17300

Шпигунське програмне забезпечення. Шпигунські війни: spyware і боротьба з ним

Лекция

Информатика, кибернетика и программирование

Лекція 10. Шпигунське програмне забезпечення Шпигунські війни: spyware і боротьба з ним По даним Earthlink програми що відносяться до категорії spyware сьогодні встановлені майже на 90 комп'ютерів підключених до Мережі є й більш вражаючі цифри. Причому мова йде не про один п...

Украинкский

2013-06-30

64 KB

4 чел.

Лекція 10. «Шпигунське» програмне забезпечення

Шпигунські війни: spyware і боротьба з ним

По даним Earthlink, програми, що відносяться до категорії spyware, сьогодні встановлені майже на 90% комп'ютерів, підключених до Мережі ( є й більш вражаючі цифри). Причому мова йде не про один програмний агент на кожний ПК: середньостатистичний показник - 25 "шпигунів" на одного користувача. Більш того! Експерти пророкують, що згодом по своїй актуальності погроза spyware може обігнати навіть спам, а Gartner Group прогнозувала, що шпигунське ПО стане навіть більш серйозною проблемою, чому інтернет-хробаки.

Що є spyware?

По інтернет-міркам вік загрози досить солідний: перший випадок зараження комп'ютера "шпигуном" зафіксований ще в 1995 році, а в 1999-у слово "spyware" було вперше вжите в офіційному документі - прес-релізі із приводу виходу брандмауера Zone Alarm Personal Firewall. У листопаді того ж року перша програма, що містить шпигунський модуль, отримала масове поширення в Мережі. Це була безкоштовна гумористична гра Elf Bowling, що відсилала своєму розроблювачеві Nsoft користувацькі дані.

В 2000 році Стів Гібсон, керівник компанії Gibson Research, виявив на своєму комп'ютері рекламне ПЗ, яке перехоплювало його особисту інформацію. Вивчивши особливості поведінки непрошеного гостя, Гібсон зрозумів, що софт працює на фірми Aureate і Conducent. Результатом ретельного вивчення коду стала поява наприкінці 2000 року першого антишпигунського продукту - Optout (розробка компанії - Spyware Free-Certification). А в жовтні 2004-го були опубліковані результати дослідження AOL, що змусили інтернет-громадськість звернути увагу на серйозність проблеми. 89% респондентів, на чиїх комп'ютерах поселився spyware-софт, повідомили, що не знали про його присутність, а 93% не санкціонували його інсталяцію.

Незважаючи на настільки багату історію, офіційне визначення терміну "spyware" з'явилося тільки в 2005 році. Його автором стала Коаліція по боротьбі зі шпигунським і рекламним ПЗ (Anti-Spyware Coalition, ASC), членами якої є багато виробників софта. До шпигунського софта віднесли будь-які програми, що встановлюються на комп'ютер без відома й згоди його власника або понижують ступінь контролю над приватністю, безпекою системи, діяльністю користувача (у першу чергу - в інтернеті) і витратою системних ресурсів. Також у категорію spyware потрапили програми, що здійснюють несанкціонований збір особистої інформації - головним чином, паролі. Крім того, spyware чревате ще рядом ускладнень. Наприклад, найчастіше такі програми захоплюють левову частину пам'яті й процесорної потужності, що суттєво гальмує роботу звичайного ПЗ.

У наш час ASC працює над стандартизацією шпигунського й антишпигунського ПО. Втім, багато експертів вважають цю ініціативу шкідливою, думаючи, що опублікованими стандартами відразу скористаються виробники spyware, щоб обійти блокування свого софта. В ASC визнають імовірність такого розвитку подій, однак затверджують, що цей аспект при створенні стандартів був врахований. Розроблювачам же антишпигунського ПЗ залишають можливість встановлювати власні критерії визначення spyware.

Нині до "шпигунів" найчастіше відносять будь-які програми, що виводять на екран рекламні оголошення, навіть ті, установлення яких користувач санкціонував. Однак слід погодитися, що останній варіант - самий "цивілізований": людина готова терпіти рекламу, щоб не платити гроші за програму. Продукти, розповсюджувані по такому принципу, називаються adware і в деякому змісті є альтернативою shareware. Інша справа, що далеко не всі виробники adware відрізняються кристальною чесністю, а тому крім офіційно дозволених оголошень вставляють у свій софт і модулі, що перехоплюють користувацькі дані.

Іноді до spyware відносять програми, що збирають дані для так званого поведінкового таргетінгу (молода галузь інтернет-маркетингу, що акумулює інформацію про користувацькі переваги - наприклад, аналізуючи маршрут переміщень по Мережі). Робитися це може з різними цілями - як для дослідження ринку, так і для розробки індивідуального підходу до покупця в інтернет-магазині ( аж до зазначення персональної ціни на товари). Зокрема, деякі антишпигунські програми відносять до spyware браузерний плагин найбільшого онлайн-магазину Amazon.com, хоча його установка - справа добровільна.

Інфікування

Spyware, на відміну від вірусів, саме не розмножується, а тому "шпигуни", заразивши одну систему, не зможуть перебратися на інші. Поширюються вони в Мережі або шляхом обману користувача, або через програмні уразливості (наприклад, діри в браузері). При першому варіанті користувач отримує з інтернету якийсь корисний софт, а "у доважок" одержує шпигунський модуль. Найчастіше носіями spyware є різноманітні "прискорювачі інтернету". Втім, переносником може виявитися практично будь-який софт: так, широко відомий випадок, коли "шпигун" ховався в програмі Bonzi Buddi, що є дитячим провідником у світі інтернету. Іноді творці шпигунського ПЗ платять розроблювачам shareware-програм за додавання в інсталятор свого модуля, а часом просто поєднують шпигунський дистрибутив із уже готовими корисними програмами. Частенько шпигунські модулі попадають на комп'ютер разом із клієнтами пірінгових мереж, а на початку 2005 року фантазія "шпигуноводів" стала розвиватися: у Мережі з'явилася програма Spywareno, позиціонована як антишпигунське ПЗ, а на ділі є типовим продуктом spyware-індустрії…

Сучасні браузери не дозволяють "шпигунам" самовільно завантажуватися із сайтів, однак іноді користувач сам дозволяє їхню установку, тому що завантажувальне посилання нерідко маскують під pop-up-вікна, схожі на звичайні опитування. Незалежно від того, за який варіант відповіді користувач голосує, своєю відміткою він запускає установку spyware. З останніми версіями Internet Explorer (IE) можливостей для таких маніпуляцій у розповсюджувачів шпигунських програм стало набагато менше, однак актуальність цей спосіб зараження ще не втратив - адже, незважаючи на численні попередження, старі версії браузерів стоять на безлічі комп'ютерів. Так, IE5 залишається основним приблизно для 10% інтернет-серверів, а скільки людей не поставило заплатки на ранні версії IE6 - і говорити не хочеться.

До речі, антишпигунське ПЗ MS Anti-spyware інтегровано в операційну систему Windows Vista, а в IE з'явився "шпигунозахищений" режим. При його активації браузер ізольований від інших процесів операційної системи й не одержить прав на запис за межами каталогу Temporary Internet Files. Це знизити ризик схованої установки шкідливих плагинів. Крім того, за замовчуванням заборонена більшість об'єктів ActiveХ, а вбудований брандмауер став функціонально багатше.

Другий популярний метод інфікування - атаки на проломи в захисті браузера або іншого мережного ПЗ. При завантаженні веб-сторінки програмний код, що міститься в ній, ініціює установку spyware. Цей спосіб відомий як drive-by download, і самі зручні дірки для нього виявляються в MS Java і старих версіях IE. По даним Webroot, за перше півріччя 2009 року джерелами шпигунської зарази було 4300 сайтів і 89800 сторінок. У групу ризику ввійшли сайти з порнографічним контентом і сховища warez-софта, а в якості лазівки широко використовувалася діра в системі захисту від копіювання цифрового контенту - DRM, використовуваною Windows Media Player і itunes. До речі, деякі "шпигуни" шукають на комп'ютері жертви spyware-модулі від компаній-конкурентів і безжалісно знищують їх, але частіше шкідливий софт живе душу в душу.

Ознаки зараження користувачі в основному помічають лише тоді, коли операційна система (зауважу - практично всі шпигунські модулі працюють тільки під Windows) просто кишить spyware-об'єктами. Робота різко вповільнюється через нестачу ресурсів, частенько відбуваються системні або програмні збої, спостерігаються труднощі з інтернет-з'єднанням. Користувач, що не має в більшості випадків ніякого представлення про spyware, шукає причини незадовільної роботи в апаратному забезпеченні, проблемах установки Windows або ж думає, що його комп'ютер заражений вірусом. Звичайний результат "нагромадження" шпигунського ПЗ - переустановка системи.

Строката різноманітність шпигунів

Програми, що спеціалізуються на показі рекламних оголошень, можуть запускати спливаючі вікна як за графіком (кожні кілька хвилин), так і при відкритті браузера. Крім того, оголошення можуть вискакувати, якщо користувач заходить на певні адреси. Ця можливість приваблює рекламодавців, що платять виробникам шпигунського ПЗ за показ своїх оголошень при відвідуванні серфером тієї або іншої групи сайтів. А деякі програми навіть заміняють наявну на сайті pop-up-рекламу власною. Показувані банери, природно, повинні привертати увагу, а тому в них використовуються анімовані зображення, мерехтіння та ін. Якщо на комп'ютері встановлений усього один spyware-модуль, то оголошення з'являються не занадто часто і їх ще можна ігнорувати. Але, як уже згадувалося, звичайно мова йде про десятки злобливих програм, то ініційовані ними запуски pop-up-вікон викликають крайнє роздратування.

До речі, не слід думати, що виробники шпигунського ПО являють собою маргіналів інтернет-співтовариства, що бойкотуються великими й шановними онлайн-діячами. Виробництво й поширення spyware - це бізнес, причому прибутковий, а розроблювачі небажаних програм одержують замовлення від досить відомих рекламодавців. Зокрема, компанії Whenu і 180 Solutions, не останні фігури в spyware-індустрії, повідомляли, що серед їхніх клієнтів значиться навіть New York Times. За сам софт грошей звичайно не платять, але користувач попадає на сайт замовника або ж щось у нього купує за допомогою pop-up-оголошень, а виробник програми-шпигуна одержує комісійні. Ця схема називається affiliate marketing і використовується такими корпораціями, як Еbay, Dell або Mercedes-Benz. Втім, рекламодавці "страхуються", укладаючи договір з рекламним агентством, а вже останнє саме виходить на spyware-фірми.

Деякі компанії й зовсім застосовують spyware для захисту своїх інтернет-проектів. Зокрема, Blizzard використовує в роботі ігрових серверів World of Warcraft (Wow) спеціальну програму - так званого воротаря, який кожні 15 секунд завантажується на комп'ютери чотирьох з половиною мільйонів гравців. Воротар одержує список усіх dll-файлів, відображених в адресному просторі exe-файлу гри, використовує функцію GetWindowTextA для одержання заголовків усіх вікон у системі, перевіряє, чи немає їх у чорному списку, а також підключається до кожного запущеного процесу й за допомогою функції ReadProcessMemory зчитує низку адрес пам'яті.

Втім, деякі виробники шпигунського софта не утрудняють себе роботою в "брудній рекламі", а просто викрадають у користувачів заражених комп'ютерів паролі, імена, чат-сесії (у тому числі в інтернет-пейджерах), банківські дані і т.д.

Інший розповсюджений вид shareware - софт, який заражає програми, що додзвонюються до провайдера. У цьому випадку дозвон іде по якому-небудь міжнародному номеру, що приводить до величезних рахунків за телефон. На Заході, де популярність dial-up-підключення відходить у небуття, ця загроза втрачає актуальність, але в Україні такі програми як і раніше становлять серйозну небезпеку. Однаково небезпечні для всіх користувачів і шпигунські додатки, що працюють із cookies.
Варто також відзначити, що поки робота ASC не закінчена, говорити про однозначну класифікацію продуктів spyware передчасно. Окремі дослідницькі компанії намагалися групувати шпигунські додатки й по схожості програмного коду, і по поведінці, і по типу проникнення на комп'ютер, але жоден із цих підходів не можна назвати повністю вдалим. Адже деякі витвори spyware- індустрії являють собою цілі пакети програм, кожна з яких діє на своїй "ділянці". До слова, найвідоміший "комплекс" такого типу - Gator - нібито допомагає подорожувати по Мережі, а на практиці акумулює безліч персональної інформації й бог знає що з нею робить.

Також широко поширені шпигунські програми із сімейства Coolwebsearch, що використовують уразливість в IE. Софт із цієї серії видає рекламні оголошення, переписує результати пошуку в Мережі й порушує зв'язок комп'ютера з DNS-системою. Згідно з дослідженням Webroot, по інтернету гуляє 107 представників сімейства Coolwebsearch, яких можна знайти на 8,2% перевірених комп'ютерів (друге місце зайняв Gator з 2,2%).

Інший spyware-продукт по імені Dyfuca (він же Internet Optimizer) при виводі браузером повідомлення про помилку переадресує користувача на рекламну сторінку. Крім того, Dyfuca унеможливлює доступ до сайтів, захищених паролями, тому що в цьому випадку браузер використовує аналогічний механізм. Програма 180 Solutions (третя по поширеності - 2%) передає рекламодавцям інформацію про сайти, відвідувані користувачами, а також виводить на екран pop-up-банери. Чимало турбот доставляють і невеликі програми сімейства Huntbar (інші назви - Wintools і Adware Websearch). Вони завантажуються на комп'ютер за допомогою ActiveХ із сайтів, контрольованих зловмисниками, або ж при натискуванні на pop-up-вікнах, що запускаються іншим spyware-софтом. Крім розміщення рекламних оголошень ці програми додають інструментальні панелі в IE і відслідковують маршрут веб-серфінгу.

Методи боротьби з spyware

Основою боротьби з spyware є гарний брандмауер із широким набором фільтрів. Він здатний запобігти ряду способів проникнення spyware-модуля на комп'ютер ( насамперед, через проломи в програмному забезпеченні), однак не зможе розпізнавати "шпигуна", що поселився на вінчестері раніше його. Крім того, якщо в настроюваннях дозволити браузеру (наприклад, IE) доступ у Мережу, то брандмауер виявиться неспроможним при запуску модуля через служби самого браузера (в IE найбільше часто для цього використовується Browser Helper Object).

Діючою зброєю в боротьбі з "шпигунами" є редактор реєстру. Як правило, spyware-програми прописуються в певних ключах, звідки їх можна легко вичистити. На основі БД, що містять визначення найпоширеніших шпигунських модулів, діє такий вид захисту, як spyware-сканери. Втім, відомі випадки, коли цей софт, знищуючи шкідливі програми, "зачіпав" цілком нейтральні й навіть потрібні dll-бібліотеки.

Безкоштовно (і безпечно) перевірити, чи є на вашому комп'ютері spyware, можна на деяких сайтах, приміром, тут. Тільки запасіться терпінням: сканування системи на P4 з гігабайтом ОЗУ й двома жорсткими дисками сумарним об'ємом 280 Гбайт зайняло більше двох годин.

Звичайно в комплекті зі сканером поставляється й spyware-монітор для відстеження спроб того або іншого модуля зареєструватися в певних реєстрових ключах. Однак антишпигунське ПЗ далеко не завжди видаляє всі файли-компонента spyware. Мало того, воно знищує навіть не всі програми. Справа в тому, що ряд spyware-виробників, у тому числі Claria і Whenu, подали до суду на розроблювачів антишпигунського ПЗ й зажадали виключити свої модулі зі списку небезпечних. Як не дивно, судова атака була успішною. Причому борці, що програли "шпигунам", не мають права навіть сповістити користувача про те, що на комп'ютері сидить spyware-модуль, який програма не може вилучити.

Ефективність антишпигунських продуктів може бути підтверджена сертифікатами, і дуже бажано, щоб обрана утиліта цю сертифікацію пройшла. Одним з найбільш відомих установ такого роду є центр West Coast Labs що видає сертифікат Spyware Checkmark за результатами багаторівневих випробувань програмних і апаратних комплексів на відповідність стандартам якості. Визначенням критеріїв якості й тестуванням займається незалежна іспитова лабораторія центру.

Є й ще один надійний спосіб запобігання від spyware: потрібно просто уникати "небезпечних зв'язків". Так, у дослідженні Pew Internet and American Life Project повідомляється, що американці міняють свої інтернет-звички й намагаються не заходити на сумнівні сайти. Від відвідування деяких ресурсів відмовилися 48% респондентів, перестали користуватися P2P-мережами 25%, а 18% змінили IE, що так полюбився spyware-розроблювачам на Mozilla Firefox. Правда, уже виявлений перший (і напевно не останній) шпигунський модуль для "лисички".

Юридичні аспекти

Розглядати законність spyware краще з позиції законодавства США, де специфічні явища інтернет-сфери одержали хоч якесь правове відображення. Та й більшість виробників шпигунського ПЗ базуються саме в цій країні. На перший погляд поширення програм класу spyware підпадає під спеціальний закон, відомий як Computer Fraud and Abuse Act, відповідно до якого здійснюється судове переслідування розроблювачів вірусів або хробаків. У законі недвозначно сказане, що одержання неправомочного доступу до комп'ютера ( у тому числі для "тихої" інсталяції софта) є злочином. Між тим далеко не всі процеси над представниками spyware-індустрії кінчаються їхнім осудом. Багато компаній, що спеціалізуються на шпигунському ПЗ, працюють цілком легально. Спеціальний же закон про spyware довгий час не міг бути написаний по тій простій причині, що до 2005 року не існувало чіткого визначення цьому поняттю. Нарешті, у 2006 році американський Конгрес прийняв відразу два відповідні законопроекти, і тепер за таємне поширення шпигунського ПЗ передбачене покарання у вигляді тюремного ув'язнення строком до двох років і грошового штрафу розміром до 3 млн. доларів.

Найбільш частою юридичною зачіпкою, що використовують spyware-компанії в якості аргументу захисту, є ліцензійна угода кінцевого користувача (End-User Licence Agreement, EULA). Як правило, люди, здобуваючи й установлюючи ПЗ класу shareware/freeware, не читають угоди. Одна із софтверних компаній одного разу написала в EULA свого чергового продукту про виплату великої суми кожному, що зателефонує по певному номеру, і гроші одержали тільки троє користувачів, а інші, очевидно, не стали читати сухий текст. От саме в EULA і прописується (звичайно цей момент завуальований юридичним жаргоном), що разом з основною програмою на комп'ютер буде інстальований той або інший шпигунський модуль. Успішним відображенням судових позовів за допомогою EULA уже "прославилася" spyware-компанія Claria (автор Gator). У згаданому вище інциденті з ігровими серверами Wow компанія Blizzard теж заявила, що користувачі добровільно погоджувалися на установку воротаря. До речі, є приклади, коли "шпигунські" фірми навіть переходили в контрнаступ, вносячи в EULA пункт про незаконність видалення одного разу встановленого spyware-модуля. Зрозуміло, ніякої відповідальності за видалення програми не було передбачено, однак такий нехитрий трюк дозволяв збільшити число "носіїв" шпигунського ПО серед законослухняних американських власників компютерів.


 

А также другие работы, которые могут Вас заинтересовать

62600. Налог на имущество организаций 290.92 KB
  Цель занятия: ознакомление с нормативными документами исчисления налога изучение объекта налогообложения и особенностей определения налогооблагаемой базы учет налога на счетах предприятия приобретение навыков расчета налога заполнения соответствующих налоговых документов.
62602. Права дитини 115.98 KB
  Мета: сформувати в учнів уявлення про Декларація прав дитини з’ясувати обов’язки та права дітей; розвивати вміння висловлювати свою думку; виховувати почуття відповідальності за себе та за свої вчинки. Що ви очікуєте від сьогоднішнього уроку...