Для обнаружения и удаления мониторинговых программных продуктов, которые могут быть установлены без ведома пользователя ПК, в настоящее время используются программы, которые с помощью сигнатурного анализа обеспечивают более или менее эффективную защиту только против известных программ-шпионов. Для эффективной работы программ этого типа необходимо получить образец программы-шпиона, выделить из нее сигнатуру и включить ее в свою базу. При обновлении сигнатурной базы пользователи персонального компьютера получают возможность бороться сданным вариантом программы-шпиона. По такому принципу работают многие известные фирмы — производители антивирусного программного обеспечения.
Но есть и другая группа программ-шпионов, которая наиболее опасна для любых автоматизированных систем — это неизвестные программы-шпионы. Они подразделяются на пять типов.
1. Программы-шпионы, разрабатываемые под эгидой правительственных организаций (пример — продукт Magic Lantern, проект под названием Cyber Knight, США).
Приложение-шпион: приватности больше нет!
2. Программы-шпионы, которые могут создаваться разработчиками различных операционных систем и включаться ими в состав ядра операционной системы.
3. Программы-шпионы, которые созданы в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например программы, применяемые хакерами-профессионалами). Такие программы могут представлять собой немного видоизмененные открытые исходные коды программ-шпионов, взятые из Интернета и скомпилированные самим хакером, что позволяет изменить сигнатуру программы-шпиона.
4. Коммерческие, особенно, корпоративные программные продукты, которые очень редко вносятся в сигнатурные базы, а если и вносятся, то только по политическим мотивам (пример — программные продукты таких известных фирм, как WinWhat-Where Corporation, SpectorSoft Corporation, ExploreAnywhere Software LLC, Omniquad, Ltd).
5. Программы-шпионы, представляющие собой keylogging-модули, входящие в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу данные модули являются неизвестными. Пример — всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет, например:
Информация о программах-шпионах первого и третьего типа, как правило (если не происходит утечки информации), нигде не публикуется, и, соответственно, их код не может быть внесен в сигнатурные базы, поэтому их не могут обнаружить никакие программные продукты, использующие сигнатурный анализ.
Информация о программах-шпионах второго типа нигде не публикуется, данный код работает на уровне ядра операционной системы и, соответственно, они не могут обнаруживаться никакими приложениями.
Информация о программах-шпионах четвертого типа вносится в сигнатурные базы очень редко, так как это противоречит законодательству многих стран мира. Но даже если это и происходит, то деактивировать, а тем более удалить их зачастую невозможно без разрушения операционной системы. Эти программы не имеют своих процессов, а прячутся в виде потоков в системные процессы. Они имеют режимы контроля целостности и самовосстановления после сбоев, могут работать только с памятью компьютера и не работать с жестким диском.
Ставлю «шпионскую» программу на свой смартфон. У Вас украли или Вы потеряли смартфон? Как найти?
Информация о программах-шпионах пятого типа вносится в сигна-турные базы через несколько часов или дней после начала соответствующей вирусной атаки. А за это время конфиденциальная информация пользователя персонального компьютера уже может быть украдена и отослана в Интернет на заранее подготовленный вирусописателем адрес.
Что же может противопоставить пользователь персонального компьютера программам-шпионам? Решение данной проблемы возможно только в использовании комплекса программных продуктов.
Программный продукт №1 — тот, который использует эвристические механизмы защиты, созданные специалистами, имеющими больший опыт борьбы с программами-шпионами. Его защита непрерывна, при этом он не использует никакие сигнатурные базы.
Программный продукт №2 — антивирусный программный продукт, использующий постоянно обновляемые сигнатурные базы.
Программный продукт №3 — персональный firewall, контролирующий выход в Интернет с персонального компьютера на основании установок самого пользователя.
Такая последовательность выбрана неспроста.
Антивирусный программный продукт успевает отреагировать на проникновение вируса с keylogging-модулем, когда уже осуществлен перехват информации, т.к. вирусная база еще не успела пополниться новой информацией, а соответственно, и обновиться на компьютере пользователя.
Персональный firewall задает много вопросов, на которые даже очень хорошо подготовленный пользователь может ответить некорректно, тем самым неправильно его сконфигурировав. Например, некоторые коммерческие мониторинговые программы используют процессы программных продуктов, которым заведомо разрешен выход в Интернет (браузеры, почтовые клиенты).
