You are here: TUTWiki>Tietoturva/Tutkielmat>TyoLuettelo?>2008-10

Mikko Juhani Tuomela

Vakoiluohjelmien poistajat

1. Johdanto

Internetin yleistyttyä myös erilaiset haittaohjelmat ovat tulleet tutuiksi tietokoneiden käyttäjille. Haittaohjelmista virukset, madot ja troijalaiset lienevät tutuimmat sillä niiden aiheuttavat vahingot ovat näkyvimpiä. Vakoiluohjelmat ovat kuitenkin erittäin ikäviä ja aiheuttavat kasvavin määrin kuluja yrityksille (Market Wire 2005). Vakoiluohjelmien poistajien markkinoiden uskotaankin edelleen jatkavan vahvaa kasvuaan lähivuosina. Tämän työn tarkoituksena on perehtyä vakoiluohjelmiin ja ilmaisiin vakoiluohjelmin poistajiin. Käytän työssäni termiä vakoiluohjelma varsin laajasti, mutta kannattaa huomioida, että vakoiluohjelmien poistajat löytävät myös muita haittaohjelmia.

Ensimmäiseksi selvitän mitä ovat vakoiluohjelmat ja miten ne toimivat, jonka jälkeen selvitän minkälaisia vakoiluohjelmien poistajia on tarjolla. Seuraavaksi suoritan käytännön testin muutamalla ilmaisella vakoiluohjelmien poistajalla. Työni tarkoituksena ei ole arvostella yksittäisiä ohjelmia vaan pikemminkin ottaa selvää miten paljon samankaltaisten ohjelmien tulokset poikkeavat toisistaan ja pystyykö muutamalla ilmaisella ohjelmalla pääsemään eroon vakoiluohjelmista kohtalaisella tasolla. Ilmaiset vakoiluohjelmien poistajat - Onko niistä oikeasti hyötyä?

2. Vakoiluohjelmat

Vakoiluohjelmalla eli englanniksi spywarella, tarkoitetaan ohjelmia, jotka keräävät tietoa tietokoneen käyttäjästä ja käyttötavoista, sekä ohjelmaa suorittavasta tietokoneesta. Näin tapahtuu usein käyttäjän tietämättä. Vakoiluohjelmat voivat kerätä henkilökohtaista dataa käyttäjän internet tottumuksista ja vierailluista sivustoista, mutta saattavat häiritä käyttäjää myös muilla tavoin kuten asentamalla ylimääräisiä ohjelmistoja tai ohjaamalla internet selaimesi ei halutuille sivuille. Vakoiluohjelmat voivat myös muuttaa tietokoneen asetuksia haitallisin seurauksin, hidastaen tietokoneen toimintaa tai aiheuttaen tietokoneen kaatumisen (KT/tietohallinto 2004)).

2.1 Tarttuminen ja ilmeneminen

Vakoiluohjelmat eivät leviä virusten tavoin vaan ne tarttuvat huijaamalla käyttäjää tai käyttäen hyväksi ohjelmistojen heikkouksia. Tapoja on useita ja ohjelmat saattavat asentua käyttäjän koneella täysin huomiotta. Alla on esitelty kaksi yleistä tapaa.

Yksi tapa on asentua käyttäjän koneelle, jonkin käyttäjän haluaman ohjelmiston kylkiäisenä. Tämä on yleistä etenkin erilaisten tiedostojen-jako ohjelmien kanssa, kuten Kazaan. Käyttäjä hyväksyy vakoiluohjelman hyväksymällä asennettavan ohjelman lisenssiehdot (Microsoft 2008). Toinen tapa on internet-selaimen haavoittuvuuden hyväksikäyttö. Käyttäjä ajautuu sivulle, joka huijaa käyttäjän asentamaan koneelleensa ei-halutun ohjelman. Esimerkiksi kyseessä voi olla popup-ikkuna, joka näyttää tietokoneen virhe-ilmoitukselta, jota klikkaamalla vakoiluohjelma pääsee asentumaan koneelle. Ohjelmisto saattaa myös asentua käyttäjän koneelle ilman, että käyttäjä havaitsee yhtään mitään.

