Spionprogram
Förord
En liten introduktion som visar vad spionprogram är och hur det definieras. Medvetandet om spionprogram och typer av spionprogram kommer också att tas upp, där det kommer förklaras vad det finns för olika sorters spionprogram samt olika sätt datorn kan bli infektarad på. Nyckelord Spionprogram, WhenU, Cookies, Rouge installation, piggyback, borttagning, säkerhet
INTRODUKTION
Spionprogramvara är ett stort begrepp som innefattar flera underkategorier, de olika spionprogrammen delas in i dessa kategorier beroende på vad de faktiskt utför på användarens dator.. Definitionen på spionprogramvara enligt Kungliga Tekniska Högskolans datatermgrupp [2] är:”Ett program eller programkomponenter som registrerar uppgifter om en datoranvändare utan dennes vetskap och som sedan skickar uppgifterna till en extern mottagare.” [3]
I ett historiskt perspektiv började debatten om spionprogram och kartläggning av olika datoranvändare, för den stora massan, med debatten om cookies. En fråga som också väckte medias intresse. En cookie är en liten textfil som lagras på användarens dator och som kan hålla ordning på vilka sidor en användare har tittat på när denne har besökt en viss webbsida, eller så kan cookien bestå av specifika inställningar en användare valt för en viss sida. Detta ansågs utgöra ett hot mot den personliga integriteten vilket i förlängningen innebar att vi i Sverige fick en ny lagstiftning. Den innebar att från och med den 25:e Juli 2003 måste alla webbsidor med ursprung i Sverige som använder cookies informera besökarna om:
• Att webbplatsen använder cookies.
• Vad cookies är och vad det används till.
• Hur besökaren kan undvika cookies.
Ett typexempel på hur det kan och skall se ut är Sveriges Radio som på sin webbsida följer gällande lagstiftning till punkt och pricka [1].
Diskussionen ledde inte bara till en lagstiftning utan det förbättrade också det Svenska folkets medvetande om vad personlig integritet på Internet innebär. En fråga som är berättigad att ställas är, vilka är medvetna om att deras datorer infekterats av spionprogram? Och följdfrågan lyder: hur kan en infektion undvikas?
Som nämnts tidigare i introduktionen finns det ett stort antal olika kategorier av spionprogram. Spionprogrammen delas in i kategorier beroende på vad dom utför för operationer på datorn, ett spionprogram kan dock falla inom ramen för flera kategorier. En viktig detalj som också bör noteras är skillnaden mellan spionprogramvara och virus, spionprogram kopierar inte sig självt, likt virus. Det finns undantag, men detta gäller i denna artikel som ett generellt påstående [4].
Annonsprogram
Annonsprogram är applikationer vars huvudsakliga uppgift är att visa reklam för datoranvändaren. Vad som är utmärkande för denna kategori är att användaren ofta faktiskt har valt att installera programmet själv, då dessa program ofta innehåller en funktion som användaren vill ha. I denna kategori finns det väldigt spridda metoder om hur man rent tekniskt går till väga för att visa reklam för användaren. Det finns program som ligger i bakgrunden och då och då öppnar reklamfönster. En annan metod är att datoranvändarens startsida ”kapas” och en annan webbsida, som spionprogramtillverkaren finner lämplig visas istället. Ett sista exempel är så kallade ”Browser Helper Objects” (BHO) som kan söka igenom sidorna som datoranvändaren besöker och byta ut reklambanners mot egna alternativ, för att generera fler klick på ens egen reklam.
Informationssamlingsprogram
Dessa programs främsta uppgift är att samla information om användaren och sedan skicka det till spionprogramtillverkaren. Det kan till exempel vara information om vilka hemsidor användaren besöker, ålder, kön och så vidare. Ett extremt exempel som finns är VX2 Transponder som har en inbyggd funktion för att leta efter en installation av ett e-postprogram på användarens dator och därigenom tillskansa sig information om användarens namn och e-post.I denna kategori hittar vi också cookies som traditionellt sett inte klassas som spionprogram. Den ursprungliga tanken var att cookies skulle skapas på användarens dator så att användaren själv kunde välja specifika inställningar, som bakgrundsfärg till exempel, tanken är att endast den som utfärdat cookien ursprungligen skall kunna använda informationen i den. Dock har många upptäckt att detta går att utnyttja. Det kallas tredjepartscookie (associated cookie) vilket innehåller en såkallad GUID (Globally Unique Identifier) vilket är en unik sträng som identifierar en viss användare. Genom att sätta cookies på ett stort antal sidor kan utfärdaren få en bild av användarens internetvanor.
