Prim Hírek

"A crimeware-eket kimondottan bűnelkövetés céljából készítik" - nyilatkozta Ed English, a Trend Micro alelnöke és vezető biztonsági stratégája. "Ez esetben nem felugró hirdetésekről, hirdetőprogramokról vagy hagyományos vírusokról, férgekről és trójai programokról van szó. A crimeware billentyűnaplózással igyekszik információkhoz jutni, vagy e-mail formájában legális üzletet ajánlva próbál megszerezni személyes információkat, például banki azonosítókat, vagy a felhasználót egy álcázott webhelyre irányítja át, ahol szintén a titkos azonosítók megszerzése a cél. A crimeware-ek működési mechanizmusában az a közös, hogy céljuk a konkrét pénzügyi haszonszerzés" - tette hozzá English.

A Trend Micro vezető fenyegetéselemzője, Jamz Yaneza elmondta, hogy a crimeware-ek fogalmát az adathalászat-ellenes munkacsoport (Anti-Phishing Working Group - APWG) egyik ülésén fogalmazták meg. Az iparági szakértőkből és a törvényességet felügyelő munkatársakból álló non-profit szervezet célja az adathalászatból, az eltérítéses adatlopásból és a számítógépes bűnözés egyéb formáiból származó csalások és személyazonosság-hamisítások elleni védelem. Számos biztonsági szoftvergyártó is csatlakozott már az APWG szervezethez, amely a tagok különböző kutatási eredményeinek összegyűjtése mellett az együttműködést is koordinálja.

Az APWG definíciója szerint crimeware lehet bármely olyan szoftver, amelynek célja tiltott pénzügyi haszonszerzés vagy online csalás. Ebbe beletartozik a kémprogram, a trójai program, a hátsó ajtó, a váltságdíjat követelő program és a 900-as számot hívó betárcsázóprogram is, amely révén a felhasználó pénze ahhoz vándorol, aki a betárcsázóprogramot az áldozat rendszerén elhelyezte. A definíció magába foglalja az adathalászatot és a kémkedéses adathalászatot is, amely közvetlen módon veszi rá az embereket arra, hogy bejelentkezzenek bankjukhoz, és így tulajdonítja el az információkat. A tendencia azt mutatja, hogy a kémprogramok, az adathalászat és a rosszindulatú kódok terjedésével párhuzamosan csökken a konkrét károkozásra irányuló támadások száma. Annak ellenére, hogy globális vírusfertőzések ma már ritkábban törnek ki, még mindig léteznek.

"Egy vírus készítője 15 perc hírnevet szerezhet a vírus megírásával, de utána minden esetben számolnia kell a hatóságokkal. A szoftverek íróit általában bűnszervezetek bérelik fel kémprogramok, rootkitek, bothálózatok és egyéb crimeware-ek készítésére. De vajon mit tesz egy pórul járt vírusíró? Bűnszervezetnél talál munkát, ezért csökken manapság a nagy vírusfertőzések száma és nő ezzel párhuzamosan a konkrét pénzszerzésre irányuló kémprogramok száma" - tette hozzá Yaneza.

Anthony Arrott, a Trend Micro kémprogramkutatásának vezetője szerint a crimeware-ek abban az esetben a leghatékonyabbak (anyagi értelemben), ha más módszerekkel kombinálják őket.

Arrott szerint a crimeware-ek három modulból épülnek fel:

1. A szállítmány: A kárt okozó szoftver, amit a telepítő modul juttat célba.
2. A telepítő: A szállítmány feltelepítését végzi az óvatlan felhasználó gépére.
3. A testőrök: A sokszor rootkitek formájában megjelenő testőrök feladata a szállítmány felfedezésének megakadályozása.

"A bűnözőknek minden okuk megvan arra, hogy az óvatlan felhasználók megtévesztése érdekében elrejtsék az információt. A feladat nem az egyes kategóriák közötti különbségek részleteinek meghatározása, hanem ami ennél fontosabb, az egyes kategóriáknak a feltérképezése" - tette hozzá Arrott.

A kárt okozó szoftvert, a szállítmányt valamilyen formában fel kell telepíteni a gépre. Ezután a testőröknek, amelyek sokszor rootkitek, meg kell védeniük a felfedezéstől. A Coolweb Search például egy ravasz kémprogram, amelytől nagyon nehéz megszabadulni. Nem azért, mert trükkös módon települ fel és így is működik, hanem mert beágyazza magát a számítógép operációs rendszerébe, így a kémprogramvédelmi szoftverek nehezen tudják kiirtani. Ehhez hasonlóan a rootkitek is el tudják rejteni magukat a Windows API-k (Application Programming Interface - alkalmazásprogramozási felület) elől, így láthatatlanok maradnak. "A telepítő és a testőr együtt tulajdonképpen csak segédeszközök - nem érik el teljesen a célt, csak hozzájárulnak a megvalósulásához. Külön kell választani a szállítmányt és a szállítási mechanizmust" - magyarázta Arrott.

A célok három csoportra oszthatók. Az első az öncélú pusztítás, mint például a károkozó klasszikus vírusok és férgek esetében. "A sor másik végén a hirdetőprogramok, a nyomkövetők, a böngészőeltérítők és segítőik találhatóak, amelyek tulajdonképpen olyan marketing- és reklámtevékenységet folytatnak, amelyek túllépik az elfogadható határokat. Szabványok hiányában állandó vita tárgyát képezi, hogy mi az, ami elfogadható. Ily módon megszerezhető a jelszó, a számlainformációk és a személyazonosság-lopás szállítmányai. Ezek legtöbbjét a billentyűnaplózók adják, amelyek a billentyűleütéseket rögzítik. Véleményem szerint a crimeware-ekkel való bűnözés tulajdonképpen egyfajta lopás: információ eltulajdonítása vagy tranzakciós csalás" - tette hozzá Arrott.