نصب پنهانی نرم‌افزارهای جاسوسی بر روی سیستم

Bruce Edwards با شکایت کاربران درباره کارآیی ضعیف و افزایش تبلیغات pop-up متوجه شد که برنامه‌های جاسوسی (SPYware) چیزی بیشتر از یک مشکل کامپیوتری برای آنها می‌باشد. وی پس از بررسی تمامی کامپیوترهای شرکت مشکل را به طور کامل درک کرد.
Edwards که به عنوان مدیر شبکه در Administrative Office of the courts در Little Rock کار می‌کند در این باره می‌گوید، ایستگاه‌های کاری مشتری من واقعا از کار افتاد. تمامی دویست سیستم موجود در دفاتر، نرم‌افزارهای جاسوسی داشتند و بسیاری از آنها چندین برنامه از این نوع را اجرا می‌کردند.
این برنامه‌ها بدون اطلاع کاربران در پس زمینه اجرا شده و اطلاعاتی درباره فعالیتهای جستجوی وب کاربران را download و تبلیغات را upload می‌کردند. هنگامی که تعداد برنامه‌های فوق افزایش یافت آنها شروع به استفاده ازمنابع سیستم و پهنای باند شبکه نمودند. تعدادی از کاربران که از وجود این همه تبلیغات خسته شده بودند، شروع به دریافت کردن برنامه‌های مسدود کننده تبلیغات نمودند که اینکار سبب نصب تعداد بیشتری نرم‌افزار جاسوسی بر روی سیستم شد.
نرم‌افزارهای جاسوسی خود را به صورت پنهانی بر روی کامپیوترهای شخصی نصب می‌کنند و با ایجاد یک کانال، از طریق آن به download کردن اطلاعات در مورد کاربرد upload کردن تبلیغات (اغلب از طریق پورت ۸۰) می‌پردازند. برنامه‌هایی که مخصوص تبلیغات طراحی شده‌اند adware (نرم‌افزار تبلیغاتی) نامیده می‌شوند. اما این نرم‌افزاهای تبلیغاتی و دیگر انواع نرم‌افزار که خود را بدون رضایت و اطلاع کاربر بر روی کامپیوتر نصب می‌کنند و ارتباطات پس زمینه‌ای همچون برنامه‌های تحت نظرگیری، ثبت کننده‌های کلیدی، ابزارهای کنترل از راه دور و برنامه‌های Trojan را برقرار می نمایند نیز با عنوان نرم‌افزارهای جاسوسی (SPYware) توصیف می‌شوند.
شرکت‌ها همیشه برنامه جاسوسی را به عنوان مشکلی قلمداد می‌کردند که می‌تواند توسط گروه‌های پشتیبانی دسک‌تاپ به بهترین نحو مورد بررسی قرار گیرد. اما سازمانهای IT اکنون از آن به عنوان یک خطر امنیتی نیز نام می برند، زیرا این نوع نرم‌افزار بتدریج رایج و پیشرفته تر می‌شود.
Edwards از pestpatrol که ابزاری برای اسکن نمودن و حذف نرم‌افزار جاسوی است، به منظور پاک کردن تمام سیستم‌های شرکت استفاده نمود. اما وجود تبلیغات یا کارآیی ضعیف برای او چندان اهمیت نداشت، چیزی که برای او مهم بود این بود که این گونه برنامه‌ها کانال ارتباطی غیرمجازی را ایجاد کرده بودند که می‌توانست اسناد حساس را به خطر بیاندازد، در واقع این مسئله سبب شده بود که او احساس نگرانی شدیدی داشته باشد.
او متوجه شده بود که یک نرم‌افزار جاسوسی ممکن است علاوه بر دریافت کردن اطلاعات در مورد فعالیتهای جستجوی وب بتواند اسم رمز و نام کاربری را بدست آورد یا یک برنامه تبلیغاتی واقعی بتواند مسیری را ایجاد کند که برای upload کردن نرم‌افزارهای جاسوسی بیشتر مورد بهره برداری قرار گیرد.
تحلیلگران می‌گویند در حالیکه بعضی از برنامه‌های تبلیغاتی تنها فعالیتهای جستجو در وب را کنترل نموده و تبلیغات آزاردهنده را ارائه می‌کنند، دیگر برنامه‌ها می توانند اسم رمز و آدرس‌های پست الکترونیک را سرقت کرده و امکان دریافت کردن نرم‌افزارهای مخرب بیشتر و یا ارسال اطلاعات مهم به رقبا را فراهم نمایند.
John Pescatore یکی از تحلیلگران شرکت گارتنر (در Stamford) می‌گوید، ما تصور می‌کنیم که قابلیت انجام چنین کارهایی در این گونه نرم‌افزارها قرار گرفته است.
