“Een besmetting van minimaal twee spyware-programma’s per werkstation en een terugval van 10 procent van de prestaties van het bedrijfsnetwerk is geen uitzondering”, schrijft Chris Reniers. Door diverse maatregelen te combineren beschermen organisaties zich zo goed mogelijk.
Iedereen kent inmiddels het verschijnsel computervirus of Trojaans paard en weet dat je om je daartegen te beschermen niet alleen antivirussoftware moet installeren maar deze ook regelmatig moet opwaarderen. Virussen zijn niet het enige probleem dat vanuit internet kan binnendringen; internetgebruikers worden ook geconfronteerd met spyware. Voor de meeste privé-gebruikers is spyware nog geen probleem. Soms installeren zij spyware zelfs willens en wetens om een gewild freeware-programma als Kazaa te kunnen gebruiken.
Voor organisaties ligt dat anders. Veel medewerkers gebruiken beroepsmatig internet en kunnen ongewild ook spyware op hun werkstation oplopen. Een besmetting van minimaal twee spyware-programma’s per werkstation en een terugval van 10 procent van de prestaties van het bedrijfsnetwerk is naar onze ervaring in de praktijk geen uitzondering. Dit kan een flinke verlaging van de productiviteit van de medewerkers die afhankelijk zijn van het netwerk veroorzaken.
Vele gedaantes
Spyware-besmetting richt zich net als virussen op de werkstations, op het eindpunt van een verbinding. Versleuteling van verbindingen naar het netwerk kan het lekken van gevoelige informatie door spyware niet voorkomen. Het is dan ook zaak om het bereik van de netwerkbeveiliging te verleggen naar de eindpunten en het voorkomen en bestrijden van spyware daarin op te nemen.
Volgens een definitie van de Amerikaanse overheid is spyware een programma dat (onder valse voorwendsels) op een computer is geplaatst en de activiteiten daarop bekijkt of persoonlijke informatie doorsluist naar een derde partij.
Spyware heeft vele gedaantes. De ‘onschuldigste’ versie is een cookie dat clickgedrag op websites registreert en doorstuurt naar een bepaalde internetserver om zo marketinginformatie verzamelen (al dan niet geanonimiseerd). Soms kan dit ook tot gevolg hebben dat ongewilde advertenties op het beeldscherm worden geplaatst. Dan spreken we van adware. Alleen al deze besmetting kan het starten van een werkstation met een factor twee vertragen. Daarnaast kan de internetverbinding door extra verkeer erg traag worden.
Zombies en bots
Een irritantere versie van spyware is een programma dat de startpagina van de browser wijzigt en de homepage van bijvoorbeeld een pornosite laat zien als de browser wordt gestart. De startpagina wijzigen in de ‘settings’ van de browser heeft vaak geen zin, omdat dit de (verstopte) spyware niet verwijdert en bij de volgende keer starten weer die irritante pagina verschijnt. Ook kan de spyware nieuwe werkbalken toevoegen aan de browser. Deze vorm wordt ook wel browserkaping genoemd.
Een kwaadaardigere versie van spyware is een nummerkiezer die wordt geïnstalleerd op de pc en ongemerkt een servicenummer (in het buitenland) belt via het modem. De telefoonaanbieder van de gebruiker treedt dan op als incassobureau voor de eigenaar van dat servicenummer door achteraf een gepeperde rekening te sturen. In Nederland heeft deze vorm minder effect omdat de meeste pc’s niet meer via een modem werken.
Sommige spyware heeft het karakter van een Trojaans paard. Een Trojaans paard in de vorm van een ‘keylogger’ bijvoorbeeld stuurt alle toetsaanslagen op het toetsenbord door naar een specifiek internetadres. Als je met je creditcard aankopen doet via internet stuurt deze spyware de creditcardgegevens op slinkse wijze naar een derde partij. Met die creditcardgegevens kan iemand webwinkelen zonder zelf te betalen. Een andere vorm is een zombie of bot die op een pc wordt geïnstalleerd. De maker kan deze bot op afstand activeren om via die pc spam te versturen of een website te bestoken en daarmee een ddos-aanval (distributed denail of service) uit te voeren. Achteraf krijgt de gebruiker dan opmerkingen van zijn isp (internet service provider) dat hij zijn datalimiet heeft overschreden.
De kwaadaardigste versie van spyware is een programma dat alle beveiligingsinstellingen verwijdert. Hierdoor is het mogelijk op afstand een pc over te nemen om alle gevoelige data die daarop zijn opgeslagen te stelen (rat, remote access trojan).
Inventief
Ontwerpers zijn inventief in het verzinnen van manieren om spyware op pc’s te (laten) installeren. De meeste gebruikers weten dat cookies op hun pc worden geplaatst als ze op internet surfen. Het is mogelijk om installatie ervan te voorkomen door dit via de instellingen van de browser te verbieden. Veel websites werken echter niet als je geen sessiecookie op de pc toelaat. Zonder zo’n cookie is bijvoorbeeld internetbankieren onmogelijk.
Sommige websites geven vasthoudend ‘pop-up’ met de vraag of je bepaalde software wilt installeren. Veel gebruikers zijn er zo aan gewend dat ze door op okay te klikken alle onbegrijpelijke Windows-meldingen kunnen wegklikken, dat ze dit ook doen bij zo’n pop-up. Daardoor wordt de spyware met onbewuste toestemming van de gebruiker geïnstalleerd (drive by download).
