Какое свойство отличает легальный мониторинговый программный продукт от программы шпиона

Обновлено: 04.07.2024

Мониторинговый программный продукт — это программное обеспечение (модуль), предназначенное для наблюдения за вычислительными системами, а также позволяющее фиксировать деятельность пользователей и процессов, использование пассивных объектов, и однозначно устанавливать идентификаторы причастных к определенным событиям пользователей и процессов с целью предотвращения нарушения политики безопасности и/или обеспечения ответственности за определенные действия.

Содержание

Синонимы

англ. tracking software — термин для обозначения всех видов мониторинговых программных продуктов

англ. employee monitoring software — мониторинговые программные продукты для контроля сотрудников предприятий и организаций

англ. parental control software — мониторинговые программные продукты для родительского контроля несовершеннолетних детей

англ. access control software — мониторинговые программные продукты контроля доступа

англ. personnel security programs — программные продукты защиты от персонала

русск. программные продукты для обеспечения наблюдаемости вычислительных систем

Терминология

Нарушитель (англ. user violator ) — пользователь, осуществляющий несанкционированный доступ к информации.

Санкционированный доступ к информации (англ. authorized access to information ) — доступ к информации, не нарушающий правила разграничения доступа.

Несанкционированный доступ к информации (англ. unauthorized access to information ) — доступ к информации, осуществляемый с нарушением правил разграничения доступа.

Правила разграничения доступа (англ. access mediation rules ) — часть политики безопасности, регламентирующая правила доступа пользователей и процессов к пассивным объектам.

Политика безопасности информации (англ. information security policy ) — совокупность законов, правил, ограничений, рекомендаций, инструкций и т. д., регламентирующих порядок обработки информации.

Виды информации, которая может контролироваться

• нажатия клавиш на клавиатуре
• нажатия клавиш мыши
• LogOn и LogOff пользователя
• имя текущего пользователя

• десктоп (desktop capturing)
• активное окно (active windows capturing)
• разрезание скриншота и склеивание в памяти
• скриншот области заданного размера вокруг указателя мыши при нажатии на клавишу мыши

• исходящая почта (SMTP)
• входящая почта (POP3)
• двусторонний контроль web почты

• загрузки системы и имя текущего пользователя
• запускаемых приложений
• переключения между задачами

• по названию
• по расширению
• по ключевому слову

Классификация

по месту хранения Log файла

• жесткий диск
• память
• реестр
• расшаренный, то есть общедоступный (shared) сетевой диск
• удаленный сервер

по методу отправки Log файла

по методу применения

Только метод применения мониторинговых программных продуктов позволяет увидеть грань между управлением безопасностью и нарушением безопасности.

Санкционированное применение — установка мониторинговых программных продуктов происходит с ведома владельца (администратора безопасности) автоматизированной системы или с ведома владельца конкретного персонального компьютера. Санкционированно применяемые мониторинговые программные продукты (англ. employee monitoring software, parental control software, access control software, personnel security programs ), как правило, требуют либо физического доступа к компьютеру пользователя либо обязательного наличия прав администратора системы для конфигурирования и инсталляции;

по включению в сигнатурные базы

Известные мониторинговые программные продукты. К данной категории относятся мониторинговые программные продукты, сигнатура которых (по различным причинам) уже включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов.

Неизвестные мониторинговые программные продукты. К данной категории относятся мониторинговые программные продукты, сигнатура которых не включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов и, зачастую, никогда не будет в них включена по различным причинам. Как пример, к таким продуктам относятся:

• мониторинговые программные продукты (модули), разрабатываемые под эгидой различных правительственных организаций;
• шпионские программные продукты, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные шпионские программные продукты могут представлять собой немного видоизмененные открытые исходные коды мониторинговых программных продуктов, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру мониторингового программного продукта;
• коммерческие корпоративные мониторинговые программные продукты, которые очень редко вносятся в сигнатурные базы известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного коммерческого мониторингового программного продукта, может превратить последний в шпионский программный продукт, который не обнаруживается анти-шпионскими программными продуктами и/или анти-вирусными программными продуктами;
• шпионские программные продукты, включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу, данные шпионские программные продукты являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Цели применения

Санкционированное применение мониторинговых программных продуктов позволяет владельцу (администратору безопасности) автоматизированной системы :

• определить (локализовать) все случаи попыток несанкционированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;
• локализовать все случаи искажения (уничтожения) информации;
• определить факты несанкционированной установки программного обеспечения;
• проконтролировать возможность использования персональных компьютеров в нерабочее время и выявить цель такого использования;
• определить все случаи несанкционированного использования модемов в локальной сети путем анализа фактов запуска несанкционированно установленных специализированных приложений;
• определить все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;
• определить факты нецелевого использования персональных компьютеров:
• получить достоверную информацию, на основании которой будет разрабатываться политика информационной безопасности предприятия;
• контролировать доступ к серверам и персональным компютерам;
• проводить информационный аудит;
• проводить исследование компьютерных инцидентов;
• проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;
• определить загрузку компьютерных рабочих мест;
• определить загрузку персонала предприятия;
• восстановить критическую информацию после сбоев компьютерных систем;
• обеспечить наблюдаемость вычислительной системы. Именно это свойство, в зависимости от качества его реализации, позволяет в той или иной мере контролировать соблюдение сотрудниками предприятия установленных правил безопасной работы на компьютерах и политики безопасности.

