Vlezlý spyware

Jako spyware se dnes obecně označuje nepřátelský software, jehož jediným smyslem je zajišťovat úniky informací z počítače oběti ve prospěch nějaké vnější organizace. Některé druhy spywaru jen posílají pop-up okna nebo sbírají marketingově využitelné demografické informace, které se soustřeďují v centrále.

Vlezlý spyware


Jako spyware se dnes obecně označuje nepřátelský software, jehož jediným smyslem je zajišťovat úniky informací z počítače oběti ve prospěch nějaké vnější organizace. Některé druhy spywaru jen posílají pop-up okna nebo sbírají marketingově využitelné demografické informace, které se soustřeďují v centrále.

Výrobci tohoto softwaru se ježí, pokud jim někdo dává nálepku „spyware“, a sami dávají přednost ctnostnému označení „adware“. Jiné programy jsou ale schopny zachytit každý úder na klávesnici a každé kliknutí myší a periodicky tato data předávají infiltrovaným serverům ovládaným obskurními hackerskými organizacemi. Údery na klávesnici se klasicky využívají k odcizování hesel a dalších informací, jež je možné využít ke krádežím a podvodům. Nejzákeřnější druhy spywaru umožňují dálkové ovládání počítače prostřednictvím internetu. Tyto programy byly již nejednou použity k průnikům do firemních sítí a jsou zmiňovány v souvislosti s některými případy rozsáhlých krádeží finančních informací.

Studie vypracovaná na Washingtonské univerzitě a publikovaná letos v únoru na výročním sympóziu o bezpečnosti sítí a distribuovaných systémů v San Diegu pod názvem A Crawler-Based Study of Spyware on Web použila cluster 10 počítačů provozujících celkem 40 virtuálních zařízení k indexování 2 500 webových stránek. Výzkumníci začali vyhledáváním specifických klíčových slov na Googlu. Pak vzali seznam výsledných URL a zkoumali každý link na každé stránce do maximální hloubky tří kliknutí.

Automaticky indexující počítače byly nastaveny tak, aby stáhly a spustily každý spustitelný program, na který na webových stránkách narazí. Výzkumníci pak skenovali tyto počítače pomocí AdAware od Lavasoftu, který byl konfigurován tak, aby hlásil jen skutečný spyware, ne cookies nebo útoky hackerů. Poté co počítač byl infikován a pak skenován prostřednictvím AdAware, automaticky si natáhl „čistý“ virtuální počítač a znovu začal indexovat síť. Každý virtuální počítač indexující web byl zhruba do minuty a půl infikován nějakým dalším programem spywaru.

Miliony URL
Výzkumnící prošli 18,2 milionu URL v květnu 2005 a asi 22 milionů v říjnu 2005. Pokaždé zjistili, že asi 20 procent prohlédnutých domén nabízelo programy ke stažení, a z nich asi 20 % (čili 4 % všech domén) obsahovalo programy ke stažení, které byly infikovány spywarem. Zajímavé je ale členění podle kategorií domén. V říjnu 2005 bylo infikováno zhruba 11 procent těchto programů stažených z webových stránek „pro dospělé“ a 16 procent stažených z internetových stránek „celebrit“, ale jen 3 procenta programů z internetových stránek kategorií „děti“ nebo „hudba“. A infikován nebyl žádný z programů stažených ze „zpravodajských“ stránek. Kupodivu byla spywarem infikována jen 2 procenta programů stažených ze stránek nabízejících pirátský software.

Není jistě překvapením, že vhodnými kontrolami mohou provozovatelé webových stránek výrazně ovlivnit přítomnost spywaru v programech, které nabízejí ke stažení, například Download.com společnosti CNet. V květnu 2005 výzkumníci zjistili, že 4,6 procenta z celkem 2 370 stažených programů bylo infikováno spywarem. Během léta 2005 společnost CNet zahájila politiku skenování programů určených ke stažení a zjišťování přítomnosti spywaru v nich, než byly tyto programy dány k dispozici. V důsledku toho bylo v říjnu 2005 infikováno již jen 0,3 procenta ze 1 944 programů, které si výzkumníci stáhli.

Jedním z klíčových typických rysů spywaru je, že tyto programy se zpravidla instalují vskrytu a pak svoji přítomnost nadále uchovávají v tajnosti. Jedním ze způsobů, jak spyware utajuje svoji přítomnost, je nabalování se na programy, které si uživatelé chtějí instalovat – například screensavery a tapety (asi 12 procent těchto programů, které výzkumnící zkoumali v říjnu 2005, bylo infikováno). Spyware ale může být instalován i během normálního brouzdání na internetu. Vědci z Washingtonské univerzity se v rámci své studie zaměřili právě na stránky používající tento druh útoku.

K odhalení různých druhů útoků vědci zkoumali čtyři počítačové konfigurace. První byl (simulovaný) počítačový uživatel, který brouzdá po webu s použitím Internet Exploreru a u pop-up oken vždy kliká na tlačítko „ano“. Druhá konfigurace také využívala Internet Explorer, ale pokaždé na pop-upy klikala „ne“. Třetí konfigurace používala Firefox a na každé pop-up okno klikala „ano“. Čtvrtá také používala Firefox a klikala pokaždé „ne“. Systémy s Internet Explorerem zindexovaly celkem 90 000 URL v devíti kategoriích: dospělí, celebrity, hry, děti, hudba, zprávy, pirátský software, tapety a náhodné. Systémy Firefoxu indexovaly celkem 45 000 URL.



------------------------------
Počátkem letošního roku vědci na Washingtonské univerzitě
zveřejnili důležitou studii o spywaru na internetu, která se opírala o provedenou analýzu 40 milionů webových stránek. Tato studie má velký význam i pro CIO, protože ukazuje nejen rozsah problému se spywarem, ale také specifické druhy chování ze strany uživatelů, v jejichž důsledku se tyto ďábelské programy instalují na jejich počítačích.
Ilustruje také významný rozdíl v úrovních bezpečnosti poskytovaných prohlížečem Internet Explorer od Microsoftu a Firefoxem od Mozilly.


Ilustrační foto: CA, Trend Micro








Komentáře