14
IDENTIFIKACE A ANALÝ ZA ŠKODLIVÉHO SOFTWA RU NA VYBRANÝCH PODEZŘE LÝCH WEBOVÝCH STRÁNKÁCH PORUŠUJÍCÍ CH AUTORSKÁ PRÁVA SHRNUTÍ Září 2018
IDENTIFIKACE A ANALÝZA ŠKODLIVÉHO SOFTWARU NA VYBRANÝCH PODEZŘELÝCH WEBOVÝCH
STRÁNKÁCH PORUŠUJÍCÍCH AUTORSKÁ PRÁVA
SHRNUTÍ
Září 2018
© Úřad Evropské unie pro duševní vlastnictví, 2018
Pořizování kopií je povoleno pod podmínkou uvedení zdroje.
Výtah Podezřelý obsah porušující autorská práva představuje značný zásah do práv duševního vlastnictví. Některé webové stránky takový obsah sdílejí veřejně, někdy dokonce zdarma bez jakékoli registrace. Společně s tímto obsahem tyto webové stránky běžně šíří různé druhy škodlivého softwaru a potenciálně nežádoucích programů, které uživatele vybízejí ke stažení a otevření těchto souborů. Studie nabízí přehled nejaktuálnějších příkladů škodlivého softwaru a potenciálně nežádoucích programů, které byly nalezeny na podezřelých webových stránkách porušujících autorská práva. Tyto programy využívají klamavé techniky a sociální inženýrství, např. instalace prázdných her nebo údajně „užitečný“ software, k tomu, aby z koncových uživatelů podvodně vymámily citlivé informace. Během studie byla odhalena celá řada potenciálně nežádoucích programů, jako je „užitečný“ software, falešné instalační programy her nebo klienti pro videostreamingové platformy. Tento software nemusí pro uživatele softwaru nebo hardwaru nutně představovat přímé riziko. Avšak lstí sociálního inženýrství by uživatel mohl být přesvědčen ke sdělení citlivých osobních informací nebo údajů o platební kartě. Navíc by se bez výslovného souhlasu uživatele mohly k dalším stranám dostat informace o samotném počítači. Výzkumný tým Výzkumný tým tvořila Francesca Bosco, programová pracovnice institutu UNICRI, a Andrij Šalaginov, Ph.D., výzkumný pracovník v oboru informační bezpečnosti na katedře informační bezpečnosti a komunikační technologie (skupina pro digitální forenzní vědy) na Fakultě informačních technologií a elektroinženýrství Norské univerzity vědy a technologie. Prohlášení o vyloučení odpovědnosti V této souvislosti je zapotřebí zdůraznit, že jediným cílem tohoto výzkumu bylo určit technické charakteristiky škodlivého softwaru a potenciálně nežádoucích programů, s nimiž se výzkumný tým během studie setkal a s nimiž by se mohli setkat uživatelé internetu při hledání podezřelého obsahu porušujícího autorská práva. Zdokumentované příklady škodlivého softwaru a potenciálně nežádoucích programů nelze pokládat za vyčerpávající a cílem studie (nebo jejích výsledků) nebylo ani hodnocení celkové pravděpodobnosti či rizika nákazy škodlivým softwarem a potenciálně nežádoucími programy, s nimiž by se uživatel internetu setkal při hledání podezřelého materiálu porušujícího autorská práva.
