Компьютерный шпионаж. Часть 1. Утилиты для слежки

Анализ риска шпионских программ

Шпионское оборудование или программы очень опасны для приватности человека. С их помощью злоумышленники или крупные корпорации могут собрать очень много личных данных о пользователях. Огромное количество различных шпионских утилит можно найти в открытом доступе или даже в официальных магазинах приложений.

Чтобы защитить себя от шпионских программ, нужно выполнять ряд простых действий:

  1. Установить современную антивирусную программу и активировать в ней функции поиска рекламных и шпионских программ (adware и spyware).
  2. Установить брандмауэр и контролировать сетевую активность установленных программ.
  3. Внимательно проверять настройки приватности операционных систем и браузеров, отключать лишние функции и отправку личных данных кому-либо.
  4. Внимательно относиться к установке приложений и выбору компонентов при инсталляции. Вместе с полезной программой вам может быть установлен целый набор нежелательного ПО.
  5. Периодически просматривать список установленных программ и удалять неопознанные или редко используемые.

Верхом на полезном приложении

Первый способ состоит в том, чтобы прикрепить программу-шпион к полезному приложению, которое загружает пользователь. Она загружается вместе с этим приложением, и ее действия остаются скрытыми. Шпионское программное обеспечение может быть отдельным исполняемым файлом или входить в состав динамических библиотек DLL, к которым обращается основное приложение. Активируясь, программа-шпион самостоятельно настраивается таким образом, чтобы затем работать без ведома пользователя.

Любопытно, что в лицензионном соглашении конечного пользователя часто и не скрывается наличие программ-шпионов. Это соглашение обычно бывает длинным и утомительным для чтения, преднамеренно составляется так, чтобы в нем трудно было разобраться. Оно может включать в себя неявное упоминание о программах-шпионах или ссылаться на другое соглашение, которое содержит описание такого программного обеспечения.

Некоторые компании, использующие подобные средства, вообще не потрудились упомянуть об этом в своих соглашениях. Часто люди принимают соглашение, не осознавая всех связанных с ним рисков, что может стать для отдельного пользователя дополнительным источником беспокойства, а на корпоративном уровне просто недопустимо.

Популярность программ обмена файлами привела к тому, что их загрузка стала привычным делом. Она же сделала их великолепными транспортными средствами для программ-шпионов. Например, портал CNET более двух лет назад начал предлагать условно-бесплатные версии нескольких популярных программ обмена файлами, содержащие «шпионские» компоненты.

В то время к ним относились Kazaa, Morpheus, BearShare, LimeWire и Grokster. Пользователи загрузили из CNET более четверти миллиона копий условно-бесплатных программ, и часть из которых несла на себе дополнительную вредоносную нагрузку [2]. Можно найти и много других источников подобного программного обеспечения. Это позволяет заключить, что сейчас значительная часть пользовательских компьютеров заражена программами-шпионами.

Внедрение программы-шпиона

По своим повадкам программы-шпионы не идут ни в какое сравнение с cookie. Для их тайного проникновения в систему пользователя существуют три основных способа, из которых наиболее вредоносным является третий.

Многие считают, что настоящий шпионаж начинается с применения ассоциированных cookie, которые сильно повышают степень риска для пользователя и его подверженность посторонним воздействиям. Ассоциированные cookie идентифицируют потребителя при посещении им любого сайта, входящего в определенную группу. Эти файлы следят за его деятельностью и сохраняют данные, собранные в ходе взаимодействия с каждым из сайтов-соучастников.

Предлагаем ознакомиться  DDR3-1866 Kingston HyperX FURY HX318C10FRK - целых 16! Гигабайт оперативной памяти. | Оперативная память | Обзоры

Рекламные агентства заключают с сайтами-соучастниками соглашения о размещении ссылок на шпионские серверы, которые могут представлять собой обычные картинки или даже совершенно незаметные изображения размером в один пиксель. Эти ссылки заставляют браузер пользователя обращаться к шпионскому серверу, который, в свою очередь, пытается обнаружить на компьютере пользователя определенный cookie.

Если такового найти не удается, создается новый файл, содержащий глобальный уникальный идентификатор GUID, который позволяет опознавать пользователя при посещении им любого сайта-соучастника. На рисунке показан процесс обмена данными между компьютером потребителя, шпионским сервером и сайтом-соучастником.

GUID однозначно идентифицирует пользователя, и шпионский сервер связывает с ним всю соответствующую информацию. Он отслеживает действия пользователя и фиксирует любую информацию, которой тот обменивается с сайтом-соучастником. Если потребитель вводит свои имя, учетную запись, пароль или любые другие сведения, шпионский сервер может сохранить их, связав с идентификатором GUID.

В случае проведения поиска или осуществления покупки шпионский сервер может сохранить эту транзакцию в своей базе данных. Цель обычно состоит в сборе таких сведений, как фамилии, адреса электронной почты, географические или демографические данные, которые могут пригодиться для адресной рекламы. Иногда собирают и другие данные, например информацию о кредитных карточках, имена и пароли учетных записей.

Проблема состоит в том, что пользователи не видят этих данных, не имеют к ним доступа, не могут ими управлять и обычно даже не представляют себе всего процесса. Рекламное же агентство полностью контролирует распространение пользовательских данных. Хотя ассоциированные cookie не могут обращаться к системе потребителя или вызывать другие приложения, они способны без ведома хозяина ПК регистрировать и использовать все данные о его действиях и нажатиях клавиш на сайтах-соучастниках. Согласитесь, нешуточная угроза.

При всем уважении к законопослушным рекламодателям, нет оправдания их стремлению к регистрации конфиденциальных данных. Не может не вызывать беспокойства тот факт, что компании не несут каких-либо обязательств по информированию пользователей об обработке и распределении этих данных.

Выполнение java или activex

Использование Web-приложений на базе Java или ActiveX — третий способ транспортировки вредоносных программ. После активации апплет Java или код ActiveX может загрузить и вызвать программу-шпион. Предыдущие способы позволяют достичь того же результата, но в данном случае все действия совершаются полностью без ведома пользователя.

Эта агрессивная форма инсталляции сродни методам хакеров, и ее использование, как и деятельность последних, должно считаться незаконным.

Законодательство

Неудивительно, что сегодня не существует законов, препятствующих использованию шпионского программного обеспечения, ведь и при появлении первых вирусов и компьютерных взломщиков тоже не было соответствующих законов. В марте 2004 штат Юта (США) принял акт, призванный контролировать распространение шпионского программного обеспечения [4].

Как и следовало ожидать, распространители программ-шпионов высказали свои возражения, но любопытно, что многие из лидеров компьютерной отрасли также протестовали против принятия этого акта. Пока непонятно, насколько велика будет его эффективность, но внимание к проблеме он, безусловно, привлек. В июне 2004 года противники акта добились решения суда о временной приостановке его действия.

Предлагаем ознакомиться  Программно-аппаратные средства защиты автоматизированных систем от несанкционированного доступа

Американский сенат рассматривает закон против распространения шпионского программного обеспечения [5]. Палата представителей Конгресса США также разрабатывает аналогичные законодательные акты [6]. Потенциальное воздействие такого законодательства огромно; насколько же точно отразятся требования жизни в окончательных текстах, и насколько легко будет контролировать соблюдение этих законов, пока неизвестно. Поскольку комитеты Конгресса также действуют в этом направлении, очень возможно, что некоторые из законопроектов превратятся в законы.

В Microsoft предложили совершенно иную стратегию. В соответствии с нею отрасль предоставляет улучшенные инструментальные средства и избегает принятия законов, которые могут неадекватно пресечь распространение «вводящего в заблуждение программного обеспечения (deceptive software)». Microsoft продолжает наращивать возможности браузера Internet Explorer для борьбы с программами-шпионами, а на Web-сайте корпорации появился специальный раздел, посвященный средствам и методам борьбы с подобными программами.

Узаконить высокотехнологичный шпионаж будет очень непросто, и предстоит долгий путь в поисках решений. Вполне возможно наложение разумных ограничений на действия и поведение шпионских программ, особенно если компьютерная отрасль и законодательные органы будут работать вместе. Проблема легализации шпионского программного обеспечение состоит в том, что оно выгодно множеству предприятий.

Чрезвычайно выгодной, например, является адресная доставка спама. Как следствие, любое законодательство, ограничивающее или устраняющее возможность получения этой прибыли, столкнется с интенсивным лоббированием. Будет очень интересно наблюдать за тем, как развиваются события в сражении между стремлением защитить частную жизнь и жаждой наживы.

Наиболее осведомленные компьютерные пользователи, вероятно, согласятся с тем, что необходимо ограничить типы данных, которые программа-шпион может легально собирать или сохранять без явного разрешения. Среди возможных ограничений — запрет на перехват паролей, нажатий клавиш и информации с кредитной карты.

Начав с этих простых вещей, можно постепенно ввести необходимый правовой контроль над проявлениями шпионского программного обеспечения. В конечном счете, пользователь сам должен нести ответственность за программы, которые выполняются на его машине. Тем, кто остается в блаженном неведении, придется иметь дело с разнообразными «побочными эффектами».

С помощью современных инструментов удается предотвращать проблемы, связанные с программами-шпионами, за счет минимума усилий. Будем надеяться, что в недалеком будущем инструментальные средства позволят полностью автоматизировать решение этой задачи.

Комбинированные способы

При установке программ-шпионов без разрешения пользователя могут комбинироваться сразу несколько методов эксплуатации уязвимостей в приложениях. Например, в прошлом году путем почтовой рассылки пользователи получили программу SurferBar (также известную под названиями surfrbar и Junksurf). Письмо в формате HTML содержало скрытую ссылку на сайт, который «забрасывал» исполняемую программу на диск C, а затем использовал уязвимость в браузере Internet Explorer для автоматического выполнения сценария Visual Basic.

Эта мерзкая программа добавляла к системе несколько файлов и начинала каждые 10 секунд обновлять разделы реестра, стартовую страницу и ссылки в Internet Explorer. Удалить ее среднему пользователю было не под силу. Программа добавляла множество ссылок на сайты, посвященные порнографии и азартным играм, что приводило к эффекту типа «отказ в обслуживании». Браузер, перегруженный огромным количеством ссылок, просто переставал работать.

Предлагаем ознакомиться  Рейтинг лучших игровых (4K) телевизоров на 2020 год

SurferBar была разновидностью рекламного программного обеспечения, но могла бы с успехом доставлять на компьютеры пользователя и скрытые шпионские программы. Большинство из получивших ее могли никогда не узнать о заражении своих компьютеров. В будущем следует ожидать прогрессирующего развития различных форм вредоносных программ.

Движимый жаждой наживы, это процесс не остановится сам собой. Программы-шпионы будут продолжать расползаться и находить все более изощренные способы сбора личной информации. Индивидуальные и корпоративные пользователи должны разработать эффективные стратегии борьбы как с сегодняшними угрозами, так и теми, которые появятся в будущем.

Признаки программ-шпионов

Очевидно, что жертвой программы-шпиона может стать любая система, подключенная к Internet и использующая браузер или электронную почту. Признаки заражения бывают видны невооруженным глазом или скрыты от наблюдения — в зависимости от того, с какой формой шпионского программного обеспечения вы столкнулись.

К признакам присутствия программы-шпиона можно отнести непонятную активность жесткого диска, повышенную загрузку центрального процессора, программные конфликты, которых ранее не наблюдалось, медленный отклик или отказ системы. К сожалению, те же самые признаки могут быть вызваны другими проблемами, и сделать на их основании определенные выводы не так-то просто.

Как правило, следует с подозрением относиться к чрезмерному количеству спама и всплывающих рекламных окон: их причиной может быть программа-шпион. Кроме того, если ваш браузер открывает Web-сайты, к которым вы определенно не обращались, добавляет новые ссылки и параметры настройки, то весьма возможно, что виновата в этом программа-шпион. Лучший способ ее обнаружить и удалить состоит в использовании специальных инструментов.

Распространение шпионских программ

Источники шпионских программ можно разделить на два основных канала. Первый из них — нелегальный, который мало отличается от распространения вредоносных объектов. Злоумышленники могут обманом приводить пользователей к установке шпионского приложения или незаметно внедрять его через незакрытые уязвимости.

Второй канал — легальный. Шпионский модуль может содержаться в обычном программном обеспечении или же устанавливаться дополнительно (пользователь не замечает этого в процессе инсталляции). Показательным примером второй группы являются некоторые версии «фирменных» браузеров и панели инструментов к ним, которые совершенно законно собирают для своих разработчиков огромное количество информации о пользовательской активности.

То же самое делают и новые версии операционных систем — например, скандалом отметилась в начале своего жизненного пути Windows 10, в которой обнаружили множество функций для сбора «телеметрии». По мнению многих исследователей, аналогичные легальные шпионские функции, скрытые или открытые, есть практически во всех современных операционных системах.

Установка утилиты

Второй способ заключается в предложении самой программой-шпионом разного рода услуг, например сохранения и восстановления паролей, учетных записей, адресов и номеров телефонов. Она может расширить возможности почтовых программ оформления сообщений или предложить новую форму панели инструментов. А вдобавок шпионская утилита установит дополнительное программное обеспечение, которое с полной свободой сможет работать в вашей системе.

Оцените статью
Техничка
Adblock detector