نصب پنهانی نرم افزارهای جاسوسی بر روی سیستم

Bruce Edwards با شکایت کاربران درباره کارآیی ضعیف و افزایش تبلیغات pop up متوجه شد که برنامه های جاسوسی SPYware چیزی بیشتر از یک مشکل کامپیوتری برای آنها می باشد

Bruce Edwards با شکایت کاربران درباره کارآیی ضعیف و افزایش تبلیغات pop-up متوجه شد که برنامه‌های جاسوسی (SPYware) چیزی بیشتر از یک مشکل کامپیوتری برای آنها می‌باشد. وی پس از بررسی تمامی کامپیوترهای شرکت مشکل را به طور کامل درک کرد. Edwards که به عنوان مدیر شبکه در Administrative Office of the courts در Little Rock کار می‌کند در این باره می‌گوید، ایستگاه‌های کاری مشتری من واقعا از کار افتاد. تمامی دویست سیستم موجود در دفاتر، نرم‌افزارهای جاسوسی داشتند و بسیاری از آنها چندین برنامه از این نوع را اجرا می‌کردند. این برنامه‌ها بدون اطلاع کاربران در پس زمینه اجرا شده و اطلاعاتی درباره فعالیتهای جستجوی وب کاربران را download و تبلیغات را upload می‌کردند. هنگامی که تعداد برنامه‌های فوق افزایش یافت آنها شروع به استفاده ازمنابع سیستم و پهنای باند شبکه نمودند. تعدادی از کاربران که از وجود این همه تبلیغات خسته شده بودند، شروع به دریافت کردن برنامه‌های مسدود کننده تبلیغات نمودند که اینکار سبب نصب تعداد بیشتری نرم‌افزار جاسوسی بر روی سیستم شد.

نرم‌افزارهای جاسوسی خود را به صورت پنهانی بر روی کامپیوترهای شخصی نصب می‌کنند و با ایجاد یک کانال، از طریق آن به download کردن اطلاعات در مورد کاربرد upload کردن تبلیغات (اغلب از طریق پورت ۸۰) می‌پردازند. برنامه‌هایی که مخصوص تبلیغات طراحی شده‌اند adware (نرم‌افزار تبلیغاتی) نامیده می‌شوند. اما این نرم‌افزاهای تبلیغاتی و دیگر انواع نرم‌افزار که خود را بدون رضایت و اطلاع کاربر بر روی کامپیوتر نصب می‌کنند و ارتباطات پس زمینه‌ای همچون برنامه‌های تحت نظرگیری، ثبت کننده‌های کلیدی، ابزارهای کنترل از راه دور و برنامه‌های Trojan را برقرار می نمایند نیز با عنوان نرم‌افزارهای جاسوسی (SPYware) توصیف می‌شوند. شرکت‌ها همیشه برنامه جاسوسی را به عنوان مشکلی قلمداد می‌کردند که می‌تواند توسط گروه‌های پشتیبانی دسک‌تاپ به بهترین نحو مورد بررسی قرار گیرد. اما سازمانهای IT اکنون از آن به عنوان یک خطر امنیتی نیز نام می برند، زیرا این نوع نرم‌افزار بتدریج رایج و پیشرفته تر می‌شود.

Edwards از pestpatrol که ابزاری برای اسکن نمودن و حذف نرم‌افزار جاسوی است، به منظور پاک کردن تمام سیستم‌های شرکت استفاده نمود. اما وجود تبلیغات یا کارآیی ضعیف برای او چندان اهمیت نداشت، چیزی که برای او مهم بود این بود که این گونه برنامه‌ها کانال ارتباطی غیرمجازی را ایجاد کرده بودند که می‌توانست اسناد حساس را به خطر بیاندازد، در واقع این مسئله سبب شده بود که او احساس نگرانی شدیدی داشته باشد.

