Minulý rok istý Newyorčan nasadil do verejných počítačov na Manhattane softvér, ktorý zaznamenával postupnosť stláčania kláves a zhromaždené informácie posielal na jeho e-mailovú adresu.
Kybernetický špión získal osobné informácie o štyristo päťdesiatich ľuďoch, ktoré použil pri krádeži finančných prostriedkov z ich bankových účtov. Nelegálne zhromaždené údaje sa okrem toho pokúsil predať cez internet.
Cielený útok
Tento prípad nie je vo svete ojedinelý a vzhľadom na možnosti, ktoré poskytuje softvér na monitorovanie používateľov pri používaní počítača, ani posledný. Väčšina kybernetických špionážnych aktivít bola doteraz podľa odborníkov zameraná na individuálnych používateľov, ale čoraz častejšie sa ich obeťami stávajú aj organizácie.
Vlani si útočníci vzali na mušku istú britskú finančnú spoločnosť zaoberajúcu sa vydávaním kreditných kariet. Keď jej zamestnanci dostali e-mail s názvom Wedding Invitation (pozvanie na svadbu), zdalo sa, že ide o spam alebo klasický vírus. Pošta však obsahovala aj špionážny program, takzvaný spyware, schopný zaznamenávať dôverné dáta a posielať ich príjemcovi cez internet. Konzultanti bezpečnostnej firmy Clearwift tvrdia, že išlo o cielený útok na získanie špecifických dát.
Viacero podobných incidentov dokumentuje rastúcu hrozbu nového fenoménu, ktorým je nepozorovaný prienik do cudzieho počítača alebo siete s cieľom získať citlivé údaje vrátane rôznych prístupových hesiel. Ak si čo len jediný zamestnanec, hoci aj nechtiac, stiahne spyware z internetu, môže to spôsobiť únik dát z celého firemného počítačového systému.
Špiónske techniky
Definícia spywaru nie je jednoznačná. Považujú sa zaň programy na monitorovanie činnosti používateľa, odchytávanie hesiel a iných dát, ale aj programy na zobrazovanie reklamy dodávané s bezplatným softvérom, napríklad na výmenu súborov či prehrávanie digitálneho videa. Reklamné nástroje (adware) monitorujú, aké webové stránky používateľ navštevuje, a podľa toho zobrazujú v popredí reklamné okná.
Tvorcovia spywaru majú na rozširovanie niekedy otravných a niekedy nebezpečných programov niekoľko metód. Jednou z možností je poslať falošnú elektronickú pohľadnicu na e-mailovú adresu. Používateľovi príde pošta, ktorá ho odkáže na určitú webovú stránku. Tam sa dozvie, že ak si chce pohľadnicu pozrieť, musí súhlasiť s inštaláciou jednoduchého programu, netušiac, že ide o spyware, ktorý môže po inštalácii začať zaznamenávať takmer všetku aktivitu a posielať dáta e-mailom vzdialenému špiónovi.
Spyware sa šíri aj spolu s počítačovými vírusmi. Ako prílohu obsahovali špiónske nástroje napríklad známe červy Bugbear a Sobig. Ďalším trikom šíriteľov spywaru je zobrazenie malého reklamného (pop-up) okna s tlačidlom, ktorým ho môže používateľ zatvoriť. Kliknutím naň však spustí nenápadný download spywarového programu.
Programy na tajné sledovanie aktivity s počítačom si možno dokonca legálne kúpiť. Podobné nástroje používali kedysi výhradne hackeri, ale v posledných mesiacoch ich niektorí dodávatelia začali predávať ako produkty, ktorými môžu zamestnávatelia monitorovať správanie zamestnancov v internete alebo rodičia sledovať, čo robia s počítačom deti.
Adware, najrozšírenejšiu formu spywaru, obsahujú aj mnohé populárne bezplatné programy na zdieľanie a výmenu súborov, e-mailoví klienti, digitálne prehrávače či kalendáre. Napríklad firma Gator dodáva adware spolu s legitímnym softvérom na výmenu súborov a populárnym prehrávačom digitálneho videa DivX. Program podľa výrobcu len monitoruje navštevované webové stránky a zobrazuje reklamné okná.