Fjärrstyrning
Fjärrstyrningsprogram räknas också till kategorin spionprogram i den mån att de oftast är installerade på en användares dator utan att han eller hon vet om det och att programmet skickar information till en utomstående part. Ofta är programmen från början utvecklade för ett legitimt syfte, till exempel Microsofts Remote Desktop eller Real VNC. Dessa program är dock främst till för att en verifierad utomstående part skall kunna ta över och styra datorn i hjälpande syfte, eller att datoranvändaren själv skall kunna styra datorn från annan plats. För att påvisa riskerna med denna typ av program är Netbus ett bra exempel. Programmet utvecklades under sent 90-tal av Carl-Fredrik Neikter. Programmet består av två delar, som är generellt för denna kategori, en server och en klient. Om serverdelen av programmet installeras på en användares dator kan man sedan logga in på datorn och ha full kontroll utan att användaren nödvändigtvis märker av det. En attackerande part har i praktiken obegränsade möjligheter att stjäla information av användaren, bland annat genom att ta skärmdumpar, eller genom att lyssna av användarens tangentbord via en så kallad ”keylogger” (fångar upp vad användaren skriver) [5]. Cirka ett halvår efter att Netbus hade släppts så släppte hackergruppen Cult Dead Cow sin vidareutvecklade idé av Netbus kallat Back Orifice (en ordlek med Microsofts produkt Back Office).
Varför finns det spionprogram?
Att kartlägga potentiella konsumenter genom deras naturliga vanor är ett ypperligt sätt att kunna göra riktad reklam, vilket är både reklamföretag och annonsköpares främsta mål. Specialanpassadreklam. Detta kan sägas om annons och informationssamlingsprogram. Vad gäller fjärrstyrningsprogram är det ursprungliga syftet från början att felavhjälpning skall kunna ges från distans och med kort varsel, men fungerar ju också till att användas i tvivelaktiga syften, där användaren inte har vetskap om attackerarens intentioner.
METOD OCH MATERIAL
Den främsta källa för information har varit Benjamin Edelmans hemsida. Benjamin Edelman är doktorand från Department of Economics på Harvard University och har tidigare studerat ekonomi och statistik. Hans nuvarande studier är inriktade på att analysera spionprograms installationsmetoder samt ekonomin bakom spionprogramvaruindustrin. Han är respekterad för sin forskning och hans artiklar får ofta stort genomslag i media. Benjamin Edelmans hemsida finns på www.benedelman.org.För att illustrera för icke insatta i området har vi valt ut ett i de flesta avseenden genomsnittligt spionprogram och beskrivit vad vi anser är viktiga faser: installation, aktiv fas och borttagning med målet att öka kunskapen och kännedomen om spionprogram. I vår avslutande diskussion skall vi analysera närmare hur en vanlig användare kan göra för att undvika att spionprogram angriper datorn.
ETT PRAKTISKT EXEMPEL: WHENU
För att ge en mer komplett genomgång på hur spionprogram fungerar i praktiken har vi tittat närmare på en typisk spionprogramvara som heter WhenU och analyserat dess olika faser installation, aktiv fas och borttagning. WhenU faller under kategorierna annonsprogram och informationssamlingsprogram.