Vakoiluohjelma voi ilmentä käyttäjälle monella tapaa. Riippuen käyttäjän tietokoneesta ja tarkkaavaisuudesta on myös mahdollista, että käyttäjä ei havaitse tavallisesta poikkeaavaa käytöstä. Jos huomaat koneessasi verkkoliikenteen hidastumista, selaimesi aloitussivu vaihtuu itestään, klikkaat linkkiä, mutta ajaudut ihan väärälle sivulle, pop-up ikkunoita ilmestyy tavanomaista useammin niin luultavasti koneessasi on vakoiluohjelma. Tutkimusten mukaan yhdeksän tietokonetta kymmenestä on vakoiluohjelman saastuttama, joten tilastojen puitteissa on todennäköistä, että näin on myös sinun koneesi kohdalla (Webroot 2004-2008). Jos kuitenkin olet Linux- tai Mac-käyttäjä, koneesi saastuminen ei ole yhtä todennäköistä. Valtaosa haittaohjelmista on ainoastaan Windows-käyttäjien ongelma, vaikka eivät muutkaan käyttöjärjestelmät niiltä täysin turvassa ole.

3. Vakoiluohjelmien poistajat

Vuosien varrella olen aina käyttänyt yhtä samaa vakoiluohjelmien poistajaa, jota kaverini aikoinaan suositteli, Lavasoftin Ad-awarea. Ohjelma on keskimäärin suoriutunut hyvin ja olen päässyt eroon minua näkyvästi haitanneista tiedostoista ja ohjelmista. Yksi syy miksi valitsin tämän aiheen oli halu saada tietää, että miten tehokkaasti käyttämäni ohjelma on todellisuudessa suoriutunut. Kenties olisi ollut parempi käyttää, jotain maksullista ohjelmaa? Eihän kukaan maksaisi ohjelmistosta, jos saatavilla olisi yhtä hyvä ilmaiseksi.

3.1 Vakoiluohjelmien poistajien tarjonta ja ominaisuudet

Vakoiluohjelmien poistajien tarjonta on laaja ja vuonna 2004 erään lähteen mukaan niitä oli yli 150 (E. Howes 2006). Määrä lienee entistäkin suurempi tänä päivänä. Osa ohjelmistoista ovat ilmaisia ja osa maksullisia. Alunperin suuret tietoturvayhtiöt, kuten Symantec ja McAfee, pysyivät erossa vakoiluohjelmien poistajista, mutta ne ovat nykyään lisänneet vakoiluohjelmien poisto-ominaisuudet ohjelmistoihinsa. Lataustilastojen kärjessä ovat kuitenkin edelleen perinteiset poisto-ohjelmat (Cnet staff 2006). Vakoiluohjelmistojen poistajat eivät eroa ainoastaan käyttöliittymän perusteella vaan myös ominaisuuksien kirjo on laaja.

Vakoiluohjelmien poistajien ominaisuudet voidaan jakaa seuraaviin pääluokkiin: skannaus, skannauksen asetusten määrä, suojauksen laatu, diagnisointi työkalut ja päivitykset. Tavanomainen käyttäjä ei tarvitse läheskään kaikkia ominaisuuksia, mutta poistaja tulisi olla tarkka, helppokäyttöinen, huomaamaton ja mahdollisimman itsenäinen (Mikrobitti 2005). Tässä työssä en perehdy ominaisuuksiin sen tarkemmin, sillä ne eivät ole olennaisia näkökulmani kannalta. Testiä varten varmistin kuitenkin, että käyttämäni ohjelmat skannaavat muistin, rekisterin ja asemat.

3.2 Vakoiluohjelmien poistajien toiminta

Vakoiluohjelmien poistajien toiminta on hyvin samankaltaista kuin virustorjuntaohjelmien. Käytännössä ne toimivat kahdella tavalla: reaaliaikaisesti tai perinteisellä skannauksella. Näiden lisäksi ainakin Spybot - Search & Destroy sisältää immunize-toiminnon. Toiminto muokkaa Windowsin Hosts-tiedostoa ja valittujen selainten asetuksia, siten että tietyistä osoitteista tulevat evästeet ja muunlaiset vakoiluohjelmistot eivät pääse asentumaan. Tämä toiminto ei kuitenkaan pysty torjumaan kuin murto-osan internetin kaikista haitallisia ohjelmia sisältävistä sivustoista, joten sen varaan ei kannata pelkästää luottaa.

