facebook
Legalne szkodliwe oprogramowanie i cybernajemnicy
20 października 2014

Żyjemy w fascynujących czasach, w których komputery PC i sieci bardzo integrują się z naszym życiem codziennym. Jeszcze niedawno były widywane głównie w biurach i zakładach produkcyjnych, następnie wkroczyły do naszych pokoi gościnnych i kuchni, a dzisiaj prawie każdy nosi w swojej kieszeni – nawet całkiem sprytny – komputer osobisty. Wchodzimy w piękną erę Internetu Rzeczy, w której prawie wszystko będzie ze sobą połączone.

Im więcej z naszej codziennej rutyny powierzamy komputerom, tym bardziej atrakcyjne stają się one dla tych, którzy kochają grzebać w cudzych sekretach, czyli dla złych chłopców (cyberprzestępcy) i dobrych chłopców (stróże prawa, którzy dopuszczają się cyberwłamań z ważnych uzasadnionych powodów).

Poza prawdopodobnie odmiennymi motywacjami, odróżnia ich jeszcze jeden fakt: hakowanie i szpiegostwo to z jednej strony przestępstwo dla tajnych służb, ale z drugiej – to także część ich codziennej pracy.

Fenomen legalnego szkodliwego oprogramowania

W dzisiejszym świecie biznesu cyberprzestępczego wyraźnie rośnie moda na legalizację cyberprzestępczości, która na rynku zabezpieczeń informatycznych ma nieco nietypową sytuację. Przykładowo, wzrasta zjawisko sprzedawania luk zero day (czyli takich, dla których nie ma jeszcze łat bezpieczeństwa).

Teraz każdy (szczególnie ci, którzy mogą pozwolić sobie na luki w cenie z pięcioma zerami) może zakupić exploita i użyć go do właściwych celów — najlepiej do ochrony swojego majątku, ale tak naprawdę do prawie wszystkiego. Handlowanie takimi lukami można porównać do handlowania wyrafinowanymi materiałami wybuchowymi lub amunicją.

Ponadto niektóre firmy oferują zestawy w pełni funkcjonalnego oprogramowania, które ma zdolność przenikania do sieci, a po uzyskaniu kontroli nad komputerem PC ofiary może monitorować jego aktywność. Poruszaliśmy temat trojana szpiegującego najwyższej klasy – cóż, ten przypadek może być porównany do sprzedawania pakietów luk.

Firmy oferujące takie usługi celują nie tylko w większe konglomeraty przemysłu obronnego raportujące do rządów, ale także w mniejsze niezależne firmy.

Oczywiście te ostatnie nie mogą sprzedawać szkodliwego oprogramowania nikomu, jednak lista ich klientów jest znacznie bardziej zróżnicowana: oprócz organizacji tajnych służb zawiera również duże korporacje. Usługi takich najemców są aktywnie kupowane przez rządy trzeciego świata – jak Pakistan czy Nigeria.

Należy również pamiętać, że dany klient czy serwis do cyberszpiegowania niekoniecznie jest ostatecznym nabywcą: zdarzyło się, że rozwiązania do szpiegowania i filtrowania były sprzedawane do Zjednoczonych Emiratów Arabskich, a ostatecznie trafiły do Syrii, gdzie obowiązywało embargo.

Tak czy inaczej, doświadczenie Kaspersky Lab potwierdza, że legalne szkodliwe oprogramowanie tworzone prywatnie może skończyć nie tylko w “dobrych” rękach tajnych służb (to, jak dobre one są, to temat na inny artykuł), ale także w rękach bardzo pragmatycznych firm trzecich. Innymi słowy, nawet jeśli w ogóle nie jesteś ważny dla świata przestępczego czy politycznego, czyli jesteś zwykłym człowiekiem, możesz kiedyś obudzić się w centrum tej sytuacji.

Jak groźne to jest?

Dosyć groźne. Szkodliwe oprogramowanie tego rodzaju jest tworzone dla ludzi dysponujących hojnym budżetem i jest na bardzo zaawansowanym poziomie, który nie ma nic wspólnego z nastoletnimi głupimi zabawami czy drobnymi przestępcami próbującymi ukraść kilkaset dolców z Twojej karty kredytowej.

Niektórzy dostawcy takiego szkodliwego oprogramowania, którzy zaliczyli wpadkę na Wikileaks, twierdzą, że tradycyjny antywirus nie stwarza nawet najmniejszego zagrożenia dla ich produktów.

Dostawcy legalnych złośliwych programów wykorzystują w swoich produktach wiele zaawansowanych technologii, które potrafią zwieść analityka wirusów i sprawić, że nie zajrzy on pod maskę.

Co można zrobić?

Praktyka potwierdza, że takie technologie mają swoje ograniczenia. Gdy ktoś ukradkiem włamie się do systemu, to nie są żadne czary, ale raczej jakieś zwykłe szkodliwe oprogramowanie.

Oznacza to, że algorytmy heurystyczne (metoda wykrywania opierająca się na rozpoznawaniu atrybutów określających szkodliwe oprogramowanie) zastosowane w rozwiązaniach Kaspersky Lab prawdopodobnie mogą wychwytywać programy tworzone przez cybernajemników.

Na przykład, nasze badanie produktów przeprowadzone przez FinFisher (jeden z najbardziej wybitnych graczy na rynku legalnej cyberbroni) dowiodło, że – inaczej niż stwierdzono w oświadczeniu FinFisher – analizy heurystyczne zastosowane w naszych produktach począwszy od Kaspersky Antivirus 6 (MP4) z powodzeniem radzą sobie z takimi zagrożeniami.

Lepiej więc korzystać z antywirusa zawierającego zestaw technologii, które mogą walczyć z wyszukanymi zagrożeniami, ponieważ wątpliwe narzędzia zwalczające cyberprzestępstwa mogą nie oprzeć się wrogim działaniom.

Zostań naszym fanem!