Een browser kan zwakke plekken bevatten. Meestal heeft de leverancier niet meteen een patch beschikbaar als zo’n gat bekend wordt. Sommige spyware-schrijvers maken hier dankbaar gebruik van door in die tussenliggende periode via het lek spyware op de pc te installeren.
Afstandwerkers
Een volgende besmettingsbron vormt freeware: gratis programma’s die populair zijn bij privé-pc-gebruikers. Dat weten freeware-ontwerpers ook. Ze bundelen vaak spyware met freeware om zo hun software te sponsoren en geven dat ook aan in hun eindgebruikerlicentieovereenkomst. Soms is de gebruiker zich niet bewust van de gevolgen hiervan, maar het komt ook voor dat hij bewust deze spyware accepteert omdat hij het betreffende programma graag wil gebruiken. Kazaa is een voorbeeld van een p2p-programma (peer-to-peer) dat spyware installeert. Niet alleen de software om p2p-netwerken te benaderen, maar ook de netwerken zelf zijn bronnen van spyware. In illegale software die via deze netwerken wordt uitgewisseld, voegt de aanbieder soms spyware toe. Een nietsvermoedende gebruiker installeert dan niet alleen illegale software, maar ook de bijbehorende spyware.
Lang niet alle medewerkers zijn intern aangesloten op het bedrijfsnetwerk. Vanwege hun mobiliteit hebben ze vaak op afstand toegang nodig. Tot voor kort staken organisaties veel energie in beveiliging van die verbindingen. Een versleutelde verbinding via internet voor beveiliging van uit te wisselen gevoelige gegevens is echter niet meer voldoende. Spyware op een werkstation op afstand kan deze data onderscheppen op het eindpunt en daarmee de beveiliging van de verbinding onderuithalen. Een aanvaller die specifieke informatie zoekt, verlegt daarmee zijn bereik van het netwerk naar het eindpunt. Om hiermee gelijke tred te houden moeten organisaties het bereik van de beveiliging eveneens uitbreiden naar het werkstation. Dit geldt niet alleen binnen de organisatie, maar ook voor alle werkstations die verbinding kunnen maken met het haar netwerk.
Speciale aandacht verdienen de thuiswerkplekken van waaraf een werknemer een verbinding kan opzetten met het bedrijfsnetwerk. Een medewerker kan buiten werktijd op zijn laptop tijdens het surfen op een kwaadaardige website terechtkomen. Daarnaast kan je van medewerkers niet verwachten dat ze op hun privé-pc geen freeware installeren. De meeste mensen hebben wel een virusscanner op hun werkplek op afstand, maar die kan meestal de installatie van spyware niet voorkomen. De kans dat een werkplek op afstand (bedrijfslaptop of privé-pc) besmet raakt met spyware is dan ook veel groter dan bij een werkplek binnen de organisatie.
Reactief
Firewalls, systemen voor inbraakdetectie en virusscanners houden in de meeste gevallen spyware niet tegen. De betreffende software lijkt legaal en is meestal met (onbewuste) toestemming van de gebruiker geïnstalleerd.
Voor de thuisgebruiker is een aantal (freeware-) programma’s beschikbaar om spyware te verwijderen. Meestal zijn dit ‘scantools’ die niet pro-actief voorkomen dat je pc besmet raakt met spyware. De freeware-versies zijn meestal reactief en kunnen spyware achteraf detecteren en verwijderen nadat deze al is geïnstalleerd op de pc, mits de tool regelmatig wordt opgewaardeerd. Overigens zijn niet alle leveranciers van gratis antispywaretools even betrouwbaar.
Bovendien zijn niet alle tools even gebruiksvriendelijk. De scansnelheid is van belang. Bovendien is het voor de thuisgebruiker niet altijd duidelijk wat hij moet doen als zo’n tool spyware heeft gedetecteerd. Indien een gebruiker die laat verwijderen, moet het wel mogelijk zijn om dit terug te draaien als blijkt dat hij per ongeluk iets heeft laten verwijderen dat hij toch nodig heeft.
Beste resultaten
Een organisatie is wettelijk verantwoordelijk voor de bescherming van vertrouwelijke gegevens van zijn klanten. Spyware weren is dan ook beter dan genezen. Weren is mogelijk door installatie van freeware en p2p-programma’s door medewerkers te verbieden of onmogelijk te maken. Dit voorkomt echter niet installaties via een pop-up bij surfen op internet. Door sites die spyware installeren af te schermen voor de gebruiker is te voorkomen dat spyware het bedrijfsnetwerk binnenkomt. Ook dit kent beperkingen: ‘zwarte lijsten’ (black lists) zijn altijd onvolledig, want het aantal sites groeit exponentieel en zo’n lijst kan die groei van onbetrouwbare sites nooit helemaal volgen. Gebruik van een pop-up-blokker of een andere browser dan Internet Explorer zijn aanvullende maatregelen om spyware te weren.
Leveranciers van antivirustools combineren hun gereedschap sinds kort met spywaretools. Het gereedschap omvat centraal beheer om alle werkstations te voorzien van de tools met de bijbehorende opwaarderingen. De tools scannen alle werkstations en verwijderen de gedetecteerde spyware automatisch.
Elke maatregel op zich levert zijn bijdrage aan het bestrijden van spyware. Een combinatie van de beschreven maatregelen levert tot nu toe de beste resultaten op.
Chris Reniers