Úvod Podezřelé online aktivity porušující autorská práva lze financovat různými způsoby, včetně předplatného, darů, plateb za doplňkové služby a příjmů z online reklamy. Ne všechny prostředky financování jsou však tak neškodné jako uvedené příklady. Již léta má v souvislosti s financováním podezřelých aktivit porušujících autorská práva na internetu klíčový význam šíření nákazy škodlivým softwarem a dalšími druhy potenciálně nežádoucích programů. Běžní uživatelé internetu si začínají uvědomovat rizika nákazy při otevírání podezřelých webových stránek nebo mobilních aplikací porušujících autorská práva. Srovnávací přehled úřadu EUIPO z roku 2015 týkající se mládeže a duševního vlastnictví ukázal, že 52 % mladých se domnívá, že při otevírání online obsahu je důležitá bezpečnost webové stránky. Celkem 78 % mladých uvedlo, že by si jeho otevření dvakrát rozmysleli, pokud by si byli vědomi rizika, že by se počítač nebo zařízení mohly nakazit viry či škodlivým softwarem. Celkem 84 % mladých konstatovalo, že by si jeho otevření dvakrát rozmysleli, pokud by si byli vědomi rizika, že by mohlo dojít ke krádeži údajů o kreditní kartě. Při výzkumu pro tuto studii si úřad EUIPO vytyčil technicky velmi náročný úkol, a sice odhalit a zdokumentovat příklady škodlivého softwaru a potenciálně nežádoucích programů, s nimiž by se uživatel internetu mohl setkat ve snaze dostat se k pirátským kopiím oblíbených filmů, hudby, videoher a televizních pořadů. V této souvislosti je zapotřebí zdůraznit, že jediným cílem tohoto výzkumu bylo určit technické charakteristiky škodlivého softwaru a potenciálně nežádoucích programů, s nimiž se výzkumný tým během studie setkal a s nimiž by se mohli setkat uživatelé internetu při hledání podezřelého obsahu porušujícího autorská práva. Zdokumentované příklady škodlivého softwaru a potenciálně nežádoucích programů nelze pokládat za vyčerpávající a cílem studie (nebo jejích výsledků) nebylo ani hodnocení celkové pravděpodobnosti či rizika nákazy škodlivým softwarem a potenciálně nežádoucími programy, s nimiž by se uživatel internetu setkal při hledání podezřelého materiálu porušujícího autorská práva. Výzkum proběhl v několika fázích v úzké spolupráci s Evropským centrem pro boj proti kyberkriminalitě (EC3) spadajícím pod Europol. Výsledky ukazují širokou škálu různých hrozeb škodlivého softwaru a potenciálně nežádoucích programů, s nimiž by se uživatel internetu mohl setkat při hledání podezřelého obsahu porušujícího autorská práva. Většinu zdokumentovaného škodlivého softwaru a potenciálně nežádoucích programů lze popsat jako trojské koně nebo jiný nežádoucí software, který je schopen získat neoprávněný přístup k osobním údajům uživatelů internetu. Tyto příklady budou relevantní a zajímavé nejen pro komunitu držitelů autorských práv, ale i pro orgány dohlížející na dodržování zákona a v neposlední řadě i pro spotřebitele, které znepokojuje možnost, že by někdo mohl získat přístup k jejich osobním údajům bez jejich svolení.
Shrnutí Studie nabízí přehled nejaktuálnějších příkladů škodlivého softwaru a potenciálně nežádoucích programů, které byly nalezeny na podezřelých webových stránkách porušujících autorská práva. Tyto programy využívají klamavé techniky a sociální inženýrství, např. instalace prázdných her a údajně „užitečný“ software, k tomu, aby z koncových uživatelů podvodně vymámily citlivé informace. Cílem této studie je odhalit a zdokumentovat škodlivý nebo jinak nežádoucí software šířený na vybraných webových stránkách, které jsou podezřelé z porušování autorských práv, a zařadit zjištěné příklady do kategorií v souladu s různými taxonomiemi škodlivého softwaru. V této souvislosti je zapotřebí zdůraznit, že jediným cílem této studie bylo určit technické charakteristiky škodlivého softwaru a potenciálně nežádoucích programů, s nimiž se výzkumný tým