Spyware

С распространением персональных компьютеров и широкополосного Интернета росли объёмы онлайн-транзакций в сфере электронной коммерции^[3]. Уже в 1994 году появились крупные интернет-ритейлеры, такие как Amazon.com и CDNOW.com^[4]. С усилением конкуренции за потребителя некоторые компании начали использовать сомнительные методы для привлечения клиентов^[5].

Первое задокументированное использование термина spyware относится к 16 октября 1995 года в посте на Usenet, где он высмеивался в связи с бизнес-моделью Microsoft^[6]. Вначале термин относился к программному обеспечению для шпионажа. В начале 2000 года Грегор Фройнд, основатель Zone Labs, использовал его в пресс-релизе для ZoneAlarm Personal Firewall^[7].

В 2000 году Стив Гибсон дал первое техническое описание spyware, обнаружив на своём компьютере ПО, похищающее личную информацию^[8].

Позже в том же году пользователь ZoneAlarm заметил, что обучающая программа для детей Reader Rabbit, распространяемая компанией Mattel, скрытно отправляла данные разработчику^[9]. С этого времени термин «spyware» приобрёл современное значение.

По исследованию 2005 года компанией AOL и Национальным альянсом по кибербезопасности, 61% пользователей имели на своих компьютерах хотя бы один компонент spyware, при этом 92% не знали о его наличии, а 91% не давали согласия на установку^[10]. К 2006 году spyware стал одной из наиболее критичных угроз для компьютеров с Microsoft Windows. Особенно уязвимыми оказались пользователи Internet Explorer, что объяснялось не только популярностью браузера^[11], но и его высокой интеграцией с системой^[11][12].

До выхода Internet Explorer 6 с SP2 (в составе Windows XP Service Pack 2) браузер автоматически предлагал установить любой ActiveX-компонент, что упростило проникновение spyware. Уязвимости в JavaScript, Internet Explorer и Windows также использовались для скрытой установки вредоносного ПО.

Spyware активно использует возможности реестра Windows для закрепления и восстановления своих ссылок, чтобы запускаться при каждой загрузке ОС.

Поиск более эффективной рекламы привёл компании к разработке программ, анализирующих интересы пользователей по их привычкам в интернете — таким образом появился spyware для сбора пользовательской информации. Использование spyware ухудшало производительность и снижало безопасность систем. Собранные данные применялись для создания профилей и показа персонализированных объявлений.

Ключевой проблемой стала недостаточная информированность пользователей о таком мониторинге и невозможность отказаться от него. Размылись границы между spyware и adware — spyware стал как отслеживать действия, так и показывать таргетированную рекламу.

В стремлении к быстрой прибыли некоторые рекламные агентства применяли всё более агрессивные методы. Это создало «серую зону» между добровольно просматриваемой рекламой и навязчивым, вредоносным ПО^[13][14]. Пользователи страдали от сбоев, потери персональных данных и снижения качества работы компьютера^[15]. Противодействие привело к появлению рынка антишпионских программ.

Однако появление антишпионских средств вскоре стало новым полем борьбы — появлялся риск ложноположительных срабатываний и появления поддельных программ-антишпионов, которые сами заражали компьютеры рекламным или шпионским ПО. В отличие от антивирусов, недостаток единого определения spyware снижает точность обнаружения новых угроз.^[16][17][18]

Spyware преимущественно делят на четыре типа: adware, системные мониторы, системы отслеживания (включая веб-трекинг), и трояны; к числу других относятся системы DRM с функцией отправки данных, кейлоггеры, руткиты, веб-маяки. Эти группы могут пересекаться по тактике заражения и функционирования^[19]. Главные задачи spyware — установка на устройство, обход обнаружения, внедрение в сеть и укрытое удаление.

Spyware чаще всего используется для кражи информации и отслеживания активности пользователей, а также для отображения всплывающей рекламы^[20]. Вредоносные экземпляры работают скрытно и зачастую трудно обнаружимы; некоторые, например кейлоггеры, могут устанавливаться намеренно для администрирования корпоративных или публичных устройств.

Функциональность spyware выходит за рамки простого мониторинга: оно может собирать любые данные — от истории просмотров до данных интернет-банкинга, вмешиваться в настройки и работу программы, устанавливать дополнительные модули или перенаправлять трафик^[21]. В ряде случаев spyware распространяется вместе с легальным ПО или через вредоносные веб-сайты.

В немецкоязычной среде шпионское ПО, разработанное или используемое государством, называют govware (нем. Regierungstrojaner). В США в отношении подобного ПО применяется термин «policeware»^[22][23].

Интенсивное внедрение практик отслеживания личных данных крупными сайтами, специализированными компаниями и дата-центрами привело к тому, что сам термин spyware стал использоваться реже.

Программное обеспечение, вторгающееся в частную жизнь — это категория программ, собирающих пользовательские данные и характеристики устройства без явного информирования или согласия. Иногда этот термин употребляется как синоним spyware, хотя сбор данных может вестись как злонамеренно, так и в других целях^[24][25]. Собранная информация нередко используется в коммерческих целях, в том числе передаётся третьим сторонам.

Во всех определениях spyware фигурируют два главных аспекта — наличие согласия пользователя и уровень негативного воздействия на систему. Из-за размытости границ концепции Anti-Spyware Coalition (ASC) рекомендует рассматривать термин spyware на двух уровнях:^[26]

В более широком смысле к spyware относят любые технологии, по ASC — «Spyware и иные потенциально нежелательные технологии», что включает:

1) Существенные изменения пользовательского опыта, конфиденциальности и безопасности; 2) Использование ресурсов системы, в том числе управление установленными программами; 3) Сбор, обработку и распространение личной или чувствительной информации без надлежащего контроля.

Нечто схожее по смыслу отражено в определении организации StopBadware, созданной при участии Гарвардской школы права, Оксфордского университета, Google, Lenovo, Sun Microsystems^[27]. Согласно её критериям:

Из-за субъективности термина пользователи и организации по-разному определяют границы spyware. Появлись смежные понятия: trackware, evilware, badware — для уточнения смысла. Научные работы классифицируют ПО по уровню согласия пользователя и тяжести негативных последствий (от терпимых до тяжёлых):^[28] - ПО с низким согласием либо с тяжёлыми последствиями признаётся вредоносным; - ПО с высоким согласием и незначительными последствиями рассматривается легитимным; - Остальные категории составляют группу spyware.

Spyware распространяется иначе, чем компьютерные вирусы или черви — заражённые системы обычно не пытаются заражать другие машины сами, а установщик применяется для обмана пользователя или использования уязвимостей программного обеспечения.

Чаще всего spyware маскируется под желаемое ПО или попадает в систему через эксплойты в браузерах (особенно Internet Explorer), которые интегрированы с операционной системой и позволяют внедрять вредоносные модули (например, в виде BHO).

Spyware редко действует в одиночестве — обычно заражённая машина содержит несколько подобных программ. Симптомы — снижение производительности, увеличение загрузки CPU, диска и сети, нестабильность, невозможность подключения к Интернету, сбои приложений. Иногда пользователи связывают эти явления с аппаратными проблемами или винят другие вредоносные программы.

Некоторые типы spyware отключают фаерволы или антивирусы, снижают безопасность браузеров, что повышает уязвимость системы. Нередко spyware удаляет конкурирующие вредоносные программы^[29]. Кейлоггеры в составе spyware могут захватывать не только нажатия клавиш, но и снимки экрана.

Ввиду широких прав пользователя Windows любое запущенное приложение получает практически полный доступ к системе. С внедрением User Account Control в Windows Vista по умолчанию все программы запускаются с ограниченными правами, а повышение привилегий возможно только с подтверждением пользователя.

С развитием угроз появились методы их противодействия — специализированные программы для удаления или профилактики spyware, а также рекомендации по безопасному поведению за компьютером.

В запущенных случаях требуется сохранение всех данных и полная переустановка операционной системы, поскольку отдельные spyware невосприимчивы к стандартным средствам удаления даже ведущих компаний.

Выпускается множество утилит для удаления spyware, наиболее известные: Spyware Doctor (PC Tools), Ad-Aware SE, Spybot - Search & Destroy, Windows Defender (ранее GIANT AntiSpyware), а также антивирусы с расширенными функциями компаний Symantec, PC Tools, McAfee, Sophos^[30][31][32].

Некоторые коммерческие и бесплатные продукты (FlexiSPY, Mobilespy, mSPY, TheWiSPY, UMobix) специализируются на обнаружении spyware на мобильных устройствах^[33].

Anti-spyware может действовать в режиме реального времени, блокируя угрозы во время работы, либо обнаруживать и удалять spyware по требованию пользователя или расписанию. Методы аналогичны антивирусам — проверка файлов, реестра, памяти на наличие известных подпунктов spyware.

Ряд программ (например, HijackThis) позволяет экспертам вручную находить и удалять трудноискоренимые угрозы.

Дополнительно пользователи переходят на альтернативные браузеры (Mozilla Firefox, Google Chrome) и устанавливают локальные или сетевые фаерволы, блокирующие известные источники заражения^[34][35]. В образовательных учреждениях нередко используются прокси и блокировка сайтов, распространяющих spyware^[36]. Программы из сомнительных источников, свободный софт с неизвестной репутацией — частая причина заражения.

Дополнительную защиту предоставляют устройства с физическим выключателем микрофона или камеры.

Отдельные spyware-программы переназначают реферальные теги в партнёрских сетях, присваивая вознаграждения не легальному участнику, а автору spyware (см. en:Stealware). Это приводит к потерям как у пользователей, так и у рекламодателей^[37]. На мобильных устройствах применяется схожая схема — chargeware.

Spyware тесно связано с кражей личных данных.^[38][39][40] Среди крупнейших потерь такие случаи расследует ФБР, а в США общие убытки оцениваются в миллиарды долларов^[41].

Некоторые средства DRM используют шпионские технологии (например, Sony BMG в 2005 году^[42]), которые сложно удалить и которые приводят к отказу системы^[43].

Stalkerware — разновидность spyware, используемая для скрытого наблюдения за партнёрами и членами семьи (например, Loverspy). Подобное ПО может быть запрещено законом^[44].

Многие anti-spyware-инструменты считают рекламные cookies spyware, хотя те не всегда опасны; однако значительная часть пользователей возражает против отслеживания их активности третьими лицами^[45].

Shameware или ПО этического/accountability-контроля — разновидность spyware, о присутствии которой пользователь осведомлен, но ему навязывается контроль третьих лиц (родители, религиозные организации и т. д.), например для слежения за просмотром определённого контента^[46].

К числу известных производителей spyware относятся NSO Group, продававшая программное обеспечение правительствам для слежки за журналистами и правозащитниками в 2010-х.^[47][48][49]

Несанкционированный доступ на компьютер (включая через spyware) преследуется по законам о киберпреступлениях: действуют US Computer Fraud and Abuse Act, британский Computer Misuse Act и аналоги в других странах. Однако на практике обвинения получают немногие разработчики spyware, многие действуют формально легально^[50][51].

Некоторые штаты США ввели собственные законы, напрямую запрещающие устанавливать spyware для изменения настроек браузера, перехвата клавиатурных вводов и отключения защиты^[52][53]. На федеральном уровне обсуждался законопроект Internet Spyware Prevention Act^[54].

На международном уровне с 2024 года действует Pall Mall Process — дипломатическая инициатива по ограничению распространения коммерческих инструментов цифрового вторжения^[55].

В отдельных странах административные органы (например, Independent Authority of Posts and Telecommunications Нидерландов) накладывали значительные штрафы за массовое распространение spyware^[56].

Органы прокуратуры штата Нью-Йорк в 2005 году добились выплаты 7,5 млн долларов от Intermix Media, Inc. — за распространение spyware^[57].

Юридически не решён вопрос о вине компаний-рекламодателей, чья реклама появляется через spyware — часто цепочка построена с участием множества подрядчиков^[58].

Определая продукцию как spyware, антивирусные компании обычно избегают прямых формулировок из-за риска судебных исков (например, Gator/Claria против PC Pitstop в 2003 году^[59][60]). В отрасли неолюбимые программы стали называть «серым ПО» (greyware, PUP — potentially unwanted programs).

В деле Robbins v. Lower Merion School District (2010, США) было раскрыто, что две школы в Пенсильвании без ведома и согласия учеников организовали удалённый доступ к веб-камерам на домашних ноутбуках с помощью программного обеспечения Lanrev TheftTrack^[61][62]. Официальное расследование подтвердило: было сделано свыше 66 тыс. снимков со студенческих ноутбуков.