S rozšiřujícími se možnostmi a stále rostoucím počtem počítačových uživatelů je vyvíjeno mnoho aplikací s podvodným úmyslem nebo v lepším případě jen velmi málo užitečných. Motivací tvůrců těchto aplikací je finanční profit.
Nedůvěryhodný software je často spojován se skupinami zodpovědnými za šíření běžného malwaru a aplikace se obvykle zaměřují na uživatele s nízkými technickými znalostmi. Pokud antivirové laboratoře tyto praktiky zaznamenají a odhalí takový software, může to mít za následek konflikt zájmů mezi antivirovými společnostmi a dodavateli takového potencionálně nežádoucího softwaru. A tyto konflikty někdy vedou k právním střetům.
Malware a současná kyberkriminalita
Lidstvo pomalu dochází ke zjištění, že každá nová technologie může být zneužita, anebo lépe řečeno, někdo se pokusí o její zneužití, ať již jen proto, aby dokázal, že se tak učinit dá, nebo k iniciování vážné hrozby proti lidem a/nebo infrastruktuře. Konstrukce nových zařízení a technologie musí proto brát v úvahu zabezpečení dat, tok dat a jakoukoliv komunikaci všeobecně.
Avšak systémy, které jsou dnes vyvíjeny, jsou stále složitější, a i když je do bezpečnosti vkládáno obrovské úsilí, dochází často k chybám. Rostoucí počet technologií a zařízení rozšiřuje pole působnosti pro útočníky, kteří se pokoušejí profitovat prostřednictvím zneužívání existujících bezpečnostních děr a chyb.
A to je přesně doména pro počítačové infiltrace. V současné době je šíření ohromného množství zákeřných nebo nežádoucích kódů motivováno finančně a vyskytuje se pouze malé množství infiltrací, které existují jen pro demonstraci předpokládané schopnosti autora.
Šedá zóna softwaru
Zaměřme se na greyware – tedy software pocházející z tzv. šedé zóny. Problém s těmi aplikacemi spočívá v rozhodnutí o tom, zda už je, anebo ještě není software zákeřný anebo zda je nějakým způsobem skutečně užitečný. Hranice mezi dobrem a zlem, užitečností a neužitečností je nejasná. Dokonce i různé antivirové společnosti mohou mít odlišný pohled, což může vést ke sporům dokonce i mezi odborníky.
Přirozeně, tyto organizace úzce spolupracují a v průběhu let bylo spuštěno několik projektů a ustanoveno několik sdružení, a to za účelem zavedení všeobecně respektovaných pravidel a nejlepších postupů.
Jedním z cílů je vytvoření stabilního referenčního bodu, který může být používán při jednáních o sporných, kontroverzních záležitostech. Zmiňme se o několika iniciativách, které se týkají tématu tohoto článku: Anti-Virus Product Developers Consortium (AVPD), Anti-Spyware Coalition (ASC) či Anti-Malware Testing Standards Organization (AMTSO).
Prvně jmenované konsorcium bylo vytvořeno za účelem poskytnutí jakéhosi „otevřeného fóra“, na kterém by vývojoví pracovníci mohli společně pracovat za účelem testování produktů, certifikace produktů, průzkumů, studií a výzkumu trhu.
ASC je zase skupinou, která se věnuje vytváření konsenzu týkajícího se definic a nejlepších postupů a praktik v diskusi kolem spywaru a ostatních potencionálně nežádoucích technologií. A konečně AMTSO, jež byla založena v květnu 2008 jako mezinárodní nezisková asociace, se zaměřuje na řešení globálních potřeb vylepšování objektivity, kvality a důležitosti antimalwarových testovacích metodik. Více informací o těchto organizacích a iniciativách lze najít na příslušných webových stránkách.
Specifika softwaru šedé zóny
O jaký druh softwaru se jedná? Jednoduše řečeno jde o software, který je ve skutečnosti zcela nepoužitelný a neposkytuje uživateli reálnou hodnotu. Jinými slovy, v případě, že je software zaplacen, tak jediný, kdo z něho má nějaký profit, je jeho autor.
To je velice jednoduchá a elegantní definice. Nicméně ve skutečném světě by mohly být vedeny nekonečné diskuze týkající se užitečnosti či legitimnosti takového druhu softwaru. Co je horší, někdy tyto diskuze vedou k soudním přím. Stává se stále častěji, že po podrobné analýze se antivirová společnost rozhodne některé aplikace detekovat jako škodlivé a o několik měsíců později si autoři tohoto softwaru stěžují na neoprávněnou detekci a požadují nápravu.
Jednání, která pak následují, jsou většinou velice nesnadná. Když rozhodujeme o škodlivosti nebo legitimnosti softwaru, je nutné vzít v úvahu mnoho faktorů – není možné zkoumat pouze software jako takový, nýbrž je nezbytné zaměřit se na uživatelskou základnu, prověřit kredibilitu společnosti a analyzovat distribuční kanály, které jsou použity.
Právě tyto kanály mohou snadno změnit status legitimní aplikace v aplikaci nežádoucí. V podstatě existují dva důvody prohlásit aplikaci za potencionálně nebezpečnou nebo nežádoucí: aplikace je zneužita k šíření malwaru, nebo distribuční model představuje přímé navádění k dosažení nelegálního zisku.
Často dostáváme důležité informace od zákazníků, kteří zaregistrují zvláštní a neočekávané chování svého počítače. Rogue (podvodné) společnosti a jejich produkty (rogue antivirus, rogue antispyware) mají svůj koncept podvodu vyladěn do posledního detailu – jejich webové stránky mají profesionální vzhled a často jsou inspirovány skutečným antivirovým softwarem.
