Kapitoly z historie hackingu: Zrod spywaru

2. 9. 2010

Sdílet

První programy, které by se dnes bez zaváhání zařadily do kategorie „spyware“, se objevily již v osmdesátých letech minulého století. Jejich úkolem bylo především „odposlouchávat“ hesla.

Ostatně, takto začínal i jeden z nejslavnějších hackerů světa, Kevin Mitnick. Za doby svých studií vytvořil program, který byl graficky navlas shodný jako aplikace využívaná pro přihlašování do školního informačního systému. Sám se pak přihlásil k počítači a spustil inkriminovaný program.

Kdokoliv následně usedl k dotyčnému počítači a zadal heslo (v dobré víře, že se přihlašuje ke korektní aplikaci), tak fakticky odevzdal heslo Mitnickovi (jeho program si heslo uložil, odhlásil Mitnicka a automaticky přihlásil oprávněného uživatele, který si tak ničeho nevšiml).

Kevin Mitnick dodnes s úsměvem vzpomíná, jak každý den svému profesorovi donesl na kusu papírku přihlašovací heslo. Ten se dlouho marně snažil přijít celé záhadě na kloub – a nakonec musel pohrozit Mitnickovi vyloučením ze školy, aby se tajemství pozdějšího světového superhackera dozvěděl.

 

Spyware přichází

Prokazatelně poprvé se termín „spyware“ na světě objevil dne 17. října 1995. Tehdy se jeden z diskutujících ve skupině Usenet snažil zesměšnit nový obchodní model společnosti Microsoft, kdy při registraci operačního systému on-line docházelo k odesílání i jiných než uživatelem uvedených informací. Namísto pojmu „software“ tak použil právě „spyware“.

Pojem spyware pak na nějaký čas upadl v zapomnění. Maximálně se tak označovalo přímo špionážní vybavení, ovšem hardwarové. Až v roce 2000 bylo označení znovu resuscituováno v tiskové zprávě informující o programu ZoneAlarm Personal Firewall.

A v tomtéž roce spatřil světlo světa i první antispywarový program nazvaný OptOut. Jistý Steve Gibson totiž zjistil, že se mu do počítače nainstaloval bez jeho vědomí jakýsi monitorovací program. A že tento je vytvořený tak, aby byl co nejobtížněji odstranitelný.

Pan Gibson nelenil a napsal vlastní jednoúčelovou aplikaci, která dokázala onu monitorovací komponentu likvidovat. A protože nebyl sobec a protože předpokládal, že postižených stejně jako on bude povícero (kteří navíc vůbec nemusí tušit, že jsou infikovaní), svůj program dal veřejně k dispozici.

Předpokládal věci správně: spyware nejenže žil a fungoval dál, ale během několika málo let převálcoval do té doby dominantní kategorie škodlivých kódů. Podle studie AOL z listopadu 2004 bylo osmdesát procent počítačů na světě infikováno nějakou formou spywaru.

Na jeden infikovaný stroj přitom připadalo neuvěřitelných 93 komponent a kusů spywaru. Průzkum provedený americkou US National Cyber Security Alliance hovořil o číslech trochu jiných, ale neméně hrozivých: devadesát procent počítačů je spywarem infikováno, každý pak 29 různými druhy škodlivých kódů.

Počátkem nového století došlo v oblasti fungování spyware k dalšímu mezníku: z jednoznačně škodlivých kódů došlo k mírnému posunu ke grayware, tedy do zóny, kde se nedá jednoznačně rozhodnout, zda jde o chtěný nebo nechtěný program (viz článek na straně 26).

Stalo se tak poté, co mnozí výrobci v rámci marketingových kampaní začali do licenčních ujednání EULA vkládat pasáže, kterými se „špionáž“ (či vytěžování informací) snažili legitimizovat. Uživatel tak při instalaci nějakého software souhlasil s „analyzování“ e-mailových kontaktů, se sběrem informací týkajících se jeho chování na síti apod.

A začaly se množit spory mezi bezpečnostními firmami a producenty podobně pochybných programů o tom, zda je vůbec lze či nelze detekovat: vždyť jsou instalované se souhlasem a vědomím uživatelů.

Bezpečnostní firmy situaci vyřešily kličkou a zavedením kategorie PUP (Potentially Unwanted Program), tedy „potenciálně nechtěné programy“, které kromě svého hlavního a slibovaného poslání dělají ještě další úkony, s nimiž třeba uživatel „souhlasí“, ale které rozhodně nesouvisí s primárním účelem softwaru.

Tento problém měla například populární hra Battlefield 2142, která monitorovala chování uživatele – a pak mu ve hře zobrazovala reklamu „na míru“. Nic proti cílené reklamě, ale způsob, jakým je vybíraná, musí být korektní a transparentní.

Mimochodem, tato „roztříštěnost“ podoby spywaru vede k tomu, že dodnes neexistuje (na rozdíl od virů) jednotná databáze, protože každý výrobce hodnotí jednotlivé kódy a jejich nebezpečnost individuálně, což v konečném důsledku znemožňuje objektivní srovnání jednotlivých antispywarových programů: každý výrobce zkrátka prohlásí za spyware něco jiného...

Fakt, že spyware během posledních deseti let téměř (ne však zcela) vypudil viry, e-mailové červy a další formy útoků, se musel promítnout i do jeho košatějšího třídění.

Ke změně principu fungování nedošlo, pouze se upravovalo jeho směřování nebo orientace na vektory útoku. A tak se dnes lze setkat se stealware (spyware zaměřený výhradně na „kradení“ informací – klasický spyware je může vytvářet nebo získávat vlastním monitorováním), crimeware (spyware ve službách kybernetického zločinu) a mnohé další.

bitcoin školení listopad 24

 

Tento text vyšel v tištěném SecurityWorldu 1/2010.