По данным аналитиков компании Trend Micro (http://www.trendmicro.com), сегодня до 80% всех компьютеров заражены по крайней мере одним шпионским продуктом (spyware). Эти программы обычно проникают на компьютеры вместе со сторонним ПО и ведут наблюдение каждая за чем-то своим - за нажатием клавиш, за Web-адресами, за паролями и файлами. Но цель у них одна - накапливать и передавать своим разработчикам конфиденциальную информацию без прямого и явного разрешения пользователя. Этим они и опасны.

И вечный бой…

Еще весной 2005 г. мировые производители защитных программ констатировали, что эпоха почтовых вирусов близится к закату - их место займут троянцы и другие шпионские программы. По мнению директора компании Websense Security Labs Дэна Хаббарда, количество вирусов, распространяющихся с помощью электронной почты, демонстрирует устойчивую тенденцию к сокращению и, по всей видимости, будет сокращаться еще довольно долго. А Дэвид Перри, один из руководителей компании Trend Micro, объясняет этот процесс тем, что у каждого вида вредоносных программ есть свой цикл жизни, называемый эпохой, и эпохе почтовых вирусов приходит конец. Это, впрочем, не означает, что теперь пользователи Интернета смогут дышать свободно: на смену вирусам идут шпионские программы, с помощью которых разнообразные мошенники пытаются "заработать свой миллион".

В 2005 г. более 60% вредоносных программ пришлось на шпионское и рекламное ПО, и этот криминальный рынок бурно растет. Самым плодовитым видом такого ПО оказались троянцы (первое место в рейтинге "новинок"), следом за которыми весьма успешно выступают программы для фишинговых атак - онлайнового мошенничества, нацеленного на кражу конфиденциальных данных пользователей при помощи фальсифицированных электронных писем, полученных из якобы надежных источников (таких, как банки). Как отмечает Евгений Касперский, глава антивирусных исследований "Лаборатории Касперского", "…шпионские программы представляют собой очень серьезную угрозу. Они могут привести к краже конфиденциальной информации, включая банковские реквизиты пользователя". Рост числа фишинговых атак сопровождался и появлением новых видов онлайновых мошенничеств. Одно из них, известное как фарминг, заключается в изменении DNS-адресов, используемых для Интернет-браузинга. В результате пользователь, вводя адрес своего онлайнового банка, попадает на страницу, полностью имитирующую оригинальный сайт, но в действительности созданную хакером, который затем получает все вводимые пользователем данные. Следующими по распространенности шли компьютерные черви, которые обычно бывают высокоактивными, а также backdoor-троянцы или "дозвонщики".

Примерно 40% корпоративных пользователей сталкивались в своей работе со шпионским ПО, и далеко не все оказались в состоянии не только его распознать, но и бороться с его существованием на своих компьютерах. Однако лишь 45% респондентов, которые столкнулись со шпионским ПО в процессе работы, считают, что им был причинен вред. Это означает, что существует огромный разрыв между осведомленностью пользователей об опасности вредоносных программ и их способностью идентифицировать атаку программы-шпиона. В результате атаки часто остаются незамеченными, что приносит их инициаторам значимые дивиденды в плане информации.

Со шпионским софтом связан и еще целый ряд проблем: в частности, далеко не всегда пользователи понимают, из-за чего на самом деле нарушается работоспособность системы, и, будучи не в состоянии выяснить основную причину, начинают грешить на разработчиков ПО. Далеко не все понимают, откуда появляются бесчисленные всплывающие окна и почему при включении браузера вместо пустой или привычной домашней страницы пользователя выкидывает на неизвестный поисковый двигатель, а то и на некие ресурсы, не предназначенные для несовершеннолетних.

Нелегальный маркетинг

Вместе с тем шпионские программы могут использоваться в, казалось бы, невинном ПО или электронных устройствах, производимых тиражами в десятки и сотни тысяч экземпляров. Производители рассчитывают таким образом получить дополнительный источник маркетинговой информации: что люди делают, читают, покупают - в зависимости от типа продукции, разумеется. Особенно такие "информационные" модули выгодно встраивать в устройства и ПО, которое взаимодействует с Интернетом, получая дешевое средство передачи данных прямо на сайт производителя. Поняв такую игру, представители Евросоюза еще в 2002 г. заявляли, что ПО и медиа-плееры, независимо от марки производителя, будут подвергаться обязательному исследованию в соответствии с законом о защите личной информации. Представители Европейской комиссии вполне справедливо опасались за личную информацию пользователя и были совершенно уверены, что во многих программных продуктах скрываются программы-шпионы, которые отслеживают и собирают информацию о пользователе и его предпочтениях, а затем отправляют эту информацию разработчику ПО. Уже известны случаи, когда выявлялись такие шпионские модули - некоторые товары или даже их группы без лишнего шума, но жестко были запрещены к использованию на всей территории Евросоюза. После двух-трех "показательных порок" производители поняли, что с законодателями шутить не надо - можно лишиться прибыли, и внедрение шпионского ПО "легальными производителями" пошло на убыль.

Позже, в 2004 г., палата представителей Конгресса США одобрила законопроект, устанавливающий ответственность за распространение так называемых шпионских программ. Формально шпионские программы, в отличие от вирусов, не наносят пользователю ущерба. Распространяясь в основном через Интернет, они незаметно собирают разного рода персональную информацию о пользователе для отправки ее разработчикам или показывают рекламу. Законопроект об ответственности за распространение шпионских программ, получивший почти единогласное одобрение конгрессменов, предписывает устанавливать ПО такого рода только с согласия пользователя. Показательно, что законодательная инициатива была внесена Комиссией по энергетике и предпринимательству палаты представителей после того, как на компьютерах самих конгрессменов было обнаружено более 60 разновидностей шпионских программ. И в то время, да и сейчас, как отмечает Михаил Кондрашин, руководитель центра компетенции Trend Micro, программы-шпионы создаются профессиональными программистами в компаниях, для которых шпионское ПО - это основное направление бизнеса. Разумеется, свой профиль они считают маркетингово-исследовательским. Собственно шпионскую программу создать не сложно, тут важна остальная часть бизнеса - договориться с производителем действительно полезного ПО о внедрении своего компонента в его продукт и найти того, кто готов заплатить за собранные "маркетинговые" данные.

Примерно в то же время потребители во всем мире стали более внимательными, и крупные компании начали получать судебные иски по поводу вмешательства в частную жизнь. Такая судьба, к примеру, не миновала компанию Yahoo, которая осенью 2002 г. оказалась в центре скандала, связанного с нарушением приватности пользователей и сохранности их персональных данных. Как выяснилось, игры, предлагаемые пользователям портала в разделе Yahoo! Games, содержат в себе скрытое ПО, которое собирает информацию о поведении пользователей и пересылает ее на сервер Yahoo. Следует отметить, что Yahoo избрала традиционный способ сокрытия информации о встроенных приложениях - сведения о них содержатся только в пользовательском соглашении, которое, как правило, никто не читает.

В связи с поисковыми системами и Интернет-технологиями стоит упомянуть, что многие разработчики и аналитики относят к шпионским кодам еще и рекламные. Последние показывают рекламу на зараженном ПК и подменяют результаты поиска. Рекламные коды очень похожи на спам, но не распространяются по электронной почте. Дэвид Эмм, старший технологический консультант британского подразделения "Лаборатории Касперского", отмечает, что эти программы называются riskware - во многих случаях эти приложения вполне легальны, но могут служить противозаконным целям в руках преступника. В большинстве случаев шпионский софт, как ни странно, вполне законен (естественно, до тех пор, пока не начинает воровать пароли или уничтожать систему); более того, иногда наличие spyware выступает как плата за бесплатность загруженных игр или пиринговых клиентов: лицензии мало кто читает, а с юридической точки зрения человек, ликвидировавший шпионскую программу на своем компьютере, лишается права на использование и того серьезного софта, с которым шпионская программа попала на его компьютер. С другой стороны, такие программы имеют свойство просачиваться на компьютеры пользователей с некоторых сайтов (особенно сомнительной направленности), и здесь винить следует прежде всего самих пользователей. Зато руки у борцов со шпионским ПО оказываются развязанными: никакими лицензиями программы, проникающие на компьютер через уязвимости браузера, не покрываются. По мнению главного исследователя компании TruSecure Расса Купера, в Сети бушует подлинная эпидемия далеко не безобидного шпионского софта, и технологическим компаниям следует немедленно принимать меры, в частности, выпускать просветительские инструкции, рассказывающие о том, как уберечься от заразы.

Из свежих крупных скандалов стоит отметить проблемы Apple - в январе 2006 г. компанию обвинили в том, что она шпионит за своими пользователями. Дело в том, что новая версия пакета iTunes отслеживает, какую музыку слушают пользователи, и переправляет собранную информацию на серверы Apple. По словам борцов за сохранение тайны частной жизни пользователей, такая функциональность заложена в приложении MiniStore, на которую возложена обязанность рекомендовать пользователям интересные (с точки зрения программы) композиции. Чтобы помочь меломану в поиске новых песен, приложение определяет, какую музыку он слушает, и отправляет собранные сведения (в частности, информацию о названии трека, имени исполнителя и жанре, к которому композиция принадлежит) на сервер Apple. В этом не было бы ничего страшного, если бы к этому невинному набору данных программа не прилагала бы и данные об идентификационном номере пользователя iTunes, к которому привязана информация об адресе его электронной почты и номере кредитной карты. Несмотря на то что Apple категорически отрицает факт слежки за собственными клиентами, утверждая, что собранные роботом данные не хранятся на ее компьютерах, компании могут грозить крупные неприятности. По крайней мере, в 1999 г. компании RealNetworks пришлось отказаться от практики присвоения плеерам RealJukebox так называемых "глобальных уникальных идентификационных номеров" после обрушившейся на нее волны критики и последовавших за нею судебных исков.

Виды угроз

Врага надо знать в лицо. Поэтому остановимся на более точном описании типов подобных угроз. Как показывает практика, программ "в чистом виде" становится все меньше и меньше. Для того чтобы получать конфиденциальные данные, вирусное ПО могут настраивать как индивидуально для компьютера определенного человека или группы лиц, так и для класса компьютеров - к примеру, для машин с неустановленными "заплатками" для ОС (а значит, с известными брешами в защите) или без защитных программ, фильтрующих обращения к компьютеру из Интернета.

Наиболее коварными считаются так называемые дозвонщики (dialers) - программы, выполняющие дистанционное соединение компьютера с ресурсами провайдера, который предоставляет доступ в Интернет по коммутируемому каналу (через модем). Для многочисленных пользователей по всей стране (кроме Москвы) это до сих пор основной тип доступа, чем авторы шпионского ПО и пользуются. Здесь речь идет скорее не о получении конфиденциальных данных, а о мошенничестве. Дело в том, что вместо "родного" Интернет-провайдера такая программа (скажем, один раз из десяти) звонит на модемный пул поставщика совсем других услуг (к примеру, порнографических). При этом как сама компания, так и ее телефонные номера находятся в другой стране, и в этом случае применяется поминутная тарификация соединения - несколько долларов за минуту. Особенно накладно в таких случаях звонить с сотового телефона: GPRS-соединение прерывается, и инициализируется набор прямого номера за границу, а пользователь в первые 2-3 минуты даже не понимает, что происходит. Но этого достаточно, чтобы деньги со счета были списаны.

Шпионские программы, в отличие от компьютерных вирусов, пытаются проникнуть на компьютер пользователя не сами по себе, а "в нагрузку" к какому-либо полезному ПО. Яркий пример - бесплатные программы для скачивания файлов из Интернета, их устанавливают почти все, кому знакомы обрывы связи. Так вот, шпионский модуль может запускаться вместе с такой программой, в фоновом режиме получать доступ к ресурсам своих "хозяев" (простейший случай - вирусный код на бесплатном хостинге) и запускать уже более серьезные вирусы на машине пользователя. Причем для программы-стража (если она установлена на компьютере пользователя) поток этого трафика будет считаться "доверенным" - он идет от программы закачивания, которой пользователь разрешил доступ в Сеть. Таким образом, программы закачки могут быть использованы как троянцы во вред пользователю. Расширение этого случая - возможность для злоумышленника скрытно установить или получить права доступа администратора к уже существующему FTP-серверу на компьютере пользователя. Это открывает доступ ко всем его файлам, а также контроль над проводимыми операциями по log-файлам - в числе прочих такой способ обеспечивает быстрое и легкое копирование конфиденциальной информации с компьютера пользователя.

Получить контроль над компьютером пользователя можно и с помощью специально для этого разработанной утилиты telnet. Правда, она была создана в мирных целях (дистанционная настройка компьютеров, помощь пользователям и т. д.) еще на заре информатизации, но с тех пор неоднократно модифицировалась - по сути еще один "троянский конь", с функциями двойного назначения. Еще один класс подобных программ - утилиты удаленного администрирования, к примеру, RemoteAdmin. С одной стороны, эти инструменты позволяют системному администратору удаленно управлять рабочими станциями в сети предприятия. С другой стороны, с помощью тех же самых утилит можно злонамеренно управлять компьютером ни в чем не повинного пользователя. Известны случаи, когда после увольнения администратора на предприятии выключались локальные сети и происходили непоправимые ошибки с системами электронных платежей.

Крупные компании, собирающие большие массивы данных о сотнях тысяч или миллионах пользователей, любят применять всевозможные модификации программ мониторинга. В обычных условиях эти утилиты позволяют следить за ресурсами компьютера, собирать внутреннюю статистику о сетевом трафике и активности в Интернете и хранить всю эту информацию на компьютере пользователя. Однако есть и скрытые возможности - подобные программы легко отдают данные, а специально созданное такого рода ПО может работать в фоновом режиме так, что пользователь их никогда не обнаружит. С их помощью, к примеру, выявляются предпочтения пользователей при работе с Интернетом вообще или с конкретными страницами в частности, марка и модель компьютера, данные об Интернет-провайдере, скорости соединения, используемые программы и сервисы и т. д.

Кроме всего прочего, в шпионском ПО, как и в любом другом, могут быть ошибки, приводящие к видимым сбоям. К сожалению, в случае со шпионскими программами не всегда ясно, кого винить в сбое, так как источник проблемы пользователю неизвестен. По данным Microsoft, более 50% обращений в техническую поддержку о сбоях в Windows - результат действия шпионского ПО. Для корпоративной сети это выливается в дополнительную нагрузку для системных администраторов.

Щит и меч

Почти все крупные производители антивирусных программ имеют в своем арсенале программные модули, эффективно вычищающие шпионское ПО из корпоративных сетей. Другое дело, насколько корректно они это делают. В неофициальных беседах разработчики признаются, что часто шпионский код так чисто вписан в общую концепцию какой-либо программы, что удалить его оттуда без нарушения целостной работы этого ПО просто невозможно. Существует и специальный класс свободно распространяемых программ, служащих ширмой для spyware, - к примеру, всевозможные бесплатные скринсейверы. С другой стороны, если заставить штатный антивирус реагировать на любую потенциально опасную программу, пользователь столкнется с массой ложных срабатываний. Дело в том, что многие представители класса riskware поставляются по умолчанию с ОС - причем это вполне оправданно, так как в некоторых случаях полезность такого рода утилит несомненна. Наглядно демонстрирует чрезвычайную жесткость такого подхода ("реагировать на всех и каждого") программа telnet, уже не одно десятилетие входящая в состав ОС Windows, Unix и Linux.

Нельзя пойти и на другую крайность - вообще забыть об условно опасных кодах. Не говоря уж о кражах и уничтожении информации, любая riskware-программа приводит к некоторому замедлению работы компьютера, дополнительной нагрузке на сетевые соединения. Известно, что даже намек на неправомерное проникновение в компьютерные системы может быть серьезным ударом по репутации компании. Если вспомнить статистику прошлого года, то большинство проникновений с кражей персональных данных пользователей совершались с помощью шпионского ПО - оно позволяло узнать, где лежат нужные файлы, или предоставляло шанс выкрасть системные пароли администратора. Только в США за прошлый год было зарегистрировано 130 успешных попыток взлома, что стало потенциальной угрозой распространения личных данных 55 млн американцев. Представители технического отдела Министерства финансов США отмечают, что личную информацию американских граждан в 2005 г. воровали практически каждый день. В этой связи стоит вспомнить, что у Marriott International украдены номера социального страхования 206 тыс. человек, Ford Motor признала, что "потеряла" анкетную информацию 70 тыс. своих настоящих и бывших служащих, одно из американских отделений голландского банка ABN Amro сообщило, что пропала информация о 2 млн клиентов, а подразделение Sam's Club компании Wal-Mart объявило о том, что "возможно, 600 держателей кредиток, заправлявшихся на наших заправках, стали объектами компьютерных мошенников". Кроме того, в этом году о "потерях" персональных данных заявляли такие американские корпорации, как CitiFinancial (3,9 млн клиентов), информационная компания Merlin Data Services (9 тыс. человек), Westborough Bank, Wachovia и даже Bank of America. Хакеры не обошли стороной даже Пентагон - летом военное ведомство признало, что потеряло личные данные нескольких тысяч своих пилотов.

В России этот год также был отмечен крупными кибермошенничествами - у нас на рынке дважды появлялись базы данных Центробанка о банковских проводках, а также база данных о доходах 9,3 млн москвичей. Учитывая тот факт, что все указанные базы хорошо защищены от взлома извне, логично предположить, что большинство из них "открывались" весьма аккуратно - с помощью паролей администратора, полученных в результате работы шпионских программ.

Таким образом, оставлять потенциально опасные программы "в покое" никак нельзя. Наиболее корректное решение - золотая середина. Так, многие крупные компании, производящие антивирусы, разработали отдельные утилиты, детектирующие лишь потенциально опасные программы; есть подобные изделия и от независимых разработчиков. Администраторам сетей стоит более внимательно не только контролировать активность spyware, но и детектировать потенциальные угрозы от riskware-программ. Пользователям же следует проверить весь жесткий диск на наличие условно опасных программ. Если они будут обнаружены, то автономная утилита или штатный антивирус обязательно покажут описание каждой riskware-программы. В подавляющем большинстве случаев антивирус сможет определить, опасна эта программа или нет, но иногда пользователю придется самостоятельно принять решение о вредоносности подозрительной утилиты на основании следующих параметров: устанавливал ли он ее самостоятельно, можно ли удалить ее с помощью стандартных средств Windows, говорится ли о какой-нибудь подозрительной функциональности в лицензионном соглашении к данной программе. После того как инспекция проведена, необходимо поставить под контроль установку всех новых программ, т. е. включить в антивирусе защиту от riskware или установить специальную утилиту.

Есть и дополнительные методы защиты. Самый простой и доступный совет - никогда не устанавливать ПО, которое назойливо передается на сомнительных сайтах, внимательно и даже критически читать сообщения браузера о попытках установки ActiveX-компонентов, а также внимательно читать лицензионное соглашение и не устанавливать продукт, если в соглашении есть намеки, что продукт оставляет за собой право отправлять в Интернет какие-либо сведения. Если не использовать специализированное антишпионское средство, то избавиться от шпионской программы, которая уже установлена на компьютере, можно двумя способами. Во-первых, имеет смысл воспользоваться родным деинсталлятором этой программы: многие программы со шпионскими компонентами честно деинсталлируются целиком. Второй способ - это недоступный большинству пользователей процесс ручного вычищения шпионской программы из системы, требующий высокой квалификации.