Weby jsou plné podvodných FAQ, společně se spoustou padělaných pozitivních reakcí a dokladů od neexistujících uživatelů atd. Dokonce i tehdy, když rozhodnutí o škodlivosti aplikace založíme na relativně jasných pravidlech a doporučeních, která vytvořila ASC, je rozhodnutí obtížné a časově náročné. Hodiny a dny zabere i hloubková analýza.
Věci se komplikují…
Stručně vyjádřeno, rogue antivirus je software, který si hraje na to být legitimním antivirovým řešením, obalamutí uživatele, aby věřili, že na systému byl nalezen neexistující malware, a obvykle také nabízí možnost odstranění imaginárních infiltrací.
Cílem tohoto podvodného divadla je samozřejmě přinutit uživatele ke koupi plného produktu, jenž údajně odstraní malware. Oběť ve skutečnosti platí za grafickou bublinu a co více, riskuje odcizení detailů své platební karty.
Tato kategorie potencionálně nežádoucího softwaru či spywaru je dobrým kandidátem pro kontrolu šíření a pro demonstrování rozdílů v klasifikaci různých softwarových komponentů, které se podílejí na procesu nakažení počítače.
Všechno obvykle začíná pěkně rázně, očividnou nákazou kódem, který je možné jednoznačně označit jako malware. Typicky dojde ke zneužití zranitelnosti systému, kdy je škodlivý kód obvykle umístěn v rámci automatizovaného exploit packu nacházejícího se někde na internetu.
Malware mající funkci downloaderu nebo installeru má většinou typické rysy trojského koně, takže z hlediska detekce je vše jasné a není třeba trávit mnoho času nad rozhodováním o klasifikaci potenciální škodlivosti.
Bohužel to neplatí pro software, který je následně skutečně stahován downloaderem trojského koně – ten už je klasifikován jako adware, spyware nebo nežádoucí aplikace. Proč? Protože i když je jeho instalace nucená, obvykle existuje licenční dohoda koncového uživatele (EULA), ve které jsou vysvětleny všechny aspekty týkající se rogue softwaru a s jejímiž podmínkami uživatel souhlasí. Takto je software skutečně instalován se souhlasem uživatele.
Samozřejmě, dohoda EULA nic neříká o distribuci rogue softwaru a sami prodejci popírají, že by měli něco společného s distribučními kanály. Každopádně je dobré prozkoumat charakteristiky a detaily softwaru, například těch, které jsou zmíněny v dokumentech ASC.
Nejdůležitějšími atributy rogue softwaru jsou jeho invazivnost, vliv na stabilitu systému nebo bezpečnost a integritu. V současnosti registrujeme stovky rodin rogue aplikací a úroveň předstírané legitimity a jejich kvality se mění od dětských triviálních pokusů až po řešení, která vypadají opravdu profesionálně.
Vznik a první indikace rozšiřování rogue aplikací se datuje okolo roku 2005, kdy se objevily skupiny jako WinAntivirus. Jako v jiných případech, i zde jsme obdrželi stížnosti týkající se detekce tohoto podle autorů užitečného softwaru.
Subject: NOD32 detects our products as malware
Date: 21 Aug 2006 10:21:51 -0500
From: xxx@winsoftware.com
To: xxx
I am contacting you on behalf of WinSoftware Company.
Recently our Quality Assurance Department discovered that parts of our product, WinAntiVirus Pro 2006, were added to your anti-malware database, and are currently being detected as malware.WinSoftware believes this may have been done inadvertently; nevertheless this has a big impact on our Company’s reputation and on customer satisfaction level. WinSoftware, therefore, requests that you remove these product from your base no later than fourteen (14) days from receipt of this notification.
Please confirm receipt of this message.
Best regards,
xxx
Senior Vice-President, Legal Compliance
WinSoftware Ltd.
Musím poznamenat, že v porovnání s jinými stížnostmi, vypadá tato nesrovnatelně profesionálněji a seriózně. Vidíme lepší a důraznější výběr slov, kdy je zmíněno poškození pověsti společnosti a žádost o odstranění v termínu do 14 dnů. Samozřejmě, pro jakoukoliv seriózní antivirovou společnost nemůže být taková aplikace na počítači zákazníka tolerována: proto WinAntivirus spolu s desítkami a stovkami jiných skupin nebezpečných aplikací i nadále zůstává v databázích malwaru.
Antivirus a škodlivé aplikace jsou dva typy softwaru stojící proti sobě, které mají svou instalaci posvěcenu dohodou EULA, s níž uživatel (často nevědomě a bez přečtení) souhlasil.
I proto se prodejci pochybného softwaru nebojí bránit, o čemž svědčí několik právních případů v minulosti, kdy například v roce 2007 společnost Zango (také známá jako 180Solutions), nechvalně proslulá jako poskytovatel adwaru, žalovala společnost Kaspersky Lab kvůli tomu, že neoprávněně blokuje její software.
Společnost Zango uvedla, že společnost Kaspersky poškodila její pověst a bránila jí v obchodování. První rozhodnutí soudu dopadlo dobře pro antivirovou společnost s odůvodněním, že Kaspersky má právo na blokování materiálu, který on nebo jeho zákazníci považují za nepřijatelný. Tím to však neskončilo a následovala odvolání. Proces však skončil oznámením krachu společnosti Zango.
Odhalování adwaru a klasifikace často představuje chůzi na tenkém ledě a malé detaily mohou představovat velkou změnu. Jakákoliv detekce, která je prováděna neoprávněně (alespoň z pohledu zákona), může antivirovou firmu velmi zaměstnat. Nicméně je jejím úkolem, aby naslouchala požadavkům svých zákazníků a chránila jejich počítače před nežádoucím softwarem.
Autor pracuje jako vedoucí virové laboratoře ve společnosti Eset.
Tento text vyšel v tištěném SecurityWorldu 1/2010.