Ensimmäisessä tapauksessa vakoiluohjelman poistaja skannaa verkosta tulevan datan vakoiluohjelmien varalta ja pysäyttää havaitsemansa uhkat. Toinen tapa on perinteinen skannaus, jossa vakoiluohjelman poistajaa käytetään havaitsemaan ja poistamaan jo koneelle asennetut vakoiluohjelmat. Jälkimmäinen tapa on helppokäyttöisempi ja yleisempi. Vakoiluohjelman poistaja skannaa myös windowsin rekisterin, järjestelmätiedostot ja koneelle asennetut ohjelmat. Tämän jälkeen ohjelma luo listan löytämistään uhkista ja tarjoaa erilaisia toimenpiteitä jatkotoimenpiteitä varten.

Virustentorjuntaohjelmien tapaan moni vakoiluohjelmien poistaja vaatii tietokantojensa säännöllisen päivittämisen. Vakoiluohjelmien poistajien kehittäjät pyrkivät löytämään ja arvioimaan uusia vakoiluohjelmia sitä mukaa, kun niitä kehitetään. Tämän jälkeen he luovat näistä määrityksiä, joiden avulla vakoiluohjelmien poistajat pystyvät havaisemaan ja poistamaan vakoiluohjelmat. Tästä johtuen vakoiluohjelmien poistajien hyödyllisyys on rajallinen ilman säännöllisiä päivityksiä. Päivityspalvelu voi olla ilmainen, kuten käyttämissäni ilmaisohjelmissa, mutta on ohjelmia joiden kohdalla päivityspalvelu on saatavilla jäsenmaksua vastaan.

Osa vakoiluohjelmien poistajista yrittää tunnistaa ikävyydet myös heuristiikkojen avulla. Tällöin ohjelma yrittää etsiä tiedostoista mekanismeja, joita vakoiluohjelmat yleensä käyttävät. Heuristiikkalla on vahvuutensa ja heikkoutensa. Se voi ajoittain löytää haittaohjelmia, joita ohjelman tietokannassa ei vielä ole,mutta yleensä sen löydökset ovat vääriä hälytyksiä.

Kaikki ohjelmat eivät kuitenkaan vaadi tietokannan päivittämistä, vaan niiden toiminta perustuu osin tiettyjen asennustietojen tarkkailemiseen, kuten esimerkiksi Windowsin rekisterin tai internet-selaimen. Ohjelma ilmoittaa käyttäjälle mikäli, jokin parametri muuttuu ilman suosituksia jatkotoimenpiteistä. Tällöin käyttäjä joutuu itse pohtimaan mitä on tehnyt ja onko muutos sovelias.(Wikipedia 2008) Yksi esimerkki tälläisestä ohjelmasta on HijackThis. HijackThis skannaa tiettyjä windowsin käyttöjärjestelmän osioita ja ilmoittaa käyttäjälle listan osista, jotka tulisi manuaalisesti poistaa. Suuri osa näistä osista on kuitenkin windowsin käyttämiä, joten niiden poistaminen saattaa estää järjestelmän toiminnan. Onkin suositeltavaa, että tietämättömät lähettävät HijackThis lokitiedoston sivustoille, jossa asiantuntijat neuvovat mitä poistaa ja mitä ei. (Wikipedia 2008)

4. Testit

4.1 Testi1

4.1.1 Käytettävä laitteisto

Testissä käyttämässäni koneessa on Intel Celeron 2,60 GHz prosessori ja 512MB keskusmuistia. Käyttöjärjestelmänä toimii Microsoft Windows XP Home Edition versio 2002 Service Pack 3:lla.

4.1.2 Testattavat ohjelmistot

Johtuen rajallisista resursseista suoritin testin ainoastaan ilmaisilla vakoiluohjelmien poistajilla tai sellaisilla, joissa on saatavilla ilmainen kokeilujakso. Valitsin testiin kaksi ohjelmaa erään sivuston kymmenen parhaimman joukosta (CNET staff 2006): Lavasoftin Ad-awaren ja eTrustin PestPatrollin. Kolmanneksi ohjelmaksi valitsin AVG anti-spywaren.