Санкционированное применение мониторинговых программных продуктов позволяет родителям:

• контролировать контакты несовершеннолетних детей в сети Интернет;
• противодействовать негативному воздействию на несовершеннолетних детей специализированных сайтов, которые показывают детскую порнографию или другие незаконные сексуальные действия (извращения), пропагандируют насилие, пропагандируют дискриминацию по признаку расы, пола, религиозных убеждений, национальности, инвалидности, сексуальной ориентации, возрасту, пропагандируют противозаконные действия, нарушают права интеллектуальной собственности, нарушают законы страны размещения сайта или любые иные законы.

Несанкционированное применение мониторинговых программных продуктов позволяет злоумышленнику:

• получить практически полный доступ к компьютеру и информации на нем хранящейся.

Методы защиты от несанкционированно установленных мониторинговых программных продуктов

Защита от «известных» несанкционированно установленных мониторинговых программных продуктов:

• использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, с автоматическим обновлением сигнатурных баз.

Защита от «неизвестных» несанкционированно установленных мониторинговых программных продуктов:

• использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют, так называемые эвристические (поведенческие) анализаторы, то есть не требующие наличия сигнатурной базы.

Защита от «известных» и «неизвестных» несанкционированно установленных мониторинговых программных продуктов включает в себя использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

• постоянно обновляемые сигнатурные базы шпионских программных продуктов;
• эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Ссылки

Официальные программные продукты для мониторинга

Программный продукт, предназначенный для сбора информации Популярный англоязычный программный продукт, предназначенный для сбора информации

Программные продукты для защиты от несанкционированно установленных мониторинговых программных продуктов

Независимое сравнение популярных анти-мониторинговых продуктов Программный продукт предназначенный для борьбы с несанкционированно установленными мониторинговыми программными продуктами без использования сигнатурного анализа Программный продукт предназначенный для борьбы с несанкционированно установленными мониторинговыми программными продуктами и аппаратными устройствами без использования сигнатурного анализа

Wikimedia Foundation . 2010 .

Полезное

Смотреть что такое "Мониторинговый программный продукт" в других словарях:

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Звягинцева Полина Александровна, Максименко Роман Олегович

Описываются понятия и типы шпионского программного обеспечения . В статье приведены функции и цели шпионского программного обеспечения . Анализируются возможные способы проникновения шпионского программного обеспечения в систему. Рассматривается поведение шпионского программного обеспечения в системе. Описываются признаки нахождения в системе шпионского программного обеспечения . Рассматриваются способы и средства обнаружения шпионского программного обеспечения . Анализируются плюсы и минусы различных способов противодействия шпионскому программному обеспечению . Рассматриваются методы и средства противодействия угрозам со стороны шпионского программного обеспечения . Выделяются способы борьбы антишпионских программ со шпионским программным обеспечением и описываются их преимущества и недостатки. Сформирован список действий, делает защиту от шпионского программного обеспечения максимально продуктивной.

Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Звягинцева Полина Александровна, Максименко Роман Олегович

Проектирование программно-аппаратного комплекса для запуска вредоносного программного обеспечения Вопросы обеспечения защиты информационных систем от ботнет атак Возможность выработки требований к системе защиты от вредоносных программ Обоснование возможности применения верификации программ для обнаружения вредоносного кода i Не можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

SPYWARE AND METHODS AGAINST IT

The concepts and types of spyware are described. The article describes the functions and purposes of spyware . Possible ways of penetrating spyware into the system are analyzed. The behavior of spyware in the system is considered. Descriptions of the presence of spyware in the system are described. Methods and means for detecting spyware are discussed. The pros and cons of various ways of countering spyware are analyzed. Methods and means of countering threats from spyware are discussed. The ways of fighting anti-spyware programs with spyware are outlined and their advantages and disadvantages are described. Formed a list of actions, makes protection against spyware as productive as possible.

