סקירה: לתפוס את המרגלים ברשת

תוכנות ריגול, או "רוגלות" (spyware) הן האויב מספר אחת של משתמשים המחשב. תוכנות האנטי ריגול משתדלות לעמוד בקצב, אבל לא תמיד עושות זאת בהצלחה

ניל רובנקינג, PC Magazine פורסם: 29.09.05, 09:24

המונח תוכנת ריגול, או רוגלה - Spyware - מכסה קשת רחבה של איומים, ביניהם שירותים לגיטימיים יחסית שמציגים מודעות, תוכנות שמציגות תוצאות חיפוש, מתעדי הקשות מקלדת (keylogger) הגונבים סיסמאות, וסוסים טרויאניים שסוללים את הדרך להאקרים.

למרות ההבדלים, יש מכנה משותף לכל המרגלים: הם משתמשים במשאבי המערכת על חשבונכם. תוכנות אנטי ריגול מיועדות למנוע מראש את התקנת תוכנות הריגול, או להסירן ממחשב שבו הן כבר מקוננות. המרגלים, מצידם, עושים כל מאמץ להכשיל את הסרת הנגעים.

מי מוביל?

למרבה הצער, חייבים להודות שידם של הרעים על העליונה. אין אף מוצר אנטי ריגול שנותן הגנה של 100%, וזאת בשונה מההגנה המקיפה שמספקים רוב האנטי וירוסים. עם זאת, עדיין כדאי להשתמש בתוכנה (או שתיים) להגנה מפני המרגלים.

בדקנו שבעה מוצרים שרועננו לאחרונה, וגילינו שיש להם הרבה תכונות משותפות.

ניתן לקבוע את תצורתם לביצוע בדיקות ולקבלת עדכונים על מרגלים חדשים באופן אוטומטי. כולם מאפשרים להוציא פריטים חשודים מהבידוד, ולסמן את התוכנות בהן בוטח המשתמש.

כל התוכנות מנסות למנוע מראש את התקנת תוכנות הריגול. רובן יתריעו כשתוכנה חשודה תשנה הגדרות מערכת, למשל: תחטוף את הדפדפן ותשנה את דף הבית, או תשנה הגדרות כך שהדפדפן ייפתח בעליית המחשב.

קשה לקבוע כמה מרגלים מסירה כל תוכנה, משום שהיצרנים אינם משתמשים ברשימה אחידה של איומים ואינם מסכימים לגבי השאלה איזה עקבות ב-Registry מלמדים על כל איום. חלקם מדווחים על אותו ממצא כשלושה או ארבעה איומים שונים. במקום להסתמך עליהם, זיהמנו את המחשב בכמה מהמרגלים הקשוחים ביותר ובדקנו את היכולות.

Microsoft Windows AntiSpyware Beta

תוכנת האנטי ריגול מבית מיקרוסופט, Microsoft Windows AntiSpyware נמצאת עדיין בגירסת בטא, אבל היא משתפרת מיום ליום. היא טובה בהסרת מרגלים הרבה יותר מאשר במניעת התקנתם הראשונית. למרבה האירוניה, היא היחידה בסקירה זו שאינה תומכת ב-Windows 98 ו-ME.

התוכנה משתמשת ב-Security Agents, סוכני אבטחה, כדי לזהות ולעצור פעילות חתרנית. ישנם 59 סוכנים משלוש קטגוריות: אינטרנט, מערכת המחשב ויישום. אפשר לבחור איזה סוכנים להפעיל - אבל מומלץ להשאיר את כולם פעילים. יש אפשרות לצפות בכל פעולה שנעשתה, בפירוט רב.

הממשק מבוסס על חלון אחד, והניווט בו עלול לבלבל, אבל התוכנה מציגה באופן ברור ממצאים ופריטים חשודים שהוסרו.

Spyware Microsoftanty spyware (צילום: פי סי מגזין)

היא מציגה את חומרת האיום של כל פריט חשוד, ומאפשרת לפתוח כל ממצא ולראות את תיאורו. ניתן גם לקבל מידע נוסף באופן מקוון. אם תצטרפו לקהילת SpyNet AntiSpyware Community, תישלח התוכנה מידע לגבי איומים חדשים אל מרכז המחקר של מיקרוסופט.

