איך להיפטר מתוכנות הריגול

כשמדברים על אבטחת מידע ו"איומים", כולם חושבים על וירוסים, סוסים טרויאנים או האקרים. תוכנות הפרסומות (Adware) ותוכנות הריגול (Spyware) למיניהן עדיין נחשבות לאיום משני. אנשים נוהגים לראות בהן מטרד מציק. נספח מעצבן לבעיות האבטחה האמיתיות.

אבל מפת האיומים משתנה במהירות. אמנם, פרצות אבטחה ווירוסים חדשים צצים חדשות לבקרים, אבל דווקא תוכנות הריגול הולכות ומסתמנות כבעיה הגדולה והנפוצה ביותר.

יותר ויותר אנשים מגנים על עצמם באמצעות תוכנות Firewall ואנטי-וירוס, ומקפידים לעדכן אותן ואת מערכת ההפעלה. בנושא תוכנות הריגול עדיין שוררת בורות רבה. זו הסיבה שאפשר למצוא אותן היום כמעט בכל מחשב, לפעמים גם במחשבים של משתמשים מנוסים שפשוט לא הקפידו לשמור אצבע על הדופק.

מהן תוכנות ריגול?

הדור החדש של המזיקים, כלים כמו CoolWebSearch, eUniverse, HitBox, ואחרים, משתמשים במגוון גדול יותר של דרכים כדי לחדור למחשב שלכם, להסתתר בו, לאסוף מידע ולשנות את אופן השימוש שלכם באינטרנט. הם לא רק מותקנים יחד עם תוכנות שהורדתם מהרשת, אלא מסתתרים מאחורי חלונות קופצים, לינקים תמימים למראה, וכל מיני דלתות נסתרות בדפדפן שלכם. לרוב, לא תרגישו כשהם ייכנסו למחשב שלכם, ולעיתים קרובות גם לא תשימו לב לפעילותם הנסתרת.

ישנם כמה סוגים ספציפיים, פרועים ומסוכנים במיוחד של יישומונים כאלה שמגיעים היום מהרשת. חלקם משתמשים בטכניקות דומות, אבל מבצעים פעולות הרבה יותר ברוטאליות של חדירה לפרטיותכם.

אחדים "גונבים" את עמוד הבית שלכם, מפנים אתכם לאתרים שונים, מוסיפים סרגלי כלים מציקים שקשה להיפטר מהם. אחרים, "רוכבים" על תוכנות פרסומות ומנסים לגנוב מידע חיוני מהמחשב שלכם. ביניהם יש סוסים טרויאנים, חייגנים שמנתבים אתכם לספקי אינטרנט בחו"ל, ויישומים עויינים אחרים. את רובם תוכנות האנטי-וירוס לא יודעות להסיר, ויש ביניהם כמה דביקים ועקשנים במיוחד.

כל אלה יוצרים אינספור דלתות אחוריות במחשב שלכם. כל יישום כזה, עשוי להוסיף למחשב שלכם פרצת אבטחה שהאקרים יכולים לנצל. ורוב הסיכויים, גם אם אתם חושבים אחרת, שהמחשב שלכם שורץ עשרות או מאות תוכנות פרסום וריגול, ברגע זה ממש.

במה משתמשים, מה בדקנו

מבין כתריסר מוצרי תוכנה שמסתובבים בשוק, בחרנו להתמקד בארבעה: Ad-Aware ו-SpyBot, שהן לעת עתה התוכנות הפופולריות ביותר בתחום, Windows AntiSpyware החדשה (בעצם תוכנה לא חדשה, של חברת Giant, שחברת מיקרוסופט קנתה) ו-Hijack This, כלי תוכנה משלים אליו נתייחס בהמשך. ארבעת הכלים האלה לא רק נחשבים למובילים בתחומם (לפחות בחלק מהמקרים בצדק), אלא גם היחידים מסוגם שניתן להוריד חינם מהרשת.