Текст научной работы на тему «Шпионское программное обеспечение и методы защиты от него»

ШПИОНСКОЕ ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ И МЕТОДЫ ЗАЩИТЫ ОТ НЕГО

Полина Александровна Звягинцева

Роман Олегович Максименко

Описываются понятия и типы шпионского программного обеспечения. В статье приведены функции и цели шпионского программного обеспечения. Анализируются возможные способы проникновения шпионского программного обеспечения в систему. Рассматривается поведение шпионского программного обеспечения в системе. Описываются признаки нахождения в системе шпионского программного обеспечения. Рассматриваются способы и средства обнаружения шпионского программного обеспечения. Анализируются плюсы и минусы различных способов противодействия шпионскому программному обеспечению. Рассматриваются методы и средства противодействия угрозам со стороны шпионского программного обеспечения. Выделяются способы борьбы антишпионских программ со шпионским программным обеспечением и описываются их преимущества и недостатки. Сформирован список действий, делает защиту от шпионского программного обеспечения максимально продуктивной.

Ключевые слова: шпионское программное обеспечение, spyware, кейлоггер, антивирусная программа, слежение, сбор информации, угрозы.

SPYWARE AND METHODS AGAINST IT

Polina A. Zviagintcheva

Roman O. Maksimenko

The concepts and types of spyware are described. The article describes the functions and purposes of spyware. Possible ways of penetrating spyware into the system are analyzed. The behavior of spyware in the system is considered. Descriptions of the presence of spyware in the system are described. Methods and means for detecting spyware are discussed. The pros and cons of various ways of countering spyware are analyzed. Methods and means of countering threats from spyware are discussed. The ways of fighting anti-spyware programs with spyware are outlined and their advantages and disadvantages are described. Formed a list of actions, makes protection against spy-ware as productive as possible.

Key words: spyware, keylogger, antivirus program, tracking, collection of information, threats.

Вопросы безопасности и конфиденциальности находятся в центре внимания, как никогда раньше. Новые вирусы, угрозы, связанные с программными ошибками и различными формами вредоносного программного обеспечения, ежедневно угрожают целостности нашим данным. Большинство из этих угроз существуют уже довольно долгое время, но в последние годы все больше и больше угрожает новый тип угрозы: угроза шпионских программ.

Шпионское программное обеспечение(Spyware) - это программное обеспечение, которое предназначено для сбора информации в системе без ведома пользователя и которое может отправлять такую информацию другому субъекту без согласия потребителя. Шпионское программное обеспечение(ПО), в основном, подразделяется на четыре типа: системные мониторы, трояны, рекламное ПО и программы отслеживания. Шпионское ПО используется для отслеживания и хранения действий интернет-пользователей в Интернете и показа всплывающих объявлений. Некоторые шпионские программы, такие как клавиатурные шпионы, могут быть установлены владельцем общего, корпоративного или общедоступного компьютера намеренно, чтобы контролировать пользователей. Хотя термин «шпионское ПО» предлагает программное обеспечение, которое контролирует вычисления пользователя, функции шпионских программ могут выходить за рамки простого мониторинга. Spyware может собирать практически любые данные, включая личную информацию, такую как привычки к интернет-серфингу, учетные записи пользователей и информацию о банковских или кредитных счетах. Spyware также может препятствовать пользовательскому управлению компьютером, устанавливая дополнительное программное обеспечение.

Некоторые программы-шпионы могут изменять настройки компьютера, что может привести к медленным скоростям подключения к Интернету, несанкционированным изменениям в настройках браузера или изменениям настроек программного обеспечения. Иногда шпионские программы распространяются вместе с подлинным программным обеспечением и могут исходить от вредоносного веб-сайт. В ответ на появление шпионских программ возникла индустрия в борьбе с программным обеспечением для защиты от шпионских программ. Запуск антишпионского программного обеспечения стал широко признанным элементом компьютерной безопасности, особенно для компьютеров под управлением Microsoft Windows. В ряде юрисдикций приняты антишпионские законы, которые обычно нацелены на любое программное обеспечение, которое тайно установлено для управления компьютером пользователя 3.

Способы проникновения шпионского программного обеспечения

Шпионское ПО не обязательно распространяется так же, как вирус или червь, поскольку зараженные системы обычно не пытаются передавать или копировать программное обеспечение на другие компьютеры. Вместо этого программа-шпион устанавливает себя в систему, обманывая пользователя или используя уязвимости программного обеспечения. Spyware может попытаться обмануть пользователей, объединив себя с нужным программным обеспечением. Некоторые авторы шпионских программ заражают систему через дыры безопасности в веб-браузере или в другом программном обеспечении. Когда пользователь переходит на вебстраницу, управляемую автором шпионского ПО, страница содержит код, который атакует браузер и заставляет загружать и устанавливать программы-шпионы. Установка шпионского ПО часто включает в себя Internet Explorer. Его глубокая интеграция со средой Windows делает ее уязвимой для атаки. Internet Explorer также служит точкой входа для программ-шпионов в виде объектов-помощников браузера, которые изменяют поведение браузера для добавления панелей инструментов или для перенаправления трафика [6,7].