А это приводит к тому, что та информация, которая уже была украдена при полном бездействии антивирусной программы, спокойно будет передана в Сеть на заранее подготовленный хакером (или кем-то иным) интернет-адрес. И только программный продукт первого типа работает молча, не задавая ненужных вопросов пользователю, и осуществляет свою работу непрерывно в фоновом режиме.
Антивирусных программных продуктов, использующих постоянно обновляемые сигнатурные базы, в мире создано великое множество (AVP, Dr.Web, Panda Antivirus, Norton Antivirus и многие другие). Персональных межсетевых экранов создано еще больше (Norton Internet Security, BlackICE Defender, GuardianPro Firewall, Tiny Personal Firewall и прочие). А защитные программы первого типа представлены на сегодняшний день всего лишь одним продуктом, не имеющим аналогов в мире. Он называется Priva-cyKeyboard™.
PrivacyKeyboard™ блокирует работу программ-шпионов без использования сигнатурных баз. Это стало возможным благодаря тому, что были найдены решения и разработаны алгоритмы, которые позволили отличить работу программы-шпиона от любого иного приложения, которое установлено в системе.
PrivacyKeyboard™ имеет в своем составе модули, обеспечивающие:
• защиту от перехвата нажатий клавиш клавиатуры;
• защиту от перехвата текста из окон;
• защиту от снятия изображения рабочего стола;
• защиту от снятия изображения активных окон.
Для собственной защиты от внешнего разрушительного воздействия программ-шпионов программа PrivacyKeyboard™ имеет систему контроля целостности и другие защитные функции.
Методы противодействия аппаратным кейлоггерам.
Никакие программные продукты не в состоянии определить наличие установленных аппаратных устройств, которые обеспечивают перехват нажатий клавиатуры пользователем персонального компьютера.
Сегодня существует только два метода противодействия аппаратным кейлоггерам при работе на стандартном персональном компьютере:
• физический поиск и устранение аппаратного кейлоггера;
• использование виртуальных клавиатур для ввода особо важной информации (логины, пароли, коды доступа, PIN-коды кредитных карт).
Организационные меры защиты
В отличие от спама и другого нежелательного ПО шпионские программы обладают функционалом, посредством которого могут быть скомпрометированы конфиденциальныеданные. Потенциальные результаты «деятельности» этих программ – существенное замедление работы компьютера или сложности при посещении любого веб-сайта, снижение продуктивности работы сотрудников и информационной безопасности компании.
Решить проблему шпионского ПО можно только комплексными мерами в масштабах всей организации.
В настоящий момент достаточно остро ощущается отставание средств обнаружения и удаления шпионского ПО от требований, предъявляемых к централизованному управлению данными продуктами, а скорость разработки защитных мер намного ниже скорости создания шпионского ПО. Этот пробел сейчас сокращается усилиями как независимых компаний, ориентированных главным образом на малый и средний бизнес, так и крупных антивирусных вендоров, дополняющих линейки продуктов решениями для борьбы со шпионским ПО.
Ни одно из существующих на рынке антишпионских решений не обеспечивает 100%-ной защиты. Даже в абсолютно замкнутой программной среде возможно заражение, если в разрешенном установленном ПО шпионский модуль присутствовал изначально.
Главная мера защиты – «воспитание» пользователей. Это необходимая составляющая процесса обеспечения безопасности корпоративной сети. До тех пор, пока сотрудники не осознают, что нельзя «не глядя» загружать на свои компьютеры какое-то ПО, на первый взгляд полезное или забавное, максимального эффекта от средств защиты от угроз, подобных шпионскому ПО, ждать не стоит.
