Kontrwywiad w sieci, czyli walka ze spyware

Programy wywiadowcze coraz częściej pojawiają się na desktopach w sieciach firmowych. Jak poważne jest to zagrożenie i jak można mu się przeciwstawiać?

Programy wywiadowcze coraz częściej pojawiają się na desktopach w sieciach firmowych. Jak poważne jest to zagrożenie i jak można mu się przeciwstawiać?

Programy wywiadowcze (spyware) są dużo bardziej niepożądane niż spam i mogą być poważniejszym problemem niż wiele wirusów komputerowych.

Wczesne wersje ograniczały się do sprowadzania i wyświetlania informacji o aktywności komputera i wykorzystywania jego zasobów. Teraz często zajmują się czymś więcej niż tylko monitorowaniem aktywności użytkownika w Internecie czy wtrącaniem nieoczekiwanych reklam. Podejmują próby przechwytywania haseł i informacji wprowadzanych do formularzy online. Uaktualniają się samodzielnie, zmieniają konfigurację systemu, sprowadzają i instalują dodatkowe oprogramowanie oraz ujawniają dane przechowywane na opanowanych komputerach czy też współdzielonych zasobach komputerowych w sieci.

Na razie niska jest jeszcze świadomość tych zagrożeń. Wielu administratorów sieci przyznaje, że znaczna cześć komputerów w ich sieciach została opanowana przez programy wywiadowcze, ale jednocześnie nie uważają tego za poważny problem. Także dostawcy środków ochrony dla przedsiębiorstw dopiero niedawno zaczęli uważać spyware za problem i zapewne dlatego najlepsze oprogramowanie do wykrywania i usuwania spyware ciągle pochodzi od relatywnie mało znanych dostawców oprogramowania. Taka sytuacja jest też pochodną tego, że spyware nie są tak dobrze rozpoznawane, jak inne zagrożenia bezpieczeństwa systemów komputerowych.

Spyware czy adware?

Kontrwywiad w sieci, czyli walka ze spyware

Najbardziej rozpowszechnione typy programów wywiadowczych

Problemy z określeniem, czym jest spyware utrudniają projektowanie rozwiązań i strategii radzących sobie z tym zagrożeniem. Odróżnienie klasy programów wywiadowczych od programów nieszkodliwych wciąż jest wyzwaniem.

Spyware definiowane jest na ogół jako oprogramowanie przeznaczone do skrytego infiltrowania komputerów desktopowych. Problemem jest zdefiniowanie atrybutów spyware mających odróżniać je od bardziej akceptowalnego oprogramowania prezentującego reklamy internetowe (adware).

Adware jest zazwyczaj świadomie instalowane przez użytkownika i jest to jawna aplikacja, wyraźnie zaznaczająca swoją obecność w komputerze poprzez reklamy. Prewencja może tu polegać na edukacji użytkowników i odpowiednim postępowaniu. Programy spyware natomiast zazwyczaj instalują się same, bez przyzwolenia użytkownika, wykorzystując luki w oprogramowaniu. Spyware jest więc aplikacją wywiadowczą pozostającą w ukryciu, co pozwala jej na zbieranie bez przeszkód informacji. Agresywne warianty spyware stanowią poważne zagrożenie, szczególnie dla firm dysponujących ważnymi informacjami.

Środki zaradcze

Kontrwywiad w sieci, czyli walka ze spyware

Pracując w tle, BHODemon pilnuje wprowadzane BHO i ostrzega przed dołączaniem ich do przeglądarki. Program jest dostępny pod adresem www.definitivesolutions.com

Jaką strategię powinien stosować administrator sieci przedsiębiorstwa w celu uwolnienia się od spyware i adware? Rozwiązanie problemu powinno dotyczyć polityki bezpieczeństwa i technologii.

Jedną z technologii wykorzystywanych przez spyware jest interfejs programowy Internet Explorer - Browser Helper Manager (BHO). Nie są to skrypty, lecz biblioteki DLL (Dynamic Link Library), które mają pełną kontrolę nad komputerem w czasie surfowania po Internecie. Właściwie wykorzystany BHO może np. przekierować Internet Explorer na przeglądarkę PDF. Szkodliwy BHO może jednak otworzyć drzwi, przez które napastnik może wyprowadzać dane korporacyjne, uczynić z komputera klienckiego nieświadomego uczestnika rozproszonego ataku DoS (DDoS) lub wprowadzać wyskakujące okienka reklamowe na ekran przeglądarki. Spyware mogą uaktualniać się same, a także instalować inne oprogramowanie.