Программа-шпион редко одна на компьютере: зараженная машина обычно имеет несколько инфекций. Пользователи часто замечают нежелательное поведение и ухудшение производительности системы. Инфекция шпионских программ может создать значительную нагрузку на центральный процессор(ЦП), использование диска и сетевой трафик. Также часто встречаются проблемы со стабильностью, такие как замораживание приложений, невозможность загрузки и общесистемные сбои. В некоторых случаях шпионское ПО даже не проявляется. Пользователи предполагают, что проблемы производительности связаны с неисправным оборудованием, проблемами установки Windows или другой неисправностью. В некоторых случаях, чтобы очистить систему от заражения шпионским ПО может потребоваться чистая переустановка всего программного обеспечения. Кроме того, некоторые типы программ-шпионов отключают программные брандмауэры и антивирусные программы и / или уменьшают настройки безопасности браузера, которые еще больше открывают систему для дальнейших инфекций. Некоторые программы-шпионы отключают или даже удаляют конкурирующие программы-шпионы, так как большое количество шпионского ПО повышает вероятность, что пользователи обнаружат его и предпримут меры для удаления программ. Кейлоггеры(клавиатурные шпионы) иногда являются частью пакетов вредоносных программ, загружаемых на компьютеры без ведома владельцев. Кейлоггеры могут быть в открытом доступе в Интернете или являться коммерческими, или частными приложениями. Большинство клавиатурных шпионов позволяют захватывать не только нажатия клавиш клавиатуры, но также могут собирать снимки экрана с компьютера. Обычный пользователь Windows имеет административные привилегии, в основном для удобства. Из-за этого любая программа, которую пользователь запускает, имеет неограниченный доступ к системе. Как и в случае с другими операционными системами, пользователи Windows могут следовать принципу

Способы обнаружения шпионского программного обеспечения

Для обнаружения программ-шпионов пользователи компьютеров обнаружили несколько методов, полезных в дополнение к установке антишпионских программ. Многие пользователи установили веб-браузер, отличный от Internet Explorer, например, Mozilla Firefox или Google Chrome. Хотя браузер не является полностью безопасным, Internet Explorer подвержен большему риску заражения шпионскими программами из-за своей большой базы пользователей, а также уязвимостей, таких как ActiveX. Некоторые интернет-провайдеры, использовали другой подход к блокированию программ-шпионов: они используют свои сетевые брандмауэры и веб-прокси для блокирования доступа к вебсайтам, которые, как известно, устанавливают шпионское ПО. Отдельные пользователи могут также установить брандмауэры из разных компаний. Они контролируют поток информации, поступающей на сетевой компьютер, и обеспечивают защиту от шпионских и вредоносных программ. Шпионское ПО может быть установлено через определенные условно бесплатные программы, предлагаемые для загрузки. Загрузка программ только из авторитетных источников может обеспечить некоторую защиту от этого источника атаки [11,12].

Для борьбы с растущим распространением программ-шпионов был разработан ряд коммерческих решений. Например, как AdAware, так и SpyBot являются популярными инструментами, которые могут удалять большое количество программ-шпионов. Проблема с существующими инструментами обнаружения шпионских программ заключается в том, что они используют сигнатуры для обнаружения известных экземпляров шпионских программ. Таким образом, они требуют частого обновления базы данных и не могут идентифицировать ранее невидимые образцы. Чтобы устранить ограничения обнаружения вредоносных программ на основе сигнатур, были предложены методы, основанные на поведении. Эти методы пытаются охарактеризовать поведение программы, таким образом, который не зависит от его двоичного представления. Делая это, можно обнаружить целые классы вредоносных программ. Примером использования характеристик поведения для обнаружения вредоносного кода является Strider Gatekeeper от Microsoft [13,14].

Методы защиты от шпионского программного обеспечения

Поскольку увеличилась угроза шпионских программ, для ее противодействия возник ряд методов. К ним относятся программы, предназначенные для

удаления или блокировки программ-шпионов, а также различные пользовательские методы, которые уменьшают вероятность получения шпионских программ в системе. Тем не менее, шпионское ПО остается серьезной угрозой для пользователей. Когда большое количество шпионских программ заражает систему, единственным средством может быть резервное копирование пользовательских данных и полная переустановка операционной системы.

Антишпионские программы могут бороться с программами-шпионами двумя способами:

1. Они могут обеспечить защиту в режиме реального времени способом, подобным антивирусной защите: они сканируют все входящие сетевые данные для шпионских программ и блокируют любые обнаруженные угрозы.

