许多用户对于因为在计算机上秘密和恶意地安装spyware(间谍软件)所带来的安全风险、隐私泄露以及绩效损失,许多用户都只是有一些含糊的认识。只有极少数用户知道spyware所具有的多种形式以及它们所采取的一些非常恶劣的行动。除了泛泛地知道spyware是一种不请自来的、恶意的软件之外,普通用户对其知之甚少。
直到最近,人们还是认为spyware的危害比不上病毒和垃圾邮件。但是,我相信spyware具有比病毒和垃圾邮件更大的威胁。spyware可能会像最恶毒的病毒那样凶险。相较于电子邮件信用卡诈骗(phishing),spyware对金融所产生的威胁不仅范围要大得多,也要严重得多。另外,spyware还会对隐私造成严重的危害。中小型企业必须理解spyware是什么,以及它会造成什么威胁。本文将解释为什么说spyware所具有的安全风险要比您想象的大得多。
分析spyware
如果只是认为spyware是一种不请自带的软件,那么这种认识是有失偏颇的。安装到您的PC上的spyware可能修改Windows注册表,并在您的系统上添加动态链接库(DLL)文件,以及下载程序文件(称为DPF文件,例如恶意的ActiveX或Java VM对象)。有的spyware会利用Web浏览器的漏洞(尤其是Internet Explorer),在您的系统上安装ActiveX控件、浏览器helper对象(BHO)以及工具条,或者修改浏览器的Internet选项,其中包括主页、收藏夹以及上下文关联菜单。有的spyware甚至能修改TCP/IP设置和hosts文件。
在联机spyware百科全书和字典数据库中,列出了数量众多的、可以被定性为spyware的恶意代码。一些常见的spyware类型包括:
Adware
浏览器会话劫持
远程管理工具(Remote Administration Tool,RAT)
跟踪代理
双代理(Double agent)spyware。
下面让我们简要分析一下每种spyware所存在的安全风险。
从技术上说,并非所有adware都是spyware。但是,许多专家认为,只要adware采取了非用户自愿的广告发布动作,那么即使这个adware是您许可安装的,那么它也属于spyware。常见的广告发布方法包括突然弹出的浏览器窗口以及由广告商赞助的应用程序。目前存在着大约800个由广告商赞助的、有spyware嫌疑的软件。其中包括某些游戏的免费版本(Midnight Oil Solitaire)、FTP客户端(FTP Works)、电子邮件客户端(Eudora)、音乐播放软件、Web和系统实用程序等待。这些所谓的“免费软件”能通过窗口或者工具条来发布广告,使软件开发者通过广告来获得收入。有的adware(比如FlashTrack)能跟踪记录一个用户的Web活动和网上查询动作,然后将这些信息发送给广告服务器(比如Aureate和Aveo),后者根据关键字和短语向用户返回有针对性的广告(通常采取弹出广告窗口的形式)。正如许多父母所知道的,即使一些良性的关键字,比如“kittens”(小猫),都有可能使他们的孩子接触到不良内容,其中包括黄色内容。
浏览器会话劫持是在虚拟世界使用的一种“狸猫换太子”的手法。这种spyware(比如Icoo、WurldMedia、Xupiter Toolbar、Lop、BonziBuddy、CoolWebSearch)会重定向浏览器会话和搜索请求,将用户引导至他们原本不打算去的网站和搜索引擎。被劫持的用户可能看到不希望的、令人不快的内容和广告。在这种情况下,劫持者通过将用户引导(诱拐)到一个电子商务网站,并提供与用户希望的相似的服务或产品,从而获取推荐费或者加盟费。
某些远程管理工具(RAT)和按键记录程序是具有木马性质的spyware的例子。正如名字所暗示的,它们能为攻击者赋予管理权限,或者赋予特别的偷窥及拦截能力。攻击在远程采取操作,可以拦截并记录用户的按键操作,监视应用程序和浏览器活动,甚至能拦截WebCam(网络摄影机)数据流。BackOrifice和Sub7是恶意的攻击性RAT的典型例子,它们还会带来DDoS的威胁。除此之外,还有一些商业性RAT,比如NetObserve和Spyagent,它们表面上出于“合法跟踪”的目的而向企业经理、父母以及多疑的配偶出售。最近出现的Bankhook.A是一个按键记录BHO,它以电子邮件附件的形式来传播。一旦安装,Bankhook就会试着查找一台PC上的银行帐号访问数据。
