Prywatność danych i bezpieczeństwo sieci komputerowych przedsiębiorstw w coraz większym stopniu są zagrożone wymyślnymi atakami, które wymykają się tradycyjnym zaporom ogniowym i są odporne na techniki antywirusowe. Najbardziej groźne ataki przybierają formę tzw. spyware (programów wywiadowczych). Spyware to oprogramowanie potajemnie instalowane w systemie, które może monitorować i rejestrować różne aspekty działania systemu i następnie przesyłać te informacje stronie trzeciej.

Spyware śledzą zwyczaje webowe użytkownika. Niektóre z nich rejestrują użytkowanie klawiszy klawiatury, a nawet przechwytują i transmitują zrzuty ekranowe.

Programy te są trudne do wykrycia, ponieważ zazwyczaj są upakowywane z innymi, niewzbudzającymi podejrzeń danymi czy plikami i nie ujawniają się po zainstalowaniu. Z chwilą zainstalowania mogą być trudne i kosztowne do usunięcia. Spyware mogą też stać się bardzo niebezpiecznymi narzędziami w rękach ludzi o niecnych intencjach. Spotykane dzisiaj spyware nie są programami wysoce szkodliwymi, ale nie można wykluczyć, że takimi staną się w przyszłości, gdyż mogą być używane do przechwytywania haseł, numerów kart kredytowych czy innych poufnych informacji wprowadzanych z klawiatury.

Obrona przed wywiadem

Obrona przed tego typu zagrożeniami wymaga zastosowania dedykowanych narzędzi usuwających programy wywiadowcze (spyware) z komputerów w sieci. Narzędzia „kontrwywiadowcze” (antyspyware) to programy adaptacyjne, pracujące na podstawie sygnatur spyware, skanujących systemów i wyszukujące oraz usuwające trojany, rejestratory klawiatur, dialery itp.

W wielu aspektach narzędzia te działają podobnie, jak oprogramowanie antywirusowe w sieci. Używają modułów rezydujących na klientach i serwerach oraz konsol administracyjnych. Ponieważ spyware zmieniają się bardzo szybko, krytycznym elementem jest automatyczne uaktualnianie ich sygnatur. Uaktualnienia te są ściągane z serwerów dostawców rozwiązań antyspyware za pośrednictwem Internetu i przekazywane na stanowiska klienckie przy użyciu centralnego pulpitu sterującego.

Dostawcy narzędzi do usuwania spyware tworzą długie listy charakterystyk, które mówią użytkownikowi, jakie programy wywiadowcze mogą rezydować na jego maszynie, gdzie są zlokalizowane i co tam robią. Na tych charakterystykach opierają się i programy antyspyware, używając ich do usuwania pozycji w rejestrach Windows, indywidualnych plików i - w niektórych przypadkach - całych katalogów związanych ze spyware.

Programy wywiadowcze na ogół instalują formę wykonywalną i inne pliki w różnych miejscach systemu operacyjnego. Pliki te są nazywane śladami spyware (spyware traces). Usunięcie spyware bez dedykowanego narzędzia gubi te tropy. Usunięcie takich śladów może powstrzymać objawy, ale nie rozwiązuje źródła problemu.

W odróżnieniu od typowych wirusów nie wszystkie spyware powinny być usuwane automatycznie. Dlatego też administrator powinien mieć możliwość definiowania profili użytkownika opartych na listach programów, które użytkownik wykorzystuje.

Wiele elementów spyware jest także połączonych z legalnymi aplikacjami i potrzebuje tych aplikacji do funkcjonowania. Dobre narzędzia antyspyware nie tylko wynajdują wszystkie pliki-ślady związane ze „szpiegiem”, ale także oferują wyczerpującą bazę danych zawierającą szczegółowe opisy spyware, charakterystyki i poziom zagrożenia ze strony tych programów. Aktualna baza dana jest istotnym elementem wspierania administratora w projektowaniu profili użytkownika pod kątem usuwania spyware.

Z chwilą, gdy profile użytkownika zostaną utworzone, usunięcie spyware jest procesem prostym. W typowym scenariuszu usuwania klient zainfekowany elementami spyware jest poddawany procesowi przeszukiwania, w którym aplikacja antyspyware wyszukuje i poddaje kwarantannie (wyłącza z działania) - wg profilu użytkownika - wszystkie elementy spyware. W tym momencie „szpieg” może być na stałe usunięty lub przeinstalowany.

Spyware zmieniają się czasami nawet w ciągu dnia. Niektóre typy mogą wykonywać akcje samoobronne, próbując usuwać narzędzia antyspyware. W innych przypadkach zmieniają nazwy i przenoszą się z jednej lokalizacji do innej.

W rezultacie strategia obrony przed tego typu zagrożeniami, która obowiązywała wczoraj, dzisiaj może być nieaktualna. Taka szybka metamorfoza wymaga automatycznego systemu uaktualniania, a także dedykowanych programów antyspyware, które mają zdolność adaptacji w przypadku napotkania nowego wzorca programu wywiadowczego.

Pomimo wysiłków specjalistów od zabezpieczeń, spyware w środowiskach korporacyjnych stanowią poważne zagrożenie wydajności oraz bezpieczeństwa danych i sieci. Ochrona przed tego typu tworami programowymi może zwiększać bezpieczeństwo sieci i staje się niezbędnym elementem codziennej pracy systemu IT.

Zobacz także

• Filtrowanie ruchu webowego
• Formy zagrożeń
• Kontrola zawartości poczty elektronicznej
• Obrona przed Denial of Service
• Strategia ataków
• Strefa bezpieczeństwa sieci
• Systemy IDS
• Załączniki i ochrona antywirusowa
• Zintegrowane rozwiązania ochronne