כדי לבדוק את הצלחת התוכנות השונות באיתור וסילוק של תוכנות ריגול, התקנו אותן על מספר מחשבים "מזוהמים", והרצנו אותן בזו אחר זו. ריכזנו והשווינו את תוצאות הבדיקה שלהן, כדי לזהות את ההבדלים. בשלב השני, הרצנו את התוכנות על אותם מחשבים, בכל פעם בסדר שונה, כדי לבדוק מי מהן תגלה איומים שהאחרות החמיצו.

אחת מהתוצאות המעניינות שהעלתה הבדיקה שלנו, היא שהמחשבים עליהם לא הותקנה חבילת העדכון SP2 ל-Windows XP היו נגועים במספר גדול משמעותית של מזיקים. ההסבר הפשוט לזה הוא ההגנה שמציעה SP2 מפני חלונות קופצים והתקנה לא מורשה של בקרי ActiveX, שתיים מהטכניקות הבולטות בהן מושתלות תוכנות ריגול במחשבים. ממצא מעניין נוסף, שבו נדון בסיכום שבסוף הכתבה: אף אחת מהתוכנות לא מציעה הגנה מלאה ופעולה מושלמת.

Ad-Aware SE Personal

תיאור: תוכנה לזיהוי והסרה של תוכנות ריגול

רשיון: חופשי

נפח: 2.51MB

קישור ישיר להורדה

Ad-Aware SE Personal של חברת Lavasoft הייתה כלי המקצועי הראשון בתחום, ולמרות עליות ומורדות שעברו עליה בשלוש השנים האחרונות היא נותרה אחד הכלים הטובים ביותר. הגירסאות הקודמות של התוכנה (אלו שאינן "SE"), כשלו בתקופה מסויימת בתחרות מול כלים פופולריים אחרים, דוגמת SpyBot (ראו להלן). המנוע המשופר של גירסאות SE מצליח להיות גם מהיר משמעותית, וגם אפקטיבי ביותר.

התוכנה כוללת מנגנון עדכונים מובנה, מאפשרת סריקה "חכמה" (כלומר מהירה יותר) או סריקה "מלאה", שתיהן יעילות למדי ברוב המקרים. השימוש הרגיל, ללא שינוי בברירות המחדל של התוכנה, הוא פשוט וידידותי מאד. אם תרצו לנצל את התכונות המתקדמות יותר של Ad-Aware (הפעלת משגוח רקע, שימוש בתוספים להגנות מתקדמות, ועוד), יהיה עליכם לצלול לתוך תפריטים מורכבים ו/או להתקין את גירסת ה-Professional שעולה כסף.

גם כך, Ad-Aware SE מספקת הגנה יעילה, ידידותית לשימוש ואמינה. היא מציעה פחות תכונות ומידע פחות מפורט מאשר התוכנה של מיקרוסופט (בהמשך), אבל כלי השחזור שלה מתקדמים יותר, ואחוזי ההצלחה שלה בגילוי יישומים עויינים גבוהים יותר לעיתים קרובות.

SpyBot S&D 1.3

תיאור: תוכנה לזיהוי והסרה של תוכנות ריגול

רשיון: חופשי

נפח: 4.15MB

קישור להורדה

SpyBot Search&Destroy, תוכנה קומפקטית ולא מרשימה במיוחד, הצליחה למשך תקופה מסויימת לפני כשנתיים להפוך למתחרה אמיתית ב-Ad-Aware. מאז ומתמיד, היא הייתה הרבה פחות מרשימה למראה וגם לא ידידותית במיוחד, אבל בגירסאות הראשונות שלה היא הצליחה לעיתים במקומות בהם התוכנה של Lavasoft נכשלה.