בנוסף להגנה מפני חטיפות הדפדפן, שומרת התוכנה מגוון הגדרות לדפדפן אקספלורר, אליהן ניתן לחזור אם וכאשר המרגלים משנים את ההגדרות הקיימות. באמצעות ה-System Explorers ניתן לשנות הגדרות מערכת רבות, לנקות עקבות גלישה באינטרנט ולרוקן רשימות קבצים אחרונים.

Windows AntiSpyware לא תמיד תינתן בחינם, אבל בינתיים היא מהווה בחירה מוצלחת לבעלי תקציב נמוך. כדאי להשתמש בה עם תוכנת אנטי ריגול נוספת, ולהורות לאחת מהן (בלבד) לספק הגנה בזמן אמת.

מחיר: חינם.

ציון:

Norton Internet Security 2005 AntiSpyware Edition

יכולות אנטי ריגול הן התוספת היחידה לחבילה זו - Norton Internet Security 2005 AntiSpyware Edition. בדקנו את יכולות החבילה אך ורק במלחמה במרגלים. בחלק מהמקרים עזרו הפיירוול והאנטי וירוס למנוע התקנת תוכנות ריגול, אולם באחרים לא הצלחנו אפילו להתקין את החבילה.

תהליך ההתקנה ועדכון ההגדרות איטי באופן מחריד: כשעה במחשב המזוהם שלנו. שעה היא זמן רב ובעייתי, משום שהמרגלים יכולים לנצל את הזמן כדי לפגוע.

nortoninternetsecurity spyware (צילום: פי סי מגזין)

גם תהליך הסריקה היה איטי. מוצרים אחרים סרקו מחשב נקי ב-4-10 דקות, בעוד שלסימנטק זה לקח יותר מ-30 דקות.

בעיה חמורה אף יותר: הפעילות החתרנית באחד המחשבים, הצליחה למנוע את התקנת התוכנה. תופעה זו לא נשנתה בשאר המוצרים. חלונות קופצים מאפשרים "לסרוק עכשיו", "לא לכלול בסריקות עתידיות" או "להתעלם לחצי שעה". הבעיה שהם פעילים גם תוך כדי סריקה.

התוכנה מציגה בבירור את רשימת האיומים שאיתרה, ומפרידה בין אלה שטופלו במהלך הסריקה לבין אלה שטרם טופלו. ניתן לצפות במידע לגבי רמת האיום הנשקפת מכל ממצא, ולעיין במידע נוסף באתר החברה. המידע באינטרנט מפורט, אבל אם אחד המרגלים ניתק את החיבור לאינטרנט - אתם בבעיה. התוכנה מנהלת דו"ח פשוט לגבי פעילות המרגלים על ציר הזמן.

לסיום, מודול האנטי ריגול אינו מספק את הסחורה והחבילה המשולבת עלולה להיכשל במחשב שכבר זוהם. אם אתם משתמשים בחבילת האבטחה המצוינת NIS - התקינו מוצר נפרד למלחמה במרגלים.

מחיר: 70 דולר.

ציון:

Spy Sweeper 4

גירסה 4 של Spy Sweeper סורקת מהר יותר ומסירה איומים שהצליחו להתל במהדורה הקודמת. למרות המחמאות, כאן ועכשיו היא קצת פחות טובה מ-Spyware Doctor 3.2.

מבחינת הסרת המרגלים זיהתה התוכנה את כל האיומים, לרבות מספר איומים שלא הצליחה להסיר בשלמותם. היא חסמה או הסירה מרגלים בזריזות, אבל פחות טוב מ-Spyware Doctor. היא זיהתה שני keyloggers מסחריים, אבל לא הצליחה להסיר אחד מהם, וערערה את יציבות המערכת בעת הסרת השני.

סריקת מחשב נקי ארכה רק ארבע דקות – תוצאה מהירה בהרבה מהזמן שלקחה הסריקה בגירסאות קודמות. ממצא זה חשוב משום שככל שמתקצר זמן הסריקה, סביר שהמשתמשים יערכו סריקות נגד מרגלים באופן שגרתי.

