Донецкий национальный технический
университет
Секция информационной безопасности и информационных технологий
В этом докладе проводится обзор шпионского программного обеспечения и методов его обнаружения. Наибольшее внимание уделяется классификации шпионских программ и обзору существующих методов обнаружения.
Успешно защититься от хакера сможет лишь тот, кто знает не меньше хакера. Быстрый рост киберпреступности в мировой Сети остро ставит вопрос об эффективности анти-шпионских и антивирусных программных продуктов.
В связи с угрозой утечки конфиденциальной информации пользователей, исследователи указывают на ощутимое снижение доверия к Сети.
В последнее время появилось множество программ, которые нельзя считать вирусами, так как они не обладают способностью к размножению, но и нельзя отнести к категории полезных программ. Такие программы называются шпионскими.
К вредоносным программам можно отнести следующие:
1. Adware – приложения, предназначенные для загрузки на персональный компьютер пользователя информации рекламного характера для последующей демонстрации этой информации пользователю [2];
2. Dialer – программы широко распространены и предназначены для решения ряда задач, связаных с установлением модемной связи с удаленным сервером (при этом связь будет стоить больших затрат);
3. Hijacker – программы, задачей которой является перенастройка параметров браузера, электронной почты и других приложений без ведома пользователя;
4. Spyware - программы, занимающиеся сбором персональной информации о компьютере и пользователе: IP-адрес компьютера, версия установленной операционной системы и браузера, список наиболее посещаемых сайтов, поисковые запросы и прочие данные, которые возможно использовать для дальнейших рекламных кампаний [2];
5. Riskware - программное обеспечение, которое при некоторых условиях может стать рискованным для пользователя: файловые сервера, утилиты удаленного администрирования и т.п. [2].
Чтобы защитить информацию на персональном компьютере пользователь может противопоставить программам-шпионам следующий комплект:
1. Программный продукт, использующий эвристический механизм защиты против программ-шпионов (обеспечивает непрерывную защиту и не использует сигнатурные базы);
2. Антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы;
3. Программный продукт – Firewall, контролирующий выход в сеть с персонального компьютера на основании конфигурации.
Антивирусные программы не способны защищать пользователя от новых неизвестных ранее вирусов со встроенными шпионскими модулями, так как новые вирусы на момент атаки еще не внесены в сигнатурную базу антивирусного продукта, и как следствие этого, сигнатурная база не успела обновиться на компьютере пользователя. В результате конфиденциальная информация пользователя оказывается похищенной. Персональный Firewall задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав и в последствии это может отрицательно повлиять на конфиденциальную информацию.
Несмотря на то, что эвристический анализ – технология, базирующаяся на методах теории искусственного интеллекта, позволяющая с высокой вероятностью находить ранее неизвестные опасные программы, все же она допускает ошибки при анализе самомодифицирующегося кода [1].
Из-за существующих проблем с антивирусным программным обеспечением возникает вопрос: Как же выбрать действительно надежную антишпионскую программу? К сожалению, большинство пользователей ориентируются на программы, занимающие верхние позиции в различных рейтингах. Существующие методики сравнительного тестирования антишпионских продуктов, на основе которых и составляют рейтинги, не учитывают возможность защиты от неизвестных шпионских программ. Наиболее весомым критерием тестирования является количество записей в сигнатурной базе. Пользователь, ознакомившись с таблицей, выбирает один из продуктов, занимающих верхние позиции в результатах тестирования, устанавливает его на свой компьютер и верит, что теперь его персональная информация надежно защищена [3].
Между тем, даже для программиста средней руки не составляет труда модифицировать исходный код шпионской программы, который не попадет ни в одну сигнатурную базу и не будет обнаруживаться. И в итоге опять получится уникальный код, против которого невозможно бороться только с помощью классического сигнатурного анализа [1].
Не редко в интернете можно найти результаты тестирований независимых специалистов. Результаты таких тестирований оказываются неожиданными даже для проводивших тестирование специалистов.
Результаты таких тестирований четко показывают, что самые современные антивирусные и антишпионские продукты не в состоянии противостоять краже конфиденциальной информации с персональных компьютеров через встроенные в вирусы шпионские программы, количество которых постоянно возрастает.
Антивирусные программы, базирующиеся только на сигнатурных базах, не удовлетворяют требованиям информационной безопасности.
В этой связи, целесообразно рассмотреть и использовать другие методы противодействия похищению конфиденциальной информации, например: совершенствование искусственного интеллекта антишпионских программ путем использования теории нейросетевого программирования, которая позволит при помощи комбинации с эвристическими методами достичь более эффективных результатов.
Литература
[1] М.Е. Фленов. Программирование на С++ глазами хакера. – СПБ.: БХВ-Петербург, 2005.
[2] Зайцев О. Spyware – модули //http://z-oleg.com/secur/nets-spy.htm
[3] Красноступ Н.Д. Исследование эффективности средств защиты от шпионских программ //http://bezpeka.com/ru/lib/sec/gen/art533.html