Шпионское ПО стоит на 2-м месте в списке угроз сетевой безопасности – после вирусов, червей и троянских программ
Главная мера защиты – «воспитание» пользователей: они должны хорошо представлять себе риски и финансовый ущерб, которые несет с собой шпионское ПО, а также соблюдать превентивные меры
Многие из шпионских программ попадают на компьютеры легально: пользователь сам дает добро на их установку, не глядя подписывая условия лицензионного соглашения устанавливаемого продукта
Пять основных последствий атак шпионского ПО (версия Trend Micro):
- задействование вычислительных ресурсов сети
- снижение продуктивности работы пользователей
- снижение пропускной способности сети
- загрузка вредоносного ПО
- вмешательство в частную жизнь
Источник: studfile.net
Как защитить свой компьютер от шпионского ПО
В век информационных технологий физическая безопасность нередко уходит на второй план перед безопасностью информационной. И в самом деле, в интернете проходит львиная доля жизни: как рабочей, так и частной. С онлайн-службами привязаны важные элементы сегодняшней реальности: начиная от личных паролей к электронной почте и заканчивая банковскими счетами и доступом к ним. Неудивительно, что и число мошенников и преступников во всемирной паутине растёт. А с ними растут и риски для пользователей компьютеров, имеющих доступ к интернету.
Мало кому понравится, что его личная информация станет достоянием третьих лиц? И поэтому безопасность ваших данных – важная задача, которую стоит решить каждому, кто хоть раз заходил в интернет со своего персонального компьютера. Но если о классических вирусах, которые можно случайно загрузить на компьютер, знают все, то о том, что существуют специальные программы-шпионы, незаметные для пользователей, но при этом постоянно мониторящие все важные данные и пересылают их мошенникам, известно немногим. Такие программы называются шпионским ПО, а их жертвой можете стать как вы, так и ваши близкие, если не примете меры безопасности.
Чем опасно шпионское ПО?
Шпионские программы сегодня признаны даже более вредоносными, чем вирусы , которые разрушают систему или приводят к сбоям в работе ПК. Как действует такое ПО?
- Такие программы могут записывать сигналы веб-камеры, поэтому существует риск попадания вашего личного видео в общий доступ или в руки мошенников.
- Шпионское ПО находит ваши пароли к программам или веб-сервисам и похищает их. В результате к вашим аккаунтам могут получить доступ преступники и использовать их в своих целях: от похищения денег со счетов до взлома личных страниц в социальных сетях и рассылки вашим друзьям вирусов.
- Программы-шпионы получают доступ к вашей электронной почте и используют вашу информацию, хранящуюся на почте.
Как же защитить себя и свой ПК от действия шпионского ПО? Разложим по полочкам самые действенные меры.
Как понять, что на вашем компьютере действует программа-шпион?
Предупреждён – значит, вооружён. И прежде всего, стоит выяснить, какие признаки указывают на то, что на компьютере уже вовсю орудуют программы-шпионы:
- Медленная загрузка и торможение операционной системы – один из главных признаков, которые заставляют задуматься о том, не шпионят ли за вами киберпреступники. Особенно, если работать медленно операционная система стала внезапно, без видимых причин.
- Активность компьютера при вашем бездействии: если вы не запускали программы на компьютере, но он упорно шумит вентиляторами, индикатор загруженности жёсткого диска показывает активную работу винчестеров, компьютер греется в неактивном режиме, а видеокарта начинает притормаживать, есть риск, что на вашем компьютере действует шпионское ПО. Например, программы-майнеры, которые используют ресурсы вашего компьютера для майнинга криптовалют в пользу стороннего пользователя.
- Если при загрузке системы вы видите внезапно появляющееся и исчезающее командное окно, возможно, это признак запуска нежелательной программы, которая не хочет, чтобы вы её обнаружили.
- Просмотр списка работающих приложений в «Диспетчере задач» помогает определить, нет ли на компьютере лишнего ПО, которое вы сами не устанавливали. Нашли непонятное приложение, работающее на ПК? Забейте его название в поиск вашего браузера и посмотрите результат, нет ли его в списках вредоносного ПО.
Проверили? Если всё хорошо, просто не забывайте регулярно проверять ПК по критериям, указанным выше. Если же вы обнаружили такую программу-шпион, обязательно примите меры для её удаления, а затем не медлите с установкой защитных программ.
Как защитить компьютер от шпионского ПО?
Прежде всего, необходимо поставить специальное защитное ПО – antispyware , которое станет вашим киберзащитником от большинства интернет-угроз. Это аналог антивирусов, который специализируется на поиске и обезвреживании таких программ, как кейлоггеры (идентификаторы ваших паролей по нажатию клавиш на клавиатуре), взломщики веб-камер и других шпионских хитростей.