העובדה הזו, התמיכה הרב-לשונית של התוכנה, והטאץ' ה"אלטרנטיבי" שלה, העניקו לה פופולריות גדולה וזו עדיין אחת התוכנות הנפוצות בתחום. מכיוון שהיא מיישמת

מנגנון עדכונים מובנה, פעולתה זריזה למדי, ויש לה מערכת הגדרות מסועפת, סקינים וכלי ערך-מוסף מעניינים כמו מערכת "חיסון" (Immunization), רבים רואים בה כלי מקצועי ומעדיפים להשתמש בה.

אבל בבדיקות שערכנו עם גירסה 1.3 החדשה, SpyBot נתגלתה כתוכנה רשלנית למדי. היא החמיצה חלק גדול מתוכנות הריגול והיישומים המזיקים ששני הכלים האחרים שבסקירה הצליחו למצוא, ולכן השימוש בה אינו מומלץ, אלא כהשלמה לתוכנות אחרות.

Windows AntiSpyware

תיאור: תוכנה לזיהוי והסרה של תוכנות ריגול

רשיון: חופשי

נפח: 6.23MB

קישור להורדה

Windows AntiSpyware היא בעצם AntiSpy של חברת Giant שנקנתה על-ידי מיקרוסופט, בלבוש חדש ובשם קצת שונה. במקור, זו הייתה תוכנה הרבה פחות פופולרית, אבל בהחלט אחת מהתוכנות היותר יעילות לחיסול תוכנות ריגול. בגירסה החדשה, שמסומנת עדיין כבטא, היא כוללת לא רק מנגנון סריקה והסרה כמו שתי התוכנות האחרות, אלא גם אוסף כלים משלימים לתיקון נזקי תוכנות הריגול ושחזור הגדרות הדפדפן, מחיקת קבצי ההיסטוריה של הדפדפן, ועוד כהנה וכהנה.

היתרונות המרכזיים של התוכנה: ממשק נוח, אחוזי הצלחה גבוהים בזיהוי המזיקים, מידע מפורט יחסית על כל אחד מהם, גמישות גדולה יותר בבחירת צורת הטיפול בבעיות שמתגלות, ומערכת הגנה בזמן-אמת באמצעות משגוחים שפועלים ברקע. למעשה, לו התוכנה הזו הייתה מגיעה לאחוזי הצלחה גבוהים יותר מ-Ad-Aware,

היה קל להכתיר אותה כבר עכשיו כטובה מסוגה. מעשית, זה לא בדיוק המצב, אם כי יותר מפעם נתקלנו במקרה בו היא זיהתה מזיקים שהתוכנות האחרות החמיצו.

AntiSpyware עדיין כוללת כמה באגים קלים. היא בעלת מנגנון הורדת עדכונים יעיל אבל מוגבלת באפשרויות השחזור שלה, ולעת עתה לא יכולה להחליף את Ad-Aware SE שהייתה הבחירה המועדפת עלינו קודם. זה עשוי להשתנות.

תיאור: כלי משלים לזיהוי שינויים בקבצי מערכת

רשיון: חופשי

נפח: 193KB

קישור להורדה

Hijack This הוא כלי תוכנה לא ידידותי במיוחד, אבל כלי יחיד מסוגו וחשוב. הוא נועד להשלים את מסירי ה-Spyware הרגילים בפונקציה שרובם המכריע חסרים: איתור וניטרול של שינויים שנערכו בהגדרות ובקבצי מערכת שונים, שלא ניתן לקשר אותם ישירות לתוכנת ריגול זו או אחרת.

הוא יודע לזהות שינויים בהגדרות הדפדפן, במפתחות של קבצי הרישום ובקבצי Host, שינויים בתפריטים, שירותים (Services) חשודים, שורות הרצה ב-Registry שמפעילות תוכניות שונות ברקע, ועוד. כל הקבצים וההגדרות שהוא בודק, הם אתרים מועדפים של תוכנות ריגול וסוסים טרויאניים שמשתמשים בטכניקות של "חטיפה" (Hijacking), כמו כדי להשתלט על חיבור האינטרנט או להפעיל יישומים עויינים.