během studie setkal a s nimiž by se mohli setkat uživatelé internetu při hledání podezřelého obsahu porušujícího autorská práva. Zdokumentované příklady škodlivého softwaru a potenciálně nežádoucích programů nelze pokládat za vyčerpávající a cílem výzkumu (nebo jeho výsledku) nebylo ani hodnocení celkové pravděpodobnosti či rizika nákazy škodlivým softwarem a potenciálně nežádoucími programy, s nimiž by se uživatel internetu setkal při hledání podezřelého materiálu porušujícího autorská práva. Pro účely této studie jsou za obsah chráněný autorskými právy pokládány televizní pořady, filmy, hudba a videohry. Výsledky studie Podezřelý obsah porušující autorská práva představuje výrazný zásah do práv duševního vlastnictví. Některé webové stránky takový obsah sdílejí veřejně, někdy dokonce zdarma bez jakékoli registrace. Společně s takovým obsahem tyto webové stránky běžně šíří různé druhy škodlivého softwaru a potenciálně nežádoucích programů, které vybízejí uživatele ke stažení a otevření takových souborů. Během identifikace webových stránek na základě hodnocení Alexa Top 500, navíc k simulaci vyhledávání průměrným uživatelem pomocí známých vyhledávačů, jako například Google, Yahoo nebo Bing, bylo zjištěno, že se skupina webových stránek mezi oběma koly studie změnila. Tato změna je pravděpodobně výsledkem snah vyhledávačů odstraňovat odkazy na podezřelé webové stránky porušující autorská práva, i když se neustále objevují nové podezřelé webové stránky. V souvislosti s identifikací webových stránek byla zjištěna jedna zajímavá věc – převážná většina webových stránek totiž pochází ze Spojených států amerických nebo je jejich název domény spojen s tamními poskytovateli. Naopak jen několik se jich nachází na serverech v EU. Kromě toho nejčastějšími názvy domén nejvyšší úrovně, které používají podezřelé webové stránky porušující autorská práva, jsou .com a .net. Příčinou může být skutečnost, že na rozdíl od domén specifických pro jednotlivé země tyto domény nevyžadují nutně identifikaci uživatele cestovním pasem nebo jiným dokladem totožnosti. Mezi oběma koly identifikace bylo v průměru přidáno 20 % nových webových stránek a 20 % starých webových stránek bylo odstraněno. Kromě toho téměř 8 % webových stránek identifikovaných v obou kolech označila platforma VirusTotal za škodlivé. Za pomoci různých systémů pro správu obsahu lze dnes téměř bez námahy založit webovou stránku a poskytovat uživatelům obsah, a dokonce i škodlivé aplikace. Před sběrem škodlivého softwaru se tato studie zapojila v roce 2017 do dokumentární prověrky hrozeb škodlivého softwaru a kategorizace stavu techniky. Tento soubor poznatků byl dále využíván během analýzy škodlivého softwaru, aby se dodržely obecně přijímané zásady při identifikaci typů a skupin škodlivého softwaru. Celkově bylo během obou kol sběru údajů shromážděno 106 souborů. Jsou mezi nimi soubory stažené přímo z podezřelých webových stránek porušujících autorská práva, jakož i soubory, které byly vytvořeny během spouštění stažených souborů. Během studie byla odhalena celá řada potenciálně nežádoucích programů, jako je „užitečný“ software, falešné instalační programy her nebo klienti pro videostreamingové
platformy. Takový software nemusí pro uživatele softwaru nebo hardwaru nutně představovat přímé riziko. Avšak lstí sociálního inženýrství by uživatel mohl být přesvědčen ke sdělení citlivých osobních informací nebo údajů o platební kartě. Navíc by se bez výslovného souhlasu uživatele mohly k dalším stranám dostat informace o samotném počítači. Shromážděný škodlivý software byl nejprve zanalyzován pomocí volně šiřitelných nástrojů s cílem pochopit interní logiku, odhalit možné škodlivé aktivity a vyhodnotit jejich význam pro tuto studii o škodlivém softwaru. Kromě předběžné analýzy pomocí volně šiřitelných nástrojů byla provedena i analýza