Spyware

Шпигу́нський програ́мний проду́кт (англ. spyware) — це програмний продукт особливого виду, що встановлений і вживається без належного сповіщення користувача, його згоди і контролю з боку користувача, тобто несанкціоновано встановлений. Саме у цьому вузькому сенсі термін шпигунський програмний продукт є дослівним перекладом англійського терміну spyware (англ. spy — шпигун і англ. (soft)ware — програмне забезпечення).

Зараз існує безліч визначень і тлумачень терміну spyware. Тому в цій статті за основу прийняті визначення цього терміну, що використовує Anti-spyware Coalition (коаліція, в яку входять багато крупних виробників антишпигунського та антивірусного програмного забезпечення)

Але слід зазначити, що термін spyware має як вузьке, так і широке тлумачення. Відповідно до тлумачення Anti-spyware Coalition, термін «spyware» може мати два значення:

• у вузькому сенсі, spyware — це моніторинговий програмний продукт, що встановлений і вживається без належного сповіщення користувача, його згоди і контролю з боку користувача, тобто несанкціоновано встановлений. Саме у цьому вузькому сенсі термін spyware (англ. spy — шпигун і англ. (soft)ware — програмне забезпечення) відповідає своєму дослівному перекладу, тобто шпигунське програмне забезпечення.
• у ширшому сенсі, spyware використовується як синонім того, що Anti-spyware Coalition називає spyware та інші потенційно небажані технології.

Термінологія

Spyware (у вузькому сенсі), шпигунське програмне забезпечення програмне забезпечення для відстежування (моніторингу) дій користувача, що вживається несанкціоновано:

• несанкціоновано вживані моніторингові програмні продукти (англ. Tracking Software);
• несанкціоновано вживані програмні продукти, призначені для контролю натискань клавіш на клавіатурі комп'ютера (англ. Keyloggers);
• несанкціоновано вживані програмні продукти, призначені для контролю скріншотів екрану монітора комп'ютера (англ. Screen Scraper);

Spyware (у широкому сенсі) , тобто Spyware (у вузькому сенсі) плюс інші потенційно небажані технології

Перелік Spyware (у вузькому сенсі) приведений вище.

Перелік інших потенційно небажаних технологій (англ. Potentially Unwanted Technologies) включає:

• Програмне забезпечення для показу реклами (англ. Advertising Display Software (Adware). Причому саме той вид реклами, на показ якої користувач не давав своєї згоди і яка показується користувачеві примусово;
• Автоматичні завантажувачі програмного забезпечення (англ. Automatic Download Software) — наприклад, так звані Tricklers. Причому саме той вид завантажувачів програмного забезпечення, який використовується без відома користувача, тобто несанкціоновано;
• Програми-«дозвонювальники» (англ. Dialing Software, или Dialers). Причому саме той вид дозвонювальників, на роботу яких користувач не давав своєї згоди, тобто вживаних несанкціоновано;
• Технології пасивного відстежування (англ. Passive Tracking Technologies ) — наприклад, несанкціоновано вживані кукі, так звані Tracking Cookies;
• Програмне забезпечення призначене для несанкціонованого віддаленого контролю і керування комп'ютерами (англ. Remote Control Software) — наприклад, Backdoors, Botnets, Droneware;
• Програми для несанкціонованого аналізу стану систем безпеки (англ. Security Analysis Software) — наприклад, Hacker Tools, Port and vulnerability scanners, Password crackers;
• Програми для несанкціонованого внесення змін до комп'ютерної системи (англ. System Modifying Software) — наприклад Hijackers, Rootkits;

Потенційно небажаними дані технології названі тому, що само по собі застосування цих технологій зовсім не робить який-небудь програмний продукт шпигунським програмним продуктом. Дані технології можуть застосовуватися в цілком законних цілях та бути корисними.

Порушник (англ. user violator) — користувач, що здійснює несанкціонований доступ до інформації.

Санкціонований доступ до інформації (англ. authorized access to information) — доступ до інформації, що не порушує правила розмежування доступу.

