Demaskowanie szpiegów

Prywatność danych i bezpieczeństwo sieci komputerowych przedsiębiorstw w coraz większym stopniu są narażone na wymyślne ataki, które wymykają się tradycyjnym zaporom sieciowym i są odporne na techniki antywirusowe. Najbardziej groźne, szybko rozwijające się techniki ataków przybierają formę spyware, czyli programów wywiadowczych.

Prywatność danych i bezpieczeństwo sieci komputerowych przedsiębiorstw w coraz większym stopniu są narażone na wymyślne ataki, które wymykają się tradycyjnym zaporom sieciowym i są odporne na techniki antywirusowe. Najbardziej groźne, szybko rozwijające się techniki ataków przybierają formę spyware, czyli programów wywiadowczych.

Spyware to oprogramowanie potajemnie instalowane w systemie, które może monitorować i rejestrować różne aspekty działania systemu, a następnie przesyłać te informacje napastnikom.

Obrona przed tego typu zagrożeniami wymaga zastosowania dedykowanych narzędzi usuwających "szpiegów" z komputerów w sieci. Narzędzia "kontrwywiadowcze" (anty-spyware) to programy adaptacyjne, wykorzystujące sygnatury spyware, skanujące systemy i wyszukujące oraz usuwające trojany, rejestratory klawiatur, dialery itp.

Pod wieloma względami narzędzia te działają podobnie jak w sieci. Używają modułów zlokalizowanych na klientach i serwerach oraz konsol administracyjnych. Ze względu na to, że spyware szybko zmieniają swoją postać, najważniejsze jest automatyczne uaktualnianie ich sygnatur. Uaktualnienia są pobierane z serwerów dostawców rozwiązań anty-spyware za pośrednictwem Internetu i przekazywane na stanowiska klienckie przy użyciu centralnego pulpitu sterującego.

Laboratoria badawcze dostawców narzędzi do usuwania spyware tworzą długie listy charakterystyk, które mówią użytkownikowi, jakie programy wywiadowcze mogą rezydować na jego maszynie, gdzie są zlokalizowane i co tam robią. Programy anty-spyware opierają się na tych charakterystykach i używają ich do usuwania pozycji w rejestrach Windows, indywidualnych plików i - w niektórych przypadkach - całych katalogów związanych ze spyware.

Programy wywiadowcze na ogół instalują formę wykonywalną i inne pliki w różnych miejscach systemu operacyjnego. Pliki te są nazywane śladami spyware (spyware traces). Usunięcie spyware bez właściwego narzędzia gubi te tropy. Co więcej, nieodpowiednie narzędzie anty-spyware po prostu usuwa wszystkie takie ślady, co może powstrzymać objawy, ale nie rozwiązuje źródła problemu.

W odróżnieniu od typowych wirusów, nie wszystkie spyware powinny być usuwane automatycznie. Dlatego też administrator powinien mieć możliwość definiowania profili użytkownika opartych na listach programów, które użytkownik wykorzystuje.

Dla przykładu: RemEye - aplikacja konsolowa, która instaluje serwer WinVNC - jest często wykorzystywana jako łatwy w użyciu instalator i może być doskonałym narzędziem administratora. Ponieważ jednak instaluje z domyślnym hasłem "abcd", to tworzy potencjalnego konia trojańskiego. Wiele elementów spyware jest także połączonych z legalnymi aplikacjami i potrzebuje ich do funkcjonowania.

Wymyślne narzędzia anty-spyware nie tylko wynajdują wszystkie pliki-ślady związane ze "szpiegiem", ale także oferują wyczerpującą bazę danych zawierającą szczegółowe opisy programów wywiadowczych, charakterystyki i poziom zagrożenia z ich strony. Aktualna baza danych jest istotnym elementem wspierania administratora w projektowaniu profili użytkownika pod kątem usuwania spyware.

Z chwilą, gdy profile użytkownika zostaną utworzone, usunięcie spyware jest procesem prostym. W typowym scenariuszu usuwania klient zainfekowany elementami spyware jest poddawany procesowi przeszukiwania, w którym aplikacja anty-spyware wyszukuje i poddaje kwarantannie (wyłącza z działania) - wykorzystując profil użytkownika - wszystkie elementy spyware. W tym momencie "szpieg" może być na stałe usunięty lub przeinstalowany.

Spyware zmieniają się czasami nawet w ciągu doby. Niektóre typy są zdolne do samoobrony i próbują usuwać narzędzia anty-spyware. Mogą one także zmieniać nazwy i przenosić się z jednego miejsca do drugiego.

W rezultacie strategia obrony przed tego typu zagrożeniami, która obowiązywała wczoraj, dzisiaj może nie zdać egzaminu. Taka szybka metamorfoza wymaga automatycznego systemu uaktualniania, jak również dedykowanych programów anty-spyware, które mają zdolność adaptacji w przypadku napotkania nowego wzorca programu wywiadowczego.

Pomimo wysiłków specjalistów od zabezpieczeń, spyware w środowiskach korporacyjnych stanowią poważne zagrożenie wydajności systemu i danych. Ochrona przed tego typu tworami programowymi może zwiększać bezpieczeństwo sieci i staje się niezbędnym elementem codziennej pracy systemu IT.


TOP 200