התוכנה חוסמת Cookies, מודיעה כשגורם כלשהו מנסה לשנות את רשימת המועדפים, ועוקבת אחר התהליכים בזיכרון לאיתור פעילות ריגול.

pyware Spy Sweeper (צילום: פי סי מגזין)

ההתרעות מסורבלות במקצת: ניתן לקבל מידע מלא בממשק התוכנה, או לצפות בחלון קופץ ללא פרטים על האיום שעורר את ההתרעה. נקווה שהתוכנה תלמד לחזור למגש המערכת כשלוחצים על Close, כפי שעושות האחרות.

מידע חלקי על האיומים במחשב מוצג בחלון קטן בתחתית המסך הראשי, אולם ניתן לקבל מידע מלא על כל אחד באופן מקוון (למעט במקרה בו חסמו המרגלים את הגישה לאינטרנט). הדוחות שמפיקה התוכנה מפורטים, אבל אינם מאורגנים באופן קריא.

בשורה התחתונה, התוכנה סורקת מהר מבעבר ולוכדת יותר מרגלים. היא בחירה טובה, אבל התחרות קשה הרבה יותר.

מחיר: 30 דולר.

ציון:

Spyware Doctor 3.2 - בחירת העורך

תוכנת Spyware Doctor 3.2 פוגעת בול. בדומה ל-Spy Sweeper, היא זיהתה את כל האיומים, והסירה כמעט את כולם. בנוסף, הסירה שניים מתוך ארבעת ה-keyloggers המסחריים בהם זיהמנו את המערכת. המוצרים המתחרים לא הצליחו להסיר אפילו אחד. בזמן אמיתי היא הצליחה לאתר או לחסום את כל הפריטים, לרבות התקנת שני keyloggers.

לעיתים צריכות תוכנות האנטי ריגול להפעיל מחדש את המחשב כדי להסיר מרגלים שכבר נמצאים בזיכרון. רובן יזהירו מראש ואחרות יעשו זאת אוטומטית לאחר קבלת אישור המשתמש.

Sweeper Spyware-Doctor (צילום: פי סי מגזין)

Spyware Doctor לא מדלגת על שלב חשוב זה. את בדיקת ההמשך היא מתחילה מיד בעליה, לפני שמערכת ההפעלה נטענת במלואה.

מערכת OnGuard כוללת חוסם חלונות קופצים, ואפשרות להזהיר את המשתמש כשהוא נכנס לאתרים שנותנים מחסה למרגלים. המערכת מגנה מפני חטיפות הדפדפן, שומרת על הגדרות דפדפן אקספלורר, וחוסמת Cookies בדפדפנים אקספלורר, Firefox ו-Opera.

סריקת מחשב נקי ארכה פחות מארבע דקות. אחריה מוצגים הממצאים המקודדים בצבעים לפי מידת חומרתם. ניתן לראות כיצד כל איום משפיע על קבצים ועל פריטי רישום, אך אין מידע נוסף באינטרנט. דו"ח HTML מכיל רשימה של כל העקבות שנמצאו ורמות הסיכון שלהם, אך אינו מפרט אם הוסרו בהצלחה.

התוכנה ברורה וקלה לשימוש, וקל להתמצא בדף תוצאות הסריקה. היא היעילה ביותר מבין כל המוצרים שבדקנו, הן בחסימה והן בהסרת מרגלים ו-keyloggers, ולכן היא בחירת העורך הנוכחית.

מחיר: 30 דולר.

ציון:

Spyware Eliminator 4.0

הפילוסופיה של מערכת Active Defense System (או ADS) של Spyware Eliminator 4.0 היא למנוע מראש דריסת רגל של מרגלים במחשב. כגישה לחיים, היא טובה מהאפשרות להסיר אותם לאחר מעשה. ואכן, התוכנה הצליחה למנוע התקנת מחצית מתוכנות הריגול בהן השתמשנו, אולם פספסה את השאר.

Spyware-Eliminator Spyware (צילום: פי סי מגזין)

בבדיקת יכולת ההסרה זיהתה את כל המרגלים, למעט שניים, אך הסירה רק כמחצית מהם. היא אינה מנסה למנוע ניסיונות חטיפה של הדפדפן.

משום מה, הגנת זמן אמיתי אינה פועלת בברירת המחדל. התוכנה קלה לשימוש, והיא לא תדרוש הגדרות וקביעות תצורה נוספות מעבר להפעלת הגנת זמן אמת. אם תצטרפו לשירות Spyware Retrieval Service, תישלח התוכנה קבצים חשודים למעבדות החברה.

