Programy wywiadowcze (spyware) mogą szkodzić naszym firmowym systemom informatycznym w dużo większym stopniu niż spam czy wirusy.

Szkodliwość spamu polega głównie na konsumpcji pasma i wpływie na wydajność pracowników (tracących czas na usuwanie go ze skrzynek pocztowych). Z kolei wirusy mogą niszczyć pliki, wyświetlać niepotrzebne informacje na monitorze, a także wykorzystywać książkę adresową do rozprzestrzeniania się pocztą elektroniczną.

Spyware mogą natomiast potajemnie rejestrować znaki wprowadzane z klawiatury, penetrować pliki w poszukiwaniu haseł lub danych o kartach kredytowych - co może w istotny sposób podważać zaufanie do transakcji przeprowadzanych online, a także zaśmiecać ekrany wyskakującymi okienkami i spowolniać pracę komputera.

Przedstawiamy omówienie testów produktów antyspyware pochodzących od 13 dostawców. Najważniejszym kryterium testów była skuteczność identyfikacji i usuwania programów wywiadowczych (na desktopie lub - prewencyjnie - na bramie). Zwracano też uwagę na użyteczność raportów, punktualność alarmów oraz łatwość implementacji i użytkowania. Głównym celem była ocena skuteczności ochrony sieci przed użytkownikami korzystającymi zbyt beztrosko z Internetu i sprowadzającymi niesprawdzone oprogramowanie na firmowe desktopy.

Oddzielne wyróżnienia przyznano rozwiązaniu bramowemu i typu klient/serwer. W kategorii bram wyróżniono Secure Web Gateway firmy McAfee. Podczas testów brama ta wyłapała 90% spyware. Rozwiązanie McAfee charakteryzuje się też intuicyjnym interfejsem użytkownika. Wśród testowanych rozwiązań klient/serwer wyróżniono Omniquad AntiSpy Enterprise firmy Omniquad. Produkty te wykazały się wysokim procentem wykrytych spyware, łatwym w nawigowaniu interfejsem użytkownika oraz użytecznymi raportami.

Obrona na bramie

Zatrzymywanie spyware na poziomie bramy, w punkcie łączącym z Internetem, okazało się najlepszym sposobem ochrony indywidualnych serwerów i desktopów przed tego typu oprogramowaniem. Brama jest łatwiejsza w administrowaniu, a desktopy i serwery nie muszą wykonywać dodatkowych zadań związanych z wykrywaniem i usuwaniem spyware. Jeżeli brama potrafi odfiltrować każdy pojedynczy fragment spyware, a użytkownicy nie wnoszą do biur bezpłatnego oprogramowania, które może być instalowane bezpośrednio na desktopie, rozwiązanie bramowe jest idealnym rozwiązaniem kontrwywiadowczym.

Dwa z testowanych produktów - Spyware Interceptor firmy Blue Coat i Secure Web Gateway firmy McAfee - są urządzeniami sieciowymi, filtrującymi ruch z Internetu. Obie bramy instalowane są pomiędzy routerem internetowym a przełącznikiem lub hubem i filtrują spyware zanim osiągną desktopy lub serwery w sieci. Z kolei dwa programowe produkty: eSafe firmy Alladin i InterScan Anti-Spyware Suite firmy Trend Micro zamieniają w bramy komputery z podwójną kartą sieciową. Jedna karta sieciowa łączy z Internetem, a druga z siecią lokalną. Oprogramowanie filtruje ruch przepływający pomiędzy tymi adapterami.

Urządzenia McAfee zatrzymały podczas testów 90% spyware. Serwer standardu - 1U Dell Power Edge 1850 - z Windows, oprogramowaniem filtrującym antyspyware i narzędziami administrowania wykorzystującymi przeglądarkę jest jednym z produktów McAfee Secure Content Management Appliance 4.0. Secure Web Gateway zapewnia filtrowanie URL, obsługę protokołu ICAP (Internet Content Adaptation Protocol) i łatwy do nawigowania interfejs użytkownika. Może także wysyłać alarmy SNMP. Instalacja jest prosta: urządzenie podłącza się do routera i przełącznika oraz przydziela mu adres IP.