טכניקת הבדיקה שלו היא גנרית, ולכן הוא לא בהכרח יבדיל בין שינוי שערכה תוכנת ריגול לבין שינויים לגיטימיים - שורת הפעלה של דרייבר, סרגל כלים כמו זה של Google או אפילו תוכנת האנטי-וירוס שלכם. לכן, הוא יביא לכם פחות תועלת אם אינכם מבינים מספיק כדי לנתח את הנתונים שיציג.

בחלק מהמקרים תגלו שקל יחסית לזהות מה מיותר או מסוכן, אבל אם אינכם יודעים אז עדיף לא למחוק שום דבר בעצמכם. במקרים בהם ברור לכם שרישום כלשהו אינו רצוי, תוכלו לבחור למחוק אותו או להחזיר את ברירת המחדל. במקרים אחרים, לפחות יהיה לכם כלי עזר למקרה שתבקשו תמיכה ממישהו שמבין יותר מכם. בהרבה פורומים באינטרנט אפשר לברר את המשמעות של רישום זה או אחר, ו-Hijack This לפחות תעזור לכם לברר מה השתנה.

כמה ממצאים ומסקנות

הממצא המובהק, החשוב והמצער של הסקירה הזו: אף אחת מתוכנות האנטי-Spyware החינמיות לא עושה עבודה מושלמת. את התוצאות הטובות ביותר בבדיקות שערכנו, השיגה Ad-Aware SE, שגילתה למעלה מ-90 אחוזים מתוכנות הריגול במחשבי הבדיקה שלנו. מעט מאחוריה, Windows AntiSpyware, הצליחה לגלות קרוב ל-85 אחוזים מרכיבי התוכנה העויינים, אבל בכמה מקרים זיהתה איומים ש-Ad-Aware החמיצה.

SpyBot נתגלתה כאכזבה גדולה: היא מצאה פחות מ-40 אחוזים מתוכנות הריגול, ורק במקרה אחד הצליחה לגלות קובץ שהתוכנות האחרות החמיצו. גם במקרה הזה, הקובץ שנתגלה היה בלתי מזיק בעליל. שימוש משולב בשתי התוכנות האחרות הופך כנראה את השימוש ב-SpyBot למיותר. כמובן שקשה לנו להתחייב שהשילוב של שימוש ב-Ad-Aware וב-AntiSpyware מספק הגנה מושלמת, אבל הוא יותר טוב מכלום - או משימוש באחת מהן בלבד.

כדאי לשים לב שהתוכנה של מיקרוסופט אמנם מספקת מידע מפורט יחסית, ומגיעה לאחוזי זיהוי גבוהים, אבל לעיתים קרובות מוצאת איומים במקומות שאינם קיימים. היא עשויה לזהות את תוכנת שיתוף הקבצים שלכם כאיום ברמה "בינונית", ובמקרה הזה כנראה שתעדיפו לנצל את האפשרות שהיא מספקת שלא לבצע שום שינוי.

כך או כך, הכניסה של מיקרוסופט לתחום נראית כמו משהו שעתיד לשנות אותו מן הקצה אל הקצה. קשה לראות כיצד המוצרים המסחריים לטיפול בתוכנות ריגול, יוכלו להתחרות בכלי שמיקרוסופט תחלק חינם (או תמורת דמי שימוש חד-פעמיים). במקרים בודדים, כמו זה של Lavasoft, היתרון הטכנולוגי עשוי לשחק תפקיד, אבל הכי סביר שנתחיל לראות בקרוב רכישות ומיזוגים עם מעורבות גוברת של מפתחות תוכנה מתחום האנטי-וירוס. כנראה שזה גם יגרום לתוכנות האלה לעמוד בסטנדרטים גבוהים יותר, אבל בינתיים אין ברירה אלא להתקין שתיים או שלוש תוכנות, כדי לקבל הגנה יותר מבסיסית.