او متوجه شده بود که یک نرم‌افزار جاسوسی ممکن است علاوه بر دریافت کردن اطلاعات در مورد فعالیتهای جستجوی وب بتواند اسم رمز و نام کاربری را بدست آورد یا یک برنامه تبلیغاتی واقعی بتواند مسیری را ایجاد کند که برای upload کردن نرم‌افزارهای جاسوسی بیشتر مورد بهره برداری قرار گیرد. تحلیلگران می‌گویند در حالیکه بعضی از برنامه‌های تبلیغاتی تنها فعالیتهای جستجو در وب را کنترل نموده و تبلیغات آزاردهنده را ارائه می‌کنند، دیگر برنامه‌ها می توانند اسم رمز و آدرس‌های پست الکترونیک را سرقت کرده و امکان دریافت کردن نرم‌افزارهای مخرب بیشتر و یا ارسال اطلاعات مهم به رقبا را فراهم نمایند. John Pescatore یکی از تحلیلگران شرکت گارتنر (در Stamford) می‌گوید، ما تصور می‌کنیم که قابلیت انجام چنین کارهایی در این گونه نرم‌افزارها قرار گرفته است.

● چگونگی قرار گرفتن نرم‌افزار جاسوسی بر روی سیستم

برنامه‌های جاسوسی می‌توانند بعد از کلیک کردن یک پنجره pop-up، بازکردن یک ضمیمه پیغام و یا دریافت کردن برنامه‌های رایگان توسط کاربر، خود را بر روی سیستم نصب کنند. در بعضی از موارد سیستم‌های مجهز به ویندوز اصلاح نشده می‌توانند نسبت به حملات drive-by آسیب‌پذیر شوند. لازم به توضیح است که در این گونه حملات کد مخرب تعبیه شده در یک سایت وب مشاهده شده شکاف‌های Internet Explorer و تنظیمات امنیتی سیستم رامورد بهره‌بردارر قرار داده و بدون هیچگونه کلیک از طرف کاربر خود را بر روی سیستم نصب می‌کند. با قرارگرفتن تعداد بیشماری نرم‌افزار جاسوسی مقدار بسیار زیادی از منابع سیستم مصرف می‌شود. طبق اظهارات Roger Thompson، قائم مقام مدیر عامل بخش توسعه شرکت Pestpatrol (شعبه Carliste) یک برنامه به تنهایی می‌تواند بیش از ۳۰۰ فایل نصب کرده و ۵۰۰ ورودی رجیستری داشته باشد.

برنامه‌های جاسوسی می‌توانند برای به دست آوردن اسرار محرمانه شرکت‌ها نیز مورد استفاده قرار بگیرند.Thor Larholm، محقق ارشد امنیت در شرکت Pivx Solutions LLC (فروشنده ابزارهای امنیتی شبکه واقع در Newport Beach کالیفرنیا) در این مورد می‌گوید، چندی پیش هکری با استفاده از کانال ارتباطی یک برنامه تبلیغاتی توانست یک Trojan بر روی دسک‌تاپ‌های شرکتی نصب کند. برنامه تبلیغاتی فوق برای ارتباط با صفحه وب تولید کننده برنامه و به منظور بازیابی تبلیغات جدید نصب شده بود. این هکر از یک حمله سطح متوسط برای تغییر دادن صفحه وب و جایگزینی یک کد مخرب (که می‌توانست از آسیب‌پذیری Internet Explorer در سیستم‌های دارای ویندوز اصلاح نشده استفاده کند) بهره برد. از آنجاییکه کامپیوترهای این شرکت آسیب‌پذیر بودند حمله کننده توانست برنامه پنهانی را نصب کند. او با استفاده از ترافیک نرم‌افزار تبلیغاتی به ۵ ماشین دسترسی پیدا کرد و توانست پیش از آشکار شدن آن به مدت دو ماه به جمع‌آوری اطلاعات تجاری و اطلاعات درباره پروژه‌های جدید بپردازد. این تجربه نشان می‌دهد که هر نوع کد ناشناخته که بر روی دسک‌تاپ‌ها اجرا شود یک نقص به شمار می‌آید.

