Megtanultuk a leckét: programot csak hivatalos forrásból töltünk le, lehetőleg a közismert szoftverek kínálatából szemezgetve, és még véletlenül sem tévedünk a vírusterjesztők által is kedvelt torrentoldalakra. Világos és könnyen betartható regulák voltak ezek, tudtuk, hol van a legalitás és az illegalitás határa, ám sajnos a paradicsomi állapotoknak vége. A régi szabályok napjainkban már nem érvényesek, egy gyártó által előtelepített szoftver is kémkedhet utánunk, illetve akár kedvenc vírusvédelmünk is ellenünk fordulhat, sőt néhány segédprogram telepítésével Windows rendszerünket is könnyedén megbéníthatjuk, ha figyelmetlenek vagyunk.
Te vagy a termék
Talán egy szükségszerű evolúciónak isszuk meg most a levét. A szoftverkalózok által nyomorgatott fejlesztők maguk is átálltak a sötét oldalra, azzal a tudattal nyugtatva magukat, hogy az éppen csak szürke. A problémát az okozza, hogy a fizetős programokból csak nagyon kevesen tudtak megélni. A többiek lelkesedésből sokáig rohantak előre, javították, frissítették szoftvereiket, ám az ingyenes programokat letöltőkből csak nem akartak fizetős kuncsaftok válni, és az adományok sem csordogáltak. Képzeljük magunkat e programozók helyébe. Értékeset alkotnak, mégsem honorálja senki, családjuknak pedig a nélkülözés marad. Az ismeretlen, rámenős ügynökök szinte megmentőként érkezhetnek egy ilyen szituációban; ők tudják, hogy ha egy program ingyenes, akkor valójában a termék a felhasználó, őt fogják értékesíteni.
Letöltés: te hova kattintanál?
Minél népszerűbb egy program, annál értékesebb, hiszen több ember áll mögötte. A top programok emiatt a felvásárlások célkeresztjében állnak. Ha van egy rosszindulatú csoport, kellően sok pénzzel, akkor a legártalmatlanabb segédprogramot/böngészőbeépülőt is felvásárolhatják, hogy utána adware, sypware kártevőket építsenek bele, illetve telepakolják mindenféle böngészőeszköztárral, kiegészítő programmal, netán még a kezdőoldalt és az alapértelmezett keresőt is átállítsák. Volt már példa ilyen megállapodásokra, ám szerencsénkre ritkák az ilyen esetek. Sokkal gyakoribb, hogy Skype-on kopogtató ügynökök beszélik rá a fejlesztőket az egyedi termékkapcsolásra: „Ha beveszed a telepítőbe az eszköztáramat, akkor minden egyes letöltés után kapsz egy dollárt.” Mivel az emberek jelentős hányada a telepítési procedúra során gondolkodás nélkül nyomkodja a tovább, tovább, tovább gombot, nem meglepő, hogy sok szoftvertulajdonos igent mond a csábító kísértésre. Nem csak a kicsik. A Java Ask Toolbarja bizonyára mindenkinek ismerős, mint ahogy az Adobe is rendre telepíteni akarja a McAfee vírusvédelmét gépünkre a Flash frissítéseinél.
PUP-ok támadása
Mielőtt továbblépnénk, fontos tisztázni, hogy nem minden freeware, azaz ingyenes program rossz és káros, sőt a legtöbbjük teljesen ártalmatlan, ám az elmúlt években meredeken elkezdett emelkedni az úgynevezett PUP (Potentially Unwanted Program), szabad fordításban potenciálisan kéretlen programok részaránya. A Panda Security tavalyi, második negyedéves jelentésében külön felhívta a figyelmet ezen alkalmazások felvirágzására, amelyek az összes riasztási eset 24,77 százalékát adták ki: „az elmúlt hónapokban jelentősen megnövekedett azon szoftverpárosítások száma, amelyek keretén belül PUP-ok kerülhetnek a felhasználó gépére – annak tudta nélkül – az óhajtott programmal együtt.” A Lenovo múlt hónapban kirobbant Superfish botránya is jelzi, hogy komolyan kell vennünk az új fenyegetéseket, amiket nem a víruskészítők, online bűnözők, hanem az elviekben tisztességes OEM-gyártók, fejlesztők telepítenek a gépeinkre. A PUP-ok legtöbbször nem veszélyesek, csak idegesítőek, ráadásul gyakran nehéz eltávolítani őket, és még a gépünket is lelassítják, instabillá teszik. Agresszívan próbálnak a gépünkre kerülni, hogy aztán rajtunk élősködjenek. A legtöbb esetben a böngészőt módosítják, hogy azon keresztül hirdetéseket jelenítsenek meg számunkra, vagy más okból akarnak minket eltéríteni. Eközben egyiküknek sincs kézzel fogható előnye, jelenlétükből mi semmit sem tudunk profitálni.
