SLOUPEK IVANA ZELINKY

Spyware a jeho mnoho podob

Autor: Ivan Zelinka, odborník na kyberbezpečnost a umělou inteligenci

Profesor na Fakultě elektrotechniky a informatiky VŠB TU v Ostravě a senior researcher ve skupině Big Data v IT4Innovations v Národním superpočítačovém centru. 

Je jasné, že takovýto software, byť by nevykazoval agresivní chování, je velmi nebezpečný právě podstatou své činnosti. Každému je dnes jasné, že to, co nazýváme daty, je velmi strategickou surovinou v tom nejširším slova smyslu. Bez nadsázky se dá říct, že v dnešní době probíhá boj o informace, a to legálními či nelegálními způsoby. Tyto informace mohou být osobního charakteru, stejně tak jako firemního, státního či vojenského. Vulgárně řečeno, kdo má informace, je pán. Proto je dobré vědět, že existují algoritmy, které dokážou informace sbírat bez vědomí uživatele nelegálním způsobem. Obvykle je takový software používán před samotným útokem pomocí kybernetických zbraní, o kterých jsme již mluvili. Pojďme se tedy podívat na to, co to vlastně je ten spyware.

Není spyware jako spyware

Spyware je podobně jako kybernetické zbraně (de facto je jejich součástí) také jedním z nejnebezpečnějších programů moderní doby, protože data, která krade, mají často cenu zlata. Spyware má spolu s cryptominery a backdoory společnou vlastnost – musí být, pokud možno, nenápadný a nezjistitelný, jinak jeho existence vezme za své. Spyware je název odvozený od anglického „spy“ tedy špehovat. A přesně to tento druh malwaru dělá: špehuje, sbírá informace.

Jsou různé kategorie spyware, nejčastěji se však potkáme se tzv. keyloggery (programy, které zachytávají stisky kláves) a variantami, co zaznamenávají obsah obrazovky, případně zvuk v místnosti. Existují dokonce i jako hardwarové moduly, které se dají připojit mezi klávesnici a počítač (viz naše předchozí díly, kde je zmínka o zneužití keyloggeru studenty gymnázia). Nebezpečnost spywaru ale tímto nekončí: schopný spyware může monitorovat obrázky plochy, odposlouchávat síťový provoz, přeposílat útočníkovi soubory z napadeného stroje a různá další data. 

Ještě větší účinnost má spyware mířený na mobilní telefony, do kterých lidé dávají podstatně víc informací o sobě skrze různé aplikací typu fitness aplikace, do kterých uživatelé zadávají údaje jako výška, váha, které měří tep, zjišťují lokaci atd. Nebo mohou využít senzory mobilu a snímat tak své okolí v takovém rozsahu, že po dostatečně dlouhé činnosti mohou například zmapovat byt oběti nebo zvyky oběti a tím vše předpřipravit k útoku. 

V klasickém počítači umístěném na stole je tato funkcionalita samozřejmě omezena. Počítač však může být zdrojem jiných důležitých dat – a sice hesel. Do mobilu lidé často zadají své heslo jednou a nechají zařízení, aby si zapamatovalo přihlášení. I toto spojení lze samozřejmě napadnout a přerušit. Na počítači však lidé spíše heslo zadají. Ti nejméně zkušení dokonce nechají napsané heslo na viditelném místě, „nejlépe“ přímo na papírku na monitoru nebo ještě lépe, v čitelném souboru přímo na ploše. Spyware na počítači se tedy zaměřuje mimo jiné i na hesla, která jsou do počítače zadávána nebo jsou v něm uložena. 

Nejzákladnější obranou proti spywaru nebo obecně proti každému malwaru, je kromě obezřetnosti spočívající v tom, že uživatel nekliká bez rozmyslu na všechno, co vidí (hlavně v emailu), také udržování veškeré softwarové výbavy aktuální. A to zejména operačního systému a antivirových, antispywarových a ostatních obranných programů. Když už je ale spyware uvnitř, je pro něj snadné zachytávat stisky kláves a snímky obrazovky. Tím vyvstává otázka, nakolik je vlastně nutné mít bezpečné heslo. 

A jak to všechno začalo …

Za spyware se tedy považuje software, který napomáhá ke sběru informací o osobách či organizacích bez jejich vědomí. Právo ovšem vyžaduje přesnou definici toho, co je možné považovat za spyware. Spyware je software, který pomáhá při sběru informací o osobě nebo organizaci bez jejich vědomí, a který může zasílat tyto informace jiné straně bez souhlasu uživatele nebo který uplatňuje kontrolu nad počítačem bez vědomí uživatele.

