Agent szyty na miarę

Moduły spyware są zazwyczaj przeznaczone dla masowego odbiorcy - ten sam kod występuje na wielu komputerach, zatem analiza zarażeń i sposobów wykrywania infekcji nie będzie trudna. Niektóre firewalle posiadają wzorce ruchu generowanego przez popularne programy spyware i podnoszą alarm w przypadku wykrycia właśnie takich połączeń. Co innego, gdyby program szpiegowski został "skrojony na miarę" konkretnego zadania, np. szpiegowanie konkretnego przedsiębiorstwa.

Nie jest to jedynie domena powieści science fiction, ale zdarzenie, które właśnie miało już miejsce. 31 maja br. izraelskie służby specjalne we współpracy z policją odkryły grupę przestępczą zajmującą się szpiegowaniem wiodących firm (telewizja, operatorzy telekomunikacyjni, firmy handlowe zajmujące się samochodami i in.). Wykryte szpiegostwo przemysłowe uprawiane za pomocą spyware było zakrojone na bardzo szeroką skalę - policja uzyskała dostęp do tzw. punktów zrzutu. Były nimi serwery FTP, gdzie oprogramowanie szpiegowskie odkładało wykradzione dokumenty.

Według relacji wspomnianych służb, liczba zdobytych dokumentów była bardzo duża - wspomniano o dziesiątkach tysięcy plików "wydobytych" poprzez spyware z zarażonych komputerów. Ponieważ dokumenty biurowe zazwyczaj nie mają wielkiej objętości, ich przetransferowanie nie wymagało wiele czasu. Większe dokumenty były dzielone na części, by nie wzbudzać podejrzeń. Jeden z programów szpiegujących był na tyle zaawansowany, że wykorzystywał steganografię (osadzanie danych w plikach graficznych) do przekazywania części szczególnie ważnych danych.

Odkrycie tego procederu było trudne, a pomógł w nim, jak zwykle - przypadek. Izraelski autor Amnon Jacont odkrył, że rozdziały jego książki w nieznany sposób pojawiły się w Internecie, podczas gdy on był pewien, że nie powinny były opuścić komputera, gdzie zostały zapisane. To naprowadziło służby śledcze na trop oprogramowania szpiegującego.

Znacząca większość polskich firm nie posiada żadnego zabezpieczenia przeciw takim atakom. Większość używa Windows, nadal są w użyciu stare wersje (takie jak Windows 98 czy Millennium), pozbawione jakichkolwiek sensownych zabezpieczeń, oprócz może programów antywirusowych, zwykle zresztą tych darmowych. Nawet jeśli są, to stosunkowo nowe wersje systemu (2000/XP) rzadko kiedy są aktualizowane, zaś uprawnienia, na których pracują użytkownicy, są wysokie (nieraz wręcz prawa administratora). W większości firm nadal powszechnie używa się przeglądarki Internet Explorer, zaś do odbierania poczty elektronicznej służy dziurawy jak sito Outlook Express i niewiele odeń lepsze stare wersje Outlooka.

Instalacje oprogramowania kontrolującego stacje robocze i systemów IDS to nie powszechny standard, lecz coś, z czego firmy są dumne, mając świadomość, że są w mniejszości. Dobry, aktualizowany program antywirusowy jest niestety nadal rzadkością. Ruch do Internetu nie podlega restrykcjom, mało która firma posiada chociaż dobrze skonfigurowany firewall. W znaczącej większości firm nie blokuje się nieznanego ruchu, serwery proxy z autoryzacją oraz rejestracją podejrzanego ruchu to rzadkość. Właściwie skrojone oprogramowanie szpiegowskie może pobrać z takich firm niemal dowolne dokumenty, zainstalować się całkiem niezauważenie i działać prawie dowolnie długo.

Podglądani przez okna

Problem niechcianego oprogramowania został nareszcie zauważony przez producenta Windows. Według szacunków firmy Webroot opublikowanych w majowym raporcie State of Spyware, ponad 80% komputerów klasy PC jest zarażonych przez różne oprogramowanie klasyfikowane jako adware lub spyware. Wszystkie te przypadki dotyczą różnych wersji Microsoft Windows - problem spyware dotyczy niemal wyłącznie tej platformy. Do tej pory jedynym poważnym działaniem Microsoftu w tej dziedzinie jest wydanie narzędzia do usuwania złośliwego oprogramowania. Narzędzie to, choć przydatne, niewiele pomoże na plagę spyware instalującego się poprzez eksploitowanie błędów Internet Explorera.

Czasami można zastosować krótkoterminowe półśrodki, takie jak wymuszenie wpisania stron emitujących spyware do grupy Restricted Sites - jest nawet gotowy skrypt do tego celu:http://netfiles.uiuc.edu/ehowes/www/resource.htm#IESPYAD . Pewną poprawę można osiągnąć, korzystając umiejętnie z opcji Internet Explorer Maintenance w Active Directory. Administracyjne wyłączenie obsługi ActiveX poza firmowym intranetem, a także wyłączenie wszelkich dodatków i instalacji poprzez przeglądarkę wydaje się działaniem minimum.

Oprócz tego należy na firewallu odfiltrować wszelkie kontrolki ActiveX, a być może także wszelkie dodatki, takie jak JavaScript, choć w tym ostatnim przypadku jest to dosyć trudne do przeprowadzenia, ponieważ z JavaScript korzysta wiele użytecznych serwisów biznesowych. Z drugiej strony, członkowie zarządu mogliby pójść na ustępstwa, uświadamiając sobie, że ich komputery są na celowniku szpiegów bardziej niż inne - z racji pełnionych przez nich funkcji.

Wszystkie opisane wyżej działania mają charakter doraźny. Ofensywa twórców alternatywnych przeglądarek ma bardzo słuszne podstawy i skutki są już zauważalne w statystykach. Oczywiście inne przeglądarki, takie jak Firefox (i wykorzystujący część z jego kodu Netscape) oraz Opera, też zawierają błędy, niemniej są dużo "twardsze" niż Internet Explorer. Przyczyną jest m.in. to, że z nielicznymi wyjątkami nie wykorzystują ActiveX w ogóle.

Trzy czwarte szpiegów pobieranych z Internetu podlega instalacji właśnie poprzez eksploitowanie błędów Internet Explorera związanych z obsługą ActiveX, albo też poprzez instalację modułu ActiveX zatwierdzoną przez użytkownika. Pozostałe są "przywlekane" z różnymi "darmowymi" programami.