Spyware Eliminator מספקת די הרבה מידע לגבי המרגלים שהיא מאתרת, אבל לא קל לעיין במידע, שנמצא בחלון נפרד ומפוזר על פני מספר קישורים. לאחר שהאיום נשלח להסגר, המידע לגביו אינו זמין, ואין אפשרות לקבל מידע נוסף באופן מקוון. דו"ח הפעילות מכיל רשימה של קבצי מערכת ופריטי רישום ששונו, והוא הכי פחות שימושי מבין דו"חות המוצרים השונים.

מחיר: 30 דולר

ציון:

Spyware X-terminator 2005

השם X-terminator 2005 אולי נשמע קשוח, אבל אל תצפו מהתוכנה לעשות את העבודה המלוכלכת. התוכנה איתרה והסירה חלק מהפריטים, אבל רוב המרגלים נשארו במחשב, ולא נחסמה שום התקנה מראש.

התוכנה מציעה הגנה בזמן אמת, אבל הגנה זו מסתכמת במניעת Cookies ובניטור פעילות של מרגלים ידועים בתהליכים בזיכרון.

Xterminator Spyware (צילום: פי סי מגזין)

בזמן בו בדקנו את התוכנה הוסיפה החברה הגנה מסוימת בפני חטיפות דפדפן (אין אפשרות להתערב בהגדרות למניעת החטיפה). אבל גם לאחר השיפור, עדיין חסר מעקב אחר יישומים שמשחילים עצמם לרצף העליה של Windows.

התוכנה מדרגת את חומרת הממצאים כ-Low, Medium, High או Unknown. ניתן לצפות בעקבות של כל איום, אבל לא תמצאו דברי הסבר בתוכנה או באתר החברה. דו"ח HTML מציג רשימת ממצאים ואת דרך הטיפול בהם. לסיכום, התוכנה לא חסמה את התקנת המרגלים ולא הצליחה לזהות ולהסיר את רובם. בהתחשב בחלופות - אין שום סיבה לרכוש אותה.

מחיר: 30 דולר.

ציון:

ZeroSpyware 2005 3.2

לתוכנה זו יש את ממשק המשתמש המוצלח ביותר מבחינה חזותית. בבחינות היא הסירה את רוב האיומים, וזיהתה את כל האיומים למעט שניים. היא גם איתרה שניים מבין ה-keyloggers המסחריים.

היא הצליחה למנוע התקנת מרגל אחד, אבל הסירה את רוב המרגלים שכבר שרצו במחשב. היא חסמה את ניסיונות החטיפה של הדפדפן, והזהירה מפני יישום שניסה להוסיף פריט לרשימת המועדפים. כשהגנת זמן אמיתי פועלת, מצטברות התרעות לעיון לטיפול המשתמש. זו תכונה נוחה, אך כשיש יותר מדי התרעות, התוכנה עלולה לקרוס.

יש גם סריקת סיכונים שימושית (vulnerability scan) במערכת ההפעלה וכן בדפדפן וביישומים נבחרים. סריקה זו מאתרת ומתקנת קבצים לא מעודכנים שחיוניים לאבטחת המחשב. הגנת זמן אמת מנטרת את התהליכים שרצים בזיכרון תוך חיפוש אחר מרגלים.

ZeroSpyware Spyware (צילום: פי סי מגזין)

המשתמש יכול לעיין במסד נתונים המכיל מידע על תהליכים לגיטימיים, ולשלוח תהליכים שטיבם לא ברור אל מעבדות החברה, לצורך ניתוח.

תוכנה זו מתבלטת בתמיכה למשתמש: ניתן לשלוח מסר מיידי לטכנאי החברה בכל שעות היממה. הטכנאי יכול לבדוק את המחשב מרחוק באמצעות מודול אבחון. ובזמן הבדיקה יצרנו קשר עם נציג החברה תוך 15 שניות.

תוכנת ZeroSpyware הסירה וחסמה את רוב המרגלים, אבל לא את כל כולם. היא אינפורמטיבית באופן יוצא דופן, מציעה תמיכה סביב השעון ואבחון ומרחוק, ומהווה בחירה טובה למשתמשים שאינם מומחי אבטחה.

מחיר: 30 דולר.

ציון:

תרגום: נדבי נוקד.

מצאתם טעות בכתבה? כתבו לנו