Brama Spyware Interceptor firmy Blue Coat przechwyciła 82% spyware. Jest to urządzenie standardu 1U zawierające logikę zatrzymywania spyware wbudowaną w mikroukład. Dostawca założył używanie tego urządzenia w sieciach nieprzekraczających 1000 użytkowników. Do przechwytywania spyware urządzenie wykorzystuje motor Blue Coat o nazwie Spyware Catching Object Protection Engine, analizujący i zatrzymujący wykryte w strumieniu danych szkodliwe programy. Motor bramowy blokuje URL znanych ośrodków spyware, połączenia wychodzące do ośrodków spyware (pochodzące od zainfekowanych klientów w sieci), sprowadzanie niezamówionych programów oraz znane pliki spyware. Ciekawostką jest to, że Spyware Interceptor dopuszcza dostęp do danych niewykonywalnych w ośrodkach spyware, co oznacza, że można oglądać ośrodek spyware bez obawy infekcji. Urządzenie nie obsługuje alarmów SNMP. Blue Coat dostarczył także kopię WinProxy Secure Site 6.0 - bramę programową, która blokuje spyware metodą antywirusową i mechanizmami filtrowania URL. WinProxy przeznaczona jest dla mniejszych sieci.

ESafe firmy Alladin zatrzymała podczas testów 88% spyware. W celu zidentyfikowania spyware sprawdza sygnatury cyfrowe dostawców ActiveX, wyszukuje próby wykorzystywania luk w ochronie, porównuje sygnatury form wykonywalnych ze znanymi wzorcami spyware, odnotowuje odniesienia do znanych ośrodków spyware (poprzez URL lub adres IP) i wykrywa podejmowane przez spyware próby komunikowania się z ośrodkami spyware. ESafe nie tylko zapobiega instalacji niezamówionego oprogramowania na komputerze PC, ale także zwraca uwagę administratora na pecety już zainfekowane, które przesyłają zwrotnie uzyskane potajemnie informacje do dostawców spyware. Wyczerpujący plik logu informuje o tym, które spyware zostały zablokowane, jaka technika spyware została użyta i z jakiego ośrodka webowego pochodzą. Interfejs użytkownika jest starannie zaprojektowany i integruje się z systemem zarządzania za pośrednictwem pozycji syslog i alarmów SNMP.

OfficeScan Anti-Spyware Suite i InterScan Anti-Spyware Suite z Trend Micro to uzupełniająca się para. InterScan funkcjonuje jako pierwsza linia obrony przed spyware - jest to oprogramowanie bramowe instalowane na komputerze PC z podwójnym interfejsem sieciowym, umiejscowione w punkcie połączenia z Internetem. Natomiast OfficeScan jest narzędziem antyspyware typu klient/serwer, pracującym na desktopach i serwerach, używającym scentralizowanej konsoli zarządzania, dostępnej z przeglądarki. Oba zestawy wykryły wspólnie 86% spyware podczas testów. Trend Micro używa do wykrywania spyware sygnatur plików.

InterScan składa się z dwóch komponentów: InterScan Web Security Suite i Trend Micro Damage Cleanup Service. Blokuje on spyware przychodzące ze znanych ośrodków spyware, transmisje wychodzące - inicjowane przez spyware, przeglądanie znanych ośrodków spyware oraz wykrywa zainfekowane przez spyware serwery i klienty. W celu szybkiego usunięcia zagrożeń InterScan przesyła do zainfekowanych maszyn oprogramowanie Damage Cleanup Services - automatycznie i bez instalowania stałych agentów. InterScan może wysyłać alarmy SNMP dotyczące takich zdarzeń, jak start lub zamknięcie usługi, uaktualnienie pliku sygnatur i blokowanie spyware. Natomiast OfficeScan może wysyłać alarmy SNMP za każdym razem, kiedy pojawi się próba zainstalowania spyware. Zarówno InterScan, jak i OfficeScan integrują się z routerami Cisco obsługującymi Network Admission Control.

OfficeScan zawiera komponent run-time pracujący na platformie Windows, który wykrywa i blokuje spyware na serwerach i klientach Windows. Firma dołącza także ServerProtect for Novell NetWare i ServerProtect for Linux, zapewniające blokowanie spyware na maszynach niepracujących pod Windows. Komponent Damage Cleanup Services usuwa większość elementów spyware na rezydujących klientach i unieszkodliwia spyware. Centralna konsola, wykorzystująca przeglądarkę, jest prosta w użyciu. InterScan i OfficeScan rejestrują istotne szczegóły o każdym wykrytym przypadku spyware i mogą prezentować te dane w różnorodnych, użytecznych raportach.