Gli “spyware” sono sovente inseriti tra i malware anche se di solito non causano veri e propri danni al sistema ed ai dati in esso memorizzati: essi rappresentano piuttosto una pesante minaccia per la privacy dell'utente. Spyware e malware in generale si installano in due modi differenti: i primi sono talvolta inseriti in qualche programma shareware o freeware mentre i secondi si incontrano pressoché esclusivamente navigando in Rete con il browser.
L'obiettivo primario di chi sviluppa spyware consiste, generalmente, nel raccogliere dati personali a fini promozionali. Per quanto riguarda gli spyware inseriti da alcuni sviluppatori di software shareware/ freeware nei prodotti, il loro utilizzo è spesso dichiarato nella licenza d'uso del programma stesso. In pratica, se l'utente è interessato all'uso del programma deve accettare la presenza dello spyware sul proprio sistema, altrimenti è tenuto a disinstallare immediatamente il software. In questo modo, gli sviluppatori di questi software cercano di tutelarsi legalmente ottenendo parimenti un finanziamento economico dalle aziende che sviluppano i vari componenti spyware. L'autore di SpywareBlaster ha creato un interessante programma (EULAlyzer) che si fa carico di esaminare il contratto di licenza d'uso di un qualsiasi software individuando le porzioni di testo in cui si dichiara la presenza e l'utilizzo di elementi spyware.
Eliminazione di spyware e malware
Gli strumenti probabilmente più conosciuti per l'eliminazione di spyware
e malware sono Ad-Aware e SpyBot Search&Destroy.
Si tratta di due programmi freeware che, una volta installati, permettono di
esaminare il contenuto di dischi e partizioni alla ricerca di eventuali minacce.
Entrambi non permettono il monitoraggio in tempo reale del sistema ma integrano
un modulo per la scansione del disco e del registro di sistema.
Un po' come gli antivirus, anche Ad-Aware e SpyBot devono essere mantenuti costantemente aggiornati usando le funzioni di update richiamabili dall'interfaccia. Ad-Aware si limita ad effettuare una scansione del sistema (compreso, eventualmente, il file HOSTS) mentre SpyBot include anche la cosiddetta funzione di Immunizzazione per Internet Explorer: il programma è in grado di bloccare siti Web e contenuti attivi conosciuti come maligni.
Il software blocca un ristretto numero di potenziali minacce rispetto a SpywareBlaster,
software presentato più avanti e consigliato dallo stesso autore di SpyBot.
Sono comunque assai interessanti gli strumenti che SpyBot mette a disposizione
dell'utente nella modalità avanzata: cliccando sul pulsante Utilità,
l'utente più smaliziato può ad esempio gestire gli ActiveX in
uso sul sistema, ottenere la lista degli oggetti BHO installati in Internet
Explorer, modificare la pagine di riferimento utilizzate dal browser (home page,
pagine di ricerca,…), controllare i programmi eseguiti automaticamente
all'avvio di Windows e molto altro ancora.
Avendo già dato ampio spazio in passato ad Ad-Aware e SpyBot abbiamo
preferito presentare, questa volta, un software come A-squared, anch'esso gratuito
ed aggiornabile on line.
Monitoraggio in tempo reale
La nuova frontiera dei tool antispyware consiste nel sorvegliare, in tempo reale,
il sistema rilevando tentativi di installazione non autorizzati da parte di
malware e componenti sospetti. Nel mese di Dicembre 2004, l'azienda di Bill
Gates aveva acquisito Giant Software, software house da tempo attiva nello sviluppo
di prodotti e soluzioni antispyware rilasciando poco dopo (Gennaio 2005) la
prima versione beta di Microsoft Antispyware.
Il prodotto apparve subito come una ridenominazione del prodotto originale distribuito precedentemente da Giant, dato che le nuove caratteristiche introdotte erano piuttosto limitate. In seguito Microsoft rilasciò cinque aggiornamenti del prodotto senza però mai abbandonare la versione “beta 1” finché a Novembre 2005 l'azienda comunicò un cambio di denominazione per il prodotto che si sarebbe chiamato Windows Defender.
Sebbene sulla pagina ufficiale dedicata al programma antispyware campeggi ancora la denominazione “Antispyware”, Windows Defender sarà parte integrante di Windows Vista e sarà legato strettamente con i servizi per l'aggiornamento del sistema operativo (Windows Update) e con la funzione Aggiornamenti automatici. La protezione offerta da Windows Defender sarà attiva in modo predefinito. Al termine dell'installazione, Microsoft Antispyware propone una procedura passo-passo che guida alla configurazione del programma.
L'opzione Yes, automatically keep Microsoft Antispyware updated permette di fare in modo che il programma si aggiorni automaticamente con le informazioni relative alle nuove minacce scoperte. Oltre alla possibilità di effettuare scansioni manuali del sistema, Microsoft Antispyware si compone di 50 “agenti” ciascuno dei quali deputato al controllo di uno specifico aspetto del sistema operativo.