Information om WhenU
WhenU är ett klassiskt exempel på spionprogram. Man har en välstrukturerad hemsida och erbjuder via sin hemsida www.whenu.com potentiella kunder ett antal tjänster, bland annat: WhenU–SearchBar, WhenU–SaveNow, WhenU–Save, WhenU–WeatherCast och WhenU–ICE (Integraded Contextual Engine). Detta är en klassisk taktik som återfinns hos de flesta spionprogram. Som datoranvändare erbjuds man en tjänst som kan täcka ett visst behov, men samtidigt och oftast utan att användaren får reda på det, installeras andra programvaror – spionprogram.
WhenU utger sig för att vara ett legitimt företag och säljer distribuerade reklamtjänster till annonsörer. Man erbjuder datoranvändare tjänster mot att användaren visas reklam. Datoranvändarens surfvanor registreras och skickas till WhenU som i sin tur kan skicka riktad reklam, baserat på användarens internetvanor.
Så trots att WhenU på sin hemsida ger sken av att vara ett högst legitimt företag så har forskning från Benjamin Edelman visat att WhenU kartläggar sina användares internetvanor och skickar dessa till WhenU utan användarens medgivande. Själva programmet som är installerat på användarens dator har dessutom möjligheten att uppdatera sig själv genom att ladda ner nya funktioner och filer till datorn. Detta kommer vi att återkomma till i diskussionsdelen längre fram. Eftersom att WhenU samlar information om användarnas internetvanor kan annonsörer skicka riktad reklam till användarna, dessa visar sig i form av pop-up fönster, trots att användaren inte frågat efter det, eller gett sitt medgivande [6].
WhenU är baserat i New York och har cirka 50 anställda. [7]
Karaktärsdrag och förekomst
WhenUs programvara finns på flera Internetsidor, bland annat deras egen hemsidan. Förutom att man kan ladda ner programmet via deras hemsida och installera det så följer det med vissa installationsfiler för andra program, så kallad Rougeinstallation, vilket kommer att gås igenom mer detaljerat längre ner i texten.
INSTALLATION
Precis som de flesta andra spionprogram installeras WhenU på främst på tre sätt. Piggybackinstallation (följa med ett annat programs installationsfil), Rogueinstallation (Bluffinstallation, ett program som utger sig för att innehålla en nyttofunktion, med annan intention) och genom säkerhetsluckor i användarens system.
Piggybackinstallation
Piggybackinstallation är när en oönskad programvara följer med en önskad programvara. WhenU har använt sig av denna metod tidigare och har då varit den oönskade delen av programmet. Den önskade delen har bestått av bland andra BearShare, iMesh och DivX player. Användaren har då laddat ner något av dessa program, då det fyllt en funktion hos användaren, samtidigt och utan användarens vetskap så har även WhenU:s spionprogram installerats. I vissa fall kan användaren få information om att programvara förutom den önskade kommer att installeras, det är dock ingen garanti. Det är heller ingen garanti att det står något om den oönskade programvaran i EULA:n (End User License Agreement) eller så är EULA så lång och så luddigt formulerad att användaren väljer att inte läsa igenom den. I vissa fall saknas EULA helt.
Rogueinstallation
Den andra metoden som används av WhenU är Rogueinstallation. Denna metod är snarlik med piggybackinstallationen, men påtalar istället en nyttofunktion i det egna programmet. Det finns betydligt värre exempel än WhenU just i denna kategori där man varnas för virus och en spionprogramvara påstås kunna lösa problemet. WhenUs tillvägagångssätt är inte lika aggressivt, men resultatet är detsamma. Som nämnts tidigare erbjuder WhenU ett flertal ”nyttoprogram” på sin hemsida. Ett av dessa program ger användaren väderprognoser medan ett annat program ger ett sökverktygsfält. Detta är essensen i såkallade bluff installationer, man härleds att tro att programmet skall fylla en funktion, medan det i verkligheten är så att det huvudsakliga syftet är att få spionprogrammet installerat.