Несанкціонований доступ до інформації (англ. unauthorized access to information) — доступ до інформації, що здійснюється з порушенням правил розмежування доступу.

Правила розмежування доступу (англ. access mediation rules) — частина політики безпеки, що регламентує правила доступу користувачів і процесів до пасивних об'єктів.

Політика безпеки інформації (англ. information security policy) — сукупність законів, правил, обмежень, рекомендацій, інструкцій і так далі, що регламентують порядок обробки інформації.

Класифікація

за видом

Шпигунські програмні продукти підрозділяються на декілька основних видів:

• несанкціоновано вживані моніторингові програмні продукти (англ. Tracking Software);
• несанкціоновано вживані програмні продукти, призначені для контролю натискань клавіш на клавіатурі комп'ютера (англ. Keyloggers);
• несанкціоновано вживані програмні продукти, призначені для контролю скриншотів екрану монітора комп'ютера (англ. Screen Scraper);
• несанкціоновано вживані моніторингове або шпигунське ПЗ, яке використовується для сталкінгу (англ. Stalkerware).

за метою розробки

• Програмні продукти або модулі, які спочатку розроблялися спеціально для несанкціонованого проникнення в комп'ютерну систему і спочатку призначалися для крадіжки інформації користувача розробником даного програмного продукту.
• Програмні продукти або модулі, які спочатку не розроблялися спеціально для несанкціонованого проникнення в комп'ютерну систему і спочатку не призначалися для крадіжки інформації користувача розробником даного програмного продукту.

за наявністю сигнатури в сигнатурних базах

Відомі шпигунські програмні продукти. До даної категорії відносяться шпигунські програмні продукти, сигнатура яких вже включена в сигнатурні бази основних відомих фірм-виробників анти-шпигунських програмних продуктів і/або анти-вірусних програмних продуктів.

Невідомі шпигунські програмні продукти. До даної категорії відносяться шпигунські програмні продукти, сигнатура яких не включена в сигнатурні бази основних відомих фірм-виробників анти-шпигунських програмних продуктів і/або анти-вірусних програмних продуктів і, можливо, ніколи не буде в них включена з різних причин, а саме:

• моніторингові програмні продукти (модулі), які можуть створюватися розробниками різних закритих операційних систем і включатися ними до складу ядра операційної системи, без належного сповіщення користувача, його згоди і контролю ;
• шпигунські програмні продукти, які розроблені в обмеженій кількості (часто тільки в одній або декількох копіях) для вирішення конкретного завдання, пов'язаного з викраданням критичної інформації з комп'ютера користувача (наприклад, програмні продукти, що вживаються зловмисниками-професіоналами). Дані програмні продукти можуть бути трохи видозміненими відкритими початковими кодами моніторингових програмних продуктів, узятими з мережі Інтернет і скомпільовані самим зловмисником, що дозволяє змінити сигнатуру моніторингового програмного продукту;
• комерційні, особливо, корпоративні моніторингові програмні продукти, які дуже рідко вносяться до сигнатурних баз відомих фірм-виробників анти-шпигунських програмних продуктів і/або анти-вірусних програмних продуктів. Це призводить до того, що публікація зловмисниками в мережі Інтернет повнофункціональної версії такого комерційного моніторингового програмного продукту може перетворити останній в потенційний невідомий шпигунський програмний продукт, який не виявляється анти- шпигунськими програмними продуктами і/або анти-вірусними програмними продуктами;
• шпигунські програмні продукти, що включаються до складу програм-вірусів. До моменту внесення сигнатурних даних до вірусної бази дані модулі є невідомими. Приклад — всесвітньо відомі віруси, що натворили багато бід останніми роками, мають в своєму складі модуль перехоплення натиснень клавіатури і відправки отриманої інформації в мережу Інтернет.

Законні види застосування «потенційно небажаних технологій»

Tracking Software широко і абсолютно законно застосовується для моніторингу персональних комп'ютерів.

