Artikel top billede

(Foto: Computerworld)

Ødelæg din PC

Neil Mohr og Torben Okholm myrder en pc med gratis sager. Det er ren ondskab.

Af Torben Okholm, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Internettet vil se dig hængt. Eller i hvert fald din pc – og det er gratis sager, der leverer det dødbringende slag. Er du forvirret? Vi er aldeles pjattede med gratis sager. Vi elsker dem. Der er blot den lille hage, at intet er gratis, når det kommer til stykket.

Firmaer og sites, der tilbyder noget gratis, vil som regel have noget til gengæld. Spørgsmålet er hvad? Og hvor stor en risiko løber man ved at købslå med denne digitale djævel?

For at få svar på det spørgsmål har vi taget et lokkedue-system og anstrengt os for at downloade, installere og indsamle så mange tredjeparts-add-ons, som vi kan finde på internettet. Og man kan finde meget på internettet.

Hvorfor gør vi dog det? Dels for sjov, dels i forskningens navn. Man kan lære meget ved at slå ting i stykker – ikke kun hvordan man undgår bestemte farer, men også hvordan man løser problemer.

Det er ikke lutter dårlige nyheder, for det, man installerer, kan man også afinstallere. Nok stræber vi efter at hæmme systemet så meget som muligt, men vi har også tænkt os at hjælpe det tilbage fra afgrunden.

Den mest indlysende hjælp kommer fra browsere, der gør det muligt at styre, frakoble og fjerne tredjeparts-add-ons og værktøjsbjælker. Det er den hyppigst brugte fremgangsmåde, og det er en nyttig metode til at stoppe plugins, der ikke opfører sig pænt. Det er bestemt ikke afslutningen på alle problemer, for der findes masser af installer-add-ons, men det er en begyndelse. Brugerne skal acceptere download og installation af dem, og det gør folk. Vi vil se, hvad der derefter sker.

En del af dette pc-dræberprojekt bliver at holde øje med ydelsen og se, hvad disse add-ons betyder for systemressourcer og stabilitet. Det er også interessant at se, hvad sikkerhedseksperter mener om emnet, og hvordan man kan beskytte sig selv og venner og slægtninge, der ikke er eksperter, med et par værktøjer.

Man skal som bekendt passe på, hvad man siger. Og selvom der findes plagsomme sager på nettet, er der også mange programmer – for eksempel værktøjsbjælker og add-ons – der kan være nyttige. Og derfor kan det være svært at stemple dem som vira eller blot som ondsindede.

Begrebet “malware” – der indebærer en potentielt injurierende beskyldning om noget ondsindet – er i den seneste tid blevet udvandet til den noget blodfattige karakteristik “potentielt uønsket program”.

Det er som at kalde en bændelorm eller en igle for potentielt uønskede parasitter – vi ønsker under ingen omstændigheder at have noget at gøre med sådan nogle kryb. Men nu må vi endelig ikke krænke parasitterne, vel?
Malwareverdenen har udviklet sig – i 1980’erne og 1990’erne syntes den værste trussel at komme fra vira. Men hvad fik virusforfatteren ud af det, bortset fra at blive berygtet? Det er fint nok at være berygtet, når man bor i sine forældres kælder, men man kan ikke betale huslejen med det.

Når der så kommer en flink fyr med en pose penge og beder en skrive en værktøjsbjælke, som måske, måske ikke sender browseroplysninger om brugeren, som måske, måske ikke omhyggeligt har accepteret sådan noget i en 90 sider lang slutbrugeraftale, siger man næppe nej. Og så er vi i nutidens virkelige verden, hvor smarte folk fremstiller alle mulige former for tjenestepakker, som er vilde efter at komme ind i din pc.

Vores offer

Vi ville ikke drømme om at slippe internettets trusler løs på et rigtigt system – konsekvenserne er, så fantasien stejler, og ærlig talt orker vi ikke at geninstallere endnu et komplet system uden en god grund. I stedet tog vi en almindelig Windows 7 VirtualBox-klon, gav den 4 GB hukommelse at lege med og kørte den med fuld adgang til fire kerner i en Intel Core i5 2500K-processor.

Den havde en grundlæggende Windows 7-installation med sikkerhedspatches. Den havde også Microsoft Security Essentials kørende plus Internet Explorer 9, FireFox 23 og Chrome 29. Alle sikkerhedsindstillinger var sat til standardniveauerne. Det var altså ikke milevidt fra mange standardsystemer ude i den virkelige verden.