● چگونگی قرار گرفتن نرم‌افزار جاسوسی بر روی سیستم
برنامه‌های جاسوسی می‌توانند بعد از کلیک کردن یک پنجره pop-up، بازکردن یک ضمیمه پیغام و یا دریافت کردن برنامه‌های رایگان توسط کاربر، خود را بر روی سیستم نصب کنند. در بعضی از موارد سیستم‌های مجهز به ویندوز اصلاح نشده می‌توانند نسبت به حملات drive-by آسیب‌پذیر شوند. لازم به توضیح است که در این گونه حملات کد مخرب تعبیه شده در یک سایت وب مشاهده شده شکاف‌های Internet Explorer و تنظیمات امنیتی سیستم رامورد بهره‌بردارر قرار داده و بدون هیچگونه کلیک از طرف کاربر خود را بر روی سیستم نصب می‌کند.
با قرارگرفتن تعداد بیشماری نرم‌افزار جاسوسی مقدار بسیار زیادی از منابع سیستم مصرف می‌شود. طبق اظهارات Roger Thompson، قائم مقام مدیر عامل بخش توسعه شرکت Pestpatrol (شعبه Carliste) یک برنامه به تنهایی می‌تواند بیش از ۳۰۰ فایل نصب کرده و ۵۰۰ ورودی رجیستری داشته باشد.
برنامه‌های جاسوسی می‌توانند برای به دست آوردن اسرار محرمانه شرکت‌ها نیز مورد استفاده قرار بگیرند.
Thor Larholm، محقق ارشد امنیت در شرکت Pivx Solutions LLC (فروشنده ابزارهای امنیتی شبکه واقع در Newport Beach کالیفرنیا) در این مورد می‌گوید، چندی پیش هکری با استفاده از کانال ارتباطی یک برنامه تبلیغاتی توانست یک Trojan بر روی دسک‌تاپ‌های شرکتی نصب کند. برنامه تبلیغاتی فوق برای ارتباط با صفحه وب تولید کننده برنامه و به منظور بازیابی تبلیغات جدید نصب شده بود. این هکر از یک حمله سطح متوسط برای تغییر دادن صفحه وب و جایگزینی یک کد مخرب (که می‌توانست از آسیب‌پذیری Internet Explorer در سیستم‌های دارای ویندوز اصلاح نشده استفاده کند) بهره برد. از آنجاییکه کامپیوترهای این شرکت آسیب‌پذیر بودند حمله کننده توانست برنامه پنهانی را نصب کند. او با استفاده از ترافیک نرم‌افزار تبلیغاتی به ۵ ماشین دسترسی پیدا کرد و توانست پیش از آشکار شدن آن به مدت دو ماه به جمع‌آوری اطلاعات تجاری و اطلاعات درباره پروژه‌های جدید بپردازد. این تجربه نشان می‌دهد که هر نوع کد ناشناخته که بر روی دسک‌تاپ‌ها اجرا شود یک نقص به شمار می‌آید.
گزارشاتی از این دست بسیار نادر است اما همین تعداد نیز سبب نگرانی Sean (مهندس امنیتی یک شرکت بزرگ خدمات مالی که خواسته نام کامل و نام شرکت محل کارش فاش نشود) شده است.
او می‌گوید، فکر میکنم که ما این گونه برنامه‌ها را در حال حاضر به روش درستی کنترل نمی‌کنیم و به تصور من اوضاع بدتر خواهد شد. اختلالی که نرم‌افزار جاسوسی در کار روزانه شرکت ایجاد می‌کند می‌تواند هزینه بسیار زیادی را برای شرکت ایجاد کند به اعتقاد Sean تا زمانیکه مشکل عمده‌ای در این رابطه اتفاق نیفتد شرکت محل کار او، کاری انجام نخواهد داد.
او در ادامه میگوید، مدیریت کامل و کافی برای این مشکل وجود ندارد و دستهای ما فقط پر از برنامه‌های ضدویروس است.
● اقداماتی برای پیشگیری از نصب نرم‌افزارهای ضدجاسوسی
بنا بر اظهارات شرکت‌های فروشنده و کاربران، جلوگیری از نصب برنامه‌های جاسوسی چندان آسان نیست. البته نرم‌افزارهای ضدویروس و فیلترهای محتوای وب می‌توانند اندکی در رفع این مشکل کمک کنند، اما در این رابطه، به نصب فایروال بر روی سیستم‌های مجهز به ویندوز به منظور آشکار سازی و مسدود کردن تلاش‌های این گونه برنامه‌ها برای نصب خودشان (از طریق کاربر یا ترفندهای مهندسی که تولید کنندگان نرم‌افزارهای جاسوسی به کار می‌برند تا کاربر را به کلیک بر روی یک پنجره گمراه کننده وادار نمایند) نیز نیاز است. در ضمن به روزرسانی و اصلاح دقیق آسیب‌پذیری های Internet Explorer و ویندوز باید در نظر گرفته شود و سرانجام اینکه مسدود ساختن ضمائم قابل اجرای پیغام‌های الکترونیکی نیز در رفع مشکل بسیار کمک می‌کند.
