Agenci spoza listy

Wojna z "agenturą" wkracza w nowy etap.Tym razem skuteczny atak rozpoczęli twórcy oprogramowania szpiegującego.

Wojna z "agenturą" wkracza w nowy etap.Tym razem skuteczny atak rozpoczęli twórcy oprogramowania szpiegującego.

Uważni administratorzy dokonujący regularnego audytu systemów bezpieczeństwa zauważyli ostatnio dziwny fakt: niektóre programy przestały wykrywać i oznaczać jako spyware ewidentnie szpiegowskie biblioteki, choć jeszcze do niedawna to robiły. Dotyczy to np. programów firm: Aluria, Lavasoft oraz PestPatrol, które przestały informować o zarażeniu komputera szpiegami wyprodukowanymi przez firmy, takie jak Claria i WhenU. Oczywiście żaden z producentów narzędzi antyszpiegowskich nie wspomniał oficjalnie o tym fakcie w momencie instalacji czy aktualizacji, po prostu taki program jak Ad-Aware przestał informować użytkownika o zagrożeniu niechcianym dodatkiem. Na szczęście Lavasoft oferuje już na swojej stronie deinstalator dla WhenU.

Szpieg prawem chroniony

Producenci narzędzi do wykrywania modułów szpiegujących wprowadzili w życie coś, co nazwali oględnie usuwaniem z listy (delist). Przyczyną takiego, dość dziwnego, zachowania była petycja wystosowana przez firmy rozpowszechniające spyware. Listy te, doręczone producentom narzędzi antyszpiegowskich, żądały natychmiastowego usunięcia z ich produktów opcji wykrywania wspomnianych szpiegów, grożąc sankcjami prawnymi. Ze względu na nie do końca uregulowaną sytuację prawną oprogramowania szpiegowskiego (nazywanego zresztą dość niecelnie adware, czyli oprogramowaniem reklamowym), w niektórych krajach sankcje te mogłyby być skuteczne, zatem producenci wykrywaczy szpiegów ugięli się pod groźbami.

Od tej pory zarówno Aluria, PestPatrol, jak i popularny Ad-Aware firmy Lavasoft nie wykrywają obecności WhenU - oprogramowania najczęściej klasyfikowanego jako spyware. Jakby tego było mało, Aluria przystąpiła do nowej inicjatywy, powstałej przy współpracy producentów adware (i zapewne spyware) polegającej na certyfikacji Spyware SAFE Certification Program (SSCP).

Aluria niemal natychmiast przeszła więc od pozycji przeciwnika wszelkiej maści oprogramowania adware/spyware do partnerstwa z jego twórcami! Obecnie Aluria rozpowszechnia program Ucontrol firmy WhenU, którego zadaniem jest usuwanie innych programów szpiegujących. Oczywiście poprzednio klasyfikowane moduły WhenU, a także Claria przechodzą skanowanie bez żadnego alarmu - tak jakby ich nie było.

Program certyfikacji SSCP zakłada usuwanie z list oprogramowania adware, które np. nie wykorzystuje dziur w bezpieczeństwie w celu swojej instalacji lub pracy. Podobnie utrzymuje się zbiór pewnych reguł, których programy adware powinny się trzymać. Zakładają one odstąpienie od procederu śledzenia działania użytkownika, jawne informowanie użytkownika o swojej instalacji i funkcjonowaniu oraz umieszczenie jasnych instrukcji usuwania.

Krokodyl przebieraniec

Wielu administratorów takie deklaracje nie przekonują - i słusznie. Krokodyl (słynny Gator) zawsze zostanie krokodylem, nawet jeśli zmieni nazwę na bardziej przyjazną. Dopóki nie można przeprowadzić audytu kodu źródłowego, nie można do końca stwierdzić, co tak naprawdę dany program robi. Fakt usuwania z listy spyware modułów, które do niedawna były klasyfikowane jako spyware (i istnieją podstawy do stwierdzenia, że są nimi nadal), moim zdaniem dyskwalifikuje program wykrywający komputerowych szpiegów.

