Шпионский программный продукт

Материал из Википедии — свободной энциклопедии
Это старая версия этой страницы, сохранённая Nikolay Nikolaevich Fedotov (обсуждение | вклад) в 11:44, 4 мая 2008 (Методы защиты от шпионских программных продуктов: испр.ссылки). Она может серьёзно отличаться от текущей версии.
Перейти к навигации Перейти к поиску

Шпионский программный продукт — программный продукт определенного вида, установленный и применяемый без должного оповещения пользователя, его согласия и контроля со стороны пользователя, т.е. несанкционированно установленный. Именно в этом узком смысле термин шпионский программный продукт является дословным переводом английского термина Spyware (англ. Spy — шпион и англ. (Soft)ware — программное обеспечение). Но следует отметить, что термин Spyware имеет как узкое, так и широкое толкование.

В данной статье за основу приняты устоявшиеся определения, применяемые Anti-Spyware Coalition (коалиции, в которой состоят многие крупные производители анти-шпионского и антивирусного программного обеспечения).

Классификация

по виду

Шпионские программные продукты подразделяются на несколько основных видов:

по цели разработки

  • Программные продукты или модули, которые изначально разрабатывались специально для несанкционированного проникновения в компьютерную систему и изначально предназначались для кражи информации пользователя разработчиком данного программного продукта.
  • Программные продукты или модули, которые изначально не разрабатывались специально для несанкционированного проникновения в компьютерную систему и изначально не предназначались для кражи информации пользователя разработчиком данного программного продукта.

по известности

Известные шпионские программные продукты. К данной категории относятся шпионские программные продукты, сигнатура которых уже включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов.

Неизвестные шпионские программные продукты. К данной категории относятся шпионские программные продукты, сигнатура которых не включена в сигнатурные базы основных известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов и, зачастую, никогда не будет в них включена по различным причинам:

  • мониторинговый программный продукт (модули), которые могут создаваться разработчиками различных закрытых операционных систем и включаться ими в состав ядра операционной системы без должного оповещения пользователя об этом, согласия пользователя и контроля со стороны пользователя;
  • шпионские программные продукты, которые разработаны в ограниченном количестве (часто только в одной или нескольких копиях) для решения конкретной задачи, связанной с похищением критической информации с компьютера пользователя (например, программные продукты, применяемые злоумышленниками-профессионалами). Данные программные продукты могут представлять собой немного видоизмененные открытые исходные коды мониторинговых программных продуктов, взятые из сети Интернет и скомпилированные самим злоумышленником, что позволяет изменить сигнатуру мониторингового программного продукта;
  • коммерческие корпоративные мониторинговый программный продукт, которые очень редко вносятся в сигнатурные базы известных фирм-производителей анти-шпионских программных продуктов и/или анти-вирусных программных продуктов. Это приводит к тому, что опубликование злоумышленниками в сети Интернет полнофункциональной версии данного коммерческого мониторингового программного продукта, может содействовать превращению последнего в шпионский программный продукт, который не обнаруживается анти-шпионскими программными продуктами и/или анти-вирусными программными продуктами;
  • шпионские программные продукты (модули), включаемые в состав программ-вирусов. До внесения сигнатурных данных в вирусную базу, данные модули являются неизвестными. Пример – всемирно известные вирусы, натворившие много бед в последние годы, имеющие в своем составе модуль перехвата нажатий клавиатуры и отправки полученной информации в сеть Интернет.


Терминология

Нарушитель (англ. user violator) - пользователь, осуществляющий несанкционированный доступ к информации.

Санкционированный доступ к информации (англ. authorized access to information) - доступ к информации, не нарушающий правила разграничения доступа.

Несанкционированный доступ к информации (англ. unauthorized access to information) — доступ к информации, осуществляемый с нарушением правил разграничения доступа.

Правила разграничения доступа (англ. access mediation rules) — часть политики безопасности, регламентирующая правила доступа пользователей и процессов к пассивным объектам.

Политика безопасности информации (англ. information security policy) — совокупность законов, правил, ограничений, рекомендаций, инструкций и т.д., регламентирующих порядок обработки информации.


Цели применения

Применение шпионских программных продуктов позволяет злоумышленнику получить практически полный доступ к компьютеру пользователя и информации на нем хранящейся.


Методы защиты от шпионских программных продуктов

Защита от "известных" шпионских программных продуктов:

  • использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, с автоматическим обновлением сигнатурных баз.

Защита от "неизвестных" шпионских программных продуктов:

  • использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют, так называемые эвристические (поведенческие) анализаторы, т.е. не требующие наличия сигнатурной базы.

Защита от "известных" и "неизвестных" шпионских программных продуктов включает в себя использование анти-шпионских программных продуктов и/или анти-вирусных программных продуктов известных производителей, которые для противодействия шпионским программным продуктам используют:

  • постоянно обновляемые сигнатурные базы шпионских программных продуктов;
  • эвристические (поведенческие) анализаторы, не требующие наличия сигнатурной базы.

Контроль трафика:

  • автоматический контроль всего сетевого трафика с целью обнаружить и блокировать передачу информации от шпионской программы к её хозяину; такой контроль выполняется специализированными DLP-системами.

Ссылки

  • Anti-Spyware Coalition Официальное толкование термина Spyware
  • W32.Dumaru.Y@mm Описание одного из известных вирусов, включающего в себя keylogger модуль.
  • Magic Lantern Общая информация о программном продукте Magic Lantern (Волшебный фонарь)


Защита от шпионских программных продуктов

  • Anti-Keylogger.Org Независимое сравнение самых популярных анти-шпионских продуктов продуктов
  • Microsoft Windows Defender Домашняя страница Microsoft Windows Defender на русском языке
  • Microsoft Windows DefenderДомашняя страница Microsoft Windows Defender на английском языке
  • Microsoft Anti-Malware Blog Microsoft Anti-Malware Blog
  • Anti-Keylogger Программный продукт предназначенный для борьбы со шпионскими программными продуктами без использования сигнатурного анализа
  • PrivacyKeyboard Программный продукт предназначенный для борьбы с шпионскими программными продуктами всех типов без использования сигнатурного анализа