Шпионский программный продукт: различия между версиями
| [непроверенная версия] | [непроверенная версия] |
→Методы защиты от шпионских программных продуктов: доб. про DLP |
м →Методы защиты от шпионских программных продуктов: испр.ссылки |
||
| Строка 57: | Строка 57: | ||
'''''Контроль трафика:''''' |
'''''Контроль трафика:''''' |
||
* автоматический контроль всего сетевого [[трафик]]а с целью обнаружить и блокировать передачу информации от шпионской программы к её хозяину; такой контроль выполняется специализированными [[ |
* автоматический контроль всего сетевого [[трафик]]а с целью обнаружить и блокировать передачу информации от шпионской программы к её хозяину; такой контроль выполняется специализированными [[Предотвращение утечек|DLP-системами]]. |
||
== Ссылки == |
== Ссылки == |
||
Версия от 11:44, 4 мая 2008
Шпионский программный продукт — программный продукт определенного вида, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя, т.е. несанкционированно установленный. Именно в этом узком смысле термин шпионский программный продукт является дословным переводом английского термина Spyware (англ. Spy — шпион и англ. (Soft)ware — программное обеспечение). Но следует отметить, что термин Spyware имеет как узкое, так и широкое толкование.
В данной статье за основу приняты устоявшиеся определения, применяемые Anti-Spyware Coalition (коалиции, в которой состоят многие крупные производители анти-шпионского и антивирусного программного обеспечения).
Классификация
по виду
Шпионские программные продукты подразделяются на несколько основных видов:
- несанкционированно применяемые мониторинговые программные продукты (англ. Tracking Software) ;
- несанкционированно применяемые программные продукты, предназначенные для контроля нажатий клавиш на клавиатуре компьютера.(англ. Keyloggers);
- несанкционированно применяемые программные продукты, предназначенные для контроля скриншотов экрана монитора компьютера.(англ. Screen Scraper);
по цели разработки
- Программные продукты или модули, которые изначально разрабатывались специально для несанкционированного проникновения в компьютерную систему и изначально предназначались для кражи информации пользователя разработчиком данного программного продукта.
- Программные продукты или модули, которые изначально не разрабатывались специально для несанкционированного проникновения в компьютерную систему и изначально не предназначались для кражи информации пользователя разработчиком данного программного продукта.
по известности
Известные шпионские программные продукты. К данной категории относятся шпионские программные продукты, сигнатура которых уже включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов.
Неизвестные шпионские программные продукты. К данной категории относятся шпионские программные продукты, сигнатура которых не включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов и, зачастую, никогда не будет в них включена по различным причинам:
- мониторинговый программный продукт (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы без должного оповещения пользователя об этом, согласия пользователя и контроля со стороны пользователя;
- шпионские программные продукты, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные программные продукты могут представлять собой немного видоизмененные открытые исходные коды мониторинговых программных продуктов, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру мониторингового программного продукта;
- коммерческие корпоративные мониторинговый программный продукт, которые очень редко вносятся в сигнатурные базы известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного коммерческого мониторингового программного продукта, может содействовать превращению последнего в шпионский программный продукт, который не обнаруживается анти-шпионскими программными продуктами и/или анти-вирусными программными продуктами;
- шпионские программные продукты (модули), включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу, данные модули являются неизвестными. Пример – всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.
Терминология
Нарушитель (англ. user violator) - пользователь, осуществляющий несанкционированный доступ к информации.
Санкционированный доступ к информации (англ. authorized access to information) - доступ к информации, не нарушающий правила разграничения доступа.
Несанкционированный доступ к информации (англ. unauthorized access to information) — доступ к информации, осуществляемый с нарушением правил разграничения доступа.
Правила разграничения доступа (англ. access mediation rules) — часть политики безопасности, регламентирующая правила доступа пользователей и процессов к пассивным объектам.
Политика безопасности информации (англ. information security policy) — совокупность законов, правил, ограничений, рекомендаций, инструкций и т.д., регламентирующих порядок обработки информации.
Цели применения
Применение шпионских программных продуктов позволяет злоумышленнику получить практически полный доступ к компьютеру пользователя и информации на нем хранящейся.
Методы защиты от шпионских программных продуктов
Защита от "известных" шпионских программных продуктов:
- использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, с автоматическим обновлением сигнатурных баз.
Защита от "неизвестных" шпионских программных продуктов:
- использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют, так называемые эвристические (поведенческие) анализаторы, т.е. не требующие наличия сигнатурной базы.
Защита от "известных" и "неизвестных" шпионских программных продуктов включает в себя использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:
- постоянно обновляемые сигнатурные базы шпионских программных продуктов;
- эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.
Контроль трафика:
- автоматический контроль всего сетевого трафика с целью обнаружить и блокировать передачу информации от шпионской программы к её хозяину; такой контроль выполняется специализированными DLP-системами.
Ссылки
- Anti-Spyware Coalition Официальное толкование термина Spyware
- W32.Dumaru.Y@mm Описание одного из известных вирусов, включающего в себя keylogger модуль.
- Magic Lantern Общая информация о программном продукте Magic Lantern (Волшебный фонарь)
Защита от шпионских программных продуктов
- Anti-Keylogger.Org Независимое сравнение самых популярных анти-шпионских продуктов продуктов
- Microsoft Windows Defender Домашняя страница Microsoft Windows Defender на русском языке
- Microsoft Windows DefenderДомашняя страница Microsoft Windows Defender на английском языке
- Microsoft Anti-Malware Blog Microsoft Anti-Malware Blog
- Anti-Keylogger Программный продукт предназначенный для борьбы со шпионскими программными продуктами без использования сигнатурного анализа
- PrivacyKeyboard Программный продукт предназначенный для борьбы с шпионскими программными продуктами всех типов без использования сигнатурного анализа