Obecnie moduły Claria oraz WhenU są prawidłowo wykrywane tylko przez niezależny Spybot Search and Destroy (choć jego skuteczność w innych przypadkach nie jest stuprocentowa) oraz niektóre programy antywirusowe z opcją antyszpiegowską. Jeśli ofensywa producentów spyware przybierze na sile, odnoszę wrażenie, że i ci producenci ugną się pod presją pieniędzy i gróźb sądowych. W amerykańskich sądach wiele spraw z pozoru niemożliwych do przeprowadzenia daje się wygrać.

Najważniejsze jest to, że jeśli program zostanie "usunięty z listy", użytkownik nie zostanie poinformowany o tym, że właśnie taki moduł działa i potencjalnie może go szpiegować. Co gorsza, już samo wykrycie niechcianego dodatku nie jest proste. Producenci spyware dokładają wielu starań, by przygotować swoje produkty, tak by były możliwie niewykrywalne.

Od dawna stosuje się instalację jako wbudowany składnik jakiegoś oprogramowania, cichą podmianę bibliotek DLL, instalację jako składnika systemu ładowanego za pomocą stosownego klucza w rejestrze, instalację jako serwis systemowy, dołączania do powłoki systemu (explorer.exe), korzystanie z folderu przywracania systemu Windows (system restore), instalację jako dodatku do programu Internet Explorer, a nawet jako usługi systemowej czy sterownika.

Programy antyszpiegowskie nigdy nie są wyposażone w szczegółowy opis tego co i jak badają, by wykryć dany moduł szpiegowski. Gdyby producent narzędzi antyszpiegowskich opublikował listę, twórcy szpiegów prawie natychmiast znaleźliby sposób napisania swoich produktów, tak by pozostały niewykrywalne.

Bezkrytyczna wiara w jedno narzędzie wykrywające spyware może się więc okazać brzemienna w skutkach. Między innymi dlatego większość praktyków zachęca do korzystania z kilku narzędzi do wykrywania spyware, bowiem prawdopodobieństwo wykrycia wzrasta ze wzrostem liczby używanych narzędzi - każde z nich działa trochę inaczej i (być może) dzięki różnorodności możliwe jest zapewnienie lepszego bezpieczeństwa.

Kto nie wierzy, jak trudne może być usuwanie śmieci przywleczonych przez nieuwagę użytkownika, złą konfigurację systemu i dziury w Internet Explorerze, niech zajrzy na stronę: http://www.spywareinfo.com/newsletter/archives/2005/june2.php . Opisano tam przykładowy proces usuwania spyware z zarażonego systemu. Pod adresem: http://www.spywareinfo.com/stuff/aawscanofcrap2.jpg jest zrzut ekranu przedstawiający efekt wykorzystania tylko jednego błędu przeglądarki Internet Explorer oraz nieuwagi użytkownika. Skutkiem było zainstalowanie jednej kontrolki ActiveX, która pobrała kolejne moduły.

Żarty się skończyły

Producenta Windows czeka bardzo trudne zadanie, bowiem problem wirusów oraz spyware jest jednym z bardzo ważnych argumentów przeciw utrzymywaniu w firmie systemów Windows. Są kraje, które dostosowują swoje prawo, tak by instytucje państwowe nie korzystały z oprogramowania Microsoftu w ogóle - przykładem są Brazylia oraz Chiny, choć tam liczą się argumenty finansowe. Podobne działania daje się zauważyć także w niektórych krajach członkowskich Unii Europejskiej. Inicjatywy zmierzające do obniżenia kosztów licencji Windows dla krajów rozwijających się czy też zwiększenia wydajności systemu, by mógł działać na mniej wydajnym sprzęcie, niewiele tu pomogą. Na dłuższą metę Microsoft musi zadbać o bezpieczeństwo swoich produktów, inaczej bowiem ryzykuje utratę części udziału w rynku.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200