Jak radzić sobie z tym problemem? Jednym z podejść jest po prostu zrezygnowanie z przeglądarki Internet Explorer. Większość adware i spyware pracuje jedynie na komputerach z systemem operacyjnym i przeglądarką Microsoftu. Niektórzy eksperci doradzają więc przejście np. na przeglądarkę Mozilla Firefox, aby uniknąć programów, które instalują się same, bez wiedzy i przyzwolenia użytkownika.

Innym jest bezpłatne narzędzie do wykrywania BHO - BHODemon. Nie usuwa ono BHO, ale pozwala na jego wyłączenie (a także ponowne włączenie, jeżeli zajdzie taka potrzeba). Daje także wskazówki odnośnie tego, czy dany BHO jest szkodliwy. Pracując w tle, BHODemon pilnuje wprowadzane BHO i ostrzega przed dołączaniem ich do przeglądarki. Nie ma on centralnej konsoli, co oznacza konieczność odwiedzenia każdego klienta w celu zainstalowania na nim tego programu. Program jest dostępny pod adresem www.definitivesolutions.com.

Z drugiej jednak strony znaczna część spyware wchodzi do sieci przedsiębiorstwa i na korporacyjne desktopy w rezultacie nieodpowiednich zachowań ich użytkowników. Odpowiednia polityka bezpieczeństwa powinna więc zapewniać, aby nie wykonywał on niebezpiecznych działań, takich jak instalowanie niewłaściwych programów na swoim desktopie czy uruchamianie aplikacji współdzielących pliki, które są zazwyczaj portem dla spyware. Dobra polityka zarządzania powinna zapobiegać samoinstalacji programów na komputerach bez wiedzy użytkowników - za pośrednictwem luk w systemie operacyjnym lub przeglądarce.

Zwykle w sieci firmowej są zaistalowane zapory ogniowe i systemy antywirusowe, ale brak im zazwyczaj ochrony na poziomie aplikacyjnym. Ściślej: brak ochrony kanału HTTP, używanego przez większość spyware, jako podstawowego trybu komunikacji. Zapory ogniowe tradycyjnie skupiają się na portach i protokołach, ale zazwyczaj nie mają wglądu w zawartość pakietów. Co więcej, próby poszerzenia skanowania antywirusowego na HTTP skończyły się niepowodzeniem ze względu na niezadowalającą wydajność i fałszywe rozpoznania.

Główni dostawcy systemów antywirusowych poszukują sposobów włączenia możliwości "kontrwywiadowczych" do swoich produktów, ale droga do w pełni zintegrowanej ochrony przed wirusami i spyware jest jeszcze daleka.

W większości zachowanie się wirusów podpada pod dobrze znane schematy. Przeważnie są one napisane w sposób prosty i zazwyczaj instalowane w dobrze znanych miejscach na komputerze. Na podstawie takiej wiedzy programy antywirusowe mogą wykrywać próby przesyłania ich przez sieć.

Programy wywiadowcze są zupełnie inne. Ponieważ pisane są często dla uzyskania korzyści finansowych, są bardziej wymyślne na etapie projektowania i implementowania. Są też trudne do usunięcia - używają zazwyczaj wielu punktów startowych i atrap, które pozwalają im na powtórne zainstalowanie się po ich pozornym usunięciu. Wiele z nich instaluje się we wspólnej lokalizacji, ale też znacząca ich część rozrzuca losowo swoje pliki w całym systemie.

Infekcje spyware mogą rozszerzać się na wiele różnych obszarów komputera, a co za tym idzie objawiać się w różnorodny sposób. Innymi słowy, infekcja pojedynczym programem wywiadowczym może mieć różne symptomy.

Z jednej strony dostawcy systemów antywirusowych starają się uzbroić swoje aplikacje w możliwość blokowania i usuwania spyware. Z drugiej, dostawcy oprogramowania kontrwywiadowczego dla przedsiębiorstw zapewniają dobre uzupełnienie aplikacji antywirusowych, oferując specjalizowaną i kompletną ochronę przed tymi zagrożeniami.

Uwaga szpieg - Xupiter (OrbiExplorer)

Xupiter wyzwala okienka pop-up, zmienia domyślną witrynę główną, kieruje przez błędne lub niekompletne adresy URL do stowarzyszonych ośrodków, a zlecenia wyszukiwania do nietypowych ośrodków wyszukiwań i dodaje swój link do listy ulubionych. Blokuje próby odtworzenia pierwotnych ustawień przeglądarki lub usunięcia go z Ulubionych.

Niekorzystny wpływ Xupiter przejawia się w Windows XP, uniemożliwiając czasami otwarcie na zainfekowanym komputerze katalogów, takich jak Mój komputer.

Xupiter instaluje się poprzez program paska narzędzi IE. Pasek narzędzi może być sprowadzony z witryny webowej, linkiem ze spamu reklamowego Free Christian Toolbar lub z wyskakującego okienka.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200