shromážděných vzorků škodlivého softwaru pomocí platformy Europolu určené k řešení analýzy škodlivého softwaru (EMAS). Výsledkem bylo odhalení velkého počtu různých artefaktů a škodlivých aktivit. Součástí zpráv EMAS je komplexní analýza souborů využívající čtyři verze MS Windows, kde je pro účely další analýzy důkladně zaprotokolován síťový provoz, vyvolání funkčního postupu a aktivity na disku. Platforma navíc upozorňuje na jakékoli podezřelé aktivity odhalené během rutinních postupů spouštění souborů. Po analýze všech zpráv zaevidovala platforma EMAS 35 typů škodlivých aktivit, které jsou shrnuty do 17 tříd škodlivých událostí. Zahrnují různé procesy počínaje obecnými anomáliemi (jako jsou procesy spouštění systému nebo procesy vyhledávání v paměti) a konče jasně škodlivými akcemi (jako je snímání stisků kláves (keylogger), rootkity, maskující přítomnost škodlivého softwaru, nebo manipulace síťovým provozem). Binární vzorky škodlivého softwaru a potenciálně nežádoucích programů, které byly shromážděny, odhalily několik různých obecných obchodních modelů: „užitečné“ programy tvrdící, že na základě zaplaceného předplatného odstraní staré soubory z počítače uživatele; simulátory instalací her, které vyžadují osobní údaje uživatele, a bezplatné programy nabízející přístup na platformy, které šíří pirátský obsah, např. pomocí trackeru BitTorrent. Obě kola identifikace webových stránek a sběru škodlivého softwaru přinesla slibné výsledky, pokud jde o pochopení metod šíření škodlivého softwaru a sociálního inženýrství při získávání citlivých osobních informací. Kromě toho zvýšená oblíbenost mobilních zařízení v posledních letech je zjevná, pokud jde o odhalení mnoha potenciálně nežádoucích programů pro operační systém Android, dostupných prostřednictvím podezřelých platforem pro šíření obsahu porušujícího autorská práva. Na základě srovnání analýz bylo vyvozeno, že rizikové prostředí, které představuje škodlivý software šířený prostřednictvím webových stránek porušujících autorská práva, je propracovanější, než by se mohlo na první pohled zdát. Některý z odhaleného softwaru lze navíc klasifikovat jako trojské koně, program s reklamou (adware), „zadní vrátka“ (backdoor) nebo softwarový agent. To umocňuje skutečnost, že bylo nalezeno i mnoho specifických skupin škodlivého softwaru, jako jsou WisdomEyes, DealPly a FileRepMalware. Navíc taková komplexní kategorizace neplatí pouze pro Microsoft Windows, ale stejnou měrou i pro platformu Android. Existuje široká škála hrozeb pro majetek uživatelů, mimo jiné například krádež citlivých přihlašovacích údajů, osobních údajů a informací o konfiguraci hardwaru nebo modifikace síťového provozu. Proto i když se v případě identifikovaného softwaru může jednat o potenciálně nežádoucí programy, mohou i přesto mít dopad na uživatele, zejména průměrného uživatele, který si nemusí být plně vědom základních bezpečnostních postupů a opatření na internetu.
Příklady zjištění studie jsou uvedeny níže.
Webová stránka navádí uživatele, aby použili falešnou
instalaci hry; celý proces získávání citlivých informací od
uživatele se ve druhém kole sběru škodlivého softwaru oproti prvnímu kolu změnil.
Uživatel této služby si stáhne složku, jejíž obsah je
maskovaný jako soubory související s hrou, a nikoli jasně binární spustitelný soubor, který by jakýkoli antivirový program
mohl odhalit jako škodlivý. Zašifrovaná složka uděluje
přístup pouze k názvům souborů, nikoli však k jejich
skutečnému obsahu.
Webová stránka nabízí přístup k jakémukoli druhu video obsahu
dostupnému prostřednictvím torrent trackerů pomocí softwarového
nástroje. Tento nástroj vyžaduje oproti jiným trackerům BitTorrent
méně uživatelských interakcí. Ke stažení obsahu z neznámých
zdrojů stačí několik kliknutí, zatímco uživatel není ani chráněn, ani nemá
kontrolu nad tím, co stahuje.
