Шпионские программы
Шпионский программный продукт — программный продукт
определенного вида, установленный и применяемый без должного оповещения
пользователя, его согласия и контроля со стороны пользователя, т.е.
несанкционированно установленный. Именно в этом узком смысле термин шпионский программный продукт является дословным переводом английского термина Spyware (англ. Spy — шпион и англ. (Soft)ware — программное обеспечение). Но следует отметить, что термин Spyware имеет как узкое, так и широкое толкование.
В данной статье за основу приняты устоявшиеся определения, применяемые Anti-Spyware Coalition (коалиции, в которой состоят многие крупные производители анти-шпионского и антивирусного программного обеспечения).
Классификация
по виду
Шпионские программные продукты подразделяются на несколько основных видов:
по цели разработки
- Программные продукты или модули,
которые изначально разрабатывались специально для несанкционированного
проникновения в компьютерную систему и изначально предназначались для
кражи информации пользователя разработчиком данного программного
продукта.
- Программные продукты или модули,
которые изначально не разрабатывались специально для
несанкционированного проникновения в компьютерную систему и изначально
не предназначались для кражи информации пользователя разработчиком
данного программного продукта.
по известности
Известные шпионские программные продукты. К данной
категории относятся шпионские программные продукты, сигнатура которых
уже включена в сигнатурные базы основных известных фирм-производителей
анти-шпионских программных продуктов и/или анти-вирусных программных
продуктов.
Неизвестные шпионские программные продукты. К данной
категории относятся шпионские программные продукты, сигнатура которых
не включена в сигнатурные базы основных известных фирм-производителей
анти-шпионских программных продуктов и/или анти-вирусных программных
продуктов и, зачастую, никогда не будет в них включена по различным
причинам:
- мониторинговый программный продукт
(модули), которые могут создаваться разработчиками различных закрытых
операционных систем и включаться ими в состав ядра операционной системы
без должного оповещения пользователя об этом, согласия пользователя и
контроля со стороны пользователя;
- шпионские программные продукты, которые разработаны в ограниченном
количестве (часто только в одной или нескольких копиях) для решения
конкретной задачи, связанной с похищением критической информации с
компьютера пользователя (например, программные продукты, применяемые
злоумышленниками-профессионалами). Данные программные продукты могут
представлять собой немного видоизмененные открытые исходные коды
мониторинговых программных продуктов, взятые из сети Интернет и
скомпилированные самим злоумышленником, что позволяет изменить
сигнатуру мониторингового программного продукта;
- коммерческие корпоративные мониторинговый программный продукт,
которые очень редко вносятся в сигнатурные базы известных
фирм-производителей анти-шпионских программных продуктов и/или
анти-вирусных программных продуктов. Это приводит к тому, что
опубликование злоумышленниками в сети Интернет полнофункциональной
версии данного коммерческого мониторингового программного продукта,
может содействовать превращению последнего в шпионский программный
продукт, который не обнаруживается анти-шпионскими программными
продуктами и/или анти-вирусными программными продуктами;
- шпионские программные продукты (модули), включаемые в состав
программ-вирусов. До внесения сигнатурных данных в вирусную базу,
данные модули являются неизвестными. Пример – всемирно известные
вирусы, натворившие много бед в последние годы, имеющие в своем составе
модуль перехвата нажатий клавиатуры и отправки полученной информации в
сеть Интернет.
Терминология
Нарушитель (англ. user violator) - пользователь, осуществляющий несанкционированный доступ к информации.
Санкционированный доступ к информации (англ. authorized access to information) - доступ к информации, не нарушающий правила разграничения доступа.
Несанкционированный доступ к информации (англ. unauthorized access to information) — доступ к информации, осуществляемый с нарушением правил разграничения доступа.
Правила разграничения доступа (англ. access mediation rules) — часть политики безопасности, регламентирующая правила доступа пользователей и процессов к пассивным объектам.
Политика безопасности информации (англ. information security policy) — совокупность законов, правил, ограничений, рекомендаций, инструкций и т.д., регламентирующих порядок обработки информации.
Цели применения
Применение шпионских программных продуктов позволяет злоумышленнику
получить практически полный доступ к компьютеру пользователя и
информации на нем хранящейся.
Методы защиты от шпионских программных продуктов
Защита от "известных" шпионских программных продуктов:
- использование анти-шпионских программных продуктов и/или
анти-вирусных программных продуктов известных производителей, с
автоматическим обновлением сигнатурных баз.
Защита от "неизвестных" шпионских программных продуктов:
- использование анти-шпионских программных продуктов и/или
анти-вирусных программных продуктов известных производителей, которые
для противодействия шпионским программным продуктам используют, так
называемые эвристические (поведенческие) анализаторы, т.е. не требующие
наличия сигнатурной базы.
Защита от "известных" и "неизвестных" шпионских программных продуктов
включает в себя использование анти-шпионских программных продуктов
и/или анти-вирусных программных продуктов известных производителей,
которые для противодействия шпионским программным продуктам используют:
- постоянно обновляемые сигнатурные базы шпионских программных продуктов;
- эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.
Контроль трафика:
|