Szczęśliwi ci, którzy nie poznali problemu oprogramowania szpiegującego. Ci zaś, którzy już się z nim zetknęli, biją na alarm. Problem spyware jest znacznie poważniejszy niż wirusy czy spam, a jednak wciąż jest bagatelizowany.

W czasach, gdy na styku sieci firmowej z sieciami publicznymi instaluje się tuziny zabezpieczeń, złodzieje informacji szukają nowych sposobów na prowadzenie swojego procederu. Do wirusów i koni trojańskich w szalonym tempie dołączyły ostatnio programy szpiegujące (spyware). Ich działanie polega na wyszukiwaniu danych określonego rodzaju lub zgoła podsłuchiwaniu danych wprowadzanych przez użytkownika z klawiatury, np. hasła bankowe, a następnie wysyłaniu ich przez Internet do "bezpiecznego" miejsca składowania.

Niestety, świadomość tego problemu jest bardzo niska. Zarządy dostrzegają zagrożenie wynikające z włamań i wirusów. O oprogramowaniu szpiegującym, głównie z racji tego, że brak jest widocznych efektów jego działania, zazwyczaj nie wiedzą. Jeśli już, są skłonni uważać je za problem marginalny, gdy tymczasem zagrożenie jest realne - tu i teraz. Programy podsłuchujące działają praktycznie prawie w każdej firmie, starając się wychwycić dane istotne dla ich autorów. Szczególne zagrożenie dotyczy stacji roboczych z systemem Windows, dlatego na nich skupię się w dalszej części artykułu.

Skąd się biorą szpiedzy

Oprogramowanie szpiegujące, podobnie jak wirusy i robaki, instaluje się bez wiedzy użytkownika. Próżno szukać go w spisie zainstalowanych aplikacji. Działa bardzo dyskretnie - jeśli pojawia się w spisie uruchomionych procesów, to pod nazwą niebudzącą skojarzeń, a najczęściej wcale. Ponieważ program szpiegujący nie ma interfejsu użytkownika, jego rozmiary są niewielkie - na tyle, że niespostrzeżenie można je pobrać i zainstalować, wykorzystując liczne, jak pokazuje historia, luki w zabezpieczeniach przeglądarki Microsoft Internet Explorer.

Należy wiedzieć, że użytkownik wcale nie musiał świadomie odwiedzać witryn stanowiących zagrożenie - bardzo często zrobiła to za niego przeglądarka. Wiele stron o charakterze czysto informacyjnym zawiera skrypty przekierowujące przeglądarkę na strony pornograficzne lub wyświetlające łącza do nich w samoczynnie otwierających się okienkach (pop-up). Historia odwiedzin w przeglądarce Internet Explorer wcale nie jest dowodem na rzeczywistą aktywność użytkownika. To samo dotyczy zresztą raportów z serwera proxy.

Oprócz świadomego lub nieświadomego przeglądania stron WWW przy użyciu "dziurawej" przeglądarki, użytkownik może zainstalować program szpiegujący, gdy korzysta z oprogramowania peer-to-peer, takiego jak KaZaa. Sieci peer-to-peer są bogatym źródłem wirusów i innego "trefnego" oprogramowania, dlatego należy koniecznie zablokować możliwość instalacji takich programów na stacjach roboczych.

Źródłem programów szpiegujących są różne użyteczne narzędzia, np. BurnForFree, dostępne bez jakichkolwiek opłat. Należy bardzo uważnie czytać umowę licencyjną przed instalacją każdego oprogramowania. Jeśli program jest naprawdę darmowy wraz z dostępnym kodem źródłowym, zwykle nie zawiera funkcji szpiegujących. Gdy natomiast producent pisze o "informowaniu o aktywności" albo "odwiedzanych stronach", czy też o "wysyłaniu niewielkiej porcji informacji", można być niemal pewnym, że oprócz podstawowej funkcjonalności program robi "coś jeszcze".

Bardzo podejrzane są programy wyświetlające reklamy (ad-ware). Pod pozorem przesyłania do producenta informacji o odwiedzanych stronach, na co ktoś przecież mógł się zgodzić w zamian za darmową funkcjonalność, programy te mogą przesyłać inne, ważniejsze informacje. Generalnie programy open source (z dostępnym kodem źródłowym) są znacznie bezpieczniejsze od nieznanych produktów komercyjnych.

Nowym, na razie jeszcze rzadkim, ale potencjalnie bardzo niebezpiecznym sposobem na śledzenie działań użytkownika komputera jest umieszczenie programu szpiegującego w... sterownikach urządzeń, które są uruchamiane wraz z systemem operacyjnym lub dołączanym do niego oprogramowaniu narzędziowym/konfiguracyjnym. Ten typ spyware jest szczególnie niebezpieczny, ponieważ sterowniki pracują na uprawnieniach systemowych.

Oto przykład. Kupując klawiaturę firmy Superkey Pro, otrzymuje się firmową płytę CD zawierającą sterowniki uaktywniające dodatkowe klawisze służące do wygodnego uruchomiania przeglądarki, poczty elektronicznej, odtwarzacza CD itp. Płyta CD jest fabrycznie tłoczona, tymczasem wraz ze sterownikiem instaluje się program, który zbiera informacje od sterownika (przypuszczalnie o naciskanych klawiszach) oraz z systemu (o odwiedzanych stronach WWW, danych wpisywanych do formularzy) i wysyła je na określony adres IP. Podobne zjawisko spostrzegli jakiś czas temu posiadacze kart dźwiękowych zgodnych z SoundBlaster Live.

Całkiem prawdopodobne, że takie "kwiatki" nie zostaną wykryte przez standardowo skonfigurowaną zaporę na stacji roboczej. Wystarczy, że program szpiegujący posłuży się mechanizmami systemu Windows albo programami, których komunikacja nie jest blokowana. Dodatkową zaletą tak skonstruowanych programów jest to, że ich działalność nie zostawia żadnych istotnych śladów w systemie operacyjnym - instalacja jest normalną czynnością administracyjną i zazwyczaj nie budzi niczyich podejrzeń. Dopóki sterownik nie wchodzi w konflikt z innymi sterownikami lub ustawieniami systemu, dopóty jego "dodatkowa" działalność prawie na pewno pozostanie niezauważona.

Pewną formą ochrony przed programami szpiegowskimi wykorzystującymi sterowniki jest posługiwanie się sterownikami certyfikowanymi przez producenta systemu operacyjnego. Każdy administrator wie jednak, że nie zawsze jest to możliwe, czy to ze względu na konflikty, czy też dlatego że wiele sterowników po prostu nie posiada certyfikatu. Administrator musi komuś zaufać i jeśli sterownik jest dostarczany przez producenta, nie ma powodu, by być podejrzliwym. Do sterowników bez certyfikatów trzeba chyba zacząć podchodzić z dużą rezerwą, zaś oprogramowanie dodatkowe wszechstronnie sprawdzać.