Systemet bootede på 22 sekunder og brugte 494 MB hukommelse uden nogen browsere indlæst. Det tal steg til 773 MB med alle de almindelige browsere i gang. Internet Explorer brugte 24 MB, FireFox 46 MB og Chrome 27 MB. Vi holder øje med, hvor grelle disse tal bliver for derved at regne ud, hvor stor en belastning en af disse add-ons kan være på rigtige systemer.

Hvilke tåbelige indfald har du fundet på, siden du kommer hjem med en kuffert fuld af luskede downloads? Tja, indfald så vanvittige som at søge i Google og klikke på de sponsorerede topresultater. Vanvittige, i sandhed. Det er ikke nemt præcist at definere vores metodologi på videnskabelig vis, men den bestod i hovedsagen af at søge efter “gratis X-downloads”, idet “X” er musik, skærmbeskyttere, spil og tapeter og derefter vælge en række resultater fra den første side. Ligesom man ville gøre i det virkelige liv.

Vi gjorde os ikke umage med at opstøve suspekte sites, selvom vi har hørt, at dem, der ender på RU, minder om det vilde vesten (eller er det den digitale østblok?).

Vi gik uden om legitime løsninger. Der er ikke den store idé i at installere Spotify, vel? Vi bør også nævne, at vi på vores relativt korte rejser også mødte legitime sites. Det er ikke helt umuligt at finde venlige mennesker og firmaer derude, det er blot sådan, at det modsatte synes at være reglen snarere end undtagelsen.

Adware breder sig

Man talte meget om malware og adware i halvfemserne og i nullerne, men der er øjensynlig ikke gjort noget for at hindre udbredelsen af adware. Al den software, vi prøvede, fungerede fint på et moderne Windows 7-system og sammen med de seneste versioner af alle browserne. På trods af browsernes sikkerhedsfunktioner er det nemt at tilføje add-ons og plugins, der ændrer de almindelige søgemaskiner og tilføjer egne værktøjsbjælker.

Ganske hurtigt faldt vi over konkurrerende systemer, der prøvede at genvinde kontrollen over standardsøgemaskinen – med masser af pop op-vinduer, fra systemdialogen til deres egne indbyggede advarsler om andre programmer, som prøver at ændre indstillingerne.

Den unødvendige og irriterende browserværktøjsbjælke er en af de mest udbredte metoder, som firmaerne bruger til at tvinge sig adgang til ens liv.
Det er en effektiv og iøjnefaldende reklameplads, hvor firmaerne kan falbyde deres reklamer og tjenester – alt imens den ligner en søgetjeneste.

Et postkasserødt banner fortalte os, at vi havde “6 beskeder” liggende, hvorefter vi meget passende blev sendt videre til et datingsite – nej, hvor sjovt.

En anden populær fremgangsmåde består i at bruge reklamer, der hævder, at ens pc er truet, eller at den er ved at løbe tør for plads. Denne phishing-teknik bruger en tilforladelig dialogboks med en knap, der skal kunne løse problemet. Vi faldt over en del af den slags på vores rejser og besluttede os for at installere et par af dem for at se, hvad resultatet ville blive.

Det er godt gjort, at et ressourceslugende program, som man ikke kan slukke for, og som kører af sig selv ved siden af Windows, skal fortælle os, at vores system er langsomt. Vi kom på et tidspunkt også ud for, at to installationer startede samtidig og kørte ved siden af hinanden.

Resultatet

Det tog mindre end en time at tvinge systemet i knæ. Det varede ikke længe, før FireFox og Internet Explorer begge kravlede af sted og af og til var ubrugelige. De var tilsyneladende frosset fast af add-ons. Chrome klarede sagerne lidt bedre. Ejendommeligt nok var en af de installerede pakker den Chrome-baserede Torch-browser, der øjensynlig afværgede mange af angrebene.

Boottiderne blev fordoblet og kom over 40 sekunder. Hvad der var mere irriterende, var, at visse programmer krævede opmærksomhed under bootning og fordrede administrator-godkendelse for at køre. Andre programmer havde simpelthen pop op-vinduer, der mindede os om, at vi skulle logge på deres tjenester. Et program ved navn Pokki, der virker som en legitim app-tjeneste, gik konsekvent ned ved start, selvom det virkede fint til at begynde med.

FireFox fik seks ekstra værktøjsbjælker, en ny startside, en ny standardsøgning og en række ekstra værktøjsbjælkeikoner. Værst gik det for Internet Explorer med syv nye værktøjsbjælker plus en ny startside og en søgemaskine med 24 add-ons. Det lykkedes Chrome at undgå nogle af disse problemer, men der kom alligevel en ny startside, et par nye værktøjsikoner og stærkt forøget brug af hukommelse.

