SPYWARE
Отсутствие четкого определения может помешать созданию надежной защиты
Производители средств безопасности испытывают все большие затруднения с определением и идентификацией шпионящего ПО (spyware), тогда как угроза с его стороны растет. Это усложняет создание инструментов, призванных помочь ИТ-менеджерам в очищении компьютеров сотрудников от вредоносных программ.
Однако помощь, возможно, близка. В сотрудничестве с бесприбыльной организацией "Центр за демократию и технологию" (Center for Democracy and Technology) ведущие производители антишпионских средств разрабатывают принципы определения шпионящего ПО. В ближайшее время рабочая группа, в которую вошли представители десяти ведущих компаний, вероятно, составит список из десятков критериев для определения шпионящего ПО. Об этом сообщил Ричард Стайнон, вице-президент по изучению угроз в компании Webroot Software.
Эксперты считают, что необходимость в стандартизации определений этого вредоносного кода давно назрела.
Широкое внимание привлекло решение корпорации Computer Associates (CA) временно исключить из списка шпионящего ПО, обнаруживаемого с помощью ее продукта PestPatrol, широко используемую программу Gator. Последняя выводит на компьютерах пользователей рекламу, сопровождающую работу некоторых продуктов.
CA пошла на такой шаг по просьбе производителя Gator - компании Claria. Но при этом вызвала возмущение противников spyware.
Я шпион или не шпион?
В результате не только Gator, но и другие три продукта Claria, которые прежде не причислялись к шпионящему ПО (eWallet, ScreenScenes и GotSmiley), были включены в черный список CA. Директор ее подразделения eTrust Security Management Тори Кейс заявил, что корпорация откажется от практики исключения программ из черного списка по просьбе их разработчиков.
Разногласия между CA и Claria - это уже второй случай подобного рода. Несколько ранее производитель антишпионских средств фирма LavaSoft удалила из своего черного списка Save - продукт компании WhenU.com, подобный Gator. LavaSoft оправдывала это тем, что Save не соответствует ее определению программ, сопровождающихся показом рекламы (adware).
"Термин "шпионящее ПО" вводит в заблуждение, - заявил Эрик Хауз из Иллинойского университета, известный специалист по программам такого типа. - Люди считают, раз существует такой термин, значит, должен быть четко очерченный круг соответствующих программ с определенными свойствами. Но точных дефиниций нет".
Хауз предлагает термин "нежелательное" ПО (junkware) вместо "шпионящее". В то же время он отмечает, что реальная проблема заключается в том, как обнаруживать шпионящие программы, а не как их называть.
Сейчас у каждого из ведущих производителей антишпионских средств имеются собственные критерии, в соответствии с которыми программам присваивается статус шпионящих или сопровождающихся показом рекламы.
CA использует таблицу, в которой приведено 21 типовое действие, характеризующее ПО как шпионящее. Среди прочего там указана установка обновлений без ведома пользователя. По словам Кейса, программы, производящие действия хотя бы одного из перечисленных типов, включаются в черный список.
Компания Sunbelt Software, выпускающая продукт CounterSpy для борьбы со шпионящим ПО, составила более объемистый список критериев, по которым программы причисляются к категории потенциально нежелательных. Последний термин приобретает все большую популярность. Однако Sunbelt не считает, что пользователи должны обязательно удалять все программы, соответствующие ее критериям, сообщил генеральный директор компании Алекс Эклбери.
По мнению экспертов, в конечном счете решать, насколько жесткими должны быть критерии для отнесения программ к категории шпионящих, будут не столько производители антишпионских средств, сколько пользователи.
"Мы должны отстаивать интересы наших клиентов и убеждать их в том, что предоставляем им то, чего они хотят, и обеспечиваем ту защиту, в которой они нуждаются", - заявил Кейс.