Výraz spyware až do přelomu tisíciletí označoval spíše monitorovací zařízení. V roce 1999 byl poprvé použit ve významu, který známe nyní. Použila jej Zone Labs při vydání jejich firewallu Zone Alarm. Software určený ke zjištění a případnému odstranění spywaru se označuje jako antispyware. 

První antispyware byl vydán v roce 2000 společností Gibson Research s názvem OptOut, který byl během jednoho roku své existence stažen uživateli více jak tři milionkrát. Steve Gibson, autor softwaru OptOut, spyware označoval jako jakýkoliv software, který využívá internetové připojení oběti bez jejího vědomí nebo výslovného povolení. Vzhledem k tomu, že se technologie stále a rychleji vyvíjejí je nutné mít efektivní legální prostředky, aby bylo možno zasáhnout proti spywaru. 

Spyware kam se podíváš

Dělení spyware může být členité a hranice toho co je a není spyware může být v některých případech mlhavá. Rozumné dělení je podle funkcionality spywaru. Nicméně v dnešní době jsou spywarové programy velmi komplexní a kombinují v sobě mnoho typů spywaru. Velmi také záleží na tom, jaké informace umí spyware odcizit a jakým způsobem to činí. To způsobuje, že je takový software nemožné zařadit pouze do jedné kategorie. A tak je možné se setkat se spoustou odlišných dělení. Pojďme se podívat na některá z nich.

Adware. Slovo adware vzniklo spojením slov Ad tedy advertisement (reklama) a software, takže v doslovném překladu se adware označoval jako reklamní software, jenž dokonale popisuje svůj účel. Jedná se o software, který na obrazovce oběti zobrazuje nevyžádané informace, ve většině případů jsou to pop up okna a reklamy. Adware může i nemusí být klasifikován jako spyware, to záleží na tom, jakou definici spywaru použijeme a také na tom, zda se jedná o triviální adware, který pouze zobrazuje reklamy nebo takový, který sleduje historii vyhledávání navštívených internetových stránek a podle ní zobrazuje reklamy. Pokud považujeme za spyware software jen pokud odesílá informace o oběti, tak v tom případě obyčejný adware, který zobrazuje náhodné reklamy, za spyware nelze považovat, nicméně pokud za spyware máme software, který jakýmkoliv způsobem využívá internetovou konektivitu oběti bez jejího vědomí, tak i triviální adware lze považovat za spyware. Obecně se adware mezi spyware řadí a rozhodně jej lze v tomto směru i zneužít.

Systémový monitoring. Do této kategorie se řadí software, který zaznamenává uživatelovu aktivitu na počítači. To, co taková aplikace může sledovat, je široká škála činností od zaznamenávání stisků klávesnice po sledování historie prohlížení. Nejčastěji využívaným a zároveň nejznámějším zastupitelem této kategorie je již diskutovaný keylogger. Keylogger nemá český překlad, nicméně by se dal volně přeložit jako odchytávač stisknutých kláves či klávesnicový skener. Jeho jediným úkolem je zaznamenat a uložit si nebo poslat vše, co uživatel zapíše na klávesnici. Používán je nejčastěji pro krádež uživatelských jmen a hesel. Existují jak softwarové, tak i hardwarové keyloggery.

Hardwarové jsou určitě málo časté, a to z toho důvodu, že se útočník musí fyzicky dostat k počítači oběti. Tyto keyloggery ovšem disponují obrovskou výhodou oproti softwarovým, protože nejsou rozpoznatelné žádným antispywarem. Obvykle v sobě mají paměť, na kterou zapisují stisky klávesnice, takže když útočník chce taková data získat, musí mít opět k počítači oběti fyzický přístup. Jedná se o malé zařízení, které se zapojí mezi koncovku klávesnice a vstup do počítače, podobá se redukci. Existují i keyloggery pro bezdrátové klávesnice, které sbírají data vyslaná bezdrátovou klávesnicí či myší, ale tato data mohou být šifrovaná.

Softwarové keyloggery (viz případ „dvou kolegů“ v jednom z našich předchozích dílů) jsou používány častěji, a to hned z několika důvodů: útočník nemusí mít fyzický přístup k počítači oběti. Softwarový keylogger je daleko levnější, nemusí se pro každou oběť kupovat zařízení v řádech stokorun, ale stačí jednou naprogramovat nebo stáhnout tento program a lze jím pak infikovat velké množství uživatelů. Software nejčastěji získává stisknuté klávesy zaregistrováním k události stisknutí klávesy, kterou vyvolá operační systém, tak jak to činí pro každý jiný legitimní software. 