Denne systempåvirkning betød, at starthukommelsen steg til 1,1 GB – en stigning på 600 MB. Med alle tre browsere kørende steg dette tal til 1,8 GB – mere end 1 GB over grundinstallationen. Internet Explorer gik 126 MB op til 150 MB, FireFox blev hårdest ramt med 186 MB i forhold til de oprindelige 46 MB, og Chrome gik det skidt med et spring fra 27 MB til 135 MB.

Hvad disse tal ikke viser tilstrækkelig tydeligt, er den ekstra byrde, som disse programmer lagde på browserne. Starttiderne for både FireFox og Internet Explorer blev sindsoprivende. Til tider måtte vi opgive en af dem, fordi browseren frøs mellem hænderne på os. Det var ikke en permanent tilstand, og vi kunne få adgang til add-on-managere, hvilket gjorde det muligt at rydde op.

Det var mere foruroligende, at processorbelastningen lå på over 30 procent, selvom der ikke var noget, der kørte. Med FireFox åben blev der brugt yderligere 25 procent, uden at der foregik noget. Det førte til en processorbelastning på næsten 60 procent. Vi nævnte, at vi havde Microsoft Security Essentials kørende, ikke? Og hvad gjorde den ved alle disse fiksfakserier? I det store og hele meget lidt.

Under hele proceduren fik vi to milde advarsler under installation af to downloads. Den ene blev highlightet som en software-bundler, DealPly, og den anden var adwaresystemet WebCake. Det er ikke nogen synderlig betryggende præstation fra det, som man håbede ville være et mere centraliseret system til blokering af den slags software.

Oprydning

En del af vores projekt bestod i at se, om det var muligt at føre systemet tilbage til dets oprindelige tilstand. En del af den forvirrende situation, når det gælder malware og potentielt uønskede programmer, er, at man kan fjerne de legitime elementer med Kontrolpanelets normale afinstalla-tionsfunktion. Vi begyndte der og afinstallerede de mere end 30 ting, der var dukket op.

Der er imidlertid et problem, som knytter sig til afinstallation, og det er, at fjernelse af programmer ikke netop har firmaernes første prioritet. BearShares afinstallationsfunktion var tilsyneladende låst, indtil vi med vold stoppede den kørende eksekverbare fil – hvorefter den stoppede korrekt.

Under vores mange afinstallationer kom vi til en browserside, der opfordrede os til at geninstallere produktet, og i et andet tilfælde kom der en phishingreklame, som bad brugeren klikke på en fupknap for at fjerne det hele. En anden afinstallation fjernede helt Stifinders brugerflade, og det ville være meget forvirrende for en uerfaren bruger.

I mange tilfælde efterlod installationen forskellige afinstallations-programmer til de enkelte produkter såsom FireFox’ og Internet Explorers værktøjsbjælker.

Imidlertid konstaterede vi efter en tur rundt i Kontrolpanelets afinstallation (efterfulgt af en hurtig genstart), at Windows nu var i langt bedre forfatning. FireFox beholdt stadig 7Go Game, LinkSwift og en deaktiveret BrowserPlus2-extension, men standard-startsiden og søgemaskinen blev ført tilbage. Internet Explorer slap også af med værktøjsbjælkerne, men beholdt en række søgningudbydere og startsiden. Noget lignende gjaldt Chrome, der kun beholdt en BrowserPlus2-extension af en alternativ startside.

Når vi kiggede dybere ned i systemerne, først med Microsoft Security Essentials, viste det sig, at WebCake havde efterladt forskellige Javascript-elementer, men andet blev der ikke fundet. Den gratis version af Spybot Search & Destroy var tilsyneladende mest interesseret i cookies. Trend Micro Hijack fandt et par suspekte sager i registreringsdatabasen, men ikke noget, der virkede alvorligt.

Det var Malwarebytes’ Anti-Malware, der fandt mest af det tiloversblevne drivtømmer. Det bestod hovedsagelig af efterladte installa-tionsfiler fra den række potentielt uønskede programmer, vi havde til at ligge og flyde.
Efter hovedrengøringen var systemet tilbage på at bruge 504 MB hukommelse (659 MB med alle tre browsere åbne). Det er mindre, end der oprindelig var, fordi vi havde ryddet startsiderne.

Vi var nok heldige med de fleste af de potentielt uønskede programmer, vi mødte, fordi de i høj grad afinstallerede sig selv. Det er dog skræmmende at se den skade, der kan komme ud af selv kort tids download af gratis pakker.

Truslen bliver mobil

I 2008, da McAfee begyndte at studere de farligste søgeord, var verden meget pc-centreret. Man kan forstå, at ord som “screensaver” og “download” stod så højt oppe på søgelisten. Det har ikke taget lang tid: I 2013 er brugen af tablets og mobile enheder eksploderet.

Pc’er er stadig meget udbredte, men nu bliver der brugt megen tid og meget arbejde af producenter og hackere på at fokusere på deres nye yndlingsplatforme: Android og Apple.

Ved mobile mål er formålet det samme: at prøve at vride penge ud af offeret. Det kan ske via irriterende reklamer, men man kan også tvinge mobiltelefoner til at sende tekstbeskeder og i ekstreme tilfælde installere key-logger-apps, der stjæler kodeord. Den form for aktiviteter er be-
kymrende, for den gør det muligt at foretage angreb på to-faktor-verifikationssystemer, der i almindelighed bliver betragtet som fuldstændig sikre.

Et andet potentielt område for angreb er et socialt netværk. Du har sandsynligvis for nylig set folk undskylde for at spamme andre fra et onlinespil, som de var i gang med at spille. Man prøver at udbrede det publikum, som disse malwareproducenter kan nå. En del af strategien består i at infiltrere folks sociale kanaler.

De tidlige forsøg har været primitive og nemme at afsløre og stoppe. Vi må formode, at dette uvæsen fortsætter, men det må være i de sociale netværks interesse at forsøge at lægge låg på denne form for destruktiv adfærd.

Det klogeste er at undgå farlige programmer, men hvordan ved man,
hvad man skal lede efter?

Forebyggelse er det bedste. Det bedste angreb er et godt forsvar og så videre; du er vist med. Det klogeste er at undgå disse prorammer. Det ved du, men det ved din far måske ikke, for ikke at tale om dine bedsteforældre. På vores computer så de fleste sites og links legitime ud.

Det er deres adfærd, der bør udløse alarmen. Google markerer og blokerer de værste sites, men det dækker ikke det, vi taler om her. Det samme gælder tilsyneladende for Internet Explorer SmartScreen-systemet.

Vi foreslår brugen af efternavnet Web Of Trust (WOT). Det tager brugerbedømmelser af sites og markerer dem, når man bruger en af de større søgemaskiner.

Man kan skræddersy advarslerne i overensstemmelse med ens behov. McAfee tilbyder med SiteAdvisor-system – der kan levere advarselsikoner mod sitesøgninger – er tilsvarende system. Men det virker ikke så følsomt over for sites som WOT, og det markerer heller ikke Google-reklamer.

Vores mål har ikke været at lave en stortest af malwaresoftware, men det var åbenlyst, at hvis man seriøst søger beskyttelse mod uønskede programmer, kan Microsoft Security Essentials ikke klare opgaven. Blandt de bedst kendte løsninger er MalwareBytes’ Anti-Malware sikkert den mest effektive.

Den fandt de fleste problemer på vores virtuelle system og tilbød at rydde godt op i dem. Men den bedste holdning består i undervisning og i at sikre, at venner og slægtninge ikke installerer disse sager.

Det er ikke så let at forstå, hvilke søgeord spammerne går efter ...

Spammere og hackere er ikke dumme. De er snedige folk, der ved, hvordan man bedst udnytter systemet. De søgeord, de bruger til at snyde folk, udvikler sig hen ad vejen. De går efter de mest udbredte økosystemer, men de satser også på de søgeord, folk bruger.

Vi koncentrerede os om generiske begreber som “gratis”, “musik” og “download”. De farligste ord skifter, afhængigt af hvor man bor.
Det drejer sig ikke blot om at undgå ord som “gratis” og “screensaver”.

Man skal være opmærksom på, hvilke sites der prøver at afsætte deres gratis tjenester, for ikke at tale om dem der prøver at invadere og beskadige ens system. McAfee har konstateret, at vilkårlige angreb er en stigende tendens. Hvis man kombinerer den med interessen for kendte mennesker, kan man skaffe sig en masse uønsket trafik på halsen. En anden tendens, der opstod i kølvandet på finanskrisen, er angreb på jobsøgende.

Men selv McAfee indrømmer, at sikkerheds-branchen ikke er enkel, selvom man kan bekræfte, at spammere fokuserer på sociale tendenser, når de udsøger sig deres ofre. Man ved ikke, hvordan eller hvorfor et specifikt søgeord bliver foretrukket frem for et andet, og der er kun ringe kendskab til, hvordan disse grupper arbejder.

Der er ikke meget håb at hente i det altoverskyggende råd til folk, der vil beskytte sig selv: »For forbrugerne betyder det, at det ikke er nok at forlade sig på intuition eller kendskab til fortidens risici, når man bruger internettet. Selv de mere teknisk avancerede brugere er udsat for risici.« Det lyder trist nok som endnu en smart fidus, der skal få os til at installere McAfee Site Advisor…