1. Introducere
Spyware-ul reprezinta o importanta amenintare pentru securitatea si integritatea desktop-ului. Folosind un motor de cautare se pot preleva atât executabilele cât si paginile conventionale Web care au obiective rau intentionate. Rezultatele arata raspândirea continutului spyware. De exemplu in mai 2005 verificarea a 18 milioane de URL-uri au dus la gasirea de spyware în proportie de 13,4% din 21.200 executabile identificate. În acest timp 5,9% din aceste pagini procesate au fost atacuri.
Nu de mult timp, spyware-ul a devenit cel mai popular download de pe Internet. Exemple sunt foarte numeroase legate de infectare cu spyware. Consecintele infectarii cu spyware pot fi severe, incluzând: abundenta de pop-up-uri, extragerea neautorizata a informatiilor financiare ale victimei sau parole, sau lasând calculatorul neutilizabil.
În ciuda severitatii problemei, este prea putin stiuta natura sau extinderea spyware-lui pe Internet.
De obicei instalarea spyware-lor se poate face în doua metode. Prima, este atunci când un utilizator poate sa aleaga un download de software de care a fost atasat un cod spyware. Cea de-a doua metoda este atunci când un utilizator ar putea vizita o pagina Web si care în mod invizibil este atacat, prin explorarea vulnerabilitatii browseru-lui pentru instalarea de software fara consimtamântul utilizatorului.
În studiul de cercetarea facuta în Universitatea din Washingtown se compara efectele experimentelor facute de catre acestia din lunile mai, respectiv octombrie ale anului 2005. Rezultatele lor au aratat ca spyware-ul este o mare amenintare pe Internet. Acestia au observat ca mai mult de un fisier executabil din 20 examinate contin spyware, si de asemenea ca exista diferente între numarul atacurilor din octombrie (1.6% din domenii) fata de luna mai (3.4% din domeniile examinate).
Majoritatea studiilor americane încearca sa trateze urmatoarele puncte: cât de multe spyware-uri se afla pe Internet, unde sunt localizate acestea, cât de posibil este ca un utilizator sa întâlneasca un spyware printr-o navigare aleatoare, care sunt tipurile de amenintari pe care poate sa le aduca un spyware, ce parti din executabilele de pe Internet sunt infectate, ce componente ale paginilor Web infecteaza victimele prin atacuri, si cum se schimba amenintarile acestora în timp.
2. Executabile infectate cu spyware pe Web
2.1 Gasirea executabilelor
Sunt doua modalitati de a vedea daca un obiect Web este un executabil sau nu:
a) tipul de continut al header-ului HTTP furnizat de un server Web în timpul descarcarii obiectului este asociat cu un executabil (ex. application/octet-stream);
b) propriul URL contine o extensie cunoscuta ca fiind asociata cu tipuri de executabile (ex. .exe, .msi, .cab);
Odata descarcat obiectul încercam sa identificam tipul fisierului. Daca nu reusim sa ne dam seama de tipul sau consideram ca nu este un executabil si nu-l mai analizam.
Unele fisiere executabile de pe Web nu pot fi evidente în momentul cautarii. Acestea ar putea fi fisiere .zip, si fisierele care contin scripturi Java. Pentru a face fata fisierelor .zip, descarcam si extragem fisierele arhivate, uitându-ne la numele fisierelor si extensiilor asociate executabilelor.
Pentru fisierele care contin scripturi Java, programul de inspectie a site-urilor web (crawler) scaneaza continutul scripturilor cautând URL-urile si le adauga în listele acestuia. Interpretarea programelor JavaScript pot construi dinamic URL-uri.
În studiul efectuat, dupa gasirea executabilelor se trecea la descarcarea, instalarea si executarea software-lui pe o masina virtuala, ca în final sa se analizeze daca instalarea si executia au cauzat o infectie cu spyware.
În analiza efectuata se foloseau baze de date on-line cu date despre spyware si se clasifica manual ce functii contineau programele spyware, precum: sustragere de chei de logare si criptare, bannere publicitare, troieni si atacul de browser.
Desi studiul efectuat are anumite limite precum faptul ca rezultatele se bazeaza pe prelevarea unor pagini web si fisiere executabile, ca nu poate sa extrapoleze nici o relatie între densitatea si prezenta amenintarilor de pe desktop, scanarea a fost posibila cu un instrument anti-spyware (AdAware) ceea ce limiteaza gasirea tuturor spyware-lor. Studiul a fost facut pentru a întelege si a cuantifica amenintarile spyware din punctul de vedere al Internetului.
Cercetarea a fost facuta în luna mai 2005 incluzând peste 18 milioane de URL-uri, iar în octombrie 2005 cu aproximativ 22 milioane URL-uri. Din site-urile inspectate 19% erau fisiere executabile, din care 4% erau infectate. Aceste executabile infectate contineau doar 82 (mai) si 89 (octombrie) programe distincte de tip spyware. Vom prezenta topul celor 10 site-uri infestate si a spyware-lor gasite în lunile mai, respectiv octombrie (tabelul 1).
Pentru a descărca acest document,
trebuie să te autentifici in contul tău.