(Android) Tato webová stránka poskytuje přístup k řadě
bezplatných mobilních aplikací bez registrace. Jedna z aplikací poskytuje neomezený přístup
ke streamování televizních pořadů a filmů. K nákupu
přístupu k videím chráněným autorskými právy nejsou
výslovně požadovány citlivé informace o uživateli nebo jeho platební údaje. Uživatel však
musí deaktivovat bezpečnostní nastavení, které umožní
instalaci jiných aplikací než aplikací z oficiálního trhu
s aplikacemi.
Metodika Pro účely realizace výzkumu bylo nutné přijmout spolehlivou metodiku, která by řešila výběr titulů a webových stránek, jakož i technicky náročný úkol odhalení a dokumentace příkladů nalezeného škodlivého softwaru a potenciálně nežádoucích programů. Metodika je popsána v níže uvedeném stručném přehledu: 1. Ve fázi I výzkumu institutu UNICRI, ve spolupráci s Evropským střediskem pro sledování
porušování práv duševního vlastnictví (dále jen „středisko“) byla vytvořena skupina odborné podpory, jejímž úkolem bylo poskytovat poradenství v oblasti metodiky výzkumu, výběru webových stránek použitých k analýze a vyhodnotit provedený výzkum v každé fázi realizace projektu. Skupina odborné podpory byla složená ze zástupců zúčastněných subjektů střediska, organizací držitelů práv, akademické obce, orgánů dohlížejících na dodržování zákona a agentur EU.
2. Souběžně byl vybrán výzkumný tým. V rámci této zprávy nebylo technicky možné
1 provést
výzkum ve všech členských státech EU, proto bylo ve fázi II z 28 členských států EU náhodně vybráno deset modelových zemí.
3. Ve fázi III byly identifikovány oblíbené filmy, televizní pořady, skladby a videohry. Oblíbenost
zahrnovala celosvětovou oblíbenost, jakož i oblíbenost v pouze jedné nebo několika z deseti modelových zemí na začátku období sběru údajů, tj. k 23. červnu 2017. V následných fázích studie byly tyto vybrané tituly systematicky využívány při online vyhledávání webových stránek a mobilních aplikací porušujících autorská práva. Každý titul splňoval minimálně dvě z následujících kritérií:
byl v době sběru údajů oblíbený v členských státech EU,
1 Počet vybraných zemí bude mít přímý dopad (zvýšení) na počet vybraných podezřelých webových stránek porušujících autorská práva a odpovídajících binárních souborů pro analýzu. Bylo tudíž rozhodnuto, že pozornost bude zaměřena pouze na vzorek zemí, aby bylo možné praktickou část studie úspěšně provést v daném časovém rámci.
Webová stránka 08
Webová stránka 03 Webová stránka 09
byl v době sběru údajů oblíbený v celosvětovém měřítku,
byl oblíbený v celosvětovém měřítku z historického hlediska, a
byl zařazen do kategorie film, televizní pořad, skladba nebo videohra.
Bylo vybráno pět filmových titulů, pět televizních titulů, pět hudebních titulů a pět titulů videoher, a výsledkem tak bylo dvacet vybraných titulů. Byly pečlivě zváženy zdroje používané k identifikaci oblíbenosti konkrétního titulu. Součástí byl systematický proces výběru, aby bylo zajištěno, že zdrojové údaje budou dostupné pro všechny nebo většinu členských států.
4. Ve fázi IV byly identifikovány webové stránky, u nichž existovalo podezření, že poskytují
neoprávněný přístup k materiálu chráněnému autorskými právy, a které byly k 26. červnu 2017 oblíbené po celém světě a/nebo v deseti modelových zemích (první kolo sběru škodlivého softwaru). V pozdější fázi studie byla provedena analýza těchto webových stránek k zjištění přítomnosti škodlivého softwaru a potenciálně nežádoucích programů.
