Nedejte špionům šanci

1. 2. 2006

Sdílet

Pohybují se skrytě. Registrují aktivity na vašem osobním počítači. Manipulují svaším systémem. Špióni se uhnízdili ve vašem počítači a sledují vás. Proto je třeba se jim bráni...
Pohybují se skrytě. Registrují aktivity na vašem osobním počítači. Manipulují s
vaším systémem. Špióni se uhnízdili ve vašem počítači a sledují vás. Proto je
třeba se jim bránit.

Slídivý software se na vašem počítači uchytí rychleji, než si dokážete
představit. Může přitom jít například o spyware, který se instaluje spolu s
nějakým drobným programem. Může se rovněž jednat o trojské koně, které se šíří
vinou nedostatečného zabezpečení Windows nebo Internet Exploreru. Je ovšem také
docela dobře možné, že vám na služebním osobním počítači nainstaloval kontrolní
program váš zaměstnavatel, aniž vás o tom uvědomil.
Špióni se sice pokoušejí ukrýt, jak jen to jde, přesto však existují příznaky,
které je prozradí. Například když se vám v nepravidelných intervalech otevírají
reklamní pop-up okna, přestože nejste zrovna připojeni k internetu. Nebo váš
systém neustále přenáší data na internet, aniž k tomu vy sám dáváte jakýkoli
podnět. Je také možné, že úvodní stránka vašeho prohlížeče je pozměněná a vám
se tuto změnu vůbec nedaří odstranit. Nejpozději v okamžiku, kdy váš počítač
začne vykazovat podobné chování, byste ho měli důkladně vyčistit. Zde se
dozvíte, jak na to a jaké nástroje vám při tom mohou pomoci.

Spyware
Spyware je dosti rozšířený, ale naštěstí není na každém počítači. Každému
počítači však napadení hrozí. Spyware není tak nebezpečný jako červi a trojské
koně. Zpravidla nijak nepoškodí osobní počítač, ani se samostatně nedokáže
podstatněji rozšířit. Zato však sleduje vaše uživatelské návyky. Některé druhy
spywaru hlásí svému autorovi, kdy používáte osobní počítač, které internetové
stránky si prohlížíte a na jaké reklamy klikáte.
Obzvlášť nehorázné typy spywaru otevírají v nepravidelných intervalech reklamní
okna přestože vůbec nesurfujete po internetu, ale třeba jen píšete nějaký text.

Šíření spywaru prostřednictvím oblíbeného freewaru
Spyware se ve většině případů šíří přes hostitelský program. Bezplatná verze
aplikace Kazaa je toho názorným příkladem.
( Obsahuje Kazaa Spyware?
Výrobce aplikace Kazaa popírá, že by jeho produkt obsahoval spyware. Tvrdí, že
v tomto případě nejde o spyware, jelikož uživatel je na tyto komponenty
upozorněn při instalaci. Tento názor ovšem nesdílíme.
Při instalaci jste sice víceméně jasně upozorněni na to, že Kazaa je
financována reklamou od firem Cydoor a GAIN Network. Kromě toho se dozvíte, že
se nainstalují "Altnet Peer Points Manager Package" a panel nástrojů "My
Search". Jaká data tyto pochybné komponenty sbírají a vyhodnocují se ovšem
uživatel dozví pouze tehdy, přečte-li si několikastránkové licenční podmínky,
které jsou částečně v angličtině. Často až teprve na tomto místě objeví
zvláštní prohlášení o ochraně dat na internetu.
Celkem vzato je bezplatná verze apliakce Kazaa velmi neprůhledná, alespoň co se
týče připojeného spywaru. Někteří uživatelé proto používají neoficiální Kazaa
Lite K+ 2.6.1 bezplatnou variantu, kterou vynalézaví programátoři zbavili
špionážních komponent. Kazaa je zvláště křiklavým příkladem toho, jak se spolu
s oblíbeným programem může mezi lidmi masově šířit spyware. Naštěstí jsme v
současnosti nezaznamenali žádný další případ takového rozsahu a dosahu.
( Prominentní spyware
Následující velmi známé programy obsahují spyware a šíří se přes webové
servery: Gagot eWallet pro vyplňování formulářů, Date Manager, což je kalendář
a plánovací diář pro Systray, konečně i Precision Time, nástroj, který seřizuje
hodiny osobního počítače podle serveru s atomovými hodinami na internetu.
Vlastní funkce těchto programů jsou užitečné. Všechny ovšem obsahují spyware.
( Spywarová infekce: buďte opatrní při surfování
Spyware se může skrývat nejen v instalacích softwaru. I při surfování na webu
se vystavujete riziku, že se na vás nalepí špionážní komponenty - ne snad na
velkých a důvěryhodných webových serverech, nýbrž v postranních uličkách webu,
do nichž se dostanete např. v důsledku zmanipulovaných výsledků nabídnutých
vyhledávacím strojem.
Šiřitelé spywaru proto popisují své webové stránky hojně používanými
vyhledávacími výrazy a pojmy, aby se dostali do indexů vyhledávacích strojů.
Při návštěvě takové stránky uvidíte odkaz s názvem "Bezpečnostní varování
(Security warning)", který vás upozorní na instalaci nějaké komponenty. V
takovém případě byste neměli ze zbrklosti nebo z pouhého zvyku kliknout na
"Ano", popřípadě na "Spustit instalaci".
Když se bezpečnostní výstraha objeví na stránce, kterou neznáte, ukončete
dialog stisknutím tlačítka "Ne", popřípadě "Neinstalovat". Pokud se výstraha
objeví na důvěryhodné stránce, pozorně si ji přečtěte. Mohlo by se totiž jednat
o komponentu, která je pro prezentaci stránky nezbytná, například Macromedia
Flesh Player.
Nejtroufalejší šiřitelé spywaru využívají na svých webových stránkách mezer v
zabezpečení Internet Exploreru (IP), aby vám vnutili špionážní programy bez
vašeho vědomí. Snažte se proto provádět vždy poslední, nejčerstvější
aktualizace svého prohlížeče nebo používejte jiný prohlížeč, například Firefox
1.5 (zdarma ke stažení například ze stránek www.firefox.cz).
Firefox má mnoho dalších předností: je nejen bezpečnější, ale mnohdy též
rychleji načítá stránky. Je vybaven větším počtem funkcí než IE a o další jej
lze ještě rozšířit pomocí doplňkových funkcí.
( Najít spyware a odstranit ho: takhle se to dělá
K detekci a odstranění již nainstalovaného spywaru je nejlepší použít nějaký
specializovaný nástroj. Počítač můžete nechat prohledat pro jistotu několikrát
za sebou. Doporučit můžeme například program Ad-Aware SE Personal 1.06 (pro
soukromé použití bezplatný, na našem CD) a Spybot Search & Destroy 1.4 (zdarma,
na našem CD). Poměrně nový program je Microsoft Antispyware. Nejde o vlastní
produkt Microsoftu, pochází od Giant Company Software. Microsoft koupil tuto
společnost v prosinci roku 2004. V době psaní tohoto článku byl Antispyware
ještě betaverzí, ve verzi 1.0.701 jej naleznete na našem CD. Zatím se jedná o
freeware.
Instalace a obsluha antispywaru je jednoduchá. Při prvním spuštění programu vás
průvodce naviguje při konfiguraci. Ptá se vás, zda si budete přát automatické
aktualizace (podobně jako je tomu u antivirových programů) a zda budete chtít
aktivovat ochranu v reálném čase. V posledním kroku určíte, zda má nástroj po
druhé hodině v noci spouštět vyhledávání spywaru, pokud váš osobní počítač bude
zapnutý. Tuto možnost lze odmítnout, pokud jste si nastavili ochranu v reálném
čase.
Po instalaci spustíte skenovací proceduru tlačítkem "Run Quick Scan Now".
Standardně Antispyware prohledává pouze místa, na nichž se nejčastěji
zachytává. Chcete-li prohledat celý pevný disk, klikněte na "Spyware Scan
Options" a zvolte "Run a Full System Scan." Prohledávání pak ovšem zabere
podstatně delší dobu. Po skenování získáte přehledný seznam výsledků. Na něm se
ukáže mimo jiné název každého typu nalezeného spywaru a jemu odpovídající
bezpečnostní riziko. Když u nějaké položky kliknete na "+", spatříte všechny
příslušné soubory a záznamy v registru. U každého nálezu navrhne Antispyware
příslušnou akci, kterou můžete potvrdit nebo pozměnit, například "Remove"
(Odstranit) nebo "Ignore" (Ignorovat). Tlačítkem "Continue" spustíte čisticí
proceduru. Uživatelé Windows XP by měli nejprve aktivovat volbu "Create Restore
Point", aby se v případě selhání systému vytvořila ve Windows záloha pro
obnovení.
Strážci v Antispywaru: Ochrana v reálném čase poskytovaná systémem Microsoft
Antispyware chrání vyčištěný počítač před novým spywarem. Pokud jej během
instalace aktivujete, poběží na pozadí permanentně. Poté jej máte možnost
zapínat či vypínat přes "Real-time Protection", přičemž musíte aktivovat,
popřípadě deaktivovat všechny tři položky "Agents".

Nástroje upozorňují na podezřelé procesy
Vyčistili jste svůj osobní počítač pomocí několika antispywarových programů,
přesto se však nemůžete zbavit dojmu, že ještě něco přehlédly? Systém nadále
vykazuje chování, signalizující přítomnost spywaru?
V takovém případě je třeba, abyste sami přiložili ruku k dílu a podívali se,
které procesy běží na vašem PC - samozřejmě za předpokladu, že máte
administrátorská práva. Nejprve si opatřete nástroj, který ukazuje i skryté
procesy, například Process Viewer 3.7 (zdarma, na našem CD).
Na tomhle programu je dobré zejména to, že ukazuje i oblast, kde se právě
běžící procesy odehrávají. Podle jmen adresářů můžete zhruba odhadnout, který z
nich by mohl odpovídat nežádoucímu programu.
Spyware se může ovšem v adresáři Windows usadit pod takovým jménem, že ho sotva
rozeznáte od jmen důležitých systémových souborů. Pak se musíte řídit
detektivním instinktem. Otevřete příslušný adresář, klikněte na podezřelý
soubor pravým tlačítkem myši a vyberte položku "Vlastnosti/Verze". Pod
"Popisem" by mělo být uvedeno jméno, které má jistou vypovídací hodnotu; pod
"Copyrightem" by měl být uveden původce. Na tom, nakolik je původce ochoten
poskytovat o sobě další informace, záleží také to, zda o něm najdete další
informace i v polích "Komentáře" nebo "Zvláštní popis".
Pokud se ani s těmito informacemi nedá mnoho pořídit, pomůže vám, vyhledáte-li
si v Googlu jméno souboru. To platí i v případě, že v souboru není k dispozici
žádná informace, jež by vás nasměrovala dál, registrační karta tedy neukazuje
"verzi". S nástrojem pcwProcview na našem CD probíhá hledání opravdu pohodlně.
Zobrazuje seznam všech probíhajících procesů a nabízí možnost "Hledat v
Googlu". Protože pcwProcview pracuje pod Windows 95/98 a NT 4, musíte si ze
stránek www.pcwelt.de/6e5 nainstalovat Microsoft WMI (Windows Management
Instrumentation).

