazně neliší…
 
 
Legální? Etické?
Z výše uvedeného vyplývá, že spyware se do počítače může – bohužel – dostat i legální (či spíše pololegální) cestou. Zatímco virus je škodlivý od A do Z, přináší tato vlastnost spywaru mnoho problémů.
Uživatelé často s činností spywaru vyslovují souhlas. Pochopitelně nevědomky, a to v licenčních podmínkách, s nimiž souhlasí při instalaci softwaru do počítače. Licenční podmínky EULA (End User Licence Agreement) jsou zpravidla dlouhé a nezáživné, což uživatele spolehlivě otráví. Takže je v konečném důsledku nečte a jen automaticky „odklikne“. Což je na jedné straně pochopitelné, na straně druhé jde ovšem o chybu, neboť v licenčních podmínkách se pak může skrývat ledacos.
Tvůrci spywaru (i dalších škodlivých kódů) to vědí a často se snaží své výtvory tímto způsobem legalizovat. Souhlasem s licenčními podmínkami uživatel např. zároveň vyslovuje souhlas se shromažďováním určitých informací a jejich odesíláním z počítače. Což je možná legální, ale rozhodně ne zcela etické.
Problém je třeba v tom, že licenční podmínky bývají i z právního hlediska neúplné. Uživatel sice vyslovuje souhlas s monitorováním své osoby/svého počítače, ale už chybí informace o tom, jak se tento souhlas dá odvolat. Dále často chybí informace o tom, kdo a jakým způsobem bude shromažďovaná data sbírat, zpracovávat a archivovat. Někdy je v EULA uveden nějaký kolektivní vlastník („firma a její partneři“), což v konečném důsledku znamená, že chybí jedna konkrétní autorita či kontaktní adresa, s níž by se dalo komunikovat.
Navíc je minimálně diskutabilní otázkou, jaký má ve většině případů shromažďování určitých dat smysl. Proč při instalaci jednoduché hry do počítače musíme souhlasit s tím, že někdo bude monitorovat námi navštěvované webové stránky? Nebo při instalaci aplikace zvyšující výkon počítač souhlasit se sledováním nákupních návyků? Legální, nelegální – v těchto případech je evidentní, že jde pouze o snahu legalizovat přinejmenším pochybnou činnost.
Celá situace je ovšem ještě výrazně složitější. Jde totiž o to, že spyware je běžně komerčně dostupný na trhu. Přesvědčte se sami: stačí do jakéhokoliv internetového vyhledávače zadat heslo „spyware“ nebo „buy spyware“, a pak už si jen vybírat, vybírat, vybírat… Zatímco v rukách útočníka představuje spyware nebezpečný nástroj, pro mnoho administrátorů je nepostradatelným pomocníkem. Třeba při monitorování zneužívání internetu zaměstnanci v pracovní době nebo při sledování neoprávněné manipulace s daty.
Jenomže legální program je těžko možné zařadit mezi nebezpečné kódy – na druhé straně ale je těžké určit, kde vede ona tenká hranice mezi legální a nelegální instalací. Proto antivirové a antispywarové firmy používají označení „potenciálně nechtěný program“ (alias PUP, Potentialy Unwanted Program), neboť nejsou z pochopitelných důvodů schopné určit, jakým způsobem se aplikace do systému dostala. Spyware tak balancuje na hraně mezi žádanými a nechtěnými programy, která se nazývá gray zone – šedá zóna. Jednou přitom vykročí na jednu, podruhé na opačnou stranu (což opět práci detekčního softwaru neusnadňuje).
 
