Шпионская программа

Шпионский программный продукт — программный продукт определенного вида, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя, т.е. несанкционированно установленный. Именно в этом узком смысле термин шпионский программный продукт является дословным переводом английского термина англ. Spy — шпион и англ. (Soft)ware — программное обеспечение). Но следует отметить, что термин

В данной статье за основу приняты устоявшиеся определения, применяемые Anti-Spyware Coalition (коалиции, в которой состоят многие крупные производители анти-шпионского и антивирусного программного обеспечения).

Классификация

по виду

Шпионские программные продукты подразделяются на несколько основных видов:

• несанкционированно применяемые мониторинговые программные продукты (англ. Tracking Software) ;
• несанкционированно применяемые программные продукты, предназначенные для контроля нажатий клавиш на клавиатуре компьютера.(англ. Keyloggers);
• несанкционированно применяемые программные продукты, предназначенные для контроля скриншотов экрана монитора компьютера.(англ. Screen Scraper);
  

по цели разработки

• Программные продукты или модули, которые изначально разрабатывались специально для несанкционированного проникновения в компьютерную систему и изначально предназначались для кражи информации пользователя разработчиком данного программного продукта.
  
• Программные продукты или модули, которые изначально не разрабатывались специально для несанкционированного проникновения в компьютерную систему и изначально не предназначались для кражи информации пользователя разработчиком данного программного продукта.
  

по известности

Известные шпионские программные продукты. К данной категории относятся шпионские программные продукты, сигнатура которых уже включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов.

Неизвестные шпионские программные продукты. К данной категории относятся шпионские программные продукты, сигнатура которых не включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов и, зачастую, никогда не будет в них включена по различным причинам:

• мониторинговый программный продукт (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы без должного оповещения пользователя об этом, согласия пользователя и контроля со стороны пользователя;
• шпионские программные продукты, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные программные продукты могут представлять собой немного видоизмененные открытые исходные коды мониторинговых программных продуктов, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру мониторингового программного продукта;
• коммерческие корпоративные мониторинговый программный продукт, которые очень редко вносятся в сигнатурные базы известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного коммерческого мониторингового программного продукта, может содействовать превращению последнего в шпионский программный продукт, который не обнаруживается анти-шпионскими программными продуктами и/или анти-вирусными программными продуктами;
• шпионские программные продукты (модули), включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу, данные модули являются неизвестными. Пример – всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.

Терминология

Нарушитель (англ. user violator) - пользователь, осуществляющий несанкционированный доступ к информации.

Санкционированный доступ к информации (англ. authorized access to information) - доступ к информации, не нарушающий правила разграничения доступа.

Несанкционированный доступ к информации (англ. unauthorized access to information) — доступ к информации, осуществляемый с нарушением правил разграничения доступа.

Правила разграничения доступа (англ. access mediation rules) — часть политики безопасности, регламентирующая правила доступа пользователей и процессов к пассивным объектам.

Политика безопасности информации (англ. information security policy) — совокупность законов, правил, ограничений, рекомендаций, инструкций и т.д., регламентирующих порядок обработки информации.

Цели применения

Применение шпионских программных продуктов позволяет злоумышленнику получить практически полный доступ к компьютеру пользователя и информации на нем хранящейся.

Методы защиты от шпионских программных продуктов

Защита от "известных" шпионских программных продуктов:

• использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, с автоматическим обновлением сигнатурных баз.

Защита от "неизвестных" шпионских программных продуктов:

• использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют, так называемые эвристические (поведенческие) анализаторы, т.е. не требующие наличия сигнатурной базы.

Защита от "известных" и "неизвестных" шпионских программных продуктов включает в себя использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

• постоянно обновляемые сигнатурные базы шпионских программных продуктов;
• эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Контроль трафика:

• автоматический контроль всего сетевого трафика с целью обнаружить и блокировать передачу информации от шпионской программы к её хозяину; такой контроль выполняется специализированными DLP-системами.

Ссылки

• Anti-Spyware Coalition Официальное толкование термина Spyware
• W32.Dumaru.Y@mm Описание одного из известных вирусов, включающего в себя keylogger модуль.
• Magic Lantern Общая информация о программном продукте Magic Lantern (Волшебный фонарь)

Защита от шпионских программных продуктов

• Anti-Keylogger.Org Независимое сравнение самых популярных анти-шпионских продуктов продуктов
• Microsoft Windows Defender Домашняя страница Microsoft Windows Defender на русском языке
• Microsoft Windows DefenderДомашняя страница Microsoft Windows Defender на английском языке
• Microsoft Anti-Malware Blog Microsoft Anti-Malware Blog
• Anti-Keylogger Программный продукт предназначенный для борьбы со шпионскими программными продуктами без использования сигнатурного анализа
• PrivacyKeyboard Программный продукт предназначенный для борьбы с шпионскими программными продуктами всех типов без использования сигнатурного анализа
• Лаборатория Касперского производитель программ для защиты от вредоносного ПО