Шпионские программы и новейшие методы защиты от них

     Особую  опасность представляют мониторинговые программные продукты и аппаратные устройства, которые могут быть скрытно и несанкционированно (как правило, дистанционно) установлены без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера. Данная категория мониторинговых продуктов далее в статье будет именоваться как «программы-шпионы» или «продукты-шпионы».

      Санкционированные же мониторинговые программные продукты используются администратором (службой  информационной безопасности предприятия или организации) для контроля безопасности локальной сети. Они позволяют фиксировать действия пользователей и процессы, использование пассивных объектов, а также однозначно идентифицировать пользователей и процессы, которые причастны к определенным событиям, для того чтобы предотвратить нарушения безопасности или обеспечить неизбежность ответственности за определенные действия. Именно это свойство (в зависимости от степени его реализации) позволяет в той или иной мере контролировать соблюдение сотрудниками предприятия установленных правил безопасной работы на компьютерах и политики безопасности. 
 
 

      Например, программа- шпион NeoSpy выполняет следующие функции: 

• Отслеживает  запущенные пользователем программы

• Записывает нажатия клавиш (кейлоггер)

• Сохраняет  снимки экрана

• Записывает создание, удаление, изменение файлов

• Отслеживает  посещения сайтов и переписку ICQ, вконтакте 

• Записывает файлы, копируемые на USB-носители (флешки, переносные жесткие диски).

(Скачать программу можно на сайте http://ru.neospy.net)

     Между мониторинговыми продуктами для  обеспечения контроля и продуктами шпионами очень тонкая грань - это  различие между управлением безопасностью  и нарушением безопасности.

      Превращению продукта для монитринга и наблюдаемости в продукт-шпион способствует наличие в программе таких специальных функций, как:

• возможность  предварительной конфигурации модуля (клиента, агента и т.п.) мониторинга  и получение «скомплектованного»  исполняемого файла, который при инсталляции не выводит никаких сообщений и не создает окон на экране;

• наличие  встроенных средств доставки и дистанционной  установки сконфигурированного  модуля на компьютер пользователя.

      Чтобы программный продукт был малопригодным  для шпионских целей и несанкционированного применения, необходимо соблюдение в следующих условий:

• возможность  инсталляции и конфигурации модуля мониторинга только при непосредственном физическом доступе к компьютеру пользователя;

• обязательное наличие прав администратора для инсталляции и конфигурации программ

        Исключение составляют случаи, когда, например, злоумышленником является сам администратор. 

         Отметим, что законность или незаконность использования мониторинговых (и шпионских) программ зависит от законодательства каждой конкретной страны (или административной единицы, т.е. штата, автономной республики и т.д.), а также от соблюдения правил использования этих программ, установленных законодательством. 

4.1.Для чего используются мониторинговые программы 

          Их применение дает достаточно широкие возможности специалисту,ответственному за информационную безопасность предприятия.

Он может  следующее:

• определять (локализовать) все случаи попыток  несанкционированного доступа к  конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;

• определять факты несанкционированной установки  программного обеспечения;

• контролировать возможность использования персональных компьютеров в нерабочее время  и выявить цель такого использования;

• определять все случаи несанкционированного использования  модемов в локальной сети путем  анализа фактов запуска несанкционированно установленных специализированных приложений;

• определять все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;

• определять факты нецелевого использования  персональных компьютеров:

• получать достоверную информацию, на основании  которой будет разрабатываться политика информационной безопасности предприятия;

• контролировать доступ к серверам и персональным компьютерам;

• контролировать контакты собственных детей при  серфинге в сети Интернет;

• проводить  информационный аудит;

• исследовать и расследовать компьютерные инциденты;

• проводить  научные исследования, связанные  с определением точности, оперативности  и адекватности реагирования персонала  на внешние воздействия;

• определять загрузку компьютерных рабочих мест предприятия;

• восстанавливать критическую информацию после сбоев компьютерных систем и т.д. 

4.2.Для чего используются программы шпионы 

       Применение несанкционированно устанавливаемых мониторинговых программ позволяет злоумышленнику:

• перехватывать  чужую информацию;

• осуществлять экономический или политический шпионаж;

• получать несанкционированный доступ к системам «банк-клиент»;

• получать несанкционированный доступ к системам криптографии пользователя персонального  компьютера - открытым и закрытым ключам, парольным фразам;

• получать несанкционированный доступ к авторизационным  данным кредитных карточек и т.д. 
 
 
 
 
 

5.Предупреждение о программах-шпионах - 5 признаков 

      1. Замедленная работа компьютера.

Если  вы не вносили никаких кардинальных изменений в систему, и она  внезапно начинает работать медленнее, то вероятно, что вы имеете дело со шпионящим программным обеспечением, работающим без вашего ведома.

Проверьте выполняющиеся команды и работающие приложения, используя «Диспетчер задач Windows», и определите, что именно расходовало все ресурсы центрального процессора и памяти. Используйте Google для поиска операций с подозрительными названиями. Если в результатах фигурирует программа-шпион, вы должны, как можно скорее, использовать программное обеспечение для удаления программ-шпионов.  

      2. Антивирус и брандмауэр выключены. 

Некоторые программы-шпионы особенно опасны, они  отключат ваш антивирус и программы  брандмауэра. Это приведёт к ещё  большему количеству программ-шпионов, устанавливаемых на вашем компьютере. Удостоверьтесь, что антивирус и брандмауэр работают должным образом и обновлены. Будьте в поисках поддельных сообщений «Центра безопасности Windows». Некоторые программы-шпионы будут выдавать всплывающие сообщения. . Дополнительные иконки на рабочем столе.

Это один из наиболее очевидных признаков заражения шпионящим программным обеспечением. Если вы видите странные иконки на рабочем столе, особенно имеющие отношение к сайтам азартных онлайн игр, не щёлкайте на них. Попытка удалить или отклонить установку иконок может только всё осложнить. Вы должны использовать средство для удаления программ-шпионов, чтобы должным образом удалить эти программы. 
 
 

      4. Завышенный счёт за телефон. 

Данный  признак на сегодняшний день менее  распространён, но всё ещё случается. Программы наборного устройства представляют угрозу для любого пользователя со связью dialup для доступа в Интернет. Эти программы используют ваш модем, чтобы осуществлять дорогие междугородные разговоры, которые отразятся на суммах телефонных счетов. К сожалению, подобную угрозу сложно выявить заранее. Поэтому у вас появляется ещё одно веское основание использовать сканирование на наличие шпионящего программного обеспечения у вас на компьютере. 
 

      5. Программы кейлоггеры (программы  для перехвата информации) - вероятно, самая страшная форма программ-шпионов. Они делают запись всего, что вы набираете на клавиатуре вашего компьютера - от паролей до номеров кредитной карточки и других личных данных. Похищение этих данных может привести к злоупотреблению конфиденциальностью и финансовым сложностям. Если вы замечаете странную деятельность по любому из ваших банковских счетов или счетов кредитных карточек, свяжитесь с вашим финансовым учреждением и немедленно проведите сканирование на наличие программ-шпионов. 
 
 
 
 
 
 
 
 

6.Опасности для компьютерных систем 

      Одна  из наиболее опасных функций всех программ-шпионов и аппаратных устройств-кейлоггеров - регистрация нажатий клавиш, сделанных  пользователем, с целью контроля компьютерной активности. Когда пользователь набирает на клавиатуре пароль и данные своей кредитной карточки, возможно, в этот момент записывается каждое нажатие клавиши.

        Кроме этого, современные программы-шпионы позволяют захватывать текст из окон приложений и делать снимки (скриншоты) экрана и отдельных окон. Другими словами, программа-шпион может перехватить текст документа, даже если пользователь его не набирал с клавиатуры, а просто открыл и просмотрел файл.

          

      Подробнее остановимся на том, что же собой представляют продукты-шпионы, которые могут быть использованы для скрытого съема информации с персонального компьютера, и какие сегодня существуют средства для защиты конфиденциальной информации, хранимой на жестком диске, от описанных выше угроз. 
 
 
 
 
 
 
 

6.1.Программные кейлоггеры 

     Программные кейлоггеры (key-loggers, keyloggers, keystroke loggers, key recorders, key trappers, key capture programs и множество других вариантов названия) принадлежат к той группе продуктов, которые позволяют контролировать деятельность пользователя персонального компьютера.

   Первоначально программные продукты этого типа предназначались исключительно  для записи информации о нажатиях клавиш клавиатуры, в том числе  и системных, в специализированный журнал регистрации (log-файл), который  впоследствии изучался человеком, установившим эту программу.                                                                                                                            

      Log-файл может отправляться по сети на сетевой диск, ftp-сервер в Интернете, по e-mail и др. В последнее время программные продукты, имеющие данное название, выполняют много дополнительных функций - это перехват информации из окон, перехват кликов мыши, «фотографирование» экрана и активных окон, ведение учета всех полученных и отправленных писем, мониторинг файловой активности, системного реестра и очереди заданий, отправленных на принтер, перехват звука с микрофона и видео с веб-камеры, подключенных к компьютеру и др.

     Кейлоггеры могут быть встроены в коммерческие, бесплатные и условно-бесплатные программы, в троянские программы, вирусы и черви. В качестве примера можно привести недавнюю эпидемию червя Mydoom, который содержал в себе кейлоггер. Эта эпидемия вызвала целую волну публикаций, показывающих особую актуальность проблемы защиты от программ-шпионов.

       Многие серьезные и наиболее опасные предшественники Mydoom также содержали кейлоггеры.

    При этом нередко для распространения  червей использовалась широко известная  уязвимость IFrame браузера Internet Explorer, которая  позволяла запустить произвольный код на компьютере пользователя при простом просмотре html-документа в браузере или почтовом клиенте Outlook. И хотя она была «залатана» еще в 2001 году (http://www. microsoft.com/technet/security/ bulletin/MS01-020.asp), широкомасштабные вирусные эпидемии в недавнем прошлом еще раз показали, что многие пользователи до сих пор работают на устаревших системах без обновлений и патчей несмотря на регулярные предупреждения антивирусных компаний. Кроме того, компания Microsoft регулярно выпускает патчи, закрывающие уязвимости, позволяющие злоумышленнику выполнять произвольный код на компьютере пользователя.