Säkerhetsluckor
Den tredje och sista typen av generella sätt som WhenU installeras genom är säkerhetsluckor. Ett bra exempel på detta är en säkerhetslucka i vilken Microsoft Windows hanterar bilder i WMF format (Windows Meta File) som kallas Exploit-WMF. I förlängningen möjliggjorde denna säkerhetslucka att godtycklig kod kunde exekvereras på en användares dator utan att användaren initierat processen. Processen kunde helt enkelt startas genom att användaren fick en bild via en webbsida. Detta är den allvarligaste typen av installationsmetod då det är svårt för användaren att skydda sig och vetskapen är låg. Hur säkerhetsluckan fungerar och varför det är/var möjligt är för tekniskt avancerat att inkluderas i detta arbete, för mer information följ källhänvisning [8]. Det bör också nämnas att det finns fler exempel på säkerhetsluckor, men detta valdes som exempel för att illustrera hur WhenU kunnat installeras.
AKTIV FAS
WhenU utlovar att de inte samlar in någon som helst information från användaren som har valt att använda något av deras program. Det stämmer inte alls.
När användaren blivit infekterad av WhenU så börjar det dyka upp reklamrutor lite var stans på skärmen vid olika tillfällen. Varje gång en reklamruta dyker upp på användares skärm så skickar WhenU vidare information som föregående hemsidor användaren besökt, postadress, IP-adress samt hur och när användaren fick WhenU. All denna information skickas sedan vidare till WhenU’s servrar för att kartlägga användares surfvanor så att de kan skicka rätt reklam.
Detta är ett exempel på hur en del av ett utgående paket som skickas ifrån klientens dator till WhenU’s servrar när en reklamruta dyker upp. Och det visa lite mer specificerat vad som sker:
”GET /offerb?url=fci_cheaptix108&pattern=akwdId_20_2944&patid=A20_2944
&src=http%3A//www.expedia.com/default.asp%3F&ver=2.54&partner=CAST1202
&insttime=3500.81&msa=M1120%2CSMA%2CR5%2CY1122”
Detta motsäger vad som står på WhenU’s hemsida, där står det tydligt att WhenU’s produkter inte samlar in någon som helst information om användarnas dator eller surfvanor.
BORTTAGNING
Verktygsfältet som installeras när man laddar ner ett såkallat spionprogram är oftast skadliga eller direkt hotande och störande för den enskilda personen och för datorn. WhenU är ett av dessa program som medföljer. Störningsmomenten är oftast i form av reklam. Men vad som stör mest är spionaget som användaren utsätts för. WhenU är en form av spionprogram som breder ut sig på datorn genom att självinstallera grenprogram eller delprogram. Att ta bort WhenU är inte alltid så lätt eftersom en säkerhetskopia skapas och lägger sig bland registernycklarna, inte nog med så skyddar gratisprogrammet det enskilda spionprogrammet på så sätt att en avinstallation inte är möjlig. Olika sätt att få bort WhenU från datorn finns. Det första är att ta bort gratisprogrammet och sedan kunna ta bort spionprogrammet genom avinstallation. Det finns två olika sätt till att få bort WhenU, man kan antingen välja att plocka bort det via ”lägg till och ta bort program” som ligger i kontrollpanelen, men det är inte säkert att man får bort allt. Eller så kan man söka efter nycklarna och ta bort dessa manuellt så gott man kan. Sedan ska man helst scanna datorn med hjälp av en spionprogramsborttagare. Detta sätt är mycket säkrare och ser till att WhenU inte skapar någon säkerhetskopia.
REFLEKTION
De flesta spionprogram associeras med hot, för det är inte bara så att spionprogram kan orsaka programfel hos användaren. Det är också ett direkt hot mot användarens datorsystem [9].
Ben Edelman har genom att övervaka en infekterad dator kunnat klargöra vilken trafik som utgår från den infekterade datorn till, i detta fallet, WhenUs servrar. Vad han också lade märke till var spionprogrammets förmåga att uppdatera sig själv genom att kontakta sina servrar och leta efter uppdateringar. Detta leder omedelbart till en svaghet som Ben Edelman återskapade i sin laboration, i korthet kan man säga att han ändrar i HOST filen (används för att associera domäner med IP adresser ex: www.ttela.se = 194.68.65.40) på den infekterade datorn och låter den peka på en server som han själv kontroller och placerar därpå den fil han vill skall hämta istället för uppgraderingen utav spionprogrammet, vilket låter en eventuell attackerare exekvera godtycklig kod på en spionprograminfekterad dator. Forskning på annat håll har visat att spionprogramvaror som Claria och eZula har samma svagheter.