Второй шаг – это регулярное сканирование системы. Есть сканеры для мониторинга системы на предмет шпионского ПО, причём вы можете выбрать как установленные на компьютер решения, так и работающие через браузер онлайн-сканеры.
Не лишним будет и регулярно обновлять вашу операционную систему. Обычно при скачивании обновлений (официальных, разумеется) пробелы в безопасности системы минимизируются, а сам центр безопасности операционной системы подчищает действующие опасные приложения.
Но кроме защиты важна ещё и профилактика. Что же делать, чтобы снизить вероятность того, что на ваш ПК проберутся «шпионы»?
- Классическое правило: не скачивать программы или приложения с неизвестных онлайн-ресурсов!
- Не переходите по фишинговым ссылкам и фейковым уведомлениям, которые могут всплывать во время веб-сёрфинга.
- Спаммерские письма, приходящие по электронной почте, лучше удалять сразу, не знакомясь с их содержимым.
- Создание учётных записей для каждого пользователя вашего ПК обязательно. И будет лучше, если вы ограничите права для тех, кто может скачать что-либо подозрительное из сети (например, для пожилых людей, плохо разбирающихся в интернет-технологиях, или детей).
Помните, что только обдуманное поведение пользователей во время работы в интернете, а также регулярная чистка системы от сомнительных приложений и сканирование системы вместе с хорошим антишпионским ПО, помогут сделать защиту максимальной.
Источник: geek-nose.com
Шпионское и вредоносное ПО
Термины malware и spyware являются последними дополнениями к списку категорий программного обеспечения, которые могут быть вредны для вашего компьютера, а также более распространенным вирусом и троянами. Spyware используется для категоризации определенного программного обеспечения, которое будет отслеживать активность на вашем компьютере, чтобы извлекать данные о пользователях этого компьютера.
Это может варьироваться от доброкачественной информации, такой как посещаемые веб-сайты или привычки серфинга, к более важным вещам, таким как номера кредитных карт, имена пользователей и пароли. Вредоносное ПО — это универсальный термин, предназначенный для охвата всех вредоносных программ. Он был разработан в связи с увеличением числа вредоносных программ, плавающих в Интернете. Вирусы, трояны, черви и шпионские программы классифицируются как вредоносные программы, а также несколько других, которые здесь не упоминались.
В отличие от других вредоносных программ, таких как вирус, которые содержат полезную нагрузку, которая может удалить ваши данные или привести к сбою в работе вашего компьютера, шпионские программы не намереваются нанести ущерб компьютеру, поскольку он не сможет извлечь данные, если это произойдет. Он просто остается в фоновом режиме во время записи активности на компьютере.
Опасными типами шпионских программ являются те, у которых установлены кейлогеры. Они записывают все входы на клавиатуре и могут извлекать ценную информацию. Рекламное ПО или программное обеспечение, которое отображает объявления на вашем компьютере, также является шпионским ПО, поскольку оно контролирует ваши действия и определяет, какие объявления вам наиболее интересны. Хотя они и являются шпионскими программами, на самом деле они не представляют серьезной угрозы, поскольку они не извлекают никакой ценной информации.
Независимо от того, является ли шпионское ПО на вашем компьютере злонамеренным или нет, он все же снижает производительность вашего компьютера до некоторой степени, поскольку он требует ресурсов, чтобы функционировать, хотя большинство авторов шпионских программ стремятся уменьшить это, чтобы пользователи не заметили его присутствие. Помимо мощности обработки, которую она убирает с вашего компьютера, она также может добавить нагрузку, которая будет переноситься вашим интернет-соединением, поскольку она должна будет отправить информацию, собранную ею на другой сервер в Интернете, который, в свою очередь, отправит информация обратно.
Резюме: 1. Вредоносное ПО охватывает множество различных программ, Spyware является лишь одним из них 2. Шпионские программы часто не наносят серьезного ущерба, но другие вредоносные программы могут 3. Хотя другие вредоносные программы могут ухудшить работу вашего компьютера, шпионские программы могут извлекать личную информацию, такую как номера кредитных карт 4. Spyware берет на себя вычислительную мощность и часть пропускной способности вашего интернет-соединения
Источник: ru.esdifferent.com