Per fare qualche esempio, un agente tiene d'occhio la lista dei servizi di sistema bloccando l'installazione di quelli non autorizzati, un altro vigila sull'installazione di barre degli strumenti ed oggetti BHO in Internet Explorer, sulla modifica della pagina iniziale e dei motori di ricerca usati dal browser, un altro ancora sorveglia il contenuto del file “HOSTS” verificando se un'applicazione tenta di apportare delle modifiche. Altri agenti tengono sotto controllo l'elenco dei programmi avviati ad ogni ingresso in Windows, impediscono interventi sulla configurazione della connessione Internet da parte di applicazioni non autorizzate e così via.
Lo scotto da pagare per l'attivazione della protezione in tempo reale
consiste in un ridotto rallentamento del sistema.
In fase d'installazione il programma richiede se si desideri partecipare
al programma Spynet - the antispyware community. Rispondendo in modo affermativo,
le informazioni riguardanti le minacce individuate dagli agenti di Microsoft
Antispyware vengono trasmesse ai produttori del software che le analizzeranno
migliorando così le abilità diagnostiche del prodotto.
La scansione manuale del sistema è avviabile in qualunque momento cliccando su Spyware scan in alto a destra quindi su Run scan now. Per ciascun componente sospetto individuato dal programma di Microsoft, è possibile optare tra diverse possibilità: Ignore, Quarantine, Remove, Always ignore.
Per accedere alla configurazione delle funzionalità relative alla protezione in tempo reale, è sufficiente cliccare sul pulsante Real-time protection, in alto. I link Internet agents, System agents e Application agents permettono di verificare quanti e quali “agenti” sorvegliano tutte le varie aree del sistema. L'utente ha la possibilità di disattivare il controllo in tempo reale limitatamente ad aree specifiche. Mediante il pulsante Advanced Tools, si può controllare la configurazione del browser (oggetti BHO e toolbar installati) e del sistema operativo (processi attivi, applicazioni in esecuzione automatica, oggetti BHO in Internet Explorer, sulla modifica della pagina iniziale e dei motori di ricerca usati dal browser, un altro ancora sorveglia il contenuto del file “HOSTS” verificando se un'applicazione tenta di apportare delle modifiche. Altri agenti tengono sotto controllo l'elenco dei programmi avviati ad ogni ingresso in Windows, impediscono interventi sulla configurazione della connessione Internet da parte di applicazioni non autorizzate e così via.
Lo scotto da pagare per l'attivazione della protezione in tempo reale
consiste in un ridotto rallentamento del sistema.
In fase d'installazione il programma richiede se si desideri partecipare
al programma Spynet - the antispyware community. Rispondendo in modo affermativo,
le informazioni riguardanti le minacce individuate dagli agenti di Microsoft
Antispyware vengono trasmesse ai produttori del software che le analizzeranno
migliorando così le abilità diagnostiche del prodActiveX scaricati, file HOSTS,
Winsock LSP, modifiche operate alla shell di Windows).Il pulsante Browser
restore consente di ripristinare le impostazioni del browser mentre Tracks
Eraser di sbarazzarsi delle tracce d'uso memorizzate sul disco fisso
dai vari software installati (cronologia, liste di file aperti, elenco dei programmi
scaricati e così via).
Tra i programmi illustrati nelle nostre schede, Spyware Terminator è quello che - come Microsoft Antispyware - oltre ad un modulo per la scansione manuale, include un sistema di protezione che opera in background.
Interpretazione dei risultati
Grande attenzione va riposta durante la fase di lettura, interpretazione e valutazione
dei risultati di una scansione. Molti software, infatti, potrebbero classificare
come dannosi software che invece sono utilizzati dall'utente per compiere
operazioni più evolute. Ad esempio, un software freeware come VNC - che
consente di gestire da remoto un qualsiasi personal computer come se si fosse
seduti dinanzi al suo schermo - viene generalmente considerato come potenzialmente
nocivo quando in realtà può essere impiegato dall'utente
per le normali operazioni di gestione del sistema.
VNC è costituito da un modulo server e da un client (necessario per
connettersi ad una macchina sulla quale sia in esecuzione il server di VNC).
Può essere interessante il fatto che molti antispyware indichino come
pericoloso il modulo server del programma ma ci pare un po' eccessivo
segnalare come “a rischio” anche il “viewer” del programma
ossia il modulo client.
Tanto per fare qualche esempio, alcuni software antispyware potrebbero additare
come potenzialmente nocivi anche applicazioni come MIRC (famoso software utilizzato
per chattare in Rete). Va detto come le chat IRC pullulino sempre più di malintenzionati
che tentano di inviare ad ignari utenti virus o, comunque, malware.Prima di
acconsentire all'eliminazione di elementi classificati da un software antispyware
come malware, è quindi bene analizzarne con calma la natura in modo da evitare
la cancellazione di software utili.
A-squared free, permette di scegliere - prima dell'avvio della scansione - se andare alla ricerca anche dei cosiddetti riskware (VNC e MIRC, ad esempio) e se utilizzare anche la funzionalità euristica (il programma rileva componenti non ancora indicati come spyware o malware all'interno del proprio archivio delle firme ma che, se presenti sul sistema, si comportano come oggetti dannosi).