跟踪代理、Web bug和data miner(数据采集程序) 是虚拟世界中的“垃圾翻找者”。它们监视您的Web浏览、购物、电子邮件和即时消息活动,而且可能同时收集系统配置和个人信息。有的跟踪公司利用这种信息来发布目标广告,另一些则出售或者滥用他们收集到的信息。作为一款流行的搜索工具条,Alexa同时也是一个data miner。Transponder/VX2能采集电子邮件地址和浏览器历史,并从Web表单和配置文件中收集数据。Gator/GAIN(现在叫做Claria)声称是一个合法软件,但反spyware专家指出,这个软件的客户端能自动填写表单和保存密码,它同时还会跟踪用户的购物习惯。
双代理spyware。令人遗憾的是,某些软件打着反spyware的旗号,但它本身就是一个spyware。用户们兴致勃勃地下载这种所谓安全软件的试用或免费版本,并指望它们能移除adware,最后却发现这些版本本身就是adware。著名的spyware查杀软件厂商(比如PestPatrol和Kephyr Labs)指出RedV EasyInstaller和SpyBlast本身就是spyware。假如您认为不会有比这更严重的行为,那么请重新考虑一下:有的spyware查杀工具(SpyWiper)能够劫持主页,企图恐吓不知情的用户购买他们的产品(这其实就在虚拟世界勒索保护费的一种行为)。
认识spyware威胁等级
spyware的“威胁等级”介于Elevated和High之间。如果您的企业对安全性有很高的要求,请将威胁等级设置在High和Severe之间。请考虑以下威胁:
泄露敏感的或者受限制的信息。能跟踪浏览器活动的spyware不会区分是内部网还是Internet请求。超链接、浏览器历史、收藏夹以及缓存的Web表单数据可能包含业务记录、保密信息、商业机密、信用卡和个人资料、医疗和财务数据以及帐号密码等等,它们可能由收集代理滥用,或者转卖给第三方。
用户可能成为严重犯罪行为的受害者。按键记录程序(Keylogger)会造成敏感的个人及企业信息的泄密,其中包括密码、信用卡和财务信息等。并可能造成一些令人难堪的个人信息的泄露。一个被拦截的WebCam数据流可能暴露令人难堪的个人活动。spyware可能为信用卡欺诈、身份伪装以及针对个人/企业的勒索行为带来可乘之机,我们必须对此有清醒的认识。
生产力的损失。spyware会在运行时占用CPU和带宽。spyware在编写时不会进行什么优化,通常会造成系统不稳定,并可能出现蓝屏死机故障。移除spyware通常十分费力,结果往往是破坏性的。有的spyware会在您卸载了freeware之后驻留在系统上,而且可能会在完全移除之后重新安装它自身。假如spyware已经在您的网络上全面地滋生,就可能需要花费大量时间来进行修复,其中涉及的工作量和遭遇一次病毒入侵或者后门攻击时的工作量差不多。
系统和网络入侵。由跟踪程序、数据采集程序和RAT收集的信息对于从事信息收集活动的任何入侵者来说都是一座金矿。信息收集通常是发动一次定向攻击的准备阶段。超链接和系统配置信息中标识的主机能帮助攻击者描绘网络和服务结构图。有的组织不明智地以明文形式通过内部网链接传送帐户名和密码。对此,还需要我进一步解释吗?
影响品牌形象和失去客户。您的公司可能已经受到spyware的影响,即使您的每一台计算机上面都不存在spyware。假如一款具有劫持能力的spyware希望您的公司成为受害者,那么当用户在访问您的网站时,就可能被重定向到某个竞争公司的网站,造成您的公司失去大量商机。这种spyware还可以用于欺骗为点击广告支付广告费的公司。一家声名狼藉的广告公司,为了欺骗用户访问它的赞助商的电子商务网站,制作了一个“必须安装”的工具条,并将spyware嵌入其中。这个spyware会替换用户的默认搜索引擎,强迫用户访问它的赞助商的页面——即使目标网页和用户的搜索条件并不相符。在这种情况下,赞助商将为这些强制性的访问而支付广告费,但通常无法因为这种访问获得预期的产品销售收入。
面临诉讼。有的员工对令人厌恶的、尤其是性题材的广告十分反感,而且可能因此而投诉被性骚扰。不管此类投诉的结果如何,公众形象、打官司的时间/费用以及对公司可信度的影响,都是一家公司不希望承受的。
通过本文的描述,希望我已经说服您将spyware视为一种严重的威胁。在我的下一篇文章中,将描述如何识别和修复受spyware影响的系统,并介绍如何不间断地防护spyware。我还会推荐一些spyware移除和封锁软件,以便简化您的操作。同时,还会介绍一些预防spyware的措施。