Na základe sťažnosti používateľov sa však Gator a jeho adware dostal pred súd, no ten jeho činnosť neposúdil ako nelegálnu. Sudca si však vo verdikte neodpustil poznámku, že „počítačoví používatelia musia znášať pop-up reklamu spolu s nepríjemným spamom ako bremeno používania internetu“.
Organizované skupiny
Spyware preniká do počítačov často aj bez vedomia obete a dokáže sa ukryť takým spôsobom, že ho niekedy nevedia nájsť a odstrániť ani skúsenejší používatelia. Podobne fungujú aj počítačové vírusy, ale spyware je zvyčajne oveľa sofistikovanejší.
Niektoré špionážne programy napríklad neustále menia spôsob fungovania v počítači, aby sa vyhli detekcii. „Pochybujem, že okrem autorov niekto presne vie, čo tieto veci robia. Ide často o zložité algoritmy,“ uviedol pre server News.com vývojár antispywarovej firmy PestPatrol Roger Thompson.
V porovnaní s vírusmi môže byť spyware nielen sofistikovanejší, ale z hľadiska možných škôd aj nebezpečnejší. Väčšinu vírusov píšu programátori iba preto, aby si dokázali vlastné kvality, a za svoje diela nezískavajú finančné benefity.
Väčšina vírusov je v skutočnosti neškodná, zatiaľ čo špionážny softvér schopný zachytávať prístupové heslá je v nesprávnych rukách mimoriadne nebezpečný nástroj. Za jeho tvorbou a rozširovaním môžu podľa predstaviteľov bezpečnostných IT firiem stáť organizované skupiny s jednoznačným motívom získania nelegálneho príjmu.
Analytici v posledných mesiacoch hlásia nárast rôznych spywarových aktivít pohybujúcich sa v škále od nepríjemných po nebezpečné. Reálny rozsah používania spywaru si však netrúfajú odhadnúť, pretože používatelia a organizácie často ani nevedia, že ich počítače sú napadnuté. Firmy, ktoré problém odhalia, hovoria o skúsenostiach iba neochotne, pretože sa obávajú negatívnej publicity a potenciálnych právnych problémov.
Podľa antispywarovej firmy Webroot môže byť špiónskym softvérom nakazených osemnásť percent počítačov na svete. Odhad vychádza z výsledkov nasadenia voľne dostupného internetového programu odhaľujúceho prítomnosť spywaru medzi 300-tisíc používateľmi.
Podobný prieskum realizoval aj internetový poskytovateľ Earthlink. Po prehľadaní takmer 430-tisíc počítačov sa našli dva milióny adwarových súborov a deväť miliónov adwarových cookies, ktoré sledujú zvyky ľudí pri surfovaní webom. Spyware je pritom podľa viceprezidenta Earthlinku Matta Cobba iba v začiatočnej fáze rozvoja.
Ochranný softvér
Najväčšiemu riziku sú vystavení ľudia, ktorí používajú verejne dostupné počítače, napríklad v knižniciach a internetových kaviarňach, pretože nevedia, aký softvér je na nich inštalovaný. Ľahšími obeťami kybernetických špiónov sú používatelia širokopásmového internetu, pretože ich počítače na rozdiel od dial-upových zákazníkov sú on-line nepretržite.
Bezpečnostné spoločnosti vrátane začínajúcich cítia v spyware nové obchodné príležitosti. V súčasnosti existujú desiatky antispywarových programov, ktoré fungujú podobne ako antivírusy. Aktivujú sa buď automaticky pri spustení počítača, alebo manuálne na želanie používateľa. Po skenovaní disku zobrazia podozrivé súbory, ktoré môže používateľ odstrániť. Programy tiež vytvárajú záložné kópie pre prípad, že ide napríklad o adware, ktorý je súčasťou obľúbeného voľne dostupného programu.
Mnohé antispywarové programy sú v internete dostupné zadarmo, napríklad Ad-Aware švédskeho Lavasoftu a Spybot Search & Destroy nemeckej firmy PepiMK Software. Za príplatok 27 USD (850 Sk) môže zákazník získať od Lavasoftu zdokonalenú verziu Ad-Aware Plus, ktorá nepretržite prehľadáva aj pamäť počítača, takže by mala okamžite upozorniť na inváziu nového spywaru do počítača. Ďalší ochranný softvér SpySubtract firmy interMute stojí tridsať dolárov (950 Sk).