4.1.3 Testin kulku

Ennen testin aloittamista ajoin virustorjuntaohjelman ja vakoiluohjelmien poistajat, jotta saisin koneeni mahdollisimman puhtaaksi. Seuraavaksi suljin mahdolliset vakoiluohjelmien poisto-suojaukset pois päältä ja asensin koneelle kaksi tunnettua haitallisia komponentteja sisältävää ohjelmaa: Kazaa ja Download Accelerator Plus. Valitsin edellä mainitut ohjelmat, koska vastaavanlaisen harjoitustyön edellisessä versiossa oli käytetty samoja. Ajattelin, että olisi mielenkiintoista nähdä miten hyvin esimerkiksi Lavasoftin Ad-Aware löytäisi haitallisia komponentteja verrattuna edelliseen työhön, josta on jo kulunut muutama vuosi. Ohjelmien asentamisen lisäksi surffasin epäilyttävillä web-sivuilla, jotka saattaisivat sisältää ei-haluttuja komponentteja. Käynnistin koneen uudelleen, jotta valitsemieni ohjelmistojen kaikki mahdolliset tiedostot asentuisivat varmasti kunnolla.

Käytin konetta vielä muutaman päivän ennen testin suorittamista, mikä osoittautui virheeksi. Huomasin, että koneeni alkoi pikkuhiljaa hidastua ja käyttäytyä tavanomaisesta poikkeavasti. Havaitsin koneessani kaikki kappaleessa 2.2 mainitsemani tuntomerkit ja enemmän. Testin suorittamisen aloitin päivittämällä käyttämieni ohjelmien tietokannat, mutta jostain syystä en onnistunut tässä. Jokainen käyttämäni ohjelma ilmoitti, että ei saa yhteyttä vaikka muutamaa päivää aikaisemmin olin tässä onnistunut. Ajattelin, että palvelimet olisivat mahdollisesti alhaalla, mutta koitin toisella koneellani ja siinä ohjelmat toimivat normaalisti. Päätin kuitenkin suorittaa testin sen hetkisillä päivityksillä.

Sain suoritettua skannauksen AVG:lla ja PestPatrollilla, mutta skannaukseen meni aikaa reilusti yli tunti/per ohjelma ja ne löysivät ainoastaan 19 ja 35 komponenttia. Lavasoft, joka oli aikaisemmin aina toiminut loistavasti ei jostain syystä enään toiminut. Skannaus alkoi aivan normaalisti, mutta ohjelma kaatui aina muutaman minuutin jälkeen. Poistin löytämäni komponentit ja ajoin muutaman eri virustentorjuntaohjelman, mutta kyseinen kone on edelleen aivan tiltissä ja sen käyttäminen käytännössä mahdotonta. Tästä johtuen jouduin suorittamaan uuden testin eri koneella

4.2 Testi 2

4.2.1 Käytettävä laitteisto

Testissä käyttämässäni koneessa on AMD Athlon X2 – Dual Core QL-60 1.90GHz prosessori ja 4GB keskusmuistia. Käyttöjärjestelmänä toimii Microsoft Windows Vista Home Premium, Service Pack 1.

4.2.2 Testattavat ohjelmistot: esittely

Tässä testissä käytin samoja ohjelmistoja, kuin testissä yksi.

4.2.3 Testin kulku

Ennen testin aloittamista suljin mahdolliset vakoiluohjelmien poisto-suojaukset pois päältä. Tämän jälkeen asensin koneelle yhden tunnetun haitallisia komponentteja sisältävän ohjelman: Kazaan. Ohjelman asentamisen lisäksi surffasin epäilyttävillä web-sivuilla, jotka saattaisivat sisältää ei-haluttuja komponentteja. Käynnistin koneen uudelleen, jotta valitsemieni ohjelmistojen kaikki mahdolliset tiedostot asentuisivat varmasti kunnolla. Ennen skannausten aloittamista päivitin jokaisen vakoiluohjelman poistajan tietokannat, jonka jälkeen otin koneen pois verkosta uusien haittaohjelmien välttämiseksi.

4.2.4 Tulokset

Kazaan asentamisen jälkeen en huomannut koneen toiminnassa eroa. Suoritin skannaukset, joiden tulokset on esitelty alla olevassa kuvassa.

vop-graafi.jpg
Kuva 1. Skannausten tulokset

Komponenttien määrä oli hyvin lähellä toisiaan kahdessa ohjelmassa. Ad-aware löysi selvästi vähemmän komponentteja, kuin AVG ja CA. Komponenttien määrä johtaa kuitenkin harhaan. Ad-awaren löytämät olivat nimellä "privacy objects", AVG:ssa "warnings" ja CA:ssa "Spyware". Käytännössä ainut joka löysi vakoiluohjelmia on CA, kuten kuvassa 2 näkyy. CA oli myös ainut, joka löysi esimermiksi testiä varten asennetun Kazaa ohjelmiston. Kuvissa 3 ja 4 näkyvät AVG:n ja Ad-awaren tulokset.

vop-TITUJA_CAPP.jpg
Kuva 2. CA Anti-Spyware skannauksen tulokset

vop-TITUJA_AVG.jpg
Kuva 3. AVG-skannauksen tulokset

vop-TITUJA_LAVA.jpg
Kuva 4. Lavasofti Ad-awaren skannauksen tulokset

Skannausajoissa ei ollut oleellisia eroja ja ne liikkuivat 29 minuutin ja 35 minuutin välillä.