Obecně lze systémové keyloggery rozdělit na dva typy. Prvním typem je keylogger, který běží uvnitř jádra operačního systému. Jako část operačního systému má tento keylogger možnost provádět cokoli na počítači. Je pro něj tedy jednoduché přečíst cokoli na vstupu počítače. Druhým typem je keylogger, který běží v uživatelské oblasti, není tedy součástí operačního systému. Musí mít proto sofistikovanější metody, jak přečíst data na vstupu. Jinou možností, která patří do této oblasti, je krádež hesla ve chvíli, kdy heslo opouští uživatelský počítač a vstupuje do sítě. Pokud není heslo zakódováno, může být přečteno v kterémkoliv místě síťového provozu. Je zřejmé, že i samotný webový prohlížeč může být infiltrován, což znamená, že jakákoliv snaha uživatele pak vychází vniveč.

Při analýze a studiu keyloggeru se často můžeme setkat s výrazem polling, což je v podstatě určitá varianta keyloggeru, která je ale z podstaty neefektivní a je relativně dobře zjistitelná antimalwarovými prostředky.

Když se oprostíme od samotného snímání klávesnice, tak nám pořád v našich digitálních zařízení zůstává spousta různých činností,  které lze odposlouchávat a zaznamenávat. Například kopírování událostí a obrazovek. Kopírování událostí - v grafickém uživatelském rozhraní je veškerá aktivita považována za událost. Událostí je stisk klávesy, pohyb myši nebo změna velikosti okna. Typický GUI (Graphical User Interface) program pracuje ve smyčce a čeká na novou událost. Pak určí typ události a provede akci v závislosti na této události. Proto se takový program nazývá odborně event-based program. GUI program normálně získává událostí jen pro svá okna, a ne pro okna jiných aplikací. Keylogger, který kopíruje události, používá speciální funkce, aby získal kopie událostí z požadovaného okna a pak tyto události ukládá do svého programu. Spyware je tedy utajený událostem, které jsou zasílány původnímu cíli.

Totéž se týká i tzv. monitorování událostí – pokud se podíváme na události v systémech GUI, monitorování událostí je možno provádět tam, kde keylogger může přímo zachycovat stisky kláves. Rozdíl mezi monitorováním a kopírováním událostí je v tom, že při monitorování událostí má spyware přístup k událostem dříve než aplikace, které byly události určeny. Ve skutečnosti může spyware vybrat a zrušit některé události, takže je cílová aplikace nikdy nedostane. Některé události, ke kterým patří i stisky kláves, mohou být zachyceny pomocí speciálních funkcí. 

Snímáním obrazovek, zaznamenáváním zvuku či činnosti klávesnice samozřejmě špionáž nekončí. Toto byly zatím jen velmi obecné spyware, které jsou nejvíc známé a rozšířené. Je jasné, že spyware může být i šitý na míru. Může se pídit po speciálních souborech, dokumentech, po speciálních klíčových slovech, prohledávat vaši emailovou korespondenci. Může znamenávat vaši GPS pozici a posílat druhé straně mapu vašeho pohybu, což v součinnosti se zaznamenaným zvukem, stiskem kláves a tak dále poskytuje poměrně slušný profil o vašich a denních aktivitách. Je to tedy vlastně stejné, jako byste dobrovolně poskytli veškeré informace o svém denním režimu třetí straně, což samozřejmě nikdo dobrovolně neudělá. 

Nejslabším článkem kyberbezpečnosti je vždycky člověk

Co se týká obrany, pak obyčejnému laikovi (a vlastně i profíkům) samozřejmě nezbývá nic jiného než se spolehnout na antispywarové softwary, kterých je naštěstí dost i od renomovaných firem.  Mimo dobrá antivirová technologická řešení je samozřejmě nutné se chovat v kyberprostoru inteligentně a ne jako slon v porcelánu, protože nejužším a nejslabším místem celé kyberbezpečnosti je člověk a jeho chování v kyberprostoru který si sám vytvořil, ale kterému mnohdy sám nerozumí. Jak se tedy efektivně chránit? Jsme opět u staré dobré mantry být opatrný, nedůvěřovat všemu a pokud možno cokoliv, co se nám zdá sebeméně podezřelé, ověřovat. Toto je bohužel jediný rozumný recept pro minimalizaci rizika typu spywaru, ale obecně i malwaru jako takového.

Články čísla 1 /22

Pozvánky a novinky