Počítačové viry známé a neznámé

Archiv | 01.05.06

6. díl Spyware: moderní čmuchal inormačního věku V závěrečném dílu našeho miniseriálu o počítačových...







6. díl Spyware: moderní čmuchal inormačního věku



V závěrečném dílu našeho miniseriálu o počítačových virech a další havěti ze světa informačních technologií se budeme věnovat škodlivým kódům, označovaným jako spyware.

Kdo je kdo?

Už v minulých dílech jsme nejednou narazili na problematické zařazení určitých škodlivých kódů do konkrétní skupiny. Nejinak je tomu i u spywaru. Řada kódů, které jsou mezi spyware řazeny, je v praxi označována jako trojský kůň, případně backdoor. Tento stav je důsledkem neustálého vývoje virové scény a prolínání jednotlivých druhů škodlivých kódů. Zjednodušeně řečeno, rozdíly mezi dnešní kybernetickou havětí se postupně stírají a často nelze jednoznačně říci, kdo je kdo a kam patří...

Co je to vlastně spyware?

Původ spywaru je historicky spojen především s sharewarovými a freewarovými programy, do nichž výrobci přidávají určité komponenty, které mohou uživatele obtěžovat, případně se nabourat do jeho soukromí tím, že shromažďují v počítači určitá data. Tato činnost bývá často zdůvodňována potřebou znát zájmy uživatele a neméně často bývají získaná data využita v cílené reklamě. Existence těchto komponent se chápe jako určitá forma náhrady za to, že výrobce daný software poskytuje zdarma.
Údajně poprvé byl termín "spyware" použit na usenetu někdy v roce 1994, v souvislosti s obchodním modelem Microsoftu. Současný význam získal tento pojem až na přelomu tisíciletí.
Je-li uživatel na existenci spywarových funkcí upozorněn již při instalaci programu (zpravidla drobounkým textem v licenčním ujednání, které stejně většina lidí nečte), je vše z hlediska práva víceméně v pořádku. Často jsme se ale v minulosti setkali s tím, že uživatel o existenci spywaru vůbec informován nebyl. A možná byste se divili, nezřídka šlo o produkty firem, které tento způsob získávání informací určitě nemají zapotřebí.

Spyware a antiviry

Problematika legálnosti spywarových aplikací je vůbec velice zajímavá. Dalo by se říci, že co odborník, to jiný názor. A stejné je to i u antivirových firem. V praxi je běžné, že konkrétní antivirový program zpravidla detekuje jen některý spyware. Existují dva základní důvody, proč tomu tak je. Tím hlavním je často sporné právní postavení spywarových aplikací. Snad každý výrobce antivirových programů se již setkal s tím, že do svých detekčních vzorků přidal nějaký spyware a vzápětí byl výrobcem dané aplikace urgován, aby ho odstranil. Často se to dělo dosti nevybíravým způsobem, včetně vyhrožování právníky a soudními postihy. Nelze se tedy divit, že antivirové firmy nechávaly v minulosti spyware raději na pokoji.
S tím, jak se spyware postupem času dostával spíše na stranu "těch špatných" a jeho existence začala být veřejností i odborníky odsuzována, zbavily se zábran i antivirové firmy a začaly ho v širší míře detekovat. Mezitím ale počet těchto škodlivých aplikací výrazně narostl. Proto se situace vyvinula tak, že se antivirové firmy uchylují spíše k integraci existujících antispywarových motorů jiných zavedených výrobců do svých produktů, než aby přidávaly do svých databází dlouhou řadu detekčních vzorků a upravovaly svoje antivirové motory. Například finský F-Secure a norský Norman do svých antivirových produktů integrovali známý Ad-Aware, dokonce i Microsoft si koupil firmičku GIANT Software, která měla ve svém portfoliu mimo jiné i poměrně kvalitní antispyware.
Někteří odborníci se také přiklánějí k názoru, že spyware vykazuje jisté technologické odlišnosti od "standardních" virů a červů, což vyžaduje poněkud odlišný přístup k jeho detekci.

Spyware a jeho příbuzní

Abychom to zase neměli tak jednoduché, běžně řadíme do stejné skupiny jako spyware také další druhy kódů, označované jako adware, dialer, hijacker apod. Tyto skupiny se od sebe liší jak svým určením, tak mírou své škodlivosti.
Spyware. Jako spyware můžeme označit aplikaci, která ať už s vědomím nebo zcela bez vědomí uživatele sbírá v počítači různá data a odesílá je prostřednictvím internetu svému "pánovi" (zpravidla výrobci programu, k němuž je přidána). Spyware se může chovat jako typický trojský kůň, tedy jeho existence může vést k instalaci dalších škodlivých kódů do napadeného počítače a k jejich zneužití třetí stranou. I spyware, jehož instalace je považována za legální, může v praxi představovat velké bezpečnostní riziko.
Adware. V porovnání se spywarem je adware spíše nepříjemný než nebezpečný. Obvykle se jedná o komponentu, která uživateli znepříjemňuje práci s počítačem zobrazováním různé reklamy. Typickým příznakem jeho přítomnosti jsou tzv. "vyskakovací" okna, objevující se během surfování po internetových stránkách, změna výchozí stránky internetového prohlížeče apod.
Dialer. Škody způsobené tímto druhem škodlivého kódu patří mezi nejtěžší. Jednoduše řečeno je dialer aplikace, která mění telefonní číslo pro vytáčené připojení k internetu na volání na linku s vysoce zpoplatněným tarifem. V případě skryté instalace se existence dialeru projeví při příštím vyúčtování za telefonní služby. Situace je o to nepřehlednější, že dialery se používají i jako zcela legitimní aplikace pro zpoplatnění určité služby, např. v případě přístupu na internetové stránky s obsahem pouze pro dospělé. I přístup našeho monopolního poskytovatele telekomunikačních služeb k této problematice může být označen přinejmenším za rozporuplný.

Kde všude je třeba se mít na pozoru?

Zatím jsme si řekli, že spyware se vyskytuje jako součást sharewarových a freewarových aplikací. Zde je třeba, aby se uživatelé měli na pozoru zejména při čtení tzv. EULA (End User Licence Agreement) a vůbec odpovědně přistupovali k instalaci jakýchkoliv programů stažených z internetu. Jejich kontrola antivirovým programem představuje nutné minimum.
To však v dnešní době zdaleka nestačí. Řada škodlivých aplikací řazených mezi spyware se do našich počítačů snaží dostat přímo z internetových stránek, zpravidla pomocí četných bezpečnostních děr internetových prohlížečů nebo pomocí aktivních webových komponent. Jedná se především o tři základní skupiny kódů:
Kódy založené na knihovně BHO (Browser Helper Object) slouží k přizpůsobení Internet Exploreru v rámci různých řešení. Tyto kódy bývají zpravidla zneužívány pro sběr informací o navštěvovaných stránkách a souvisejících údajů. Do počítače se dostávají většinou v rámci instalace nějakého programu.
Kódy založené na exploitu, tzn. na využití známé bezpečnostní díry. Tímto způsobem bývají do počítače propašovány škodlivé kódy z internetových stránek. Bezkonkurenčně nejděravějším internetovým prohlížečem je MS Internet Explorer. To není ani tak způsobeno tím, že je nejhorší, ale proto, že je nejpoužívanější a tudíž pro útočníky nejvíce atraktivní.
Kódy fungující na bázi tzv. "tracking cookies". Jejich použití nemusí být vždy považováno za nekalou aktivitu, ale může být motivováno snahou o vyšší komfort návštěvníků určitého webu.
Kódy manipulující s nastavením Internet Exploreru, tzv. hijackery. Většinou se jedná o přidávání určitých webů do Oblíbených položek nebo o změnu výchozí stránky.

Prevence spywaru

V první řadě je třeba používat zdravý selský rozum a neinstalovat na svůj počítač nic, o čem máte nějaké pochybnosti. Pokud si nejste jisti původem určitého programu a jeho instalace pro vás není "životně důležitá", je lepší se bez něho obejít. Stejně tak pokud se vám nějaká internetová stránka snaží vnutit stažení a/nebo spuštění nějaké aplikace, dobře se rozmyslete, než dialogové okno potvrdíte.
Jistou prevencí může být i výměna Internet Exploreru za některý z alternativních prohlížečů (Mozilla, Opera apod.). Pokud přece jen chcete nebo musíte u Internet Exploreru setrvat, je třeba dbát na to, aby byla ve vašem počítači instalována některá z jeho posledních verzí (alespoň IE 6.0 SP1). Velkou pozornost je třeba věnovat aplikaci nových bezpečnostních záplat (nejsnáze prostřednictvím windowsupdate.microsoft.com) a správnému nastavení úrovně bezpečnosti (nejlepší je nastavit úroveň zabezpečení Vysoká či alespoň Střední).
Dalším preventivním krokem je instalace různých doplňků a antispywarových programů, jako je například již zmiňovaný Ad-Aware, Spybot atd. Řada těchto programů již disponuje rezidentním štítem, který dokáže chránit uživatele před spywarem v reálném čase a je pro domácí použití dostupná zdarma. Užitečné jsou i nástroje, které znemožňují změnu nastavení vytáčeného internetového připojení.
Přehledně zpracované informace nejen o prevenci a dostupných programech najdete na internetových stránkách www.spyware.cz, jejichž autorem je známý antivirový popularizátor Igor Hák.

Budoucnost spywaru

Budoucí vývoj v oblasti spywaru bude pravděpodobně podobný jako v oblasti dalších škodlivých kódů. I zde lze sledovat určitou profesionalizaci tvůrců a stále častější využívání za účelem generování zisku. Stejně jako v jiných oblastech informační bezpečnosti se i zde začínají objevovat první legislativní normy, které se snaží využívání spywaru v reklamě a dalších činnostech regulovat, aby jím uživatelé nebyli obtěžováni.
Doufejme, že situace v oblasti spywaru bude v budoucnosti zvládnuta do té míry, že budeme moci klidně surfovat po internetových stránkách, aniž bychom byli obtěžováni tunami vyskakujících oken s nevyžádanou reklamou.
Tento seriál vzniká ve spolupráci s firmou AEC Data Security Company.













Komentáře

K tomuto článku není připojena žádná diskuze, nebo byla zakázána.