Программное обеспечение не должно быть по своей сути вредоносным. Но любое ПО, даже предустановленное в систему производителем, может быть опасным...
Вирусы, черви, трояны, шпионские программы, программы-вымогатели и рекламное ПО — все это распространенные типы вредоносных программ (вредоносы, зловреды, малвари), о которых большинство из нас слышали, некоторые даже встречали на своих устройствах.
Но о чём переживать пользователю, у которого установлен мощный антивирусный комплекс, полностью заряженный актуальными вирусными записями и готовый противостоять любому зловреду? Любому ли? И как на счёт Riskware?
Что такое и как работает Riskware?
Термин Riskware (РПО), который появился в результате словослияния «риск» (risk) и «программное обеспечение» (ware), используется для описания любой легальной и вполне законной программы, которая не является разработкой киберзлодейского синдиката, но при этом имеет определенные уязвимости в безопасности. Эти «дыры» злоумышленники пытаются использовать для развертывание какого-либо вредоносного ПО, которое после установки в систему, станет вытягивать из неё конфиденциальную информацию.
Но как именно работает riskware, и как происходят эти атаки?
После того, как киберпреступники обнаружат уязвимость в каком-нибудь популярном приложении, они попытаются эту уязвимость эксплуатировать. В случае успеха их попытка приводит к тому, что целевое программное обеспечение будет скомпрометировано, но пользователь об этом не узнает.
Примером Riskware можно назвать KMS-активатор операционных систем Windows. Это утилита, которая позволяет обойти требование лицензии ОС от Майкрософта для пользовательского ПК, установкой ключа через сторонний (иногда абсолютно не понятно чей) сервер.
Через открытый порт на клиентском ПК злоумышленники могут «просунуть» для развёртывания любой вредоносный скрипт. Ведь пользователь разрешил этому приложению вносить изменения в систему, а возможно еще и отключил антивирус (добавил KMS в исключения). Сам активатор может и не быть вредоносным ПО, но дыру в его безопасности злодеи могут эксплуатировать в своих гнусных замыслах.
Я не сторонник активации Windows с помощью KMS-утилит, тем более, что Майкрософт пока не требует от меня денег за использование Windows без приобретения лицензии. Однако если вам просто «кровь из носу» необходима активация Windows, делайте это хотя бы из более-менее известных источников.
Но бэкдоры — это лишь один из немногих аспектов РПО. Термин Riskware можно применить к любой программе, которая своей активностью может вызывать сбой в работе других утилит или нарушать законы страны, где физически находится и работает пользователь.
Какие типы рисков существуют?
Существует множество различных типов РПО, включая программы-дозвонщики, IRC-клиенты, утилиты для мониторинга, ПО для управления паролями, автоматические установщики ПО и многое другое. Однако наиболее распространенными из них являются инструменты удаленного доступа, загрузчики файлов и, как ни странно, системные исправления.
Средства удаленного доступа
Инструменты удаленного доступа и программы администрирования — это то, без чего ИТ-отделы просто не могут жить. Но все эти утилиты являются одной большой «дырой» в безопасности. Если такие программы не защищены должным образом, злоумышленникам легко получить полный доступ к нескольким машинам в сети и тем самым поставить под угрозу безопасность всей компании.
Загрузчики файлов
Загрузчики файлов (менеджеры загрузки) также часто являются опасными, потому что, даже если такое ПО само по себе не является зловредом, оно может скрытно загружать вредоносные программы. А поскольку ваш антивирус не распознает малварь в вашем легальном загрузчике файлов, ему будет разрешено загружать нежелательное и потенциально опасное программное обеспечение в систему.
Системные патчи
Это может показаться нелогичным, но исправления безопасности и обновления операционной системы являются самым распространенным типом РПО. Хотя в этом нет ничего удивительного: главным поставщиком «черных дыр» в систему всегда была корпорация Майкрософт :(
Однако это не означает, что вы должны отключить регулярное обновление системы. Просто вам нужно знать эту информацию, а если опасаетесь, что очередной патч может угрожать стабильности и безопасности системы — обождите недельку, отложив его установку.
Как обнаружить опасное ПО и предотвратить через него атаку
Не являясь зловредом по сути, riskware трудно уловим сканерами антивирусных программ. И это по-настоящему серьезная проблема. Потому что в этом вопросе AV, установленное в системе, вам не помощник и всё что вам остаётся — попытаться обнаружить РПО собственными силами.
Первое, что вы должны сделать при проверке устройства на наличие опасных программ, это искать любое ПО, к установке которого, вы не имеете никакого отношения. Найдя, удалите без сожаления.
Во-вторых, всегда проверяйте разрешения перед использованием приложения. В большей степени это касается мобильных устройств. Например, приложению для чтения электронных книг требуется доступ к файлам для открытия документов, но ему не нужен доступ к камере или контактам. Если он запрашивает такие разрешения, это, скорее всего, riskware.
Еще одна вещь, которую вы должны сделать, это проанализировать своё устройство на наличие приложений, которые не обновлялись в течение длительного времени. Если программа не получает регулярных обновлений от своего разработчика, это потенциальная угроза безопасности.
И, наконец, существуют угрозы риска, которые не имеют бэкдоров или очевидных уязвимостей безопасности, но взаимодействуют с другим программным обеспечением на устройстве таким образом, что они мешают этому ПО делать то, для чего оно предназначено.
Выполнение этих шагов поможет вам определить потенциальное РПО. Если вы нашли такую программу, убедитесь, что вы удалили ее со своего устройства. В общем, вы должны загружать программное обеспечение только из авторитетных и официальных источников, избегать программ, которые запрашивают ненужные разрешения, ограничивать права администратора и следить за любым необычным поведением на вашем компьютере или смартфоне.
Riskware — уникальная проблема цифровой безопасности, потому что практически любая программа может быть рискованной, включая программное обеспечение, которое было предустановлено на вашем устройстве производителем.
Однако пользователю не следует унывать, предполагая ужасные вещи, которые способны сотворить злодеи, используя уязвимости РПО. И лучший способ не доставить киберпреступникам радости — оставаться начеку и бдительно следить за любыми изменениями на ваших устройствах. Одновременно быть максимально избирательным с выбором и установкой ПО, обходя стороной малоизвестные источники и непроверенных разработчиков. Следить за последними тенденциями в кибербезопасности, не забывать о стратегии безопасности, выстраивать которую должен, первую очередь, с учётом анализа современных угроз.
