FAKULTET ZA TRGOVINU I BANKARSTVO “JANIĆIJE I DANICA KARIĆ”

SEMINARSKI RADTEMA: Spyware i zaštita

Mentor: prof.dr. Gordana Đorđević Kandidat: Nikola Rakić 67/2010

Spayware i zaštita Nikola Rakić

Januar, 2011.godine

SADRŽAJ

UVOD.............................................................................................................................................................................3

1. Istorijski osvrt i razvoj spyware-a............................................................................................................................4

2. Spyware kao malware softver..................................................................................................................................4

3. Razlika između spyware-a i virusa..........................................................................................................................5

4. Adware i spyware....................................................................................................................................................6

5. Pojam spyware-a i kako funkcioniše........................................................................................................................6

5.1. Vrste spyware-a....................................................................................................................................................7

5.2. Načini inficiranja-dobijanja spyware-a............................................................................................................8

5.3. Simptomi spyware-a........................................................................................................................................9

5.4. Vrste preuzimanja koje mogu da sadrže spyware softver...............................................................................10

6. Zaštita od spyware-a..............................................................................................................................................12

6.1. Sigurnosne mere............................................................................................................................................12

6.2. Firewall..........................................................................................................................................................12

6.3. Anti-spyware program...................................................................................................................................13

6.4. Neregularni anti-spyware program.................................................................................................................15

ZAKLJUČAK................................................................................................................................................................16

LITERATURA..............................................................................................................................................................17

2

Spayware i zaštita Nikola Rakić

UVOD

Živimo u doba kada je skoro nemoguće obavljati svoje obaveze bez kompjutera. Kompjuteri su postali sastavni deo naših života, bilo da se radi o obavljanju posla, razonodi, druženju, informisanju.

Dostupnost informacija, globalna povezanost, multimedijalni sadržaji, veliki kapacitet skladištenja podataka, mogućnost obavljanja različitih poslova u isto vreme, sa jednog mesta, a pritom poprilično niska cena u svakom pogledu - sve su to stvari koje nam omogućava jedan računar i koje nam čine život mnogo lakšim. Ali, isto tako, postoje i stvari koje nam otežavaju život u toj sferi, tačnije, otežavaju rad na računaru.

U malim, sigurnim sredinama ne zaključavaju se vrata. Svi se međusobno poznaju i krivicu bi bilo teško sakriti. Internet je takođe nekada bio mala sredina. Na njemu jednostavno nije bilo mnogo sadržaja koji bi zanimali spoljni svet. Akademski korisnici, koji su Internet stvorili i u to se vreme jedini njime služili imali su zajednički interes. Računarskog kriminala nije bilo pa nije bilo ni potrebe da se od njega na bilo koji način štiti.

Danas nije tako. Danas najveći broj pretnji upravo vreba sa interneta. Sa povećanjem korisnika Interneta, povećanjem brzine Interneta, brzine downloada povećala se i količina skinutog materijala koja je inficirana nekim od zlonamernih kodova.

U ovom radu ću se baviti problemom spyware-a, softvera za neželjeno praćenje rada na računaru, jednim od problema sa kojim je vrlo verovatno susretanje pri korišćenju računara, tj. tačnije, interneta. Odabrao sam ovaj problem pošto mislim da je većina ljudi upoznata sa postojanjem i opasnošću virusa, kao i načinima zaštite od istih, dok je po pitanju spyware-a taj procenat znatno manji. Takođe, i sam provodim dosta vremena za računarom i koristim ga za obavljanje mnogih poslova, tako da će ova saznanja ubuduće i meni koristiti.

3

Spayware i zaštita Nikola Rakić

1. Istorijski osvrt i razvoj spyware-a

Prvo registrovano korišćenje termina spyware je od 16. oktobra 1995., u Usenet (globalna mreža osnovana 1979. na Duke univerzitetu, funkcionisala je na principu e-mailu sličnih tekstova koji su se nazivali “članci”, koji su bili primani, čuvani i dalje prosleđivani velikom broju servera. Individualni korisnici su mogli da da download-uju i postuju svoje članke sa/na servere, koji su ih opet dalje prosleđivali )1 postu koji je ismevao način rada Microsofta. Spyware se u početku odnosilo na hardware koji je bio korišćen u svrhe špijunaže. Međutim, na početku 2000-te, osnivač Zone Labs-a (Kompanija sigurnosnih softvera, osnovao je Gregor Freund, bavi se proizvodnjom i distribucijom firewall, anti-spyware i anti-virus proizvoda)2 Gregor Freund koristi ovaj termin u svom obaveštenju za štampu za tada nastali ZoneAlarm Personal Firewall. Od tada, termin spyware ima svoje trenutno značenje.

Na početku 2001. Steve Gibons4 je shvatio da je softver za reklamiranje bio instaliran na njegov sistem i posumljao da je krao njegove lične informacije. Nakon analize, utvrdio je da je to bio adware (varijanta malicioznog softvera koji prikuplja i šalje podatke o ponašanju korisnika kompjutera bez njegovog znanja)3 kompanije Aureate (kasnije Radiate) i Conducent. Gibson je razvio i izdao prvi antispware program - OptOut, za kojim su usledili mnogi.

Prema istraživanju American Online-a iz novembra 2004. i Nacionalne Sajber-Sigurnosne Alianse (National Cyber-Security Alliance), 80% korisnika računara ima neku vrstu spyware-a, sa prosekom od 93 spyware komponente po kompjuteru (u ovakve računice se obično ubrajaju i “kolačići”, koji raportuju nazad web-sajtovima, ali nisu softveri). 89% korisnika se izrazilo da nisu znali za njihovo postojanje, dok 95% nije dalo dozvolu za instalaciju spyware-a. Do 2006. spyware je postao jedna od primarnih pretnja za kompjutere sa Microsoft Windows operativnim sistemom. Po proceni zasnovanoj na logovima koje su mušterije slale, Webroot Sofware, stvaraoci Spy Sweeper-a, kažu da je 9 od 10 računara povezanih sa internetom zaraženo. Računari koji koriste Internet Explorer (IE) kao primarni pretraživač su posebno ranjivi zbog njegove stalne integracije sa windows-om, što dopušta spyware-u da dopre do najbitnijih delova operativnog sistema.4

2. Spyware kao malware softver

Pojam malware5, je termin koji se koristi za sve vidove programa koji nanose štetu, bilo da se ona odnosi na sigurnost podataka na računaru ili na štetu nanetu korisnikovoj privatnosti. Postoje malware programi koji ne nanose nikakvu štetu sistemima već postoje samo zbog toga da bi njihov autor isprobao metode širenja, pa je za njih vezano dvoumljenje da li se uopšte mogu svrstati u malware. S obzirom da bespotrebno zauzimaju memorijski prostor i koriste mrežne veze za širenje, odgovor je ipak da. Odnosno malware je softver napravljen tako da se neprimetno ubaci u sistem računara i načini neku vrstu štete. Malware može biti računarski virus, crv, trojanski konj, spyware, adware ili neki drugi štetni program.

Malware programi se klasifikuju prema tome šta čine, kako se izvršavaju, i prema načinu na koji se umnožavaju. Međutim postoje i “hibridni” malware programi koji kombinuju osobine više vrsta. Zajedničko za sve vrste malware programa je to da se šire uglavnom bez obzira na volju korisnika, osim ukoliko sam korisnik ne želi da “zarazi” određeni sistem, i na taj način ga ugrozi. 1 http://sh.wikipedia.org/wiki/Usenet2 http://en.wikipedia.org/wiki/Zone_Labs3 http://en.wikipedia.org/wiki/Adware4 http://en.wikipedia.org/wiki/Spyware5 http://bs.wikipedia.org/wiki/Malware

4

Spayware i zaštita Nikola Rakić

Motivi za ovakvo ponašanje nekih korisnika mogu biti različiti: Edukativni dokazivanje u hakerskom svetu finansijska korist istraživanjem ponašanja korisnika kako bi se svrstali u određenu ciljnu grupu, a

potom servirale određene reklame industrijska špijunaža krađa novca elektronskim putem prenošenje raznih drugih poruka (političkih, ličnih, pa čak i totalno besmislenih).

Postoji nekoliko osnovnih vrsta malware programa, među kojima su:1. virusi2. crvi (worms)3. wabbiti4. trojanci5. backdoor programi6. spyware/adware7. exploiti8. rootkit-ovi

Osobine različitih vrsta malware programa se u velikom broju slučajeva kod virusa zapravo kombinuju, tako da je ponekad veoma teško odrediti kojoj vrsti malware-a neki virus pripada.6

Spyware je takođe široka kategorija malware softvera sa namenom da presreće ili preuzima delimično kontrolu rada na računaru bez znanja ili dozvole korisnika. Dok sam naziv sugeriše da je reč o programima koji monitorišu rad korisnika, ovaj naziv danas označava široku paletu programa koji iskorištavaju korisnikov računar za sticanje koristi za neko treće lice.

3. Razlika između spyware-a i virusa

Prosečan korisnik interneta ima velikih problema da uoči razliku između virusa i spyware programa. Razlike su zaista suptilne. I jedni i drugi su maliciozni, nisu pozvani (upadaju) I potencijalno su opasni po operativni sistem. Oba imaju mogućnost da “uhvate” i unište informacije, oslabe performanse računara, i ometaju u svakodnevnom poslu.

Virusi su programi ili programski kodovi koji se učitavaju bez našeg znanja, a pisani su sa namerom da nanesu neku štetu računaru. Lako se umnožavaju samostalnim kopiranjem a kako su aktivni u memoriji zaraziće svaki pokrenuti program. Brisanje programa, blokiranje računara ili kompletno formatiranje diska su neki od načina delovanja virusa.

Spyware se obično ne replicira, tj. ne širi se direktno kao računarski virus ili crv (u opštem slučaju zaraženi računar ne pokušava preneti infekciju na druge računare). Spyware se postavlja na sistem kroz prevaru korisnika koristeći propuste u drugim programima.

I spyware programi i virusi se isporučuju preko web sajtova i fajlova koji se skidaju sa Interneta, kao i preko email poruka, tj. preko “attachment” fajlova koji su zakačeni uz email poruke. Razlika je što, dok se virus

6 http://en.wikipedia.org/wiki/Malware5

Spayware i zaštita Nikola Rakić

krije u kompjuteru i pokušava da se raširi na druge računare preko e-maila ili slično, Spyware programi prilepljeni uz neki mali koristan i besplatan program polako i natenane sakupljaju lične podatke sa računara, utvrđuju navike korisnika, i podatke o svemu tome dosta vešto i neprimetno šalju kroz mrežu svojim autorima, dok neki počinju i otvoreno da smetaju. Kao mnogi novi virusi, spyware je dizajniran da iskorištava inficirane računare za komercijalni dobitak. 7

4. Adware i spyware

Spyware i adware programi su varijante malicioznog softvera koji prikuplja i šalje podatke o ponašanju korisnika kompjutera bez njegovog znanja. Oba programa mogu vršiti puno različitih funkcija uključujući prikazivanje neželjenih reklama, prikupljanje privatnih podataka kao što su brojevi kreditnih kartica, rerutiranje zahteva za web stranicama kako bi se ostvarili prihodi od referisanja novih korisnika, instaliranje teško uočljivih “dialera”, itd...

Termin adware se često odnosi na bilo koji program koji prikazuje reklame, bez obzira da li to radi sa dozvolom korisnika ili ne. Adware se u mnogome poklapa sa definicijom spyware-a, sa tom razlikom da adware-a isključivo služi u komercijalne svrhe (ad je skraćenica od advertisment). Adweri prikazuju reklame kao alternativu plaćenoj licenci. Mada su često sporedni efekat spyware-a, oni sami po sebi ne rade sumnjivo i ne obmanjuju korisnika.

Najprostiji adware program će “bombardovati” iskačućim reklamama, dok će sofisticiraniji alati isporučivati ciljne reklame. Adware programi prikupljaju informacije o ponašanju korisnika, web sajtovima koje korisnik posećuje i uz pomoć različitih mehanizama (najčešće cookie, activeX, javascript), istim korisnicima se serviraju odgovarajuće reklame za slične sajtove ili servise, nude odgovarajući proizvodi putem emaila i sl.

Jedna od ključnih razlika između spyware i adware-a je što računar može biti zaražen spyware programom, a da se to ne primeti, dok adware pokušava da privuče pažnju na sebe. Takođe, adware je manje opasna vrsta. Ne prenosi lično identifikujuće informacije, ili makar sakupljač obećava da ih neće prodati. Umesto toga, nakupljene informacije o korišćenju su sakupljene, i poslate negde na internet.

Postoji i veliki broj programa klasifikovanih kao spyware koji funkcionišu kao adware u drugom smislu: njihova glavna osobina je prikazivanje reklama. Claria Corporation Gator Software je primer ovakvog programa. Određene stranice često tajno instaliraju Gator na računar posetioca, i usmeravaju prihode na vlastitu stranicu i Claria korporaciju prikazivanjem reklama korisniku. Korisnik primeti ovo na taj način što mu računar bez ikakvog upozorenja počne prikazivati veliki broj pop-up reklama. Pojava spyware je bacila sumnju i na druge programe koji prate surfovanje internetom, čak i za statističke i istraživačke potrebe. Neki posmatrači opisuju Alexa Toolbar, Internet Explorer plug-in napravljen od strane Amazon.com, kao spyware (i neki anti-spyware programi ga tako i prijavljuju) iako korisnici sami odlučuju da li ga žele instalirati.8

5. Pojam spyware-a i kako funkcioniše

Spyware je softver koji prenosi lično identifikujuće informacije iz kompjutera na neko mesto na internetu bez posebnog znanja i izvodi određene radnje, u zavisnosti od vrste spyware-a.Tipične taktike su:

prikazivanje nezahtevanih pop-up reklama; krađa ličnih informacija (uključujući i finansijski informacije kao što su brojevi kreditnih kartica i

lozinke) u toku popunjavanja web formulara;

7 http://www.madnet.rs/razno/zastita.php8 http://www.bhtelecom.ba/sigurnost_clanak0+M5b38aa50671.html

6

Spayware i zaštita Nikola Rakić

praćenje aktivnosti na internetu za marketinške svrhe; menjanje konfiguracije računara; preusmeravanje HTTP zahteva na reklamne stranice.

Spyware nije tipičan proizvod koji sami instaliramo, već mali dodatak koji može, ili ne može, biti onemogućen za vreme instalacije. U najčešćim slučajevima, EULA negde sadrži nekoliko redova koji govore o stvarima privatnosti, ali tipično za najveći broj korisnika je da ne pročitaju kompletan EULA i da nikad ne saznaju da imaju spyware na njihovom sistemu.Spyware je postao standardan problem za računare sa Microsoft Windows operativnim sistemima.

Spyware softver je često deo softvera za prikazivanje reklama (koji se zove reklamni softver) ili softvera koji prati lične ili poverljive podatke. To ne znači da je svaki softver koji prikazuje reklame ili prati aktivnosti na mreži loš. Na primer, može se prijaviti za uslugu besplatne muzike koja će se „platiti“ tako što se pristaje na primanje određenih reklama. Ukoliko su uslovi pročitani i na njih se pristalo, verovatno je odlučeno da je to poštena razmena. Uvek se može dozvoliti nekoj kompaniji da prati aktivnosti na mreži kako bi utvrdila kojereklame da nam prikazuje. Druge vrste neželjenog softvera će vršiti izmene na računaru koje mogu da smetaju, ali i da izazovu usporavanje računara ili pad sistema. Takvi programi imaju sposobnost da promene matičnu stranicu ili stranicu za pretragu Web pretraživača, odnosno da pretraživaču dodaju komponente koje ne želimo ili nam nisu potrebne. Ovi programi mogu značajno da otežaju vraćanje postavki u prvobitno stanje. Za razliku od većine drugih operativnih sistema, Windows korisnik ima administratorske privilegije na celom sistemu, uglavnom zbog jednostavnosti. Zbog ovoga je Windows i podležan ovom vidu inficiranja, jer bilo koji program da pokrenemo, hteli to ili ne, imamo kompletan neuslovljen pristup čitavom sistemu. Retko samo jedan program učini da računar bude neupotrebljiv, ali i vrlo retko računar ima samo jednu infekciju, već su u pitanju uglavnom nekoliko različitih programa. Kumulativni efekat, i interakcija među spyware komponentama, uzorokuje tipične siptome koje korisnici prijavljuju - računar koji radi sporo kao da se vuče, pretrpan parazitnim procesima koji se izvršavaju na njemu. U nekim slučajevima spyware isključuje firewall i anti-virus program, te spušta sigurnosne postavke pretraživača, otvarajući sistem za dalje infekcije, slično kao bolest slabljenja imunog sistema.

Čest trik kako spyware softver ili drugi neželjeni softver dospe u sistem je i instaliranje softvera krišom prilikom instalacije softvera koji želimo, kao što su programi za deljenje muzike ili filmova. Svaki put kad instaliramo nešto na svoj računar, bilo bi poželjno pažljivo čitanje svih objava, uključujući ugovor o licenciranju i izjavu o privatnosti, pošto često sadrže podatke o postojanju spyware-a.9

5.1. Vrste spyware-a Prva vrsta, gore već spomenuta, je adwere (slika 1) slični spyware, u vidu pop-up prozora. Sledeća vrsta detektovana pod kategorijom spyware-a su kolačići (cookies). Kolačići se koriste svuda

po internetu, na korisnim i manje korisnim mestima. Reklamne kompanije često postavljaju kolačiće kad god web pretraživač učita reklamu od njih. U takvom slučaju, i ako kolačić sadrži GUID10, kompanija dobija obaveštenja o svakoj stranici koju posetite a sadrži njihove reklame.10

Internet Dialeri su jedni od najzlonamernijih spyware programa, često sakriveni iza neki provokativnih poruka koje pozivaju korisnika da ih preuzme. Obično su intergrisani u pop-up prozore, koji često upozoravaju korisnika da će mu ukoliko nastavi biti plaćeni međunarodni telefonski pozivi. Selektovanjem dugmeta “Accept” ili “I Agree” downloaduje se program, koji se potom instalira na računar sa mogućnošću uspostavljanja međunarodnih poziva na broj specificiran u programu, obično u nekoj udaljenoj zemlji. Često se dešava i da program izmeni broj telefona u postojećoj konekciji za Internet. To znači da svaki put kada korisnik želi da se poveže na Internet, računar bira novi međunarodni broj naznačen u konekciji. Sa druge strane, postoji i drugačiji režim

9 http://sigurnost.tvz.hr/Spyware/10 http://www.safer-networking.org/sr/dictionary/spyware.html

7

Spayware i zaštita Nikola Rakić

rada koji aktivira Internet dialer svaki put kada se korisnik isključi sa Interneta. U tom momentu Internet dialer, započinje drugu konekciju pozivajući naznačeni međunarodni broj.11

Poseban fenomen su hoaksi. U suštini to su dezinformacije. “Dobronamerna” upozorenja o pojavi virusa ili o prisustvu «opasnih» fajlova na računaru sa savetima kako ih eliminisati. Hoaksi ciljaju neupućene i neinformisane korisnike, uglavnom one koji su naivni ili brzopleti, a šteta se ogleda u tome što korisnik sam, svojom voljom i akcijom, briše fajlove i na taj način sam uništava integritet svog računarskog sistema.12

Trojanci su spyware programi ubačeni od strane nekog ko direktno može pratiti i menjati podešavanja i uopšte sve informacije na našem računaru.

Hijackers su kradljivci Home Page strane koja je postavljena kao osnovna. Oni ce promeniti podešavanje Internet Explorera i postaviće svoju stranu kao Home Page, prebacivajući saobraćaj na neželjene web strane. Ubacuju se u registry bazu tako da se uvek vraćaju bez obzira na promenu u opcijama Internet Explorera.13

5.2. Načini inficiranja-dobijanja spyware-a

Najdirektniji put dolaska spyware-a na računar je kada ga korisnik sam instalira. Međutim, većina korisnika neće instalirati nešto što znaju da će štetno uticati na njihovo radno okruženje I kompromitovati njihovu privatnosti. Iz tog razloga veliki broj spyware programa prevari korisnika, bilo predstavljajući se kao poželjan program, ili instalirajući se samostalno bez znanja korisnika.

Klasična definicija Trojanskog konja je nešto opasno što dolazi prerušeno u nešto poželjno. Distributer spyware programa predstavlja program kao korisnu alatku — npr. kao "Web accelerator” (ubrzivač interneta) ili kao pomoćni software agent. Korisnik preuzme i instalira program, a kasnije otkrije da mu taj program može naneti štetu.14 Spyware može takođe doći I sa shareware ili drugim programima (shareware-"deljena roba" - pojam pod kojim se podrazumeva način distribucije proizvoda (najčešće softvera) na taj način što je kupcu omogućeno prethodno isprobavanje proizvoda pre nego što isti plati, tj. Distributiran je uz odgodu plaćanja na neki unapred definisani period. U tom periodu je obično potpuno funkcionalan, nakon čega ga je potrebno ukloniti sa računara)15. U nekim slučajevim autori spyware programa plate autoru shareware programa da uključi spyware sa njegovim softwerom, kao što je slučaj sa Gator spyware-om. U drugim slučajevima, autori spyware prepakuju koristan program tako da uključuje i spyware.

Treći način distribucije spyware-a je iskorištavanje sigurnosnih propusta delovima programa koji bi trebali onemogućiti instaliranje nepoželjenog programa. Dizajn Internet Explorer Web pretraživača je takav da ne omogućuje web stranicama da instaliraju neželjene programe na korisnikov računar. Međutim, linkovi mogu biti varljivi: npr. pop-up reklama može izgledati kao standardni Windows prozor. Prozor sadrži poruku tipa: "Da li želite da optimizujete vaš Internet pristup?" sa linkovima koji izgledaju kao dugmad Da i Ne. Bez obzira na koje dugme se klikne, započeće se preuzimanje programa, koji će instalirati spyware na računar korisnika.

Takođe, postoji mogućnost da se sistem zarazi spyware programom i samom posetom nekog web sajta – spyware može biti instaliran u pozadini dok pretražujemo sajt. E-mail koji sadrži link za koji pretpostavljamo da je sajt za neki proizvod može zapravo da nas odvede direktno do instalacionog fajla spyware programa. Neki spyware-i autoru inficiraju sistem napadajući sigurnosne rupe u web pretraživaču

11 http://www.eunet.rs/zastita-spyware12 http://almanah.petnica.rs/21/10.html13 http://www.mycity.rs/Antispyware-programi/Zastita-od-spyware-a.html14 http://en.wikipedia.org/wiki/Spyware15 http://bs.wikipedia.org/wiki/Shareware

8

Spayware i zaštita Nikola Rakić

ili drugim programima. Kada korisnik ode na stranicu koju kontroliše autor spyware-a, stranica sadrži kod koji napada pretraživač i forsira preuzimanje I instalaciju spyware-a. Ovo je poznato kao "drive-by download", po drive-by shooting u kome je korisnik bespomoćna žrtva16. Standardni propusti ciljaju na sigurnosne propuste u Internet Exploreru i Microsoft Java (programski jezik razvijen u timu predvođenim James Gosling-om u kompaniji Sun Microsystems početkom 1990-tih. Ideja je bila da se stvori programski jezik koji bi bio nezavisan od operativnog sistema, sa pojednostavljenom sintaksom, stabilnijim runtime sistemom i pojednostavljenom kontrolom memorije)17 runtime. S obzirom da je Internet Explorer i dalje najviše korišten web pretraživač, i da većina korisnika nema poslednje zakrpe, ovo predstavlja jako dobro ulaznu tačku za potencijalnog oglašavača.

U ređim slučajevima virus može da instalira spyware.

5.3. Simptomi spyware-a

1. Stalno pojavljivanje iskačućih reklama - Neke vrste neželjenog softvera bombarduju iskačućim reklamama koje nemaju veze sa Web lokacijom koja se posećuje, obično reklame za Web lokacije za odrasle ili druge lokacije koje se mogu smatrati neprimerenim. Ukoliko se iskačuće reklame pojavljuju čim se uključi računar, čak i kada se ne pretražuje Web, verovatno se radi spyware softver-u na računaru.

2. Postavke računara su se promenile i ne mogu da se vrate na raniji status - Neke vrste neželjenog softvera imaju sposobnost da menjaju postavke matične stranice ili stranice za pretragu. To znači da se prilikom otvaranja Internet pretraživača ili prilikom odabira pretrage pojavljuju strane koje ne prepoznajemo. Čak i ako znamo kako da podesimo ove postavke, one će se verovatno ponovo izmeniti svaki put kad ponovo pokrenemo sistem.

3. Web pretraživač ima dodatne komponente, koje nismo preuzeli - Spyware softver I drugi neželjeni softver može da doda trake sa alatkama koje ne želimo ili nam nisu potrebne u Web pretraživaču. I u ovom slučaju će se trake vraćati svaki put kada se pokrene sistem, bez obzira šta podešavali.

4. Računar kao da usporava - Spyware softver i drugi neželjeni softver nije obavezno pravljen da bude efikasan. Resursi koje ovi programi koriste za praćenje aktivnosti I dostavljanje reklama mogu da uspore računar, a greške u softveru mogu da izazovu pad sistema. Ako neki program počne iznenada često da pada ili ako računar obavlja rutinske zadatke sporije nego inače, vrlo je verovatno da je računar inficiran.18

Windows bazirani računari mogu u kratkom vremenu nakupiti mnogo spyware programa. Korisnici često primete neželjeno ponašanje ili usporavanje performansi. Spyware može prouzrokovati i značajnu CPU aktivnosti, korišćenje diska, i mrežni saobraćaj – usporavajući korisnu upotrebu računarskih resura. Veća nestabilnost (rušenje aplikacija i sistema) takođe su česte posledice. Spyware koji komunicira mrežom često uzrokuje poteškoće spajanja na Internet.

Na sledećoj slici vidimo situaciju velikog broja toolbarova koji su se tu pojavili zbog spyware-a:

16 http://en.wikipedia.org/wiki/Drive-by_shooting17 http://bs.wikipedia.org/wiki/Java_programski_jezik18 http://www.microsoft.com/scg/security/spyware/spywaresigns.mspx

9

Spayware i zaštita Nikola Rakić

5.4. Vrste preuzimanja koje mogu da sadrže spyware softver

Besplatne igre koje se preuzimaju sa Interneta Muzika, filmovi i drugi deljeni programi preuzeti sa Interneta ili drugih računara Animirani likovi za radnu površinu Besplatni screensaver-i preuzeti sa Interneta Trake sa alatkama za Internet pretraživač Besplatni blokatori iskačućih prozora (pop-up blocker) koji se pojavljuju na računaru dok je na

mreži.

Možda neće svi navedeni programi sadržati neželjeni softver. Ključna stvar u sprečavanju da se spyware softver instalira jeste preuzimanje programa samo iz pouzdanih izvora i čitanje svih bezbednosnih upozorenja, licencnih ili korisničkih ugovora i izjava o privatnosti u vezi sa svakim softverom koji se preuzimate ili instalira na računar.

Prema magazinu "The Inquirer" 10 trenutno najvećih spyware pretnji: CoolWebSearch (CWS) Gator (GAIN) 180search Assistant ISTbar/AUpdate Toolbar

10

Spayware i zaštita Nikola Rakić

Transponder (vx2) 6Internet Optimizer BlazeFind Hot as Hell Advance Keylogger TIBS Dialer

Pored njih, poznati programi koji se distribuiraju sa spyware-om: Bearshare, Bonzi Buddy, DivX (osim plaćene verzije, i 'standard' verzije bez enkodera), Dope Wars, Download Accelerator Pro, ErrorGuard, FlashGet (free version), Grokster, Kazaa, Morpheus, RadLight, WeatherBug, WildTangent, EDonkey2000, itd.

Programi donedavno distribuirani sa spyware-om:-AOL Instant Messenger, DivX (DivX je proglasio da je sklonio GAIN software iz verzije 5.2.), LimeWire (sve besplatne Windows verzije do 3.9.3), FlashGet.Takođe, kao i sa virusima, postoje grupe spyware programa kojima se ime često daje od strane istraživača bez obzira na ime koje autori spyware-a daju. Istraživači grupišu programa u "klase" bazirano na sličnom ponašanju ili pratnjom "novca" (izvora finansiranja). Na primer, veliki broj programa distributiranih od Claria su poznati pod zajedničkim imenom "Gator".

CoolWebSearch, je grupa programa, instalira se kroz propust u Internet Exploreru. Program usmerava saobraćaj na reklame na web stranicama uključujući coolwebsearch.com. Takođe, za sada, prikazuju pop-up reklame, prepravljaju rezultate pretrage koji korinik dobije od pretraživača, i mijenjaju hosts datoteku računara da preusmere DNS(Domain name sistem)19 upute na ove stranice.

Internet Optimizer, takođe poznat i kao DyFuCa, preusmerava poruke o grešci Internet Explorera na reklame. Kada korisnik klikne na nepostojeći link, ili unese nepostojeću adresu, pojavi mu se stranica sa reklamom. Međutim, zato što stranice zaštićene lozinkom (HTTP Bazična autentifikacija) koriste isti mehanizam kao HTTP greške, Internet Optimizer u potpunosti onemogućava korisniku da pristupi stranicama koje su zašteće lozinkom.

180 Solutions prebacuje veliki broj informacija oglašivačima o web stranicama koje korisnik posećuje. Takođe, menja HTTP pozive za pridružene reklame, te tako ostavaruje profit za 180 Solutions kompaniju, otvarajući pop-up reklame da prikrije web stranice konkurentnih kompanija.

HuntBar ili WinTools (slika 5) ili Adware.Websearch je mala grupa spyware programa distributiranih od Traffic Syndicate-a. Instalira se putem ActiveX drive-by download načina sa pridruženih web stranicama, ili putem reklama koje prikazuju drugi spyware programi - primer kako spyware instalira još spyware programa. Ovi programi dodaju toolbar na Internet Explorer, prate ponašanje pretraživača, preusmeravaju korisnika I prikazuju reklame.

6. Zaštita od spyware-a

19 http://bs.wikipedia.org/wiki/DNS11

Spayware i zaštita Nikola Rakić

Dakle, postoje osnovni tipovi zaštite od malware softvera:

1. Anti-virusni programi2. Anti-spyware programi3. Firewall sistemi4. Email klijenti i serveri naprednih karakteristika sa prepoznavanjem virusa i SPAM-a; od kojih se anti-spyware programi, firewall sistemi i još neki načini prevencije i zaštite mogu upotrebiti u borbi protiv spyware-a.

6.1. Sigurnosne mere

Pre zaštite i uklanjanja spyware-a postoje i neke preventivne mere koje bi bilo preporučljivo preduzeti.

Umesto Microsoft Internet Explorer-a (IE), trebalo bi instalirati neki drugi pretraživač, kao što su Opera ili Mozilla Firefox. I drugi pretraživači imaju sigurnosne propuste, ali je Internet Explorer potpomogao širenje spyware-a na dva načina:

prvo, mnogi spyware programi se instaliraju kao dodatni pluginovi na samom pretraživaču (kao Browser Helper Object ili toolbar);

drugo, zlonamerni web oglašivači su često koristili propuste u Internet Explorer-u da na silu instaliraju spyware korisniku. Korisnici koji ipak koriste Internet Explorer mogu podići nivo sigurnosti skidanjem redovnih sigurnosnih postavki, i promenama postavki u samom pretraživaču — naročito isključivanjem skriptnih tehnologija kao što je ActiveX. Naravno, tu je problem što web stranice koje koriste ActiveX više neće raditi. Verzija Internet Explorera koja dolazi sa Microsoft Windows XP Service Pack 2 donosi sigurnosna poboljšanja, ali infekcije spyware programima su još uvek moguće.

Sledeći korak je preuzimanje programa samo sa poznatih izvora, što može podići nivo zaštite. Postoje stranice kao CleanSoftware.org ili C|Net, koje su alternative drugim popularnim Windows software stranicama, a nude samo software verifikovan da ne sadrži spyware. Na internetu takođe nikad ne treba verovati nasumičnim upozorenjima gde se tvrdi da je komjuter zaražen, kao i raznim pozivima na poboljšanje rada računara i sličnim prozorima, već ih odmah zatvarati.

U mrežnim sistemima, potrebno je podjednako štititi i serversku stranu (okrenutu direktno ka Internetu), ali i radne stanice i imati stalno na umu da opasnost može da dođe i spolja ali I iznutra. Korišćenje firewall programa je preporučljivo, jer onemogućavaju bilo kakvo slanje podataka sa i na računar bez našeg znanja.

Potrebno je i disciplinovano ponašanje, održavanje i dopunjavanje operativnog sistema i baza anti-virus programa, pažljivo čitanje ugovora o pravima i uslovima upotrebe (licence) i davanja saglasnosti. Stalno praćenje situacije “na terenu”, informisanje i usavršavanje su ključ očuvanja sistema.20

6.2. Firewall

Firewall programi su odlična početna tačka u borbi svih vrsta malware-a, prvenstveno zbog načina na koji funkcionišu. Kako je već rečeno, princip rada personalnog firewalla je da svaki program koji hoće da uspostavi Internet komunikaciju biva presretnut od strane firewalla, kada korisnik može da odobri ili zabrani konekciju. Recimo, ako smo instalirali neki Internet server na operativni sistem, kao što je recimo FTP server, firewall će pri prvom pokušaju komunikacije spoljnjeg klijenta sa serverom upitati korisnika da li taj tip komunikacije dozvoljava ili ne, samo jednom ili permanentno. Na taj način, mogu se onemogućiti mnogi

20 http://sigurnost.tvz.hr/Spyware/12

Spayware i zaštita Nikola Rakić

backdoor programi koji otvaraju “listening” port za dolazeći saobraćaj. Pri svakom pokušaju programa instaliranog na sistemu da uspostavi komunikaciju sa nekim Internet serverom, firewall će takođe upitati korisnika za dozvolu. Takođe, firewall može sprečiti “skeniranje” kompjutera, na taj način što blokira ICMP pakete putem kojih napadači uglavnom saznaju za postojanje kompjutera na mreži. Kerio firewall ima dobar sistem logovanja paketa, kao i zaštitu od reklama i pop-up prozora preko kojih najčešće i ulaze maliciozni skriptovi u sistem. Za početnike je sasvim dovoljan i “fabrički” firewall koji se ugrađuje u sam Windows XP operativni sistem.21

6.3. Anti-spyware program

Anti-spyware programi se bore sa spyware-om na dva načina: zaštita u realnom vremenu (real time zaštita), koja onemogućava instalaciju spyware programa; i skeniranje i uklanjanje spyware programa. Skeniranje i uklanjanje je uglavnom jednostavnije, tako da sada već ima dosta programa koji ovo podržavaju. Program proverava sadržaj Windows registry-a, datoteke operativnog sistema, pa uklanja datoteke koje odgovaraju listi poznatih spyware komponenti.

Kao i većina anti-virus programa, anti-spyware programi zahtijevaju stalni-update baze poznatihnapasti. Neki dobavljači Internet usluga (ISP) uključuju softver za zaštitu korisnika od neautorizovanog praćenja u svoje pakete usluga. Ako zaštita nije uključena u paket, potrebno je nabaviti neki iz široke liste anti-spyware programa.

Za real time zaštitu se preporučuju:22

SpywareGuard 2.2 (može se naći na adresi http://www.javacoolsoftware.com/products.html) Ad-watch, koji je deo programa Ad-Aware Professional v6.0.181 Retail (na adresi

http://www.lavasoft.de/software/adawareprofessional/ )

Ovi programi prate svaki pokušaj upisivanja podataka u registry bazu, blokiraju upis, instalaciju Active X kontrola kao i upis neke strane kao Home Page-a (Hijackers).

Za uklanjanje spyware-a se može koristiti neki od sledećih programa:23

Ad-Aware Professional v6.0.181 Retail* (http://www.lavasoft.de/software/adawareprofessional/) CWShredder 1.54 (http://www.spywareinfo.com/~merijn/) Spybot - Search & Destroy v.1.2* (http://www.safer-networking.org/) Spy Sweeper 2.61 (ima i real time zaštitu)* (http://www.webroot.com) PestPatrol Corporate v4.4.0.0* (http://www.pestpatrol.com/) SpywareBlaster 3.1 (http://www.javacoolsoftware.com/products.html) HijackThis v1.97 (http://www.spywareinfo.com/~merijn/files/hijackthis.zip) Gip@MoveOnBoot 1.95 (http://www.gibinsoft.net/gipoutils/fileutil/index.htm) CopyLock - Version 1.07 (http://noeld.com) Proces Explorer 8.35 (http://www.sysinternals.com) Lavasoft Ad-aware (http://www.lavasoftusa.com) JavaCool SpywareBlaster (http://www.javacoolsoftware.com) I mnogi drugi.

Spybot Search & Destroy 24je najpoznatiji program za zaštitu od spyware I adware programa. Besplatan je, detektuje najveći broj spyware-a, poseduje rezidentnu zaštitu za Internet Explorer, onemogućavajući

21 http://www.poslovniforum.hr/internet/web-hosting-mail-fire.asp22 http://www.sk.rs/forum/showthread.php?p=51063#post5106323 http://forum.pcekspert.com/showthread.php?t=963724 http://www.safer-networking.org

13

Spayware i zaštita Nikola Rakić

instalaciju malicioznih toolbarova I blokira kolačiće. Dostupan je i na srpskom jeziku, lak za upotrebu, omogućava pretragu spyware-a, adware-a i kolačića, kao i izuzimanje istih iz datoteke. Izuzimanje se vrši u pet različitih sekcija, pa se mogu izuzimati: određeni proizvodi, određeni kolačići, određene ekstenzije datoteka, pojedinačni upisi, kao i određene sistemske unutrašnjice. Automatski pravi back-up nekih datoteka (ako postoji mogućnost poremećaja rada računara njihovim brisanjem), te se lako ponovo mogu vratiti ako bi za to imalo potrebe.

Ad-Aware 25je takođe besplatan program, koji temeljno skenira kompletan sadržaj registra, hard diska, memorije, kao i sve module pokrenutnih procesa. Referentna lista se veoma često osvežava, a preuzimanje nove je brzo I pri sporim dial-up vezama. Ad-Aware SE je novija verzija koja donosi značajno poboljšanje u odnosu na prethodnu, kao i pregršt novih mogućnosti za potpuniju zaštitu računara. Ima četiri opcije: smart system scan (brzo skeniranje, na dnevnom nivou, ukoliko je skoro bilo odrađena celokupna pretraga), full system scan (pretraga celokupnog sistema), custom scanning options (samostalno određivanje drajvova i datoteka za pretragu), Scan ADS on drives\folders (pretraga ADS-a, radi na principu odvajanja data stream-ova, da bi se izbeglo brisanje I glavnih, ako su samo alternativni zaraženi). ADS (Alternate Data Streams) – omogućava da se jednom fajlu mogu prikačiti i dodatni podaci. U te dodate podatke mogu se ubaciti i celi fajlovi. Jedan fajl može sadržati više stream-ova, a ti stream-ovi mogu biti bilo koje veličine. Data stream sadrži podatke koji će se prikazati ako otvorite fajl (npr. ako je tekstualni fajl, prikazaće se tekst koji je upisan). Alternativni data stream-ovi u tom istom istom falju mogu sadržati sigurnosne podatke (prava pristupa, menjanja i slično) ali je u njih moguće upisati bilo šta (tekstualni fajl, izvršni fajl, arhivu). ADS26 su prvenstveno uvedeni da bi Windows mogao da posluži na serveru koji bi opsluživao računare sa instaliranim MacOS-om. MacOS fajl na disku zapisuje kao dve celine: data fork I resource fork. Data fork je ono na šta je svaki korisnik Windowsa već navikao, dok je resource fork opisni fajl, koji MacOS-u govori kakvi se to podaci nalaze u data forku, kojim se programom otvaraju itd. Da bi Windows mogao da posluži na serveru na kome se skladište i fajlovi sa Macintosh računara, moralo je biti omogućeno da se negde upiše i resource fork. ADS su totalno nevidljivi za Explorer ili Total Commander (I ostale standardne fajl menadžere), te će oni prikazivati samo (glavni) data stream dok će ostali stream-ovi ostati nevidljivi. S obzirom da prosečni korisnici znaju vrlo malo o postojanju ADS-a, često se iskorištava za ubacivanje malicioznog softvera.Pored izuzimanja određenih drajvova i datoteka ima opcije za izuzimanje ili pretragu zanemarivo rizičnih fajlova (negligible risk entries), non-executable fajlova, kao i opciju “preskoči fajlove veće od: ... KB” gde se može zadati preskakanje velikih fajlova. Takođe vrši pretragu i URL-ova (Uniform Resource Locator - omogućava čitaču i drugim programima u računaru da se povežu na udaljeni server preko Interneta.URL adrese sadrže ime domena (ili pak IP adresu) udaljenog servera i često sadrže ime datoteke ili poddirektorijuma na serveru.Po pravilu, isped njih se nalazi Internet protokol koji se koristi (recimo 'http://' za Web lokacije). Može se uobličiti da zloupotrebljava propuste u programima u računaru i da načini veliku štetu27) iz foldera Favourites i detektuje ako su povezani sa spyware-om. Ima I opciju upisa home page-a, te tako pri otklanjanju hijackersa automatski vraća prvobitnu (korisnikom određenu) stranicu. Prikaz rezultata je jednostavan, a pretnje se mogu automatski smeštati u karantin pre brisanja.

Ad-Aware i SpyBot su najviše preporučivani anti-spywar programi. Ova dva programa su preporučivana skoro na svakom sajtu koji se bavi problemom zaštite spyware-a kao primarni, kao i od strane dosta ljudi koji se susreću sa ovim problemom.

6.4. Neregularni anti-spyware program

25 http://www.lavasoft.de/software/adaware/26 http://www.mycity.rs/AV-Objavljeni-radovi/Alternate-Data-Streams.html27 http://www.mikro.rs/main/?q=papirnoizdanje&tekstID=6048

14

Spayware i zaštita Nikola Rakić

Jedan od puteva za dobijanja spyware je i instaliranje kroz sam anti-spyware program. Može se naći čitav spisak neregularnih programa28 koji bi trebali da štite od spyware-a, dok oni u suštini rade suprotno. Problemi kod ovih programa su razni: prijavljivanje lažnih rezultata, netačne informacije o detekciji, lažna skeniranja, korišćenje neadekvatnih bazi podataka, agresivno reklamiranje preko adware-a, distribuiranje malwear-a, spam-a, “otimanje” home page-a, desktopa, HOSTS fajlova, instaliranje parazita, drive-by-downloading, krađa instalacija, padanje sistema pri testiranju itd. Na spisku se nalaze i programi nekih sumljivih kompanija, programi koji imaju netačne informacije o kompanijama ili nepostojanje polise privatnosti/EULA.

Postoje i kompanije koje lažno izjavljuju da više ne rade praćenje (npr. često se u SpyBot antispyware programu u opciji indentifikovanja i opisa nađenog spyware-a nađe rečenica “They say thay no longer do tracking”).

Kod preuzimanja programa sa interneta potrebna je velika obaveštenost i opreznost, jer neki od ovih programa veoma agresivno razvijaju spyware i to tako da čak ni upotreba preporučenih anti-spyware programa ne može da poravi stvar, te je jedini izlaz formatiranje i ponovno instaliranje operativnog sistema.29 Distributiranje ovih programa može izgledati veoma profesionalno, što samo pridodaje važnosti dobrom informisanju koje treba preduzeti pre vršenja bilo kakvih instalacija na računaru.

ZAKLJUČAK

28 http://www.spywarewarrior.com/rogue_anti-spyware.htm#products29 http://www.elitesecurity.org/t146254-Lista-sumnjivih-Anti-Spyware-programa

15

Spayware i zaštita Nikola Rakić

Iz svega napisanog možemo zaključiti da su spyware programi veliki i rasprostranjeni problem današnjice.

Loša strana je što je priroda ovog problema takva da on sasvim sigurno nikada neće biti iskorenjen, već da će se korisnici manje ili više uspešno u budućnosti štititi od njega.

Dobra strana je što je problematika ovih programa takva da svako može relativno sigurno da koristi računar, ako sprovede samo nekoliko mera u cilju zaštite i ako stekne osnovno znanje o spyware-u. Stvarno veliki problem, kako sa spyware-om, tako i sa ostalim tipovima malware programa, mogu da imaju samo korisnici koji nisu spremni da steknu bar minimalno znanje o načinima zaštite. Ovo nas ponovo dovodi do toga da su stalno praćenje situacije, informisanje I usavršavanje ključ zaštite i očuvanja sistema, koji svako, uz malo volje, može da upotrebi.

Preostaje samo problem informisanja korisnika i pitanje ko će to pokrenuti.

16

Spayware i zaštita Nikola Rakić

LITERATURA

1. http://sh.wikipedia.org/wiki/Usenet2. http://en.wikipedia.org/wiki/Zone_Labs3. http://en.wikipedia.org/wiki/Adware4. http://en.wikipedia.org/wiki/Spyware5. http://bs.wikipedia.org/wiki/Malware6. http://www.madnet.rs/razno/zastita.php7. http://www.bhtelecom.ba/sigurnost_clanak0+M5b38aa50671.html8. http://sigurnost.tvz.hr/Spyware/9. http://www.safer-networking.org/sr/dictionary/spyware.html10. http://www.eunet.rs/zastita-spyware11. http://almanah.petnica.rs/21/10.html12. http://www.mycity.rs/Antispyware-programi/Zastita-od-spyware-a.html13. http://bs.wikipedia.org/wiki/Shareware14. http://en.wikipedia.org/wiki/Drive-by_shooting15. http://bs.wikipedia.org/wiki/Java_programski_jezik16. http://www.microsoft.com/scg/security/spyware/spywaresigns.mspx17. http://bs.wikipedia.org/wiki/DNS18. http://sigurnost.tvz.hr/Spyware/19. http://www.poslovniforum.hr/internet/web-hosting-mail-fire.asp20. http://www.sk.rs/forum/showthread.php?p=51063#post5106321. http://forum.pcekspert.com/showthread.php?t=963722. http://www.safer-networking.org23. http://www.lavasoft.de/software/adaware/24. http://www.mycity.rs/AV-Objavljeni-radovi/Alternate-Data-Streams.html25. http://www.mikro.rs/main/?q=papirnoizdanje&tekstID=604826. http://www.spywarewarrior.com/rogue_anti-spyware.htm#products27. http://www.elitesecurity.org/t146254-Lista-sumnjivih-Anti-Spyware-programa

17