Det finns också exempel på spionprogram som är accepterade bland användarna. Exempel på detta är Winamp och Last.fm. Winamp skickar, om man inte avböjer under installationen, information om användarstatistik till Winamp, dessutom installeras bland annat känd spionprogramvara som GAIN om man inte avböjer det under installationen.
Last.fm är ett bra exempel på ett accepterat program som skickar användarstatistik. Last.fm är en plugin till användarens musikspelare som gör att låtnamnen på de låtar man lyssnar på skickas till en server, användaren har sedan ett konto på en tillhörande hemsida där en lista presenteras på vilken musik han eller hon har lyssnat på. På hemsidan finns sedan möjlighet att lägga till vänner, skicka meddelanden till varandra och bli föreslagen musik som liknar det användaren lyssnat till. Här är det användarinformationen som gör webbsidan unik och värd att besöka för musikintresserade.
Vad kan man göra för att undvika spionprogram
Det finns ett flertal åtgärder man kan vidta för att undvika att drabbas av spionprogram.
Håll datorn uppdaterad
Se till att datorn har de senaste uppdateringarna installerade, det hjälper inte mot ej eller nyligen upptäckta säkerhetsluckor (0 day exploits) men det gör risken mindre att drabbas av befintliga.
Använd säkerhetsprogram
Ha antivirusprogram och brandvägg installerade och aktiva. Brandvägg kan vara ett undantag då man kan ha en hårdvarubrandvägg som fyller samma funktion.
Goda surfvanor
Ladda inte ner filer från okända platser, eller där utgivaren inte är verifierad som godtagbar. Besök inte webbsidor som innehåller tvivelaktigt innehåll, till exempel ”crack sidor” som nästan uteslutande är tillhåll för någon form av spionprogram. Goda surfvanor kan också tillämpas när man läser e-post, öppna inte bifogade filer från okända avsändare och se till att få hjälp att ställa in e-postprogrammet på ett lämpligt sätt så att e-post inte automatiskt öppnas e-postmeddelanden när du klickar igång e-post programmet. Ofta har anti-virusprogrammen en inbyggd e-postgenomsöknings funktion.
REFERENSER
1. Sveriges Radio, SR Använder Cookies. Sveriges Radio. http://www.sr.se/nyamedier/omcookies.stm [2006-10-15].
2. Kungliga Tekniska Högskolans datatermgrupp, Svenska Datatermgruppen. KTH. http://www.nada.kth.se/dataterm [2006-10-15].
3. Kungliga Tekniska Högskolans datatermgrupp, Spionprogram. KTH. http://www.nada.kth.se/dataterm/rek.html#a201 [2006-10-15].
4. F-Secure Protected, Klick du har blivit angripen. F-Secure http://www.f-secure.se/f-secure/pressroom/protected/1_2006/18-401-2969.shtml [2006-10-15].
5. Wikipedia, Netbus. English Wikipedia http://en.wikipedia.org/wiki/Netbus [2006-10-15].
6. Benjamin Edelman, PPC Ads, Misleading And Worse http://www.benedelman.org/spyware/whenu-privacy/ [2006-10-15].
7. WhenU, Company info http://www.whenu.com/company_info.html [2006-10-15].
8. Microsoft, Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution. Microsoft Technet http://www.microsoft.com/technet/security/advisory/912840.mspx [2006-10-15].
9. Benjamin, Edelman, WhenU Security Hole Allows Execution of Arbitrary Software. http://www.benedelman.org/spyware/whenu-security/ [2006-10-15]
Simon Dahlbacka
Bra att nån tar sej an ämnet, men som du har det nu så har du missat att "tagga" en del rubriker, och varför i hela fridens namn använder du [1] utan att åtminstone göra en länk av det hela? Får intrycket att det här är en klipp och klistra version av nåt annat, skolarbete?