 
Antispyware:
odlišnosti a záludnosti
Na několika příkladech jsme si v průběhu předchozího textu vysvětlili, že antivirová a antispywarová aplikace nejsou totéž. Na trhu jsou sice komplexní řešení, která mají obě vlastnosti, ale všimněte si, že prakticky vždy jde o spojení dvou samostatných aplikací.
Zkrátka: od pasivní ochrany je zapotřebí přejít k ochraně (pro)aktivní. Namísto vyhledávání kódů na základě databází je zapotřebí vytvořit podmínky takové, aby se spyware pokud možno do počítače nedostal. A pokud se dostane, aby se neinstaloval. A pokud se nainstaluje, aby nemohl sbírat data. A pokud bude sbírat data, aby nemohl komunikovat… Jinými slovy: je zapotřebí vytvořit několikastupňovou ochrannou bariéru, která bude stát spywaru v cestě. Pokud bude některá vrstva či dokonce vrstvy překonaná, musí zaskočit další. To je něco, co standardní antivirové programy nemají.
V žádném případě zde přitom neříkáme, že všechny antivirové programy jsou automaticky špatné. Jejich výrobci je doplňují různými funkcemi (firewall, IDS, monitorování klíčových oblastí systému…), takže čistokrevné antivirové řešení je dnes spíše vzácnou výjimkou potvrzující pravidlo. Tato situace každopádně vede k tomu, že uživatelé mají pro boj se spywarem silnější zbraně, protože použití pouhé antivirové aplikace by v dnešní době opravdu nestačilo.
V případě spywaru musíme více než v jiných oblastech ICT bezpečnosti rozlišovat tři pojmy: ochranu, detekci a odstranění. Pro zvýšení bezpečnosti je pak někdy vhodné používat i dva různé (navzájem se doplňující) antispywarové programy. Což je třeba u antivirových aplikací nebezpečné, neboť ty využívají stejné systémové zdroje a navzájem se „bijí“. Ovšem každý antispyware je postaven trochu jinak, takže kolize jsou spíše vzácností. A navíc: každý výrobce antispywarové aplikace má své vlastní metody získávání vzorků, takže dva hlídací programy zpravidla detekují různé databáze škodlivých kódů (byť z podstatné části se překrývající). Zato v případě antivirových programů jsou databáze (obsahově) prakticky totožné.
Na tomto místě bychom ovšem chtěli zároveň před antispywarovými programy varovat. Nepřehlednost na trhu a nejednotnost ve vyhledávacích databázích totiž otevřely prostor nejrůznějším podvodníkům, kteří záměrně infikují počítače spywarem, nepravdivě informují uživatele o stavu jeho systému nebo se nějakým jiným způsobem snaží za každou cenu prodat své produkty.
Za všechny podobné „podnikavce“ jmenujme firmu Secure Computer LLC z White Plains. Její antispywarový program Spyware Cleaner zobrazoval falešné hlášení s varováním o infekci na počítači (která tam pochopitelně nebyla). Cílem bylo přimět uživatele, aby zaplatili 49,95 dolarů za nákup plné verze softwaru. Spyware Cleaner tak v konečném důsledku neodstraňovat software, ale modifikoval počítače. Podobných programů (= podnikajících za hranicí etiky a klamajících uživatele) je přitom na světě celá řada. Namátkou jmenujme Pest Trap, SpyAxe, AntiVirus Gold, Spyware Strike, Spyware Quake, Spylocked, Spy Wiper, Spydawn, Contravirus… Podobná situace přitom na trhu s antivirovými systémy nikdy nenastala, protože díky víceméně standardizovaným obsahům databází bylo možné činnost jednoho programu ověřit jiným. To ale neplatí v případě spywaru, který jako na běžícím pásu vyhazuje dialogová okna o „možném ohrožení“.
Proto před pochybnými zkušebními verzemi z internetu a programy nejistého původu varujeme – a naopak doporučujeme držet se osvědčených značek. Když už nic jiného, hovoří pro ně velké technické zázemí a tradice.
 
 
Průnik a ochrana
Odkud se vlastně spyware bere? Jak se nám dostává do systému? Než odpovíme na tuto otázku, pojďme se podívat na to, kdo vlastně má na instalaci spywaru zájem. Jakmile zjistíme, odkud vítr vane, budou se nám snáze přijímat protiopatření.
Subjekty pokoušející se instalovat spyware se v zásadě dají rozdělit do tři skupin:
Útočníci z internetu (hackeři), organizovaný zločin. Jejich motivací je dostat se k nějakým datům, která jim mohou přinést zisk. Může jít o průmyslovou špionáž, o odcizování hesel, o získání přístupu k počítači a jeho následné využívání.
Marketingové organizace. Jejich cílem je získat co nejpřesnější informace o uživateli, s nimiž pak mohou dále pracovat. Třeba ve formě cílené inzerce nebo spamu, což jim v systému provizí zajišťuje vyšší příjmy.
Interní „nepřítel“. Může jít o pouhého zvědavce, stejně jako o nebezpečného parazita, který zjišťuje informace pro konkurenci nebo si prostě jen s někým snaží vyřídit účty.
Nejčastěji se spyware do počítače dostává prostřednictvím návštěvy infikovaných webových stránek. Statistiky ukazují (podle průzkumu Department of Computer Science and Engineering při University of Washington v USA z roku 2005), že každá 67. stránka na internetu obsahuje nějakou formu spywaru! Jedná se zpravidla o stránky pornografické, s nelegálním obsahem (pirátské kopie softwaru, hudby, filmů…), hackerské apod.
Mnohdy ovšem útočníci umisťují své výtvory na stránky s na první pohled atraktivním a korektním obsahem. Důvod je prostý. Výše uvedené pochybné stránky mnozí uživatelé vůbec nenavštěvují – a přitom i oni jsou pro agresory atraktivním cílem. Hackeři se tak pokoušejí vytvářet na první pohled korektní stránky, do nichž vkládají své kódy. Dokonce byly zaznamenány i případy, kdy hackeři napadli korektní a navštěvované stránky (zpravodajské servery, webové portály, vyhledávače…) s cílem umístit do jejich zdrojového kódu spyware.
Z tohoto vyplývá, že nelze s jistotou říci, že určitá oblast internetu a určitý typ stránek jsou bezpečné. Prostě neexistuje žádný „bezpečný internet“ a „nebezpečný internet“ – existuje jen internet. Čili spoléhat na to, že při brouzdání prostě nemohu na spyware narazit, je bláhová představa, která vnáší do oblasti ochrany dat prvek náhody.
Z webových stránek se spyware do počítače dostává několika způsoby. Buď se pokouší instalovat, přičemž vyžaduje souhlas uživatele. Ten ale bohužel mnohdy dostane. Třeba proto, že uživatel je zvyklý kliknout na všechno. Nebo proto, že záměrně dostane nepravdivé informace (dialogové okno se jej např. ptá, zda chce změřit rychlost internetového připojení – a po souhlasu se instaluje spyware). Nebo proto, že uživatel netuší, na co kliká (když se dialogové okno zobrazí v nějakém exotickém jazyce, takže opravdu nemá tušení, kde je OK
a kde Zrušit). Či prostě proto, že nemá jinou možnost, neboť tlačítka OK i Zrušit mají zcela stejnou funkci.
A pak je zde ještě jedna hojně využívaná možnost: instalace spywaru do počítače při návštěvě nějaké stránky, a to bez jakéhokoliv dotázání. Prostě zcela automaticky. To je nejčastěji dáno využíváním bezpečnostních chyb v internetových prohlížečích, které umožňují provádět nekorektní operace. Proto je důležité věnovat se i odstraňování chyb pomocí aktualizací.
Spyware se do počítače dostává také jako součást instalovaných programů. Jednak to může být jejich vlastnost, jednak mohou tyto programy posloužit k tomu, aby do počítače infekci zavlekly. Prostě si z internetu stáhnete atraktivní program – a ten je „zavirovaný“ spywarem. Opět se jedná o snahu využít sociální inženýrství (skrýt skutečný obsah aplikace do nějakého lákavého hávu) pro vstup do napadaných počítačů.
A ještě tu máme jednu zajímavou cestu, kudy se spyware dostává do počítače. Spyware v již infikovaném počítači nahraje další spyware… Mějte proto na paměti, že není žádný méně nebezpečný spyware, žádné méně nebezpečné škodlivé kódy. Vždy jde o aplikace, jejichž nebezpečnost je vysoká – a jako s takovými s nimi musí být nakládáno.
Zcela jiné možnosti má pochopitelně „interní nepřítel“, který zná perfektně systém, jeho uživatele plus veškerá slabá místa i silné stránky. Ví, kdy kdo chodí na oběd, lidé v jedné kanceláři zpravidla znají (nebo jednoduše mohou „okoukat“) svoje hesla, má fyzický přístup k hardwaru i síťovým prvkům… Proti takovým útokům se velmi špatně vytváří ochranná bariéra: uživatelům je zkrátka nutné věřit. Nicméně stále platí: důvěřuj, ale prověřuj!
Spyware představuje rostoucí a dynamicky se vyvíjející nebezpečí, které je navíc živeno svou ekonomickou přitažlivostí pro útočníky. Pokud nestojíme proti amatérům, ale vysoce motivovaným profesionálům, pak bychom měli této hrozbě přikládat odpovídající vážnost.
07s0040/jp o
 
 
 
O jaká data (a proč) je zájemm
 
Internetové aktivity – navštívené stránky, doba na nich strávená, vy-
užívání reklamy, odkazů, chování uživatele… Po analýze těchto dat je možné zjistit návyky a zákonitosti chování uživatele na internetu a podle potřeby mu následně v rámci reklamních systémů „servírovat“ cílenou reklamu. Možná je to vlastnost svým způsobem i užitečná, ale pokud dochází k monitorování uživatele bez jeho vědomí, pak rozhodně i nebezpečná.
Informace o e-mailech a další kontakty – sledování přijímané i odesílané elektronické pošty a dalších kontaktních údajů třetích osob. Slouží k přímému sledování konkrétních osob nebo zaměstnanců na určitých pozicích. Používá se např. pro kontrolu práce, pro odhalování průmyslové špionáže, pro žárlivé partnery…
Hesla – např. soubory, ve kterých jsou uložena hesla. Cílem je získat práva k systémům, k nimž by jinak byl přístup odepřený. Použití: zjištění hesla k šifrovaným datům, přihlašovací atributy k internetovému bankovnictví v rámci podvodů…
Obsah klipboardu – kopírovaný obsah, který přenášíme z jednoho dokumentu do druhého. Odhalování průmyslové špionáže nebo vlastní průmyslová špionáž.
Stisknuté klávesy – podstatnou většinu informací do počítače ukládáme právě prostřednictvím klávesnice, takže je poměrně logické, že monitorování jejího používání je cílem útočníků.
Screenshots – snímky aktuálních obrazovek, které útočníkovi řeknou mnohé o používaných programech nebo o prostředí, ve kterém se vyskytujeme. Často se spojuje s dalšími metodami: třeba s odposlechem hesel. Útočník pak nemusí složitě zjišťovat, k jakému systému přihlašovací atributy patří.
Síťový provoz – útočník díky sledování aktivit na počítačové síti dokáže získat mnohé informace o její podobě, což mu pak usnadňuje plánování dalších útoků.
 
 
Co lze udělat proti spywaru?m
 
n Pozorně čtěte licenční podmínky, s nimiž souhlasíte při instalaci téměř každého programu. Zabráníte tak tomu, aby se spyware do počítače dostal téměř legální cestou – tím, že s jeho instalací budete souhlasit.
n Neinstalujte do počítače všechny programy, které na internetu najdete, ale jen ty, které opravdu potřebujete nebo chcete vyzkoušet.
n Vyhýbejte se pochybným stránkám – nejčastěji s obsahem pro dospělé, s nelegálními soubory (hry, hudba apod.), sériovými čísly aj. Tyto jsou nejčastějším zdrojem nákazy počítačů.
n Používejte firewall – i když se do počítače nějaký spyware dostane, firewall mu znemožní komunikaci.
n Používejte specializovaný antispywarový program.
 
Hardwarový spywarem
 
V prapůvodním významu spyware skutečně znamenal vybavení špiónů a zpravodajských služeb. Tedy hardware. Dnes jej vnímáme spíše jako software. Ovšem pozor – stále existuje i ve formě hardwaru! Třeba v podobě docela malého „udělátka“, vypadajícího jako krátký několikacentimetrový nástavec na USB nebo PS2 port, které někdo vloží mezi klávesnici a počítač a které shromažďuje všechna data přes něj „přetékající“. Jinými slovy: všechno, co je počítači zadáváno skrze klávesnici. Jednou za čas (podle kapacity hardwarového zařízení) je pak stačí „vysypat“ a data analyzovat. Podobná zařízení se přitom dají koupit za pár desítek dolarů na internetu a prakticky proti nim není ochrana. Potvrzují tak pravidlo o tom, že nejnebezpečnější nepřítel nesedí na druhém konci planety, ale u vedlejšího stolu.
 
 
Otestujte si svůj systém!m
 
Na adrese www.spycar.org/Spycar.html lze nalézt jednoduchý (ale o to zajímavější) test toho, jak je váš počítač chráněný před spywarem. Stačí spustit postupně jednotlivé nabízené položky, které testují možnosti zápisu do různých klíčů v registrech, modifikace webových prohlížečů apod. Na závěr spustíte program TowTruck 1.0, který všechny provedené změny v systému odstraní a zároveň provede jejich vyhodnocení. Tedy zjistí, které proběhly úspěšně a neúspěšně – kde je počítač chráněný
a kde jsou při případném útoku spywaru jeho slabá místa.
 
 
Malá historická exkurzem
 
První programy, které bychom dnes bez váhání označili za „spyware“, se objevily již v osmdesátých letech minulého století. Jejich úkolem bylo nejčastěji odcizit hesla pro přihlašování do systému.
Historie nám dochovala přesné datum, kdy se poprvé v ICT objevil termín „spyware“ (použit byl již dříve, ale v souvislosti se zařízeními zpravodajských služeb). Kalendář ukazoval 17. října 1995, kdy se jeden z diskutujících ve skupině Usenet opřel do operačního systému Windows a společnosti Microsoft, kdy při on-line registraci docházelo k odesílání chtěných i nechtěných dat. Namísto „software“ zkrátka použil zkomoleninu „spyware“.
Na několik let pak tento pojem upadl v zapomnění a objevil se až v roce 2000, kdy byl použit v tiskové zprávě týkající se programu ZoneAlarm Personal Firewall. Jen o něco málo později spatřil světlo světa i první antispywarový program pojmenovaný OptOut. Programátor jménem Steve Gibson totiž zjistil, že mu někdo bez jeho vědomí do počítače instaloval monitorovací program, který žádný antivirový software nedetekoval. Protože předpokládal, že není jedinou obětí a že jde o obecnější problém, vytvořil právě OptOut: ten nehledal pouze konkrétní aplikace, ale jejich projevy. Diametrálně se tak svou filozofií lišil od antivirového softwaru.
Antivirové firmy vycítily s nástupem spywaru marketingovou příležitost a začaly se holedbat tím, že jsou kromě virů schopné detekovat i spyware. Jenomže během několika let jim problém přerostl přes hlavu: mechanizmy dobré pro odhalování virů se ukazovaly u čím dál tím většího procenta nové generace škodlivých kódů neúčinné. A tak bylo nutné antispyware od antivirů oddělit – alespoň technologicky. Když si koupíte komplexní bezpečnostní řešení, tak toto „rozdělení“ vůbec nepoznáte: stejně jako nepoznáte rozdělení na filtr spamu či firewall.
 
 
Policejní spyware – ano či ne?m
 
Německem – alespoň tím informačním – v posledním roce hýbala otázka, zda má či nemá policie právo používat spyware. Tedy nakolik je tato forma monitorování specifická nebo nakolik podléhá stejným pravidlům jako třeba odposlechy telefonů. Nyní Nejvyšší soud vydal závazné stanovisko: policie nesmí spyware používat a instalovat na počítače zločinců bez jejich vědomí.
Tomuto rozhodnutí předcházely dva verdikty soudů nižší instance, přitom oba byly rozdílné. Zatímco jeden v listopadu loňského roku policejní „odposlechy“ a monitorování pomocí spywaru odmítl, druhý vyslovil ve stejné záležitosti letos v únoru souhlas. Nejvyšší soud své rozhodnutí zdůvodnil konstatováním, že prohledávání počítačů je jako prohledávání domů a že je nutné dodržet určité procedury. Tedy získat povolení k prohlídce – a především dotyčného o této prohlídce informovat.
 
 
 
Malý slovníček spywaru
 
 
Adware – software, který automaticky zobrazuje nebo stahuje z internetu nějakou reklamu. Nemusí přitom vždy jít o spyware: mnoho aplikací používá adware jako svůj obchodní model. Uživatelé ho mohou používat zdarma, ale na oplátku je jim zobrazováno tu větší, tu menší množství reklamy. Ovšem adware je velice často zneužíván právě v případě spywaru, kdy škodlivý kód nahrazuje v zobrazovaných stránkách skutečné bannery, obtěžuje vyskakovacími reklamními okny apod. Kromě toho adware mnohdy sbírá informace o uživateli a jeho zvyklostech: jaké stránky navštěvuje, kolik času na nich tráví, jaké má zájmy apod. Jedná se tedy o sbírání velmi soukromých informací. Adware nemusí být nutně škodlivý program (mnoho uživatelů cílenou reklamu i vítá), ale většinou je instalován bez vědomí uživatele, což z něj činí kód nebezpečný. A jeho chování je přinejmenším neetické.
Backdoor – zadní vrátka jsou programem, který umožňuje přístup do počítače nezvané osobě. Zpravidla tak, že otevírá některé porty a na nich naslouchá povelům zvenčí.
Browser Hijacker (někdy též „Browser Redirector“) – „únosce prohlížeče“ mění nastavení použitého internetového prohlížeče (např. úvodní stránku nebo používaný vyhledávač). K této změně přitom často dochází velmi agresivním způsobem, takže je velmi obtížné nebo téměř nemožné nastavení upravit podle požadavků uživatele (či vrátit do původní podoby).
Browser Plugin – program, který specifickým způsobem rozšiřuje možnosti internetového prohlížeče. Pod pojmem „specifický“ přitom nemusí být vždy míněno „škodlivý“, protože mnoho takových programů je užitečných a dobrovolně instalovaných. Nicméně to neplatí vždy, takže se lze setkat s aplikacemi Browser Plugin, jež provádějí škodlivou činnost (doplňování prohlížeče o sledovací funkce apod.).
Bundled Software – připojený program je takový program, který získáváte při instalaci určité aplikace jaksi „navíc“. Nejde tedy o vlastnost, ale skutečně o samostatný program. Opět nemusí jít o škodlivý kód, ale právě tímto způsobem se do počítače nekorektní programy často dostávají – a zůstávají v něm zpravidla i po odinstalování mateřské aplikace.
Data Miner – program, jehož primární funkcí je shromažďovat data o koncovém uživateli. Např. většina adwaru využívá vlastnosti Data Mineru. Data mohou být třeba o konkrétním uživateli, o konkrétní síti, o nějaké určité oblasti nebo může jít o data všeobecná, která teprve dodatečně bude útočník třídit. Data Miner přitom může vytěžovat již existující data (kopíruje informace z počítače) anebo je sám vytvářet (záznamy o činnosti uživatele).
Dialer – program, který tajně nebo pod nějakou záminkou („lepší internet“, „rychlejší připojení“ apod.) mění telefonní číslo vytáčeného připojení k internetu na číslo velmi draze zpoplatňované nebo číslo mezinárodní.
E-mail redirector – přesměrovávač e-mailů. Tento druh spywaru po vstupu do počítače provádí tu nepříjemnou (a nebezpečnou!) činnost, že se naváže na poštovní klienty nebo jiné funkce s vazbou k elektronické poště a následně útočníkovi přeposílá e-mailovou komunikaci. Buď veškerou, nebo pouze vybranou (určitý odesílatel, určitý příjemce, určitý poznávací znak apod.). Jistě uznáte, že jde o velmi nebezpečný a zákeřný škodlivý kód.
Keylogger – program sloužící k monitorování aktivity uživatele, nejčastěji ke sledování stisknutých kláves (nejčastěji za účelem špionáže nebo ke zcizení přihlašovacích jmen a hesel). Některé keyloggery jsou prodávané jako běžné komerční nástroje (Commercial Keylogger), přičemž právě pro jejich běžnou dostupnost (a tedy z právního hlediska korektnost) nejsou bezpečnostními programy zpravidla detekované. Jejich nebezpečnost ale není o nic menší.
LoyaltyWare – jedná se o program (byť mnohdy nedobrovolně instalovaný), který uživatele odměňuje za věrnost. Jinak řečeno: pokud navštěvuje opakovaně určité stránky nebo nakupuje v jistých obchodech, získává nějakou výhodu.
Network Management Tools – velmi speciální spywarové nástroje sloužící pro správu sítí. Mohou být pasivní (naslouchací) nebo aktivní (vyhledávací), přičemž jejich použití bývá rozličné. Každopádně ale nejde o nástroje instalované na lokální stanice, jejich místo je zpravidla na centrálním serveru. Z toho důvodu mohou monitorovat pouze data vyskytující se v síti (v pasivním režimu jen data jdoucí přímo přes ně) a nemohou posloužit ke sledování lokálních dat. K dispozici jsou i Network Management Tools ve verzi Commercial, kde je stejný problém jako v případě keyloggerů – tedy nemusí být detekované.
Parasites – parazitní software je všeobecné označení pro programy, které v počítači jen parazitují – jsou v něm bez toho, že by měly nějakou užitnou hodnotu (nebo dokonce přímo škodí).
Password Stealer – speciální případ keyloggeru, který slouží jen k odcizování hesel.
Remote Access Tool – aplikace pro vzdálenou správu. Nástroj pro správce sítí, kteří mohou vzdáleně instalovat, odinstalovat či překonfigurovat programy na jednotlivých PC v síti. Bohužel tento nástroj bývá často zneužíván hackery jako nástroj pro skrytou instalaci škodlivých programů.
Remote Administration Tool – program, který je primárně určen správcům sítí pro vzdálenou správu jednotlivých PC v síti, zpravidla za účelem inventarizace nebo kontroly. Bohužel tento nástroj bývá často zneužíván hackery jako nástroj průzkumný.
Screen Recorder – záznamník obrazovky. Samotné zcizené heslo je útočníkovi k ničemu, pokud neví, k čemu toto heslo patří. Aby jeho role byla maximálně usnadněna, některé programy ve chvíli, kdy se pokouší zaznamenat heslo, zároveň pořizují i kopii aktuální obrazovky. Tento snímek pak dává hackerovi jasnou představu, kde a jak je heslo použité – takže se mj. může pokoušet dostávat i do účtů vedených u bankovních institucí, o jejichž existenci nemá ani ponětí.
Scumware – je program, který na webové stránky přidává odkazy, jež by ale měly být placené. Scumware také slouží k přesměrování již existujících odkazů/inzerátů na jiné než určené lokality.
Tracking cookies – sledovací cookies. Cookies primárně slouží k uchovávání informací např. o návštěvě různých stránek (kdy zde byl uživatel naposledy atd.). Nicméně mohou být poměrně snadno zneužity (a zneužívány také jsou) k různým formám sledování uživatele či jeho aktivit.
Trojan horse – trojský kůň (slangově „trojan“) vykoná v počítači nejen úkon, jehož provedení sliboval, ale také provede úkony, o nichž uživatel nemá ponětí a se kterými by nejspíše nesouhlasil.

Autor článku