یکی دیگر از روشهای جلوگیری از دریافت نرم‌افزارهای جاسوسی بر روی سیستم این است که کاربران به جای دارا بودن دستیابی کامل به عنوان مدیر شبکه از دستیابی محدود به سیستم‌های محلی برخوردار باشند.
Mikke Hypponoen، مدیر بخش تحقیقات ضدویروس شرکت F-Secure (در سان خوزه) می‌گوید، کاربران لینوکس هرگز به عنوان مدیر شبکه با سیستم کار نکرده و پیغام‌های الکترونیکی را نمی خوانند در عوض این کاری است که کاربران ویندوز در تمام مدت انجام می‌دهند. در صورتیکه کاربر به عنوان مدیر شبکه محلی با سیستم کار نکند بسیاری از برنامه‌های ضدجاسوسی نمی توانند نصب شوند.
Candace Worley، مدیر تولید شرکت McAfee Virus Sean می‌گوید، هنگامی که به طور هفتگی شرکت‌های مختلف را بررسی کردم متوجه شدم که تعداد زیادی از آنها هنوز کاربران را از امتیازات کامل مدیر شبکه در دسک‌تاپ برخوردار می‌کنند. Sean که در یک شرکت خدمات مالی کار می کند، اعتراف نموده که اکثر کارکنان این شرکت (که تعداد آنها بالغ بر صدهزار نفر است) از امتیازات کامل به عنوان مدیر شبکه سیستمهایشان برخوردارند، اما معتقد است که قفل کردن دسک‌تاپ به طور کامل عملی نخواهد بود زیرا کاربران خواستار مقداری انعطاف‌پذیری هستند.
Latholm، که به تازگی لیستی از آسیب‌پذیری‌های Internet Explorer اصلاح نشده را بر روی سایت Pivx منتشر کرده می‌گوید: اصلاح برنامه‌ها بسیار مهم است اما نمی‌تواند از تمامی سو استفاده‌ها پیشگیری کند. لیست فوق زمانی دارای ۳۲ آیتم بود. او در ادامه می‌گوید، امروز به طور تخمینی اعلام می‌کنم که هنوز ۱۴ نقص اصلاح نشده وجود دارد که نیمی از آنها امکان اجرای فرمان و نیمی دیگر امکان cross-domain Scripting را فراهم می‌سازند. البته سرویس پک دو (SP۲) مایکروسافت بسیاری از این نقایص را برطرف خواهد نمود.
به نظر می‌رسد که SP۲ مسائل سازگاری برنامه را مورد توجه قرار دهد اما Pescatore از گارتنر اجرای هر چه سریعتر آن را توصیه می‌کند. او می‌گوید، ما با میزان بالایی از خسارت مواجه خواهیم شد اما به هر حال این کاری است که باید انجام شود.
اما SP۲ نمی تواند هیچ کمکی به Sean کند. او می‌گوید: شرکت محل کار من هنوز از نسخه ۵.۵ Internet Explorer استفاده می کند. بسیاری از شرکت‌های بزرگ از جدیدترین نسخه‌های مرورگر وب استفاده نمی کنند زیرا نسخه‌های جدیدتر می‌توانند سبب اختلال و وقفه در برنامه‌های دورن شبکه‌ای (اینترانت) شوند.
Pete Simpson مدیر بخش Threalab شرکت Clearswift (شعبه انگلستان)، که فیلترهای محتوای وب و پست‌الکترونیک را به فروش می‌رساند، می‌گوید، مسدود ساختن تمامی فایل‌های ضمیمه قابل اجرا بسیار مهم است زیر برنامه‌های ضدویروس همیشه نرم‌افزارهای جاسوسی تعبیه شده را نشان نخواهد داد.
Pete Munro، مدیر شبکه یکی از شرکت‌های فروشنده نرم‌افزار در انگلستان، که در همه سطوح در بازار فعالیت می‌کند، توانست با متوقف کردن یک فایل ضمیمه که به نظر می‌رسد کارت دعوت به عروسی باشد، از ایجاد شکل‌گیری جلوگیری نماید. Munro می‌گوید، که در صورت باز شدن ضمیمه، یک کپی از برنامه جاسوسی تجاری ispynow بر روی سیستم نصب می شد. او که درخواست نموده تا نام شرکت محل کارش فاش نشود در ادامه می‌گوید، کد منبع ما بسیار ارزشمند است. در صورتیکه کسی می توانست آن را سرقت کند، تغییر دهد و یا حذف نماید مشکلات عمده‌ای برای ما به وجود می‌آمد.