Míg a kártevők terjesztése illegális, a potenciálisan kéretlen programok használatára még nem létezik szabályozás, pedig szükséges volna. Pikáns módon még a vírusvédelmi cégek is részt vesznek a PUP üzletben, azok, akiknek egyébként üldözniük kellene a hasonló megoldásokat. Ingyenes szoftvereiket ugyanis gyakran kéretlen potyautasokkal szerelik fel, ami pénzügyi szempontból érthető, hiszen a letöltésenként begyűjtött egy-két dollár sokat számít, mikor e védelmi szoftvereket hetente több millióan letöltik. Az eljárás etikailag nem indokolható, a programoknak ugyanis saját PUP-os telepítőjüket kellene irtaniuk. A szégyenlistában ott találjuk a Google Chrome böngészőt, valamint a Google Toolbart telepítő Avast programot, a böngészőket Yahoo-ra áthangoló Comodo és Panda szoftvereket, a WebCompanion programot és a Binget erőltető AdAware-t, valamint a Dropboxszal és az átbrandelt Ask kezdőoldallal érkező Avira és ZoneAlarm ingyenes verzióját. Remélhetőleg csak letöltésenként kapnak pénzt, vagy esetleg a böngésző forgalomterelése után jár nekik jutalék; nagy botrány kerekedne abból, ha kiderülne, hogy a kéretlen megoldások telepítésével megfigyelik, terelik a felhasználóikat. A PUP-ok ugyanis erre is képesek.
Gondolkodás nélkül
Az ingyenes vírusvédelmek telepítésénél érdemes tehát résen lenni. Ne akarjunk sebességrekordot felállítani a továbbgomb nyomogatásával, alaposan olvassunk végig minden egyes sort, ahol a jóváhagyásunkat kérik. A potenciálisan kéretlen potyautasokat jobbára a jóváhagyásunkkal helyezik el gépünkön, arra alapoznak, hogy nem figyelünk oda, kapkodunk. Járjunk túl az eszükön, és legyünk figyelmesek. Külföldi oldalakon járva ez hatványozottan igaz. Év elején nagy felháborodást keltett a HowtoGeek újságírójának esete, akinek gépe szinte használhatatlanná vált, miután kíváncsiságból telepítette gépére a Download.com letöltőoldal tíz legnépszerűbb alkalmazását. Mint kiderült, gépének esélye sem volt a tisztán maradásra, az Emsisoft vizsgálata alapján ugyanis kiderült, hogy ha a top 10 leggyakrabban letöltött alkalmazást vesszük, akkor a szolgáltatónál 100 százalékos a PUP potyautassal felszerelt szoftverek aránya. A többi oldal sem vizsgázott sokkal jobban: a Tucowsnál 10-ből 9 program bukott meg a teszten, illetve a Softsonic, Software Informer, Filehorse, Snapfiles, Soft32, de még a rangos Softpedia oldalán is legalább három gyanús programot találtak.
Példájukat látva úgy döntöttünk, hogy mi is megismételjük a kísérletet. Vettünk egy virtuális gépet, azon belül is egy Windows 10 operációs rendszert, majd az alapértelmezett böngésző (Internet Explorer) keresőjébe (Bing) beírtuk a „szoftverletöltés” kifejezést, és elkezdtük a felbukkanó oldalakról telepíteni a programokat. A szabály egyszerű volt: mindent engedélyeztünk, és mindent alapbeállításon hagytunk. Elsőként érkezett meg szűz rendszerünkre a Flash Player a McAfee védelmével, amit az Avast ingyenes védelme követett. Habár csak a második program volt, szinte azonnal elvesztettük az Internet Explorert. Megkaptuk helyette a Google Chrome-ot, ami rögtön elsődlegesként definiálta magát – természetesen jóváhagyásunkkal, illetve jött az Avast és a Google eszköztára is, amelyek együttesen jelentős mértékben lassították a Microsoft böngészőjét. Ezután a WinRar oldalához navigáltunk, ahol próbáltuk elkerülni a szponzorált hirdetéseket, majd jött a µTorrent, ami elsőként kedvesen felhívta figyelmünket, hogy még véletlenül se töltsük le illetéktelen forrásból a programjukat, majd szinte azonnal két remek ajánlattal lepett meg bennünket telepítője: egy zenei albummal és a Skype csevegővel. Tényleg kár lett volna kihagyni azokat!
Ezt követően felgyorsultak az események. A RealPlayerrel elsődleges keresőszolgáltatónk az Ask.com lett, a K-Lite Media Codec Pack pedig elhozta az első kártevőgyanús csomagot, majd a PDFCreator Yahoo-ra állította át rendszerünket, és egy alig ismert (kamu?) Ad-Aware védelemmel egészítette ki azt. Ám pünkösdi királyság jutott a Yahoo-nak, mivel a Java telepítője visszahozta az Ask.com elsőségét. A Daemon Tools Lite telepítését követően viszont újra yahoo-zni kezdtünk, ám ennél nagyobb gond, hogy az agresszív Spigot hirdetéskiszolgáló rendszer, valamint a Pro PC Cleaner is a gépünkre került, pedig a telepítővarázsló szerint mindkettő remek ajánlat volt. Először utóbbi okozott nekünk nagyobb fejfájást, mivel szinte azonnal elkezdte átvizsgálni gépünket, majd 323 hibát találva fizetős javítást kínált fel. Mi itt abbahagytuk a tesztelést, közel 30 program telepítését követően elértük célunkat: használhatatlanul lassúvá tettünk egy újonnan telepített rendszert, mindössze pár óra leforgása alatt.
Keresők csatája?
A tanulság nagyon egyszerűen megfogalmazható: mindig legyünk résen, és ne bízzunk egyetlen fejlesztőben sem. A potenciálisan kéretlen alkalmazások 95 százaléka ugyanis egyszerűen elkerülhető, csak ne engedjük meg telepítésüket. Legyünk erősek, a „kihagyhatatlan, speciális ajánlatnak”, a „csak most ingyenes” programnak ellen kell állni, ne hozzunk impulzusdöntéseket; ha nem kerestünk rendszertakarítót, akkor miért tennénk fel belőle egy ismeretlent? Emellett mindig figyelmesen nézzük meg, hogy milyen hivatkozásra kattintunk. A letöltőoldalakon ugyanis a tényleg hasznos linkek mellett egyre gyakrabban jelennek meg nagy zöld letöltésgombok. Ezek vonzzák a szemünket; ha nem vagyunk óvatosak, szinte 100 százalék, hogy rájuk kattintunk, ami később vagy egy PUP-ot próbál majd ránk tukmálni, vagy rosszabb esetben egy másik szoftver letöltőoldalára visz minket.
Explorer: a Google Toolbar nem kedveli a Microsoft böngészőjét
Egyértelművé vált az is, hogy kik azok, akik a potenciálisan kéretlen alkalmazások terjesztéséért a legnagyobb pénzeket fizetik ki. Az Ask.com és a Yahoo szinte egymásra licitál az alapértelmezett keresőszolgáltatás címért, ám mellettük itt-ott a Google is felbukkan böngészőjével és eszköztárával, míg a Microsoft érezhetően a Skype-ot szeretné minél több gépen elhelyezni. Elképzelhető, hogy mindegyiküknek megtérül a beruházás: a keresőszolgáltatók a több hirdetés megjelenítésével több bevételhez juthatnak, míg a redmondiak vélhetően a fizetős VoIP hanghívások felfutására játszanak. Álláspontjuk védhető lehet üzleti értelemben, végső soron a Firefox is évekig egy integrált Google-kereső PUP-pal érkezett.
Potenciálisan szemtelenek
Vannak azonban olyan visszatérő programok, amiket már nehéz ártalmatlannak nevezni. Vegyük elsőként a Spigot eszköztárat, ami önmagában semmi károsat nem csinál, csak folyamatosan átirányítja felhasználóját, illetve ajánlatokkal bombázza a gép előtt ülőket. Tipikusan olyan megoldás, amit magunktól biztosan nem telepítenénk, hiszen semmi előnyünk nem származhat belőle; ám ez nem zavarja a céget, hiszen átvert netezői 125 millió keresést indítanak havonta, ráadásul az installációs bázis 20 millió fővel nő minden hónapban a spigot.com oldal beszámolója szerint. A tisztességtelenek táborát erősíti ezen felül a rendre felbukkanó Pro PC Cleaner hamis rendszertakarító, ami direkt hibát jelez, hogy rávegyen minket fizetős kiadásának megvételére. A MyPC Backup szintén a pénzünkre hajt, hiszen hamar kiderült, hogy a felhőbe mentés csak egy bizonyos adatmennyiségig ingyenes. Ha ez után nemet mondunk neki, később folyamatosan felugró ablakokkal figyelmeztet „vétkünkre”.
Habár idegesítő potyautasokról van szó, legalább láthatók. Előfordulnak azonban olyan esetek, amikor egy népszerű programba építenek be kéretlen alkalmazást. A uTorrent ennek iskolapéldája, aminek kapcsán a G Data már tavaly figyelmeztetést adott ki. A P2P programba ugyanis készítői beépítettek egy OpenCandy hirdetési rendszert, amely letilthatatlan, és így folyamatosan hirdetésekkel bombázza a torrentezőket. Idén ráadásul még tovább mentek, hiszen a kliens legújabb verzióiban már egy EpicScale nevű bitcoinbányász szoftver is megjelent. A crapware jelenléte igen kellemetlen, hiszen nem elég, hogy a felhasználó szempontjából feleslegesen terheli le a gép erőforrásait, még eltávolítása sem egyszerű.
Superfish és társai
A Superfish is a makacs kártevők közé tartozik, hiszen semlegesítéséhez a Windows tanúsítványkezelőjében kell elmerülnünk. Egy igazi nagyhalról van szó, ami ugyan PUP programnak indult, de egyértelműen kártékony adware-szoftver vált belőle, amit a Lenovo együtt értékesített gépeivel. A megoldás igazán trükkös, hiszen egy rootszintű tanúsítványt helyez el a rendszerben, amellyel utána a böngészőben saját hirdetéseit tudja megjeleníteni, azaz édesmindegy, hogy egy oldalon ki hirdet, a Superfish készítője mondhatja meg, hogy felhasználói milyen reklámokat láthatnak. Ez is elég nagy gond, ám veszélyesebb, hogy a hamis HTTPS tanúsítvánnyal kiiktatja a Windows egyik fontos védelmi vonalát, így azt men-in-the-middle támadásokkal könnyen kihasználhatják a hackerek. Sajnos nem a Superfish az egyetlen olyan, HTTPS tanúsítványokat manipuláló adware, amely PUP-ok útján terjed, és amelynek célja a gépeken megjelenő hirdetések teljes kontrollálása. A Wajam, a Geniusbox, a Content Explorer, a Sendori, a Purelead, a Rocket Tab, a Lookthisup, a Pando, a System Alerts, az Umbrella Cert és a PivDog pontosan ugyanígy működik.
Tanúsítványok: az „mmc” elindításával elcsíphetjük a Superfisht
A PivDog jelenléte különösen pikáns, hiszen a nehezen eltávolítható modult az SSL tanúsítványairól és tűzfalairól híres Comodo sokáig terjesztette ingyenes programjai mellé adott – nem választható – ajánlatként. Habár a beszámolók szerint a HTTPS-eltérítést lehetővé tévő rés csak később került be a szoftverbe, már önmagában is elgondolkodtató, hogy egy biztonsági cég miért kínál olyan PUP-ot a programja mellé, ami megpróbálja erőszakosan átalakítani a böngészőben megjelenő oldalakat, hogy a saját hirdetéseit helyezze el ott. Természetesen a PivDog oldalán próbálnak meggyőzni minket, hogy ez nekünk jó, hiszen így csak megbízható hirdetéseket láthatunk, ám a marketingszöveg mögött valójában kapzsiság húzódik meg. Nem kell biztonsági szakembernek lennünk ahhoz, hogy belássuk, bűzlik az érvelésük.
Így védekezz!
A legfontosabb szabály, hogy mindig legyünk bizalmatlanok. Még bennünk sem érdemes megbízni. Egy, a lapzártánk előtt még teljesen tiszta, rosszindulattól mentes programot is megronthatnak addigra, mire magazinunk az utcára kerül. Ha gyanúsnak ítélünk egy programot, a legjobb, ha feltöltjük annak telepítőjét a Virustotal oldalára, de még pozitív válasz esetén se rohanjunk végig a telepítésen, olvassunk el minden, hozzánk intézett kérdést alaposan. Figyeljünk arra, hogy mit töltünk le, a programok frissítését pedig bízzuk a Ninite-re. Ha azt gyanítjuk, hogy egy Superfish-klón a mi gépünket is elérte, akkor menjünk el kivizsgálásra a filippo.io/Badfish oldalra. Amennyiben ezeket a szabályokat betartjuk, rendszerünkre hosszú, PUP-mentes élet vár.
(Nyitókép: afu007)