2. Программы для защиты от шпионских программ могут использоваться исключительно для обнаружения и удаления программ-шпионов, которые уже были установлены в компьютер. Этот вид антишпионских программ часто может быть установлен для сканирования по регулярному графику. Такие программы проверяют содержимое реестра Windows, файлов операционной системы и установленных программ, а также удаляют файлы и записи, которые соответствуют списку известных программ-шпионов [15,16].

Защита в режиме реального времени от шпионских программ работает одинаково с антивирусной защитой: программное обеспечение сканирует файлы на диске во время загрузки и блокирует активность компонентов, которые, как известно, представляют собой шпионское ПО. Более ранние версии антишпионских программ были сосредоточены главным образом на обнаружении и удалении. Как и большинство антивирусных программ, многие антишпионские / рекламные инструменты требуют часто обновляемой базы данных угроз. По мере выпуска новых программ-шпионов разработчики антишпионских программ обнаруживают и оценивают их, добавляя в список известных программ-шпионов, что позволяет программному обеспечению обнаруживать и удалять новые шпионские программы. В результате антишпионское программное обеспечение имеет ограниченную полезность без регулярных обновлений. Обновления могут быть установлены автоматически или вручную. Популярным распространенным средством для удаления шпионских программ является HijackThis, который сканирует определенные области операционной системы Windows, в которых часто находится программа-шпион, и представляет список элементов для удаления вручную. Если программа-шпионы не заблокирована и ей удается установить себя, она может противостоять попыткам удаления себя.

Некоторые программы работают в парах: когда антишпионский сканер завершает один запущенный процесс, другой перезапускает убитую программу. Аналогично, некоторые шпионские программы будут обнаруживать попытки удаления ключей реестра и немедленно добавлять их снова. Как правило, загрузка зараженного компьютера в безопасном режиме позволяет антишпионской программе с большей вероятностью обезвредить шпионское ПО.

Важно понимать, что нельзя быть полностью защищенным от программ-шпионов. Проанализировав режимы и способы работы антишпионского программного обеспечения, можно сделать вывод, что для максимальной защиты от шпионского программного обеспечения необходимо использовать комплекс средств защиты и проводить мониторинг и анализ работы системы [17,18].

Для максимального контроля системы и защиты от шпионского программного обеспечения сформирован следующий список, того как контролировать свою систему и проверять признаки наличия программ-шпионов в системе:

1. Программы антишпионы. Программы антишпионы ищут сигнатуры или трассировки, которые относятся к определенному программному обеспечению шпиона. Некоторые просто выполняют сканирование текстовой строки, чтобы найти их, а другие фактически извлекают и пытаются удалить шпионское ПО.

2. Системные ресурсы. Плохо написанное программное обеспечение шпиона почти всегда потребляет большие системные ресурсы. Необходимо следить за системными ресурсами, нехваткой памяти, большим количеством активности на жестком диске.

3. Доступ к системе. Следите за тем, чтобы посторонние люди не получали доступ к вашей системе. Многие программные средства, предназначенные для шпионажа, требуют физического доступа к целевой машине.

4. Мониторы установки ПО. В настоящее время на рынке находятся программные продукты, которые регистрируют каждую установку, которая происходит на компьютере. Таким образом, можно обнаружить установку многих шпионов.

5. Антивирус. Многие антивирусные программы могут обнаружить шпионское программное обеспечение, поскольку оно часто классифицируется как «Троянские кони». Обновляйте антивирусное программное обеспечение и убедитесь, что оно работает в фоновом режиме.

Рассмотрено понятие и изучены виды и типы шпионского программного обеспечения. Проанализированы способы проникновения шпионского программного обеспечения в систему, рассмотрено поведение вредоносного программного обеспечения. Рассмотрены различные способы обнаружения шпионского программного обеспечения в системе. Выделены 2 способа борьбы антишпионского программного обеспечения с программами шпионами и проанализировав это, предложены шаги противодействия шпионскому ПО, которые позволяют минимизировать риски заражения, данным видом вредоносного программного обеспечения.

6. Fadel 0. Shaban. Spyware Detection. - LAP LAMBERT Academic Publishing, 2013. -92 c. ISBN 9783659488832.

8. Egele M., Kruegel C., Kirda E., Yin H., Song D. Dynamic Spyware Analysis. In: Usenix Annual Technical Conference (2008).

10. Yin, H., Song, D., Egele, M., Kruegel, C., Kirda, E.: Panorama: Capturing Systemwide. Information Flow for Malware Detection and Analysis. In: ACM Conference on Computer and Communication Security, CCS (2008).

12. M. Klang. Spyware - The ethics of covert software.

15. P. Zollo. Big Book of Spyware. -CreateSpace Independent Publishing Platform, 2015. -146 p. ISBN 9781519680334.

16. Larson B. V. Spyware. - No Starch Press, 2010. - 203 p.

17. M. Sikorski A. Honig. Practical Malware Analysis: The Hands-On Guide to Dissecting Malicious Software. - No Starch Press, 2012. - 800 p. ISBN 9781593272906.

18. V. Marak. Windows Malware Analysis Essentials. - Packt Publishing, 2015. - 330 p. ISBN 9781785281518.

История компьютерных программ-шпионов началась совершенно невинно. Ведущие компьютерные фирмы мира проводили исследования насыщавшегося рынка. И кому-то, оставшемуся для истории неизвестным, пришла в голову мысль, что неплохо бы без ведома владельцев узнавать, какая на компьютере установлена операционная система, каков объем памяти и что за процессор. В принципе, ту же информацию можно было бы получить и через опросы этих владельцев, но залезть через Интернет в компьютер оказалось проще и дешевле. Только вот без разрешения — не совсем этично, но в конце концов, никакого вреда клиенту от этого нет.

Содержание

1. История компьютерных программ-шпионов……………………………………. 4

1.1.Как программы шпионы могут попасть на компьютер пользователя…………. 5

2.2.Законные виды применения "потенциально нежелательных технологий"……. 8

2.4.Spyware, вирусы и сетевые черви………………………………………………….10

2.6.Методы лечения и предотвращения……………………………………………….11

4. Шпионские программы……………………………………. 19

4.1.Для чего используются мониторинговые программы…………………………….21

4.2.Для чего используются программы шпионы………………………………………22

5. Предупреждение о программах-шпионах - 5 признаков…………………………..23

6. Опасности для компьютерных систем……………………………………………. 25

6.1.1Внешние аппаратные кейлоггеры………………………………………………. 28

6.12.Внутренние аппаратные кейлоггеры……………………………………………. 29

7. Методы противодействия программам-шпионам…………………………………. 29

8. Методы противодействия аппаратным кейлоггерам……………………………. 34

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ…

Работа состоит из 1 файл

Шпионские программы.doc

Особую опасность представляют мониторинговые программные продукты и аппаратные устройства, которые могут быть скрытно и несанкционированно (как правило, дистанционно) установлены без ведома владельца (администратора безопасности) автоматизированной системы или без ведома владельца конкретного персонального компьютера. Данная категория мониторинговых продуктов далее в статье будет именоваться как «программы-шпионы» или «продукты-шпионы».

Санкционированные же мониторинговые программные продукты используются администратором (службой информационной безопасности предприятия или организации) для контроля безопасности локальной сети. Они позволяют фиксировать действия пользователей и процессы, использование пассивных объектов, а также однозначно идентифицировать пользователей и процессы, которые причастны к определенным событиям, для того чтобы предотвратить нарушения безопасности или обеспечить неизбежность ответственности за определенные действия. Именно это свойство (в зависимости от степени его реализации) позволяет в той или иной мере контролировать соблюдение сотрудниками предприятия установленных правил безопасной работы на компьютерах и политики безопасности.

Например, программа- шпион NeoSpy выполняет следующие функции:

• Отслеживает запущенные пользователем программы

• Записывает нажатия клавиш (кейлоггер)

• Сохраняет снимки экрана

• Записывает создание, удаление, изменение файлов

• Отслеживает посещения сайтов и переписку ICQ, вконтакте

• Записывает файлы, копируемые на USB-носители (флешки, переносные жесткие диски).

Между мониторинговыми продуктами для обеспечения контроля и продуктами шпионами очень тонкая грань - это различие между управлением безопасностью и нарушением безопасности.

Превращению продукта для монитринга и наблюдаемости в продукт-шпион способствует наличие в программе таких специальных функций, как:

• наличие встроенных средств доставки и дистанционной установки сконфигурированного модуля на компьютер пользователя.

Чтобы программный продукт был малопригодным для шпионских целей и несанкционированного применения, необходимо соблюдение в следующих условий:

• возможность инсталляции и конфигурации модуля мониторинга только при непосредственном физическом доступе к компьютеру пользователя;

• обязательное наличие прав администратора для инсталляции и конфигурации программ

Исключение составляют случаи, когда, например, злоумышленником является сам администратор.

Отметим, что законность или незаконность использования мониторинговых (и шпионских) программ зависит от законодательства каждой конкретной страны (или административной единицы, т.е. штата, автономной республики и т.д.), а также от соблюдения правил использования этих программ, установленных законодательством.

4.1.Для чего используются мониторинговые программы

Их применение дает достаточно широкие возможности специалисту,ответственному за информационную безопасность предприятия.