S přispěním skupiny odborné podpory určené ve fázi I, jakož i po přezkumu stávající literatury institutem UNICRI byla vytvořena metodika určování podezřelých webových stránek porušujících autorská práva. Byla speciálně navržena tak, aby z ní vzešel vzorek webových stránek, které:
jsou oblíbené v jednotlivých členských státech EU a zajišťují tak široké zeměpisné pokrytí,
představují různé typy podezřelých webových stránek porušujících autorská práva, včetně streamingových webových stránek, spojujících webových stránek, hostingových webových stránek, tzv. cyberlockerů a torrentových webových stránek,
představují širokou škálu podezřelého obsahu porušujícího autorská práva, včetně filmů, televizních titulů, hudby a videoher, a
představují webové stránky, s nimiž by se průměrný uživatel internetu setkal při pokusu o přístup k podezřelému materiálu porušujícímu autorská práva.
Výběr podezřelých webových stránek porušujících autorská práva probíhal v pěti krocích. Úkolem prvních tří kroků byla identifikace nejoblíbenějších podezřelých webových stránek porušujících autorská práva napříč členskými státy EU. Tato metoda napodobila ty scénáře, v nichž by průměrný uživatel mohl vyhledávat podezřelé webové stránky porušující autorská práva, bez upřesnění například názvu filmu či skladby. V posledních dvou krocích měly být identifikovány podezřelé webové stránky porušující autorská práva, s nimiž by se průměrný uživatel mohl setkat při hledání způsobů, jak si stáhnout konkrétní oblíbený titul, a to bez upřesnění webové stránky. Tento krok byl obzvláště významný vzhledem k přítomnosti podezřelých škodlivých webových stránek, které korumpují výsledky vyhledávání, k čemuž využívají aktuální témata prostřednictvím optimalizace vyhledávače. Oba přístupy společně obsáhly různé způsoby, jakými by se průměrný uživatel internetu pokusil najít online podezřelý materiál porušující autorská práva.
Důraz byl kladen na souběžnou analýzu škodlivého softwaru a potenciálně nežádoucích programů specifických pro mobilní aplikace na zařízeních, jako jsou chytré telefony a tablety, coby jedné z klíčových vznikající hrozeb kyberkriminality. Analýza se z důvodu náznaků ve stávající literatuře, že v obchodech s aplikacemi pro Android (tj. Google Play) je škodlivý software přítomen častěji než v obchodech Apple iTunes, omezila na zařízení s operačním systémem Android. Metodika byla navržena tak, aby z ní vzešel vzorek mobilních aplikací, které:
jsou oblíbené v době sběru údajů v celosvětovém měřítku,
představují různé typy aplikací (včetně streamingových, torrentových a hostingových aplikací),
obsahují nebo poskytují přístup k široké škále podezřelého obsahu porušujícího autorská práva (včetně filmů, televizních titulů, hudby a mobilních her), a
představují to, s čím se průměrný uživatel mobilního zařízení setká při pokusu o stažení nebo používání aplikace, která umožňuje přístup k podezřelému obsahu porušujícímu autorská práva.
5. Fáze V spočívala ve sběru škodlivého softwaru a potenciálně nežádoucích programů navíc
k mobilním aplikacím na identifikovaných webových stránkách. Tento software a programy měly být v pozdějším stadiu řádně zařazeny do kategorií. Fázi získávání údajů tvořila dvě kola sběru škodlivého softwaru a analýzy, která proběhla v létě 2017. Výsledkem prvního kola sběru škodlivého softwaru bylo 1 054 unikátních názvů domén a výsledkem druhého kola bylo 1 057 unikátních názvů domén v deseti vybraných členských státech EU. Škodlivý software byl shromažďován manuálně i automaticky s cílem simulovat zkušenost průměrného uživatele.
Manuální sběr Součástí této metody byl manuální přezkum domén identifikovaných v předchozí fázi. Díky manuálnímu sběru mohl odborník simulