Шпигунські програми: ризик і відповідальність

Прокравшись на ваш комп'ютер, програми-шпигуни можуть стежити за його роботою, красти дані і передавати їх стороннім особам. Як вони працюють, і як з ними боротися?
Шпигунським програмним забезпеченням (Spyware) називають програми, які спостерігають за діями користувача і збирають про нього дані в інтересах сторонніх осіб. Судячи зі звітів, які користувачі надсилають в компанію Microsoft [1], це відносно нове явище - причина більш половини відмов операційної системи Windows. Вже на самому початку свого розвитку програми-шпигуни безпосередньо впливають на Internet-спільнота і всерйоз загрожують його безпеки.

ІТ-фахівці вживають термін Spyware для позначення різних програм. Майже всі його чули, але мало хто розуміє різницю між шпигунським (Spyware), рекламним (Adware), переманюють (Scumware) і іншими різновидами шкідливого програмного забезпечення. під врізки «Короткий термінологічний словник» наведені визначення найбільш поширених понять.
Заходи протидії шкідливим програмам також виходять з зародковій стадії. Підприємствам і індивідуальним користувачам вже є з чого вибирати. У міру свого розвитку кошти нападу і захисту стають все більш витонченими, і однією з головних проблем виявляється відставання в часі між появою нової загрози і виробленням контрзаходів проти неї.
Швидкий розвиток програм-шпигунів обумовлено можливістю отримання прибутку. Однак і контрзаходи проти нього, як з'ясувалося, теж можуть приносити прибуток і незабаром стануть розвиватися ще швидше. Це допоможе ліквідувати згадане відставання за умови гарної обізнаності фахівців про принципи роботи програм-шпигунів.

Програми-шпигуни

Ступінь впливу від програм-шпигунів може змінюватися від помірної до катастрофічної. На найнижчому рівні втручання (на кшталт застосування cookie для того, щоб входити на знайомі Web-сайти без повторного введення свого імені і пароля) ризик мінімальний. Проте деякі користувачі, особливо піклуються про збереження секретності, не сприймають і можливості ризику, тому не допускають використання навіть найпростіших файлів cookie. Другий і третій рівні стороннього втручання - зовсім інша справа: корпоративним і індивідуальним користувачам може бути завдано серйозної шкоди.

Перший рівень: прості cookie

Базовий метод розпізнавання користувачів на Web-сайті заснований на ідентифікації по файлу cookie, які можуть застосовуватися до цього сайту. Така ідентифікація дозволяє впізнавати користувача, що повертається на сайт, і пов'язувати з ним дані, які він ввів раніше. Зазвичай це зручно для споживача, який свідомо погоджується надати сайту відомості про себе, розглядаючи пов'язаний з такими діями ризик як незначний. Ця корисна функція дозволяє негайно забезпечити індивідуальне обслуговування, подібно до того, як роблять продавці книг або авіакомпанії.

Проста ідентифікація на основі cookie рідко розглядається як різновид шпигунства. Однак дехто вважає її такою через можливість розпізнавання користувача і зберігання на сайті пов'язаних з ним даних.

Другий рівень: асоційовані cookie

Багато хто вважає, що справжній шпигунство починається з застосування асоційованих cookie, які сильно підвищують ступінь ризику для користувача і його схильність стороннім впливам. Асоційовані cookie ідентифікують споживача при відвідуванні ним будь-якого сайту, що входить в певну групу. Ці файли стежать за його діяльністю і зберігають дані, зібрані в ході взаємодії з кожним з сайтів-учасників.

Рекламні агентства укладають з сайтами-співучасниками угоди про розміщення посилань на шпигунські сервери, які можуть являти собою звичайні картинки або навіть зовсім непомітні зображення розміром в один піксель. Ці посилання змушують браузер користувача звертатися до шпигунського сервера, який, в свою чергу, намагається виявити на комп'ютері користувача певний cookie. Якщо такого знайти не вдається, створюється новий файл, який містить глобальний унікальний ідентифікатор GUID, який дозволяє розпізнавати користувача при відвідуванні ним будь-якого сайту-співучасника. На малюнку показаний процес обміну даними між комп'ютером споживача, шпигунським сервером і сайтом-співучасником.

GUID однозначно ідентифікує користувача, і шпигунський сервер пов'язує з ним всю відповідну інформацію. Він відстежує дії користувача і фіксує будь-яку інформацію, якою той обмінюється з сайтом-співучасником. Якщо споживач вводить свої ім'я, обліковий запис, пароль або будь-які інші відомості, шпигунський сервер може зберегти їх, зв'язавши з ідентифікатором GUID. У разі проведення пошуку або здійснення покупки шпигунський сервер може зберегти цю транзакцію в своїй базі даних. Мета зазвичай складається в зборі таких відомостей, як прізвища, адреси електронної пошти, географічні або демографічні дані, які можуть стати в нагоді для адресної реклами. Іноді збирають і інші дані, наприклад інформацію про кредитні картки, імена і паролі облікових записів.

Проблема полягає в тому, що користувачі не бачать цих даних, не мають до них доступу, не можуть ними керувати і зазвичай навіть не уявляють собі всього процесу. Рекламне ж агентство повністю контролює поширення призначених для користувача даних. Хоча асоційовані cookie не можуть звертатися до системи споживача або викликати інші додатки, вони здатні без відома господаря ПК реєструвати і використовувати всі дані про його діях і натиснення клавіш на сайтах-співучасників. Погодьтеся, неабияка загроза.

При всій повазі до законослухняних рекламодавцям, немає виправдання їх прагненню до реєстрації конфіденційних даних. Не може не викликати занепокоєння той факт, що компанії не несуть жодних зобов'язань щодо інформування користувачів про обробку і розподіл цих даних.

Третій рівень: програми-шпигуни

Третій рівень програм-шпигунів побудований на базі додатків і може виявитися повністю ворожим для систем і користувачів. Основна проблема полягає в тому, що користувачі не можуть обмежити свободу дії шпигунських програм. Запускаючись при кожному завантаженні операційної системи, такі програми можуть встановити над нею повний контроль, вимагати від неї будь-які дані і передати їх зовнішньому одержувачу.

Рекламодавці також застосовують шпигунські програми для збору відомостей про користувачів, при цьому їм не доводиться чекати, поки користувач поділиться даними з сайтом-співучасником. Програма-шпигун може відкрити канал зв'язку для отримання оновлень, встановлення нових програм або демонстрації рекламних оголошень. Правоохоронні органи використовують подібні програми для розслідувань, а хакери - для вторгнення в чужі системи.

Кожен може шпигувати за кожним, купивши одну з багатьох комерційних різновидів шпигунських програм. Доступні всі натискання клавіш, всі дані і всі додатки. Очевидно, що програми-шпигуни дають найбільші можливості для зловживань.

Впровадження програми-шпигуна

За своїм звичкам програми-шпигуни не йдуть ні в яке порівняння з cookie. Для їх таємного проникнення в систему користувача існують три основні способи, з яких найбільш шкідливим є третій.

Верхи на корисному додатку

Перший спосіб полягає в тому, щоб прикріпити програму-шпигун до корисного додатка, яке завантажує користувач. Вона завантажується разом з цим додатком, і її дії залишаються прихованими. Шпигунське програмне забезпечення може бути окремим виконуваним файлом або входити до складу динамічних бібліотек DLL, до яких звертається основну програму. Активуючи, програма-шпигун самостійно налаштовується таким чином, щоб потім працювати без відома користувача.

Цікаво, що в ліцензійній угоді кінцевого користувача часто і не ховається наявність програм-шпигунів. Ця угода зазвичай буває довгим і виснажливим для читання, навмисно складається так, щоб в ньому важко було розібратися. Воно може включати в себе неявне згадка про програми-шпигуни чи посилатися на іншу угоду, яке містить опис такого програмного забезпечення. Деякі компанії, що використовують подібні засоби, взагалі не потрудилися згадати про це в своїх угодах. Часто люди приймають угоду, не усвідомлюючи всіх пов'язаних з ним ризиків, що може стати для окремого користувача додатковим джерелом неспокою, а на корпоративному рівні просто неприпустимо.

Популярність програм обміну файлами привела до того, що їх завантаження стала звичною справою. Вона ж зробила їх прекрасними транспортними засобами для програм-шпигунів. Наприклад, портал CNET більше двох років тому почав пропонувати умовно-безкоштовні версії кількох популярних програм обміну файлами, що містять «шпигунські» компоненти. У той час до них ставилися Kazaa, Morpheus, BearShare, LimeWire і Grokster. Користувачі завантажили з CNET понад чверть мільйона копій умовно-безкоштовних програм, і частина з яких несла на собі додаткову шкідливу навантаження [2]. Можна знайти і багато інших джерел подібного програмного забезпечення. Це дозволяє зробити висновок, що зараз значна частина призначених для користувача комп'ютерів заражена програмами-шпигунами.

установка утиліти

Другий спосіб полягає в пропозиції самою програмою-шпигуном різного роду послуг, наприклад збереження і відновлення паролів, облікових записів, адрес і номерів телефонів. Вона може розширити можливості поштових програм оформлення повідомлень або запропонувати нову форму панелі інструментів. А до того ж шпигунська утиліта встановить додаткове програмне забезпечення, яке з повною свободою зможе працювати в вашій системі. Як і при першому способі, користувач отримує доступ до додатка, яке здатне робити дії, що залишаються за межами його розуміння. У ряді випадків, але далеко не завжди, це відбивається в ліцензійній угоді, яке користувач приймає при інсталяції.

Виконання Java або ActiveX

Використання Web-додатків на базі Java або ActiveX - третій спосіб транспортування шкідливих програм. Після активації аплет Java або код ActiveX може завантажити і викликати програму-шпигун. Попередні способи дозволяють досягти того ж результату, але в даному випадку всі дії відбуваються повністю без відома користувача.

Ця агресивна форма інсталяції на кшталт методам хакерів, і її використання, як і діяльність останніх, має вважатися незаконним.

комбіновані способи

При установці програм-шпигунів без дозволу користувача можуть комбінуватися відразу кілька методів експлуатації вразливостей в додатках. Наприклад, в минулому році шляхом поштової розсилки користувачі отримали програму SurferBar (також відому під назвами surfrbar і Junksurf). Лист в форматі HTML містило приховане посилання на сайт, який «закидав» виконувану програму на диск C, а потім використовував уразливість в браузері Internet Explorer для автоматичного виконання сценарію Visual Basic. Ця мерзенна програма додавала до системи кілька файлів і починала кожні 10 секунд оновлювати розділи реєстру, стартову сторінку і посилання в Internet Explorer. Видалити її середньому користувачеві було не під силу. Програма додавала безліч посилань на сайти, присвячені порнографії і азартних ігор, що призводило до ефекту типу «відмова в обслуговуванні». Браузер, перевантажений величезною кількістю посилань, просто переставав працювати.

SurferBar була різновидом рекламного програмного забезпечення, але могла б з успіхом доставляти на комп'ютери користувача і приховані шпигунські програми. Більшість з отримали її могли ніколи не дізнатися про зараження своїх комп'ютерів. У майбутньому слід очікувати прогресуючого розвитку різних форм шкідливих програм. Рухомий жаданням наживи, це процес не зупиниться сам собою. Програми-шпигуни будуть продовжувати розповзатися і знаходити все більш витончені способи збору особистої інформації. Індивідуальні та корпоративні користувачі повинні розробити ефективні стратегії боротьби як з сьогоднішніми загрозами, так і тими, які з'являться в майбутньому.

Ознаки програм-шпигунів

Очевидно, що жертвою програми-шпигуна може стати будь-яка система, підключена до Internet і використовує браузер або електронну пошту. Ознаки зараження бувають видно неозброєним оком або приховані від спостереження - в залежності від того, з якою формою шпигунського програмного забезпечення ви зіткнулися. Проте є кілька простих симптомів, які не повинні вислизати від вашої уваги. Існують і різні інструменти, що допомагають виявити шпигунські програми.

До ознак присутності програми-шпигуна можна віднести незрозумілу активність жорсткого диска, підвищену завантаження центрального процесора, програмні конфлікти, яких раніше не спостерігалося, повільний відгук або відмова системи. На жаль, ті ж самі ознаки можуть бути викликані іншими проблемами, і зробити на їх підставі певні висновки не так-то просто.

Як правило, слід з підозрою ставитися до надмірного кількості спаму і спливаючих рекламних вікон: їх причиною може бути програма-шпигун. Крім того, якщо ваш браузер відкриває Web-сайти, до яких ви напевне не зверталися, додає нові посилання і параметри настройки, то цілком можливо, що винна в цьому програма-шпигун. Кращий спосіб її виявити і видалити полягає у використанні спеціальних інструментів.

Боротьба з програмами-шпигунами

Є кілька чудових пакетів для боротьби з програмами-шпигунами. В першу чергу слід згадати Spybot - Search & Destroy ( www.safer-networking.org ), Ad-Aware ( www.lavasoftusa.com/software/adaware ) І Pest Patrol ( www.pestpatrol.com ). Ці пакети здатні виявити більшу частину програм-шпигунів. Доступні безкоштовні, умовно-безкоштовні і пробні версії. На Web-сайті Microsoft є спеціальний розділ, присвячений засобам боротьби зі «шпигунами» ( www.microsoft.com/mscorp/twc/privacy/ spyware.mspx ).

За запитом spyware до будь-якої з пошукових машин Internet ви знайдете докладну інформацію про нові додатках. Однак, слід проявляти обережність: деякі постачальники програм-шпигунів маскують їх під корисні інструментальні засоби. В ході пошуку корисно ознайомитися з посиланнями і оглядами, наведеними в незалежних джерелах.

Продукти для протидії шпигунською включають в себе засоби виявлення і видалення, а деякі з них пропонують різні форми резидентного захисту. Активним користувачам настійно рекомендується періодично сканувати свої ПК, щоб виявляти ступінь їх зараженості, а потім видаляти те, що здається недоречним. Кожен з протидіючих продуктів пропонує опис виявлених елементів (файлів cookie або виконуваних програм) і дозволяє вибрати ті з них, які слід видалити.

Користувач звертається до Web-сторінці сайту-співучасника, який дозволяє асоційованим файлом cookie зберігати інформацію про користувача на шпигунському сервері. Видима сторінка завантажується з сайту-співучасника, але містить посилання на шпигунський сервер, який відправляє на комп'ютер користувача cookie з ідентифікатором GUID і зберігає всі дані про користувача, отримані від сайту-співучасника.

Засоби боротьби з програмами-шпигунами удосконалюються з кожним днем. Сьогодні багато антивірусні продукти мають функції виявлення і видалення програм-шпигунів. Надалі, безсумнівно, з'являться ще більше антивірусів з подібними функціями. Компанія McAfee доповнила свою антивірусну лінійку контрзаходами проти програм-шпигунів і має намір оснастити власні продукти повним набором функцій для боротьби з ним. Старший менеджер McAfee Брайсон Гордон говорить: «Ми отримуємо повідомлення про багатьох випадках виявлення шпигунського програмного забезпечення, які свідчать про його значне поширення. У серпні 2003 року наш продукт виявив 1,5 млн таких випадків, а в березні 2004 - вже 14,3 млн ». Ці цифри свідчать, що в міру поширення програм-шпигунів ростуть і можливості їх виявлення.

Оскільки виявлення і видалення програм-шпигунів є новий напрям, слід ретельно вивчити можливості конкретних продуктів. Наприклад, вони по-різному обробляють шпигунське і рекламне програмне забезпечення, не завжди мають у своєму розпорядженні можливостями його видалення. Якщо вас турбують реєстратори (програми і апаратні пристрої, які фіксують різного роду інформацію), переконайтеся, що розглянутий продукт здатний їх виявити.

Індустрія комп'ютерної безпеки давно оцініла багаторівневу архітектуру захисту, яка Найкраще справляється з програмами-шпигуни та іншім зловміснім кодом. Персональні мережеві екрани тепер захіщають від Загроза більш вміло, чем Ранее. Деякі з них включають в себе евристичні функції, які можуть блокувати зловмисний код перш, ніж він досягне вашої системи. Особливу увагу звертайте на можливість фільтрації вхідного і вихідного трафіку по IP-адресами, адресами URL, портам, протоколам, додатків і рядках сигнатур. Продукт повинен легко налаштовуватися, щоб швидко реагувати на виникаючі загрози.

Потужний мережевий екран в поєднанні з контрзаходами проти програм-шпигунів надійно захистить вашу систему, причому без надмірного споживання системних ресурсів. Якщо ви віддаєте перевагу, щоб всі ваші вимоги до боротьби з програмами-шпигунами «покривалися» єдиним антивірусним продуктом, пам'ятайте, що такі функції все ще знаходяться в стадії розробки. Найсерйознішу захист забезпечують спеціалізовані продукти, але ситуація може змінитися в найближчому майбутньому.