Он может следующее:

• определять (локализовать) все случаи попыток несанкционированного доступа к конфиденциальной информации с точным указанием времени и сетевого рабочего места, с которого такая попытка осуществлялась;

• определять факты несанкционированной установки программного обеспечения;

• контролировать возможность использования персональных компьютеров в нерабочее время и выявить цель такого использования;

• определять все случаи несанкционированного использования модемов в локальной сети путем анализа фактов запуска несанкционированно установленных специализированных приложений;

• определять все случаи набора на клавиатуре критичных слов и словосочетаний, подготовки каких-либо критичных документов, передача которых третьим лицам приведет к материальному ущербу;

• определять факты нецелевого использования персональных компьютеров:

• получать достоверную информацию, на основании которой будет разрабатываться политика информационной безопасности предприятия;

• контролировать доступ к серверам и персональным компьютерам;

• контролировать контакты собственных детей при серфинге в сети Интернет;

• проводить информационный аудит;

• исследовать и расследовать компьютерные инциденты;

• проводить научные исследования, связанные с определением точности, оперативности и адекватности реагирования персонала на внешние воздействия;

• определять загрузку компьютерных рабочих мест предприятия;

• восстанавливать критическую информацию после сбоев компьютерных систем и т.д.

4.2.Для чего используются программы шпионы

Применение несанкционированно устанавливаемых мониторинговых программ позволяет злоумышленнику:

• перехватывать чужую информацию;

• осуществлять экономический или политический шпионаж;

• получать несанкционированный доступ к системам «банк-клиент»;

• получать несанкционированный доступ к системам криптографии пользователя персонального компьютера - открытым и закрытым ключам, парольным фразам;

• получать несанкционированный доступ к авторизационным данным кредитных карточек и т.д.

5.Предупреждение о программах-шпионах - 5 признаков

1. Замедленная работа компьютера.

Если вы не вносили никаких кардинальных изменений в систему, и она внезапно начинает работать медленнее, то вероятно, что вы имеете дело со шпионящим программным обеспечением, работающим без вашего ведома.

Проверьте выполняющиеся команды и работающие приложения, используя «Диспетчер задач Windows», и определите, что именно расходовало все ресурсы центрального процессора и памяти. Используйте Google для поиска операций с подозрительными названиями. Если в результатах фигурирует программа-шпион, вы должны, как можно скорее, использовать программное обеспечение для удаления программ-шпионов.

2. Антивирус и брандмауэр выключены.

Это один из наиболее очевидных признаков заражения шпионящим программным обеспечением. Если вы видите странные иконки на рабочем столе, особенно имеющие отношение к сайтам азартных онлайн игр, не щёлкайте на них. Попытка удалить или отклонить установку иконок может только всё осложнить. Вы должны использовать средство для удаления программ-шпионов, чтобы должным образом удалить эти программы.

4. Завышенный счёт за телефон.

Данный признак на сегодняшний день менее распространён, но всё ещё случается. Программы наборного устройства представляют угрозу для любого пользователя со связью dialup для доступа в Интернет. Эти программы используют ваш модем, чтобы осуществлять дорогие междугородные разговоры, которые отразятся на суммах телефонных счетов. К сожалению, подобную угрозу сложно выявить заранее. Поэтому у вас появляется ещё одно веское основание использовать сканирование на наличие шпионящего программного обеспечения у вас на компьютере.

5. Программы кейлоггеры (программы для перехвата информации) - вероятно, самая страшная форма программ-шпионов. Они делают запись всего, что вы набираете на клавиатуре вашего компьютера - от паролей до номеров кредитной карточки и других личных данных. Похищение этих данных может привести к злоупотреблению конфиденциальностью и финансовым сложностям. Если вы замечаете странную деятельность по любому из ваших банковских счетов или счетов кредитных карточек, свяжитесь с вашим финансовым учреждением и немедленно проведите сканирование на наличие программ-шпионов.

6.Опасности для компьютерных систем

Одна из наиболее опасных функций всех программ-шпионов и аппаратных устройств-кейлоггеров - регистрация нажатий клавиш, сделанных пользователем, с целью контроля компьютерной активности. Когда пользователь набирает на клавиатуре пароль и данные своей кредитной карточки, возможно, в этот момент записывается каждое нажатие клавиши.

Кроме этого, современные программы-шпионы позволяют захватывать текст из окон приложений и делать снимки (скриншоты) экрана и отдельных окон. Другими словами, программа-шпион может перехватить текст документа, даже если пользователь его не набирал с клавиатуры, а просто открыл и просмотрел файл.

Подробнее остановимся на том, что же собой представляют продукты-шпионы, которые могут быть использованы для скрытого съема информации с персонального компьютера, и какие сегодня существуют средства для защиты конфиденциальной информации, хранимой на жестком диске, от описанных выше угроз.

6.1.Программные кейлоггеры

Программные кейлоггеры (key-loggers, keyloggers, keystroke loggers, key recorders, key trappers, key capture programs и множество других вариантов названия) принадлежат к той группе продуктов, которые позволяют контролировать деятельность пользователя персонального компьютера.

Первоначально программные продукты этого типа предназначались исключительно для записи информации о нажатиях клавиш клавиатуры, в том числе и системных, в специализированный журнал регистрации (log-файл), который впоследствии изучался человеком, установившим эту программу.

Log-файл может отправляться по сети на сетевой диск, ftp-сервер в Интернете, по e-mail и др. В последнее время программные продукты, имеющие данное название, выполняют много дополнительных функций - это перехват информации из окон, перехват кликов мыши, «фотографирование» экрана и активных окон, ведение учета всех полученных и отправленных писем, мониторинг файловой активности, системного реестра и очереди заданий, отправленных на принтер, перехват звука с микрофона и видео с веб-камеры, подключенных к компьютеру и др.

Кейлоггеры могут быть встроены в коммерческие, бесплатные и условно-бесплатные программы, в троянские программы, вирусы и черви. В качестве примера можно привести недавнюю эпидемию червя Mydoom, который содержал в себе кейлоггер. Эта эпидемия вызвала целую волну публикаций, показывающих особую актуальность проблемы защиты от программ-шпионов.

Многие серьезные и наиболее опасные предшественники Mydoom также содержали кейлоггеры.

Коммерческие шпионские программы – stalkerware – не считаются вредоносными. Рассказываем, почему их все равно не стоит использовать.

Наверняка почти каждому хоть раз в жизни хотелось проследить за другими. Чтобы удостовериться, что партнер не изменяет, что ребенок не связался с дурной компанией, а подчиненный не работает на конкурента. Слежка за родными и коллегами пользуется спросом, а спрос, как известно, рождает предложение.

Stalkerware — неэтично, зато легально (почти)

С моральной точки зрения использовать шпионские программы нехорошо: устанавливают их, как правило, без ведома владельца устройства, работают они в фоновом режиме и имеют доступ к очень личной информации. Однако юридически такие приложения во многих странах не запрещены, даже если сама по себе слежка за близкими преследуется по закону. Разработчики находят лазейки в законодательстве, например называя свой продукт решением для родительского контроля.

Неудивительно, что формально дозволенные приложения продолжают покупать, несмотря на то, что это неэтично. За прошедший год одни только наши решения обнаружили шпионские программы на телефонах и планшетах более чем 58 тысяч пользователей. Из них 35 тысяч человек узнали о существовании на их устройствах легального шпионского ПО только после того, как установили наше защитное решение и оно произвело первичное сканирование.

Шпионские приложения могут сливать ваши данные

Казалось бы, что в этом плохого, если данные на сервере видны только вам? Проблема в том, что, скорее всего, доступ к ним есть не только у вас. Почти наверняка их видит еще и разработчик приложения — это в лучшем случае. В худшем по небрежности этого самого разработчика они могут попасть в руки злоумышленников или вовсе в открытый доступ.

В марте другой исследователь, Сиан Хисли (Cian Heasley), нашел в открытом доступе целый сервер компании MobiiSpy, на котором хранилось более 95 тысяч фотографий, в том числе интимных, и более 25 тысяч аудиозаписей. Хостинг-провайдер Codero, у которого был размещен сайт MobiiSpy, отреагировал на инцидент, заблокировав ресурс.

Всего, по данным издания Motherboard, за последние два года утечки произошли из сервисов 12 разработчиков stalkerware. То есть, поставив такое приложение кому-либо, вы почти наверняка подвергаете опасности и его, и себя.

Stalkerware — дыра в защите устройства

Сам по себе процесс установки шпионских приложений тоже небезопасен. Во-первых, большинство из них не соответствует политикам официальных магазинов вроде Google Play, поэтому там вы их не найдете. А значит, в случае Android для них придется разрешить на устройстве установку приложений из сторонних источников. Это же, в свою очередь, открывает двери и многочисленным зловредам.

Во-вторых, stalkerware часто требует множества прав в системе, вплоть до root-доступа, который дает такой программе полный контроль над гаджетом. В том числе позволяет устанавливать любые другие программы по своему выбору.

Кроме того, некоторые приложения для слежки требуют отключить защитные решения или даже сами от них избавляются, если им уже дали необходимые полномочия.

Собственно, все эти особенности отличают stakerware от программ родительского контроля. Они не пытаются себя скрыть на устройстве, их вполне можно найти в официальных магазинах, они не требуют отключать антивирусы – и потому не угрожают пользователям.

Как защититься от легальных шпионских программ

Читайте также:

  
• Excel удалить пустые строки
  
• Стиль ввод не найден excel
  
• Как крякнуть adobe premiere pro cc 2017
  
• Отчеты 1с 8 2
  
• Как удалить adware antivirus