Únos
Po delším surfování internetem si povšimnete, že se změnila domácí stránka
vašeho prohlížeče. Při každém spuštění se místo vámi nastavené úvodní stránky
objeví podivný vyhledávací stroj.
( Únos prohlížeče: právě to se vám přihodilo
Zřejmě jste se stali obětí únosu prohlížeče. Nekalé živly na internetu
využívají nedostatků v zabezpečení prohlížeče - zpravidla Internet Exploreru -
k tomu, aby vám podstrčili nějaký prográmek. Ten pak běží trvale na pozadí a
snaží se, aby se změnilo nastavení domácí stránky prohlížeče a aby nová
startovací stránka už zůstala zachovaná - i když se snažíte tuto chybu v
konfiguraci prohlížeče odstranit.
( Jak se únosců prohlížeče zbavit
Zbavit se nechtěných hostů na vašem osobním počítači je občas docela těžké.
Částečně se totiž zabydlí hluboko v systému. V tom nejjednodušším případě
antispywarové programy rozpoznají software, který je zodpovědný za únos, a
odstraní ho.
Bezplatný nástroj CW-Shredder 2.12
(na našem CD) vymaže únosce, kteří přesměrovali domácí stránku na Coolwebsearch
a jeho varianty.
( Vydělávání peněz únosem
Většinou se domácí stránka nastaví na vyhledávací stroje typu
www.coolwebsearch.com. Díky většímu počtu lidí, kteří zavítají na takové
stránky, mohou pak jejich provozovatelé požadovat vyšší cenu od zadavatelů
reklamy. Coolwebsearch a jim podobní ovšem únosce sami nerozšiřují. Namísto
toho dávají prémie "partnerům," kteří přitáhnou nové zákazníky. Oficiálně se
sice provozovatelé tváří, že nespolupracují s žádnými partnery, kteří používají
takové triky jako unášení prohlížeče. Ale na druhé straně vše nasvědčuje tomu,
že proti nim nijak důsledně nepostupují, jinak by tento nešvar nebyl tak
rozšířen.

Slídilové na internetu
K tomu, aby se pídil po důvěrných informacích a vašich heslech, se špión nutně
nemusí vloupat do vašeho počítače. Může mu stačit jen přítomnost ve stejné
síti, v níž se nachází i váš počítač. Pomocí speciálního slídicího nástroje
(tzv. "snifferu") pak může zachytit všechny složky, které odesíláte a
přijímáte. To může být nebezpečné zejména ve firemním prostředí, neboť tam
bývají k jedné sítí připojeny stovky, někdy i tisíce spolupracovníků. Důvěrné
e-maily, hesla a adresy požadovaných webových stránek představují jen několik
příkladů, co všechno může zvědavý slídil tajně sledovat. Jestliže podnik či
soukromý uživatel používá třeba špatně zabezpečený nebo dokonce úplně
nezabezpečený bezdrátový přístup, mohou operace s daty odposlouchávat slídilové
přímo z ulice - aniž jim hrozí, že by na ně někdo přišel.
( Slídilové vás mohou napadnout i freewarovými nástroji
K tomu, aby vás začal sledovat, potřebuje špión nějaký "packet-sniffer",
například Ethereal 0.10.14 (zdarma na našem CD).
Jeho pomocí lze zachytit datové pakety a vyhodnotit je. Ethereal potřebuje k
provozu program, který zachytává pakety - v našem případě například Winpcap 3.1
beta 4. Používejte prosím tyto nástroje pouze k testování zabezpečení vašeho
vlastního systému.
Ethereal nefunguje, pokud jsou osobní počítače v síti propojeny přes switche
(přepínače) a ne přes rozbočovače (huby). Tím, že budeme používat pouze
přepínače, se nám do jisté míry podaří systém ochránit. Existují ovšem i
dokonalejší nástroje než Ethereal. Manipulují směrovací tabulky počítače
takovým způsobem, že směrují všechny datové pakety na osobní počítač špióna.
Takovému útoku se říká "Man in the Middle Attack". Je přitom na pováženou, že
příslušnými nástroji lze takto odposlouchávat i spojení zabezpečená přes
protokol "https". Obrana proti tomu je náročná, například pomocí statických
propojovacích tabulek.