Gość, którego trudno wyprosić, czyli bonus do nielegalnego oprogramowania
Ponieważ na co dzień nie mam styczności z osobami korzystającymi z pirackiego oprogramowania, musiałem w celu napisania ten artykułu na nowo zorientować się w temacie. To, czego się dowiedziałem, zjeżyło mi włosy na głowie. Wygląda na to, że trudno dziś o uczciwego pirata!
Wnioski, jakie nasuwają się po przeczytaniu dziesiątek raportów na temat bezpieczeństwa i pirackiego oprogramowania, są jednoznaczne. Czasy bezinteresownych piratów skończyły się. Znana z przełomu wieków tzw. piracka scena, złożona z crackerów, dystrybutorów i innych “specjalistów” miała swój urok. Do ściąganych z Usenetu czy specjalnych kanałów na IRC programów dołączane były urocze pliki readme (nfo), pełne ascii artów i pozdrowień dla zaprzyjaźnionych “grup”. Ha, przed czasami Usenetu były przecież czasy dystrybucji przez BBS - ale to już przed moimi czasami i zapewne przed czasami większości czytelników.
Te czasy już nie wrócą - miejsce pirata - Robina Hooda, który dbał o to aby każdy miał dostęp do potrzebnej aplikacji, zajął biznesmen. Do tego biznesmen często należący do rosyjskiej lub chińskiej mafii. A z takimi lepiej nie robić interesów.
Wspomnień czar.
A było tak pięknie. Wspomniane pliki .NFO podawały interesujące szczegóły o towarzyszących tym współczesnym kowbojom motywacji i ideologii. Np. grupa SKIDROW pisała:
Z kolei legendarny MYTH pisał w swoim NFO:
Ten romantyczny etap rozwoju sceny pirackiej jest już za nami. Teraz istnieje jedynie coś, co próbuje ją przypominać - w rzeczywistości zaś nastawione jest już na zysk. Do tego zysk zdobyty naszym kosztem. W grę wchodzą straty o wiele większe niż to, co potencjalnie zaoszczędziliśmy nie płacąc za grę lub program.
Ale zaraz, skąd zysk, skoro dostaję mój program lub grę za darmo? No cóż, żyjemy w czasach, kiedy gdy dostajemy coś za darmo, to sami jesteśmy towarem. W tym przypadku możemy za “darmowy” program nieświadomie sprzedać swoją prywatność, swoje dane, a nawet poświęcić działanie swojego komputera. Po prostu, ściągając popularny program lub grę dostajemy coś jeszcze - zazwyczaj programik nazywany spyware.
Niechciany gość na naszym komputerze.
Spyware to programy, które służą do śledzenia działań użytkownika, często bez jego wiedzy. Zdarzają się jednak Spyware, które otwarcie informują o swoich działaniach - w licencji, której nikt nie czyta. Jednak taka sytuacja dotyczy oprogramowania instalowanego legalnie. W przypadku “nielegali” sprawa ma się inaczej - dostajemy szpiega i nie mamy nic do gadania. Ukrywa się on dobrze przed naszymi oczami, a jego zadanie, które ma wykonać na naszym komputerze, może być różne.
Początkowo myślałem, że to tylko takie straszenie, propagowane przez firmy software’owe. Na pewno nie może być aż tak źle! Przyjrzałem się więc niezależnym raportom przygotowanym przez firmy zajmujące się audytem bezpieczeństwa.
Zajmująca się badaniem rynku IT firma IDC (The International Data Corporation), przeprowadziła badanie programów ściąganych nielegalnie. Pod uwagę brano m.in. klasyczne spyware, szpiegujące użytkownika, malware, keyloggery, programy instalujące backdoory (tylne furtki do naszego komputera) etc. Wyniki mówią same za siebie.
Najczęstszą metodą stosowaną przez piratów jest zainfekowanie pliku wykonywalnego ściąganego programu lub jego programu instalacyjnego. Pozornie wszystko wygląda bez zastrzeżeń - program się instaluje - jednak zostawia po sobie coś więcej, coś co nie będzie już tak łatwo usunąć.
Spyware to gość, którego czasem trudno wyprosić…
Nieusuwalność takiego złośliwego oprogramowania jest wręcz legendarna. Programy te udają serwisy systemowe, potrafią ukryć się przed pokazaniem na liście aktywnych procesów i nie dają się usunąć. Co ciekawe, czasami aktywnie zapobiegają zainstalowaniu programów antywirusowych i czyszczących złośliwe oprogramowanie.
Dlatego właśnie usunięcie niechcianego gościa z naszego komputera nie jest takie proste. Jeśli program szpiegujący znajdzie się już w systemie, podejmuje aktywne próby obrony przed deinstalacją. Często składają się one z dwóch, pracujących w parach procesów: gdy jeden z nich jest zatrzymywany przez program antywirusowy (lub użytkownika) drugi uruchamia go z powrotem.
Niektóre z nich nawet obserwują zmiany w rejestrze systemu dokonane przez program antywirusowy i automatycznie dodają z powrotem usunięte klucze. Pod tym względem pomysłowość twórców spyware’u nie ma granic. Często nie pozostaje nic innego jak przeinstalowanie całego systemu operacyjnego co jest jednym z wymienionych powyżej kosztów.
Należy też pamiętać, że zainstalowane w ten sposób oprogramowanie lub system operacyjny nie posiada wsparcia producenta, i często nie uzyskuje automatycznych aktualizacji z internetu.
Kolejne dane zebrane przez IDC również zastanawiają: jedynie przez odwiedzanie stron zajmujących się dystrybucją pirackiego oprogramowania narażamy się na instalację śledzących cookies oraz programów szpiegujących na 75% z nich, oraz na instalację trojanów i złośliwego oprogramowania na kolejnych 14% z takich stron. Strony te oferują często pomoc w uzyskaniu oprogramowania („ściągnij Office za darmo”) przez co użytkownik zgadza się na uruchomienie pliku wykonywalnego.
W oprogramowaniu dystrybuowanym przez strony zajmujące się dystrybucją pirackich wersji oprogramowania (głównie za pomocą P2P), spyware znajduje się aż w 78% przypadków, złośliwe oprogramowanie lub trojany w aż 36%, w tym takie, które powodują problemy z wydajnością i działaniem systemu w 28% przypadków.
Oczywiście, działający na naszym komputerze aktualny program antywirusowy lub wbudowany w system Windows Defender może zmniejszyć ryzyko instalacji niechcianych programów. Nie zawsze jednak się to udaje, a badania dowodzą, że specyficzna kultura techniczna użytkowników pirackiego oprogramowania często powoduje, że brak w ich systemach zainstalowanego antywirusa.
Co konkretnie znalazła firma IDC w ściągniętym oprogramowaniu. Kilka ciekawych przypadków to:
- Win32.GenericBT - instaluje proces, dający atakującemu zdalny dostęp do naszego komputera
- Bprotector - zmienia ustawienia systemu w taki sposób, aby trudno było go usunąć. Następnie „otwiera drzwi” na instalację dowolnego programu szpiegującego przez przekazanie zdalnego dostępu atakującemu.
- iBryte - przechwytuje zachowanie przeglądarki internetowej, śledząc działania użytkownika w internecie i przekazując szczegóły (hasła, dane osobiste) atakującemu.
Od dziś twój komputer zajmuje się… cudzymi sprawami.
W trakcie badań (IDC instalowało ściągnięte oprogramowanie na wirtualnych maszynach) zaobserwowano również w ponad 50% spowolnienie systemu do tego stopnia, że był on nieużywalny - między innymi właśnie przez to że jego procesor zajmował się rzeczami „nakazanymi” przez twórcę złośliwego oprogramowania.
Po przejęciu przez atakującego zainfekowany komputer zaczyna być „komputerem do wynajęcia” i może być używany np. w botnecie zajmującym się atakami DDOS. Może też służyć do wykradania danych innych użytkowników oraz być używany jako potencjalne źródło infekcji kolejnych komputerów.
Wszystko to może narazić nas na dodatkowe problemy prawne - bo adres IP naszego komputera będzie pojawiał się w logach z różnego rodzaju ataków oraz będzie wykorzystywany do dystrybucji złośliwego oprogramowania kolejnym ofiarom. Wszystko to w sumie może spowodować większą stratę, niż potencjalna cena „zaoszczędzona” na instalacji oprogramowania z nielegalnego źródła.
Mam wrażenie, że piracka dystrybucja komercyjnego oprogramowania to dziś duży, nielegalny biznes, w którym wcale nie chodzi o dostarczenie „oszczędnemu” użytkownikowi darmowego Office’a czy Windows, ale tak naprawdę to zasoby tego użytkownika są w nim kartą przetargową. Nie mam zamiaru moralizować, ale warto po prostu o tym pamiętać - jak się okazuje, nie ma nic za darmo, a podejmowane ryzyko wynikające z uruchomienia pirackiego programu może być ogromne.