Munro فایل ضمیمه را در گیت‌وی پست‌الکترونیک مسدود ساخت. کاربران می‌توانند با نداشتن امتیاز مدیر شبکه محلی نیز سیستم خود را محافظت کنند. Munro خوشحال است که گیت‌وی کار خود را انجام داده زیرا برنامه اسکن کننده ویروس فایل ضمیمه را نادیده گرفته بود.
او می‌گوید، از دید آنها این یک برنامه تجاری است. چنین برنامه‌هایی مطمئنا یک تهدید به شمار می‌آیند. هنوز اکثر برنامه‌های ضدویروس و حتی برنامه‌های ضد نرم‌افزارهای جاسوسی نمی‌توانند نرم‌افزارهای تجاری و تبلیغاتی را که دارای توافقات مجوز کاربر نهایی هستند، پیدا کنند.
Hypponen می‌گوید، شرکت‌های تولید کننده انواع مختلف نرم‌افزارهای تبلیغاتی قصد دارند تا بر علیه ما شکایت کنند چون تصور می‌کنند که ما شهرت آنها را خدشه دار نموده‌ایم. او می‌گوید، شرکت محل کارش امضاهایی را فقط برای برنامه‌های مخربی که با نیت خرابکاری مورد استفاده قرار می‌گیرند، فراهم نموده است. هر دو شرکت Network Associates و Symantec شروع به افزودن قابلیتهای افشای برنامه جاسوسی به راه‌کارهای شرکتی خود نموده‌اند، اما هر دو شرکت با مسائل یکسانی دست به گریبان هستند.
Pescatore‌می گوید، دو شرکت Symantec‌ و McAfee در افزودن چنین قابلیت‌هایی بسیار کند عمل کرده‌اند و برای من مشخص نیست که دلیل این کندی چیست؟ زیرا این مسئله بسیار بزرگ و پر اهمیت است.
در نهایت برای سازمان‌های IT مهم نیست که نرم‌افزارهای جاسوسی چه هستند: برنامه‌های تبلیغاتی قانونی، برنامه‌های تحت نظر‌گیری تجاری و یا کدهای مخرب. آنها فقط نیاز دارند تا درباره هر چیزی که بخشی از سیستم استاندارد نیست آگاهی کسب کنند.
Larholm می‌گوید، اگر تعداد بسیار زیادی نرم‌افزار جاسوسی بر روی سیستم خود داشته باشید در واقع به شرکت‌های دیگر اجازه می‌دهید تا از حریم خصوصی شما برای به دست آوردن پول استفاده کنند و این نقطه ضعف بزرگ برای شرکت‌ شما می باشد. اگر قرار باشد کسی کارکنان شرکت شما را کنترل کند آن شخص نباید کسی جز شما باشد.
● ۱۰ نکته برای متوقف کردن نرم‌افزارهای جاسوسی
۱) ویندوز و Internet Explorer را به روز نگه دارید.
۲) امضاهای نرم‌افزاهای ضدویروس دسک‌تاپ را به روز نگه دارید.
۳) سیاست‌های شدیدی را در مورد جستجوی وب کاربر و download کردن اسناد منتشر و اعمال کنید.
۴) از یک برنامه فیلترسازی محتوای وب برای کنترل فعالیت کاربر و مسدود ساختن دستیابی به سایت‌هایی که معمولا برای انتشار نرم‌افزارهای جاسوسی استفاده می‌شوند، بهره بگیرید.
۵) بر روی هر دسک‌تاپ یا لپ‌تاپ یک فایروال قرار دهید.
۶) یک گیت‌وی پست‌الکترونیک برای مسدود کردن تمام فایل‌های ضمیمه پیغام قابل اجرا نصب کنید.
۷) امتیازات مدیر شبکه محلی را در اختیار کاربر نگذارید.
۸) SP۲ را برای استفاده فوری بر روی تمام سیستم‌های مجهز به ویندوز ایکس‌پی آزمایش کنید.
۹) لیستی از کنترل‌های ActiveX مناسب را ایجاد نموده و بقیه آنها را مسدود کنید. این فهرست‌ها را می‌توانید از طریق Symantec و pivx و دیگر فروشندگان ابزارهای امنیتی به دست آورید.
۱۰) از برنامه‌های تجاری ضدنرم‌افزارهای جاسوسی برای افشا و حذف نرم‌افزارهای جاسوسی موجود استفاده کنید. ابزارهای پیشرفته‌ای را که می‌توانند تمام انواع نرم‌افزارهای جاسوسی شامل برنامه‌های تجاری که دارای توافقات مجوز کاربر نهایی هستند راشناسایی کنند، جستجو نمایند. به احتمال زیاد تعدادی برنامه ضد نرم‌افزارهای جاسوسی با مدیریت مرکزی و ویژگی‌های جدید کنترلی تا اواخر سال جاری وارد بازار خواهد شد