Законодавство

Не дивно, що сьогодні не існує законів, які б перешкоджали використанню шпигунського програмного забезпечення, адже і при появі перших вірусів і комп'ютерних зломщиків теж не було відповідних законів. У березні 2004 штат Юта (США) прийняв акт, покликаний контролювати поширення шпигунського програмного забезпечення [4]. Як і слід було очікувати, розповсюджувачі програм-шпигунів висловили свої заперечення, але цікаво, що багато хто з лідерів комп'ютерної галузі також протестували проти прийняття цього акту. Поки незрозуміло, наскільки велика буде його ефективність, але увагу до проблеми він, безумовно, привернув. У червні 2004 року противники акту домоглися рішення суду про тимчасове припинення його дії.

Американський сенат розглядає закон проти поширення шпигунського програмного забезпечення [5]. Палата представників Конгресу США також розробляє аналогічні законодавчі акти [6]. Потенційний вплив такого законодавства величезне; наскільки ж точно позначаться вимоги життя в остаточних текстах, і наскільки легко буде контролювати дотримання цих законів, поки невідомо. Оскільки комітети Конгресу також діють в цьому напрямку, дуже можливо, що деякі із законопроектів перетворяться в закони.

У Microsoft запропонували зовсім іншу стратегію. Згідно з нею галузь надає поліпшені інструментальні засоби і уникає прийняття законів, які можуть неадекватно припинити поширення «вводить в оману програмного забезпечення (deceptive software)». Microsoft продовжує нарощувати можливості браузера Internet Explorer для боротьби з програмами-шпигунами, а на Web-сайті корпорації з'явився спеціальний розділ, присвячений засобам і методам боротьби з подібними програмами.

Узаконити високотехнологічний шпигунство буде дуже непросто, і чекає довгий шлях в пошуках рішень. Цілком можливо накладення розумних обмежень на дії і поведінку шпигунських програм, особливо якщо комп'ютерна галузь і законодавчі органи будуть працювати разом. Проблема легалізації шпигунського програмного забезпечення полягає в тому, що воно вигідно безлічі підприємств. Надзвичайно вигідною, наприклад, є адресна доставка спаму. Як наслідок, будь-яке законодавство, що обмежує або усуває можливість отримання цього прибутку, зіткнеться з інтенсивним лобіюванням. Буде дуже цікаво спостерігати за тим, як розвиваються події в битві між прагненням захистити приватне життя і жагою наживи. А поки індивідуальні користувачі повинні бути в курсі подій і вживати активні дії для захисту своїх систем і своєї конфіденційності.

Найбільш обізнані комп'ютерні користувачі, ймовірно, погодяться з тим, що необхідно обмежити типи даних, які програма-шпигун може легально збирати або зберігати без явного дозволу. Серед можливих обмежень - заборона на перехоплення паролів, натискань клавіш і інформації з кредитної картки. Почавши з цих простих речей, можна поступово ввести необхідний правовий контроль над проявами шпигунського програмного забезпечення. В кінцевому рахунку, користувач сам повинен нести відповідальність за програми, які виконуються на його машині. Тим, хто залишається в блаженному невіданні, доведеться мати справу з різноманітними «побічними ефектами».

За допомогою сучасних інструментів вдається запобігати проблемам, пов'язані з програмами-шпигунами, за рахунок мінімуму зусиль. Будемо сподіватися, що в недалекому майбутньому інструментальні засоби дозволять повністю автоматизувати рішення цього завдання.

література

Battling? Spyware ?: Debate Intensifies on Controlling Deceptive Programs, Microsoft, 20 April 2004.
John Borland. File-sharing programs carry Trojan horse; news.com.com/2100-1023-801599.html?legacy=cnet .
Keith Furman. Microsoft presents anti-spyware strategy; www.itnews.com.au/newsstory.aspx?CIaNID=14817 .
Utah state legislature. Spyware regulation; www.le.state.ut.us/~2004/bills/hbillenr/hb0323.htm .
Burns introduces spyware bill; burns.senate.gov/index.cfm?FuseAction=PressReleases.View& PressRelease_id = тисяча сімдесят сім .
Center for Democracy and Technology. Spyware; www.cdt.org/privacy/spyware/ .