گزارشاتی از این دست بسیار نادر است اما همین تعداد نیز سبب نگرانی Sean (مهندس امنیتی یک شرکت بزرگ خدمات مالی که خواسته نام کامل و نام شرکت محل کارش فاش نشود) شده است. او می‌گوید، فکر میکنم که ما این گونه برنامه‌ها را در حال حاضر به روش درستی کنترل نمی‌کنیم و به تصور من اوضاع بدتر خواهد شد. اختلالی که نرم‌افزار جاسوسی در کار روزانه شرکت ایجاد می‌کند می‌تواند هزینه بسیار زیادی را برای شرکت ایجاد کند به اعتقاد Sean تا زمانیکه مشکل عمده‌ای در این رابطه اتفاق نیفتد شرکت محل کار او، کاری انجام نخواهد داد. او در ادامه میگوید، مدیریت کامل و کافی برای این مشکل وجود ندارد و دستهای ما فقط پر از برنامه‌های ضدویروس است.

● اقداماتی برای پیشگیری از نصب نرم‌افزارهای ضدجاسوسی

بنا بر اظهارات شرکت‌های فروشنده و کاربران، جلوگیری از نصب برنامه‌های جاسوسی چندان آسان نیست. البته نرم‌افزارهای ضدویروس و فیلترهای محتوای وب می‌توانند اندکی در رفع این مشکل کمک کنند، اما در این رابطه، به نصب فایروال بر روی سیستم‌های مجهز به ویندوز به منظور آشکار سازی و مسدود کردن تلاش‌های این گونه برنامه‌ها برای نصب خودشان (از طریق کاربر یا ترفندهای مهندسی که تولید کنندگان نرم‌افزارهای جاسوسی به کار می‌برند تا کاربر را به کلیک بر روی یک پنجره گمراه کننده وادار نمایند) نیز نیاز است. در ضمن به روزرسانی و اصلاح دقیق آسیب‌پذیری های Internet Explorer و ویندوز باید در نظر گرفته شود و سرانجام اینکه مسدود ساختن ضمائم قابل اجرای پیغام‌های الکترونیکی نیز در رفع مشکل بسیار کمک می‌کند. یکی دیگر از روشهای جلوگیری از دریافت نرم‌افزارهای جاسوسی بر روی سیستم این است که کاربران به جای دارا بودن دستیابی کامل به عنوان مدیر شبکه از دستیابی محدود به سیستم‌های محلی برخوردار باشند.

Mikke Hypponoen، مدیر بخش تحقیقات ضدویروس شرکت F-Secure (در سان خوزه) می‌گوید، کاربران لینوکس هرگز به عنوان مدیر شبکه با سیستم کار نکرده و پیغام‌های الکترونیکی را نمی خوانند در عوض این کاری است که کاربران ویندوز در تمام مدت انجام می‌دهند. در صورتیکه کاربر به عنوان مدیر شبکه محلی با سیستم کار نکند بسیاری از برنامه‌های ضدجاسوسی نمی توانند نصب شوند. Candace Worley، مدیر تولید شرکت McAfee Virus Sean می‌گوید، هنگامی که به طور هفتگی شرکت‌های مختلف را بررسی کردم متوجه شدم که تعداد زیادی از آنها هنوز کاربران را از امتیازات کامل مدیر شبکه در دسک‌تاپ برخوردار می‌کنند. Sean که در یک شرکت خدمات مالی کار می کند، اعتراف نموده که اکثر کارکنان این شرکت (که تعداد آنها بالغ بر صدهزار نفر است) از امتیازات کامل به عنوان مدیر شبکه سیستمهایشان برخوردارند، اما معتقد است که قفل کردن دسک‌تاپ به طور کامل عملی نخواهد بود زیرا کاربران خواستار مقداری انعطاف‌پذیری هستند. Latholm، که به تازگی لیستی از آسیب‌پذیری‌های Internet Explorer اصلاح نشده را بر روی سایت Pivx منتشر کرده می‌گوید: اصلاح برنامه‌ها بسیار مهم است اما نمی‌تواند از تمامی سو استفاده‌ها پیشگیری کند. لیست فوق زمانی دارای ۳۲ آیتم بود. او در ادامه می‌گوید، امروز به طور تخمینی اعلام می‌کنم که هنوز ۱۴ نقص اصلاح نشده وجود دارد که نیمی از آنها امکان اجرای فرمان و نیمی دیگر امکان cross-domain Scripting را فراهم می‌سازند. البته سرویس پک دو (SP۲) مایکروسافت بسیاری از این نقایص را برطرف خواهد نمود.

نویسنده: Robert L.Mitchell

مترجم: مریم پویانپور