Adware може відкрито включатися до складу безкоштовного та умовно-безкоштовного програмного забезпечення, і користувач погоджується на проглядання реклами, щоб мати якусь додаткову можливість (наприклад — користуватися даною програмою безкоштовно). У такому разі наявність програми для показу реклами повинна явно прописуватися в угоді кінцевого користувача (EULA).

Програми віддаленого контролю і керування (Remote Control Software) можуть застосовуватися для віддаленої технічної підтримки або доступу до власних ресурсів, які розташовані на віддаленому комп'ютері.

Дозвонювальники можуть давати можливість дістати доступу до ресурсів, потрібних користувачеві (наприклад — дозвон до ISP (інтернет сервіс провайдера) для підключення до мережі Інтернет).

Програми для модифікації системи можуть застосовуватися і для кастомізації, що є бажаною для користувача.

Програми для автоматичного завантаження можуть застосовуватися для автоматичного завантаження оновлень прикладних програм та оновлень операційної системи.

Програми для аналізу стану системи безпеки застосовуються для дослідження стану захищеності комп'ютерних систем і в інших абсолютно законних цілях.

Технології пасивного відстежування можуть бути корисні для персоналізації вебсторінок, які відвідує користувач.

Принципи віднесення програмних продуктів до категорії Spyware

Spyware (у вузькому сенсі)
Моніторингові програмні продукти (англ. Tracking Software), програмні продукти, призначені для контролю натискань клавіш на клавіатурі комп'ютера (англ. Keyloggers), а також програмні продукти контролю скріншотів екрану монітора комп'ютера (англ. Screen Scraper) можуть бути віднесені до Spyware (у вузькому сенсі) , тобто до шпигунського програмного забезпечення, виключно за методом їх застосування — у разі несанкціонованого застосування даних програмних продуктів.

Інші потенційно небажані технології
Дані технології є технологіями подвійного призначення, і застосовуватися вони можуть в різних цілях, як в законних, так і в незаконних. І лише за методом застосування даних технологій в кожному конкретному програмному продукті і за методами застосування, що рекомендуються самим виробником програмного продукту, програмний продукт може бути віднесений до категорії Інші потенційно небажані технології.

Spyware (у широкому сенсі)
До даної категорії можуть бути віднесені програмні продуті і технології, які можуть бути віднесені хоча б до одного виду або Spyware (у вузькому сенсі) або Інші потенційно небажані технології.

Цілі застосування

Застосування шпигунських програмних продуктів дозволяє зловмисникові дістати практично повний доступ до комп'ютера користувача та до інформації, що на ньому що зберігається.

Методи захисту від шпигунських програмних продуктів

Захист від «відомих» шпигунських програмних продуктів:

• використання анти- шпигунських програмних продуктів і/або анти-вірусних програмних продуктів відомих виробників з автоматичним оновленням сигнатурних баз.

Захист від «невідомих» шпигунських програмних продуктів:

• використання анти-шпигунських програмних продуктів і/або анти-вірусних програмних продуктів відомих виробників, які для протидії шпигунським програмним продуктам використовують так звані евристичні (поведінкові) аналізатори, тобто не вимагають сигнатурної бази.

Захист від «відомих» і «невідомих» шпигунських програмних продуктів включає використання анти-шпигунських програмних продуктів і/або анти-вірусних програмних продуктів відомих виробників, які для протидії шпигунським програмним продуктам використовують:

• сигнатурні бази шпигунських програмних продуктів, що постійно оновлюються;
• евристичні (поведінкові) аналізатори, що не вимагають наявності сигнатурної бази.

Посилання

• Anti-Spyware Coalition Офіційне тлумачення терміну Spyware

Захист від Spyware

• Anti-Keylogger.Org Незалежне порівняння найпопулярніших анті-spyware продуктів
• Microsoft Windows Defender [Архівовано 19 січня 2008 у Wayback Machine.] Домашня сторінка Microsoft Windows Defender російською мовою
• Microsoft Windows Defender [Архівовано 4 лютого 2015 у Wayback Machine.] Домашня сторінка Microsoft Windows Defender англійською мовою
• Microsoft Anti-Malware Blog Microsoft Anti-Malware Blog