Блицопрос. Что такое программы-шпионы и как с ними бороться?

Сегодня наблюдается лавинообразное распространение в Сети разного рода программ, которые устанавливаются на ПК без ведома пользователей. В лучшем случае они досаждают рекламой, в худшем – собирают личную информацию и пересылают своим хозяевам. О масштабах проблемы и средствах борьбы с ней рассказывают специалисты в области компьютерной безопасности.

Сергей Антимонов

председатель совета директоров ЗАО «ДиалогНаука»

В программах типа spyware используются различные технологии, но одна из наиболее опасных – так называемый «клавиатурный шпион» (keyboard-logging Trojan horse), позволяющий втайне от пользователя вести протокол нажатия клавиш на клавиатуре с последующей пересылкой этих данных злоумышленникам.

Известно, что какое-то время назад разработчики антивирусов не включали в свои базы сигнатуры программ spyware/adware по той причине, что они не являются вирусами, хотя те же «троянские кони», которые относятся к данной категории, уже давно прописаны в вирусных базах.

Борьба со «шпионами» началась примерно год назад. Тогда в прессе появилось сообщение, что на домашнем компьютере Билла Гейтса, где никогда ранее не были зафиксированы вирусы, найдена программа из разряда spyware/adware, что заставило Microsoft всерьез заняться этой проблемой. В декабре 2004 г., когда корпорация купила производителя средств борьбы с программами-шпионами и программами-рекламами Giant, она представила бета-версию Windows AntiSpyware, а также заявила о планах выпуска к концу 2005 г. своего собственного антивируса, построенного на ядре от румынской GeCAD.

30 ноября 2004 г. о начале бета-тестирования специальной базы, позволяющей обнаруживать программы adware/spyware, объявила компания «Доктор Веб», а уже 2 февраля 2005 г. она выпустила ее вторую бета-версию. В свою очередь, Computer Associates, у которой есть две линейки антивирусных продуктов (Inoculate и Vet), в августе 2004 г. купила PestPatrol, обладающую одним из лучших ПО для борьбы со spyware/adware, и теперь поставляет клиентам эти продукты вместе со своим программным обеспечением для борьбы с вирусами и нежелательной почтой.

«ДиалогНаука» предлагает антивирусы от компании Sophos, которые уже имеют в своих базах средства борьбы с вредоносным кодом класса spyware/adware.

Необходимо отметить, что до 2005 г. подобные программы были в основном платными, однако действия Microsoft, пообещавшей безвозмездно предоставлять утилиту Windows AntiSpyware, конечно, «перекроят» данный рынок.

Алексей Задонский

технический консультант Computer Associates

Стоит признать, что антивирусное ПО не является 100%-ной защитой от вредных программ. Это связано с полиморфизмом и другими особенностями вирусов. Многие вредоносные коды можно отследить только по их действиям. Однако в случае использования корпоративного шлюза с антивирусным экраном, который работает под управлением ОС, отличающейся от платформ пользователей, сделать это крайне трудно.

Считается, что на каждом втором компьютере, подключенном к Интернету, установлена та или иная версия spyware, adware или иного софта, препятствующего его нормальному функционированию. Степень угрозы spyware зависит от того, что именно делает эта программа, и от значимости информации, с которой работает пользователь, поэтому в корпоративной среде подобная проблема имеет критический характер и требует серьезных мер по защите данных.

Spyware определяются по поведению, настройкам ПО компьютера (записи в регистре, установки браузера и др.) с использованием базы знаний вендора. Например, известно, что запуск программы удаленного управления компьютером неминуемо активирует antispyware.

Для противодействия программам-шпионам наша компания предлагает систему eTrust PestPatrol как в виде отдельного продукта, так и в составе пакетов для индивидуального и корпоративного применения. В первом случае это комплексное решение EZ-Armor, которое включает антивирус, персональный межсетевой экран, а также средство борьбы со spyware.

В ближайшее время программы обнаружения и удаления «шпионов» как отдельные продукты будут по-прежнему распространяться платно, но в более отдаленном будущем подобная функциональность будет встроена в антивирусные пакеты.

Евгений Касперский

руководитель антивирусных исследований «Лаборатории Касперского»

Прежде всего хотелось бы подчеркнуть, что так называемая проблема spyware просто-напросто надумана. Речь идет о «троянских» программах со шпионской и backdoor-функциональностью, а также о ПО класса adware и riskware (потенциально вредоносные процессы, требующие от пользователя осознанного решения по их использованию). Последние и составляют большинство программ, которые принято называть «шпионскими».

Средства защиты от этих кодов уже включены в ряд популярных антивирусных решений. В частности, пользователи «Антивируса Касперского» с выходом пятой версии системы получили возможность защиты от таких угроз посредством загрузки расширенных антивирусных баз, в том числе против riskware и adware. Что касается «троянцев», защита от них всегда обеспечивалась «традиционными» антивирусными решениями.

В целом, явление под названием spyware служит, по моему мнению, всего лишь маркетинговым трюком с целью смыслового отделения новых продуктов от традиционных средств информационной защиты. Вне зависимости от условий их распространения я бы предостерег пользователей от установки такой эрзац-защиты. В условиях взрывного роста виртуальной преступности нет ничего хуже, чем иллюзия безопасности.

Таким образом, мы считаем, что выпуск antispyware как отдельных продуктов лишен практического смысла.

Фернандо де ля Квадра

международный технический редактор Panda Software

Уже сегодня на компьютерах многих пользователей установлено шпионское ПО, о чем они могут даже не подозревать. Их личная информация (например, о том, какие сайты они посещают) становится достоянием общественности. Последствия этого могут быть самыми серьезными – помимо получения спама, нарушается право на тайну личной жизни, которое в наше время представляет собой большую ценность.

Чаще всего в таких программах используются классические технологии, такие как социальная инженерия (предугадывание и программирование действий пользователя), а также уязвимость ПО. Кроме того, они рассчитаны на неквалифицированных пользователей – они устанавливаются на компьютер обманным путем.

На наш взгляд, не следует разделять традиционные антивирусы и средства защиты от spyware. Механизмы, используемые для борьбы с вирусами, могут применяться также против шпионских программ. Если такие продукты не совмещены, это говорит, как правило, об отсутствии комплексного подхода или технологии по борьбе со всеми возможными угрозами сразу.

Antispyware должны быть лишь частью комплексного решения. Продвижение таких программ в качестве отдельных противоречит взгляду на безопасность как на комплексную проблему. И частные, и корпоративные пользователи нуждаются в таких средствах, которые бы защитили их от всего – от вирусов, программ-шпионов, «троянов», ботов, «червей», хакеров, назойливой рекламы. Решение должно быть единым. Иной подход дает ложное ощущение безопасности, оставляя в компьютерных системах много «открытых дверей».

Мы предлагаем бесплатный онлайновый сканер ActiveScan, который позволяет обнаруживать и удалять spyware, а также другие вредоносные программы. Для потребителей, которые не относятся к специалистам в области компьютерной безопасности, есть комплексное решение Titanium Antivirus 2005, а для более опытных – Platinum Internet Security 2005.

В корпоративном сегменте нашими основными продуктами являются Panda BusinesSecure и Panda EnterpriSecure, а также GateDefender (полное аппаратно-программное решение по защите сетей).

Екатерина Николаева

маркетинг-менеджер Symantec по России и СНГ

Шпионские программы работают в интересах сторонних лиц, наблюдая за действиями пользователя и собирая информацию о нем. Степень ущерба от таких программ может варьироваться от «умеренной» до «катастрофической».

Мы разделяем три уровня вмешательства spyware в зависимости от урона, который оно наносит. На самом низком риск минимален, а вот на втором и третьем уровнях пользователи уже не в состоянии без специальных средств ограничить свободу действия шпионского ПО. Запускаясь при каждой загрузке ОС, они могут установить полный контроль над ПК, запросить любые данные и передать их внешнему получателю.

Системы противодействия шпионскому программному обеспечению содержат инструменты их обнаружения и удаления, а некоторые предлагают разные формы резидентной защиты. Персональные сетевые экраны включают эвристические функции, которые могут блокировать «злонамеренный» код, прежде чем он достигнет системы пользователя. Мощный сетевой экран в сочетании с превентивными мерами против программ-шпионов способны создать относительно надежную защиту.

На данный момент у Symantec имеются следующие продукты для защиты от шпионских программ: для частных пользователей – Norton Antivirus 2005 и Internet Security 2005, а для корпоративных – Symantec Client Security 2.0 и Antivirus Corporate Edition 9.0.

Таким образом, предлагаемые нашей компанией средства для защиты от шпионских программ включены в антивирусные продукты, обеспечивая комплексную безопасность как персональных компьютеров, так и корпоративных сетей.

В ближайшее время Symantec не планирует распространять эти продукты бесплатно. Однако для корпоративных пользователей предлагается возможность получения trial-версии продукта сроком на 1 месяц.

Александр Орехов

руководитель отдела маркетинга «Майкрософт Украина»

Шпионские программы и другое «злонамеренное» ПО являются весьма злободневной проблемой, актуальной для 67–80% пользователей ПК (по данным исследований IDC и NCSA, проведенных в 2004 г.). Именно с ней связана треть сбоев в работе Windows XP (по данным Watson Crash Data). Широкое распространение шпионского ПО также является проблемой для наших партнеров, производителей OEM-оборудования, интернет-провайдеров, что подтверждается огромным количеством обращений в центр поддержки Microsoft.

Роль вирусов, «червей», «троянов» изначально вполне ясна, и им может успешно противостоять традиционное антивирусное ПО. В то же время существуют так называемые пограничные программы, которые могут работать без ведома и контроля со стороны пользователя с целью несанкционированной демонстрации рекламы, сбора данных, внесения изменений в конфигурацию, мониторинга, установки нежелательной связи, удаленного использования ресурсов. Такое ПО не всегда обнаруживается антивирусами вследствие иных механизмов и схем действия.

Частью стратегии Microsoft, направленной на повышение безопасности своих клиентов, стал выпуск в феврале 2005 г. двух новых решений, призванных предоставить дополнительную защиту от влияния шпионского и другого вредоносного ПО. Наши клиенты могут загрузить через Интернет первую бета-версию Microsoft Windows AntiSpyware и инструментарий для удаления «злонамеренного» ПО Microsoft Windows Malicious Software Removal Tool, которые дополняют традиционные антивирусные пакеты. Эти решения построены в том числе на базе возможностей превентивной защиты, предусмотренных в Windows XP Service Pack 2.

Подчеркну, что наши решения не отменяют необходимости установки антивирусного ПО, а только дополняют его. Мы считаем, что защита компьютера должна быть комплексной. Так, проверка наличия вредоносных программ может выполняться пользователем раз в месяц, ее также следует рассматривать как инструмент для неотложной помощи.

Сегодня вышеуказанные продукты распространяются бесплатно. В дальнейшем в рамках программы Windows Genuine Advantage предусмотрено их свободное распространение только для пользователей лицензионного ПО Microsoft.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365