Vlk v ovčom rúchu
Ani s antispywarovým programom však nie sú používatelia úplne chránení. Riaditeľ produktového marketingu bezpečnostnej firmy Network Associates Ryan McGee upozorňuje, že programátori spywaru na ochranné nástroje reagujú a vymýšľajú nové spôsoby, ako svoje programy skryť pred detekciou. V konečnom dôsledku môže vzniknúť rovnaká situácia ako pri počítačových vírusoch, ktorých tvorcovia hrajú s antivírusovými firmami nekonečnú hru na mačku a myš.
Weboví surferi, ktorí chcú byť pred spywarom chránení, čelia novému problému. Niektorí softvéroví vývojári zneužili snahu ľudí bojovať proti nežiaducim programom a vypustili do sveta antispywarové aplikácie, ktoré inštalujú podobné nástroje, pred akými sľubujú chrániť.
Nezisková organizácia Centre for Democracy and Technology už v tejto súvislosti podala niekoľko sťažností na americkú Federálnu komisiu pre obchod. „Ak je súkromie ľudí narušené spoločnosťou, ktorá tvrdí, že ich chce chrániť, ide jasne o neférovú a falošnú praktiku,“ vyhlásil riaditeľ centra Ari Schwartz.
Jedným z takýchto antispywarových programov je napríklad SpyBan, ktorý si zo stránky Download.com v posledných mesiacoch stiahli desaťtisíce používateľov. Viaceré antispywarové firmy, napríklad PepiMK Software a švédsky Kephyr.com, obvinili SpyBan z rozširovania adwaru. Prevádzkovateľ downloadovacieho servera začiatkom februára program z ponuky stiahol, pretože jeho producent odmietol odkryť a vysvetliť všetky komponenty, ktoré program obsahoval, čím porušil pravidlá servera.
Spyware môže sledovať pracovnú disciplínu
Okrem hackerov a kybernetických zlodejov môže špiónski softvér poslúžiť aj zamestnávateľom. Predovšetkým vo väčších organizáciách sa stáva, že pracovníci využívajú internetové pripojenie na surfovanie, ktoré nijako nesúvisí s ich pracovnou náplňou. Analýzou navštevovaných webstránok či e-mailovej komunikácie sa zaoberajú aj niektoré slovenské firmy, žiadna sa tým však nechváli.
Spyware a monitorovanie činnosti zamestnancov môže kolidovať s právom človeka na ochranu súkromia, vyplývajúceho z Občianskeho zákonníka. Zamestnanec by sa mohol ohradiť voči tomu, aby mu ktokoľvek čítal e-maily súkromnej povahy, aj keby ich posielal z firemného počítača alebo ich na firemný počítač prijímal. Na druhej strane zamestnávateľ má právo chrániť sa pred únikom dôverných informácií. Mal by však v interných pravidlách určiť, na čo zamestnanci môžu e-mail a internetové pripojenie použiť, vyžiadať si od nich súhlas s možným monitorovaním.
Z pohľadu slovenského zákona o ochrane osobných údajov by špiónsky softvér nemal sledovať a zaznamenávať tú časť elektronickej komunikácie, ktorá obsahuje osobné údaje. Tými sú buď všeobecne použiteľné identifikátory, alebo charakteristiky, ktoré tvoria fyzickú, fyziologickú, psychickú, ekonomickú, kultúrnu alebo sociálnu identitu človeka. To znamená najmä meno a priezvisko, pohlavie, ale aj politická príslušnosť či výška príjmu.
Ak teda zamestnávateľ len sleduje, aké webové servery si zamestnanec prezerá, je to v poriadku. Problém by nastal, „pokiaľ by na základe návštevnosti určitého typu stránok priradil človeku nejakú charakteristiku“, konštatuje predseda Úradu na ochranu osobných údajov Pavol Husár. Ak by zamestnanec často navštevoval napríklad servery s pracovnými ponukami, nesmie ho zamestnávateľ ani v internej dokumentácii označiť ako potenciálneho fluktuanta. Takáto charakteristika sa totiž považuje za osobný údaj. Identifikačný PIN kód k bankovému účtu sa podľa P. Husára v zmysle zákona o ochrane osobných údajov za chránenú informáciu nepovažuje, výška konta však už áno.
