|
|
№ 4 июль-август 2006 г.
Тема номера:
КОРПОРАТИВНЫЕ ПРОГРАММЫ ОБУЧЕНИЯ ВОПРОСАМ БЕЗОПАСНОСТИ
|
«ПРОГРАММЫ-ШПИОНЫ». ПРИШЛО ВРЕМЯ ПОУМНЕТЬ!
М. А. Головатский
ООО «Физтех-софт» |
|
|
Подавляющее большинство компьютерных пользователей весьма расплывчато представляет себе угрозы безопасности, связанные с незаметно установленными на их рабочие станции программами-шпионами (spy ware). И уж совсем немногие из них знают, сколь многочисленные формы могут принимать программы-шпионы и какой в действительности вред способны причинить.
До последнего времени общественность не воспринимала этот вид вредоносного кода столь же серьезно, как вирусы или спам. Однако автор придерживается мнения, что программы-шпионы представляют собой даже большую опасность, чем эти хорошо всем знакомые компьютерные напасти. Они могут быть такими же вредоносными, как самые опасные вирусы. Угрозы безопасности для сферы финансов от программ-шпионов гораздо ранообразнее и более серьезны, чем от мошенничества с кредитными картами при помощи электронной почты (phishing – игра на сходно звучащем fishing), а масштабы спровоцированной их деятельностью утечки конфиденциальной информации и влекомые за этим убытки – ужасны. Малый и средний бизнес должен понять, что такое программы-шпионы и какие опасности эти программы с собой несут.
Программы-шпионы в примерах
Просто сказать, что шпионящее ПО незвано – значит не сказать ничего. Установленное на ваш ПК оно может изменять системный реестр Windows, добавлять динамические библиотеки (DLL-файлы), а также скачивать исполняемые файлы (вредоносные элементы ActiveX или объекты для JAVA VM) в вашу ОС. Некоторые программы-шпионы используют для проникновения web-браузеры (особенно Internet Explorer), устанавливая элементы управления ActiveX, плагины для браузера (Browser Helper Objects, сокращенно BHO), панели управления или изменяют настройки интернет-браузера, включая домашние страницы, списки ссылок и пункты контекстного меню. Ряд из них умеют изменять установки TCP/IP и файлы hosts.
Онлайновые энциклопедии по шпионящим программам и словари идентифицируют десятки тысяч вредоносных программ-шпионов. Часто встречающиеся типы шпионящего ПО содержат следующие элементы:
- рекламный софт (Adware);
- перехват сессии в браузере (Browser session hijackers);
- средства удаленного администрирования (Remote Administration Tools, сокращенно RATs);
- агенты слежения (Tracking Agents);
- двойной агент программы-шпиона (Double Agent Spyware).
Рассмотрим, какой риск представляет каждый из этих элементов в отдельности.
Не весь рекламный софт является программой-шпионом (технически), но многие эксперты полагают, что даже разрешенное программ-ное обеспечение относится к этой категории, когда оно устанавливается в процессе непрошенной рекламы. Основными способами его попадания в операционную систему являются всплывающие окна браузера или запуск рекламного программного обеспечения пользователем. Сейчас около 800 программ рекламного характера содержит в себе скрытых шпионов. Эта разнообразная группа включает свободно распространяемые версии игр (например, Midnight Oil Solitaire), FTP-клиентов (FTP Works), версии почтовых клиентов (Eudora), музыкальные проигрыватели, системные утилиты, web-приложения и др. Разработчики, размещающие рекламу во всплывающих окнах или панелях управления так называемого бесплатного ПО, получают вознаграждение от рекламодателей.
Между тем, эти программы далеко не безобидны. Некоторые из них (например, FlashTrack) отслеживают активность пользователя в Интернете и ищут его запросы. Найденная информация отсылается на рекламные серверы, такие как Aureate и Aveo, которые возвращают на компьютер пользователя «требуемую» рекламу (как правило, всплывающую), основанную на ключевых словах и фразах. А, как известно, совершенно нейтральные ключевые слова для поиска вполне способны выдать неожиданные, негативного толка результаты (многие родители знают, что на поиск по слову «киска» их дети рискуют получить порнографические материалы).
Перехват сессии в браузере – своего рода приманка-переключатель в виртуальном мире. Программа-шпион (Icoo, WurldMedia, инструментальная панель Xupiter, Lop, BonziBuddy, CoolWebSearch) перехватывает сеансы браузера и запросы поиска, перебрасывая пользователей на web-сайты, которые они не намеревались использовать или просматривать. Такими действиями пользователю насильственно насаждается ненужная ему информация или зарабатываются комиссионные, например, при его направлении на определенный сайт электронной коммерции.
Средства удаленного администрирования (Remote Administration Tools, сокращенно RATs) и клавиатурные шпионы – есть не что иное, как хорошо всем известные «троянские кони»). Данный тип программ позволяет атакующему удаленно контролировать работу вашей рабочей станции, вплоть до использования ее в своих интересах или прерывания работы легального пользователя. Действуя дистанционно, нападающий может прерывать и регистрировать пользовательские нажатия клавиш, контролировать приложения и действия браузера и даже перехватывать потоки от web-камер. BackOrifice и Sub7 – примеры таких RATs (иногда их называют крысами: Rat – крыса (англ.). Именно они создают угрозу организации распределенной атаки на отказ в обслуживании (Distributed Denial of Service, сокращенно – DDoS). Коммерческие RATs (NetObserve и Spyagent) предназначены, по словам их разработчиков, для «законного слежения» и адресованы менеджерам, родителям или подозрительным супругам. Еще один пример: недавний и хорошо известный Bankhook.A, регистрирующий нажатия клавиши плагин для браузера и присылаемый как вложение к почтовому сообщению. После установки Bankhook пытается найти учетную запись с банковскими данными на вашем ПК.
Агенты слежения, ошибки в Web, а также сборщики данных воруют различную конфиденциальную информацию. Они могут контролировать ваш просмотр web-страниц, процесс покупки в онлайновом магазине, электронную почту и мгновенную передачу сообщений, кроме того, они способны собрать сведения о системной конфигурации и личную информацию пользователя. Так, известная панель для поиска Alexa одновременно является сборщиком данных, которые в дальнейшем могут служить коммерческим структурам инструментом реализации целевых рекламных кампаний, а злоумышленникам – предметом торговли или злоупотребления этой информацией. Transponder/VX2 выискивает адреса электронной почты, историю просмотра web-старниц, выхватывает данные из форм на web-страницах и конфигурационных файлах. Разработчики Gator/GAIN (сейчас Claria) утверждают, что их ПО не нарушает ничьих прав, однако эксперты в данной области придерживаются иного мнения, утверждая, что клиентская часть Claria, которая автоматически заполняет форму и сохраняет пароли, отслеживает при этом привычки пользователя, а потому несет в себе потенциальную опасность.
Двойной агент шпионящего ПО. Печально, что некоторое программ-ное обеспечение, которое рекламируется как антишпионское, само по себе является шпионом. Пользователи загружают ограниченную по времени или свободно распространяемую версию такого продукта, которое, как они ожидают, избавит их от навязчивой рекламы, и только потом узнают, что эти версии, фактически, сами по себе – чистая реклама. Однако такие действия – отнюдь не предел нечистоплотности со стороны продавцов anti-spyware: программный продукт SpyWiper перехватывает обращение к домашним страницам, надеясь напугать случайных пользователей и вынудить их тем самым к приобретению этой программы, что есть по сути вымогательство купить защиту!
< ... >
|
|
Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд» |
Обращайтесь!!!
e-mail: magazine@inside-zi.ru
тел.: +7 (921) 958-25-50, +7 (911) 921-68-24
Предыдущая статья СОДЕРЖАНИЕ НОМЕРА Следующая статья
|