Jako spyware se dnes obecně označuje nepřátelský software, jehož jediným smyslem je zajišťovat úniky informací z počítače oběti ve prospěch nějaké vnější organizace. Některé druhy spywaru jen posílají pop-up okna nebo sbírají marketingově využitelné demografické informace, které se soustřeďují v centrále.
Výrobci tohoto softwaru se ježí, pokud jim někdo dává nálepku „spyware“, a sami dávají přednost ctnostnému označení „adware“. Jiné programy jsou ale schopny zachytit každý úder na klávesnici a každé kliknutí myší a periodicky tato data předávají infiltrovaným serverům ovládaným obskurními hackerskými organizacemi. Údery na klávesnici se klasicky využívají k odcizování hesel a dalších informací, jež je možné využít ke krádežím a podvodům. Nejzákeřnější druhy spywaru umožňují dálkové ovládání počítače prostřednictvím internetu. Tyto programy byly již nejednou použity k průnikům do firemních sítí a jsou zmiňovány v souvislosti s některými případy rozsáhlých krádeží finančních informací.
Studie vypracovaná na Washingtonské univerzitě a publikovaná letos v únoru na výročním sympóziu o bezpečnosti sítí a distribuovaných systémů v San Diegu pod názvem A Crawler-Based Study of Spyware on Web použila cluster 10 počítačů provozujících celkem 40 virtuálních zařízení k indexování 2 500 webových stránek. Výzkumníci začali vyhledáváním specifických klíčových slov na Googlu. Pak vzali seznam výsledných URL a zkoumali každý link na každé stránce do maximální hloubky tří kliknutí.
Automaticky indexující počítače byly nastaveny tak, aby stáhly a spustily každý spustitelný program, na který na webových stránkách narazí. Výzkumníci pak skenovali tyto počítače pomocí AdAware od Lavasoftu, který byl konfigurován tak, aby hlásil jen skutečný spyware, ne cookies nebo útoky hackerů. Poté co počítač byl infikován a pak skenován prostřednictvím AdAware, automaticky si natáhl „čistý“ virtuální počítač a znovu začal indexovat síť. Každý virtuální počítač indexující web byl zhruba do minuty a půl infikován nějakým dalším programem spywaru.
Miliony URL
Výzkumnící prošli 18,2 milionu URL v květnu 2005 a asi 22 milionů v říjnu 2005. Pokaždé zjistili, že asi 20 procent prohlédnutých domén nabízelo programy ke stažení, a z nich asi 20 % (čili 4 % všech domén) obsahovalo programy ke stažení, které byly infikovány spywarem. Zajímavé je ale členění podle kategorií domén. V říjnu 2005 bylo infikováno zhruba 11 procent těchto programů stažených z webových stránek „pro dospělé“ a 16 procent stažených z internetových stránek „celebrit“, ale jen 3 procenta programů z internetových stránek kategorií „děti“ nebo „hudba“. A infikován nebyl žádný z programů stažených ze „zpravodajských“ stránek. Kupodivu byla spywarem infikována jen 2 procenta programů stažených ze stránek nabízejících pirátský software.
Není jistě překvapením, že vhodnými kontrolami mohou provozovatelé webových stránek výrazně ovlivnit přítomnost spywaru v programech, které nabízejí ke stažení, například Download.com společnosti CNet. V květnu 2005 výzkumníci zjistili, že 4,6 procenta z celkem 2 370 stažených programů bylo infikováno spywarem. Během léta 2005 společnost CNet zahájila politiku skenování programů určených ke stažení a zjišťování přítomnosti spywaru v nich, než byly tyto programy dány k dispozici. V důsledku toho bylo v říjnu 2005 infikováno již jen 0,3 procenta ze 1 944 programů, které si výzkumníci stáhli.
Jedním z klíčových typických rysů spywaru je, že tyto programy se zpravidla instalují vskrytu a pak svoji přítomnost nadále uchovávají v tajnosti. Jedním ze způsobů, jak spyware utajuje svoji přítomnost, je nabalování se na programy, které si uživatelé chtějí instalovat – například screensavery a tapety (asi 12 procent těchto programů, které výzkumnící zkoumali v říjnu 2005, bylo infikováno). Spyware ale může být instalován i během normálního brouzdání na internetu. Vědci z Washingtonské univerzity se v rámci své studie zaměřili právě na stránky používající tento druh útoku.
K odhalení různých druhů útoků vědci zkoumali čtyři počítačové konfigurace. První byl (simulovaný) počítačový uživatel, který brouzdá po webu s použitím Internet Exploreru a u pop-up oken vždy kliká na tlačítko „ano“. Druhá konfigurace také využívala Internet Explorer, ale pokaždé na pop-upy klikala „ne“. Třetí konfigurace používala Firefox a na každé pop-up okno klikala „ano“. Čtvrtá také používala Firefox a klikala pokaždé „ne“. Systémy s Internet Explorerem zindexovaly celkem 90 000 URL v devíti kategoriích: dospělí, celebrity, hry, děti, hudba, zprávy, pirátský software, tapety a náhodné. Systémy Firefoxu indexovaly celkem 45 000 URL.
------------------------------
Počátkem letošního roku vědci na Washingtonské univerzitě
zveřejnili důležitou studii o spywaru na internetu, která se opírala o provedenou analýzu 40 milionů webových stránek. Tato studie má velký význam i pro CIO, protože ukazuje nejen rozsah problému se spywarem, ale také specifické druhy chování ze strany uživatelů, v jejichž důsledku se tyto ďábelské programy instalují na jejich počítačích.
Ilustruje také významný rozdíl v úrovních bezpečnosti poskytovaných prohlížečem Internet Explorer od Microsoftu a Firefoxem od Mozilly.
Ilustrační foto: CA, Trend Micro
Co to pro vás znamená
Výsledky této části studie Washingtonské univerzity jsou pro CIO důvodem k vážnému zamyšlení. Z 90 000 URL indexovaných prostřednictvím Internet Exploreru jich 1 734 (2 %) stáhlo spyware, když uživatel klikl na „ano“ – a 129 i v tom případě, když klikl na „ne“. Tyto webové stránky stáhly a v mnoha případech instalovaly spyware tím, že využily bezpečnostní chyby v samotném Internet Exploreru.
Naopak Firefox stáhl jen 36 infikovaných souborů, když uživatel klikl „ano“ v reakci na každý dialog – a žádné, když klikl pokaždé „ne“. Podle výzkumníků Firefox tyto soubory stáhl v důsledku appletu napsaného v Javě. Takže se zdá, že bezpečnostní model Javy opravdu funguje – alespoň při tomto testu tomu tak bylo. Bohužel, jestliže dokážete uživatele přesvědčit, aby klikl na „ano“, máte vyhráno.
Firefox samozřejmě také má slabá místa z hlediska bezpečnosti. Výzkumníci z Washingtonské univerzity ale zjistili, že tato zranitelná místa dosud nebyla autory spywaru využita – alespoň ne těmi, jejichž programy byly testovány v rámci této poměrně rozsáhlé studie. „Drive-by“ programy s Internet Explorerem nejčastěji pocházely z následujících serverů: pirátské stránky (29 %), hry (9,9 %) a hudba (8,8 %). Pokud jde o Firefox, odpovídající kategorie a příslušná procenta byla následující: pirátské stránky (1,9 %), celebrity (0,3 %) a hudba (0,26 %).
Poučení
CIO si z toho může vzít řadu poučení. To nejzřejmější je, že spyware je na internetu vážným problémem. Ačkoliv na zpravodajských stránkách se spyware neobjevil ani v jediném případě, na všech ostatních druzích webových stránek, které byly analyzovány, byly takovéto nepřátelské programy odhaleny. A například Download.com společnosti CNet se s několika případy spywaru setkal i poté, co společnost začala skenovat své programy nabízené ke stažení.
Druhým poučením je, že spyware se může instalovat za běhu bez vědomí uživatele, a to i v tom případě, když uživatel svému počítači řekne, aby nepřátelské programy neinstaloval – to se ovšem stalo jen tehdy, když se používal Internet Explorer. U Firefoxu tento problém nenastal.
Jedním z problémů této studie ale byla definice spywaru, jak ji chápali autoři. Než aby se zapletli do filozofických debat o tom, co spyware je a co není, zaujali poněkud zjednodušený pohled. Cokoliv, co AdAware identifikoval jako spyware, bylo považováno za spyware; cokoliv, co takto neidentifikoval, spywarem nebylo. Ačkoliv pro účely výzkumné studie tato definice postačuje, z pohledu CSO je zřejmě podceněním celého problému se spywarem. Důvodem, proč AdAware téměř jistě spyware podceňuje, je to, že AdAware se rozhoduje na základě toho, zda daný program je v databázi spywaru od Lavasoftu, a ne na základě toho, jak se tento program skutečně chová. Pro CSO jsou ale právě chování a použití rozhodujícími faktory pro stanovení toho, zda daný program představuje nebezpečí pro jejich firmu. Například mnoho skenerů spywaru považuje Virtual Network Computing (VNC) za spyware, protože tento program útočníci často používají k monitorování PC své oběti. Já jsem si ale nedávno instaloval VNC na počítači Macintosh své matky – ne abych ji tajně sledoval, ale abych se mohl připojit na její počítač z domova a provádět potřebnou správu systémů.
Problém poroste
Problém se spywarem není malý a bude se pravděpodobně dále zhoršovat. Jedním z důvodů je ekonomika. Podle Gartneru v loňském roce američtí spotřebitelé přišli o více než miliardu dolarů jen v důsledku phishingu, který z valné části umožnil právě spyware instalovaný na počítačích nic netušících obětí. Abychom problém se spywarem dostali pod kontrolu, potřebujeme mnohostranný přístup. V první řadě musí být zvýšena bezpečnost browserů; downloady a instalace typu „drive-by“ prostě nemají omluvu. Dále musí být stanoveny výrazné sankce postihující dodavatele spywaru. Pak potřebujeme donutit prodejce, aby upustili od pojímání „antispywaru“ jako zvláštní kategorie softwaru a zabudovávali tyto schopnosti přímo do svých antivirových produktů. A konečně firmy musejí přestat používat Internet Explorer, dokud se významně nezvýší jeho bezpečnostní charakteristiky.
PŘEDPLATNÉ
ČLÁNKY DO MAILU