4.2.5 Päätelmät

Vakoiluohjelmien poistajien lukumäärän ollessa toista sataa kolmen ohjelman testaaminen ei anna kattavaa kuvaa niiden tehokkuudesta. Otos on aivan liian pieni. Testin avulla ei voida myöskään asettaa ohjelmia paremmuusjärjestykseen, sillä niiden tietokannat ja määritteet ovat erilaisia, joten niiden löytämät komponentit vaihtelevat jokaisen ohjelman kohdalla. Oltaisiin tarvittu moninkertainen määrä vakoiluohjelmia, jotta tämän kaltainen testi antaisi minkäänlaista osviittaa paremuudesta.

5 Maksullisten ohjelmien testi

Ilmaisista ohjelmista uudempaa vastaavaa testiä ei löytynyt, mutta vastaavat maksulliset ohjelmat on kyllä testattu (TopTenReviews 2009). Testatuista ohjelmista viisi parasta olivat: Spy Sweeper, CounterSpy, STOPzilla, Malwarebytes Anti Malware ja Spyware Doctor. Mainituista ohjelmista CounterSpy, STOPzilla ja Spyware Doctor tarjoavat maksuttoman kokeiluversion ohjelmastaan, Spy Sweeper ei ole kokeiltavissa ilmaiseksi ja Malwarebytes tarjoaa sekä maksullista, että maksutonta versiota.

Testitulokset ovat kärjen osalta varsin tasaiset. Arvioitu on mm. käytön ja asennuksen helppoutta, havaitsemisen ja poiston tehokkuutta ja ohjelman suorituskykyä. Olisi mielenkiintoista vertailla saatuja tuloksia ilmaisten ohjelmien tuloksiin, mutta sellaisia ei ole testeissä tarjottu.

6. Yhteenveto

Yksikään vakoiluohjelmien poistaja ei toimi täydellisesti ja haitallisia komponentteja luultavasti jää vaikka käyttäisi kolmea eri ohjelmaa. Työssä suorittaman käytännön kokeen perusteella voi kuitenkin todeta, että usean ilmaisen vakoiluohjelmien poistajan yhdistelmä poistaa vakoiluohjelmat kiitettävällä tarkkuudella, sillä skannausten ja toimenpiteiden jälkeen ohjelmat eivät enää löytäneet enää haitallisia komponentteja. Koe todisti myös sen, että usean vakoiluohjelmien poistajan käyttäminen rinnakkain on suotavaa, sillä koneet eivät suinkaan löytäneet samoja komponentteja. Rinnakkaisuudella en suinkaan tarkoita ohjelmien samanaikaista suorittamista vaan ohjelmien suorittamista vuoroperään. Taistelussa vakoiluohjelmia vastaan suosittelisin valitsemaan kaksi ohjelmaa ja käyttämään näitä rinnakkain. Koska vakoiluohjelmien poistajien löytämät kompontentit riippuvat pitkälti koneella olevista ohjelmista ja koska vakoiluohjelmien poistajien tarjonta on niin laaja neuvoisin valitsemaan "muutaman testivoittajan", sillä ne ovat kuitenkin suoriutuneet keskivertoa paremmin.

Maksullisten ohjelmien puolella vallitsevat paljolti samat periaatteet kuin ilmaistenkin. Yksikään testatuista ohjelmista ei löydä kaikkia ikävyyksiä koneelta, mutta suoriutuvat silti tehtävästään varsin hyvin. Maksullisten ohjelmien puolella asiakastuki on ainakin kahden testissä parhaiten menestyneen ohjelman kohdalla parempi kuin ilmaisilla ohjelmilla, eikä mahdollisen ongelman ratkaisua tarvi etsiä muiden käyttäjien kanssa ohjelman forumeilta.

Lähteet

Print version |  PDF  | History: r4 < r3 < r2 < r1 | 
Topic revision: r4 - 16 Nov 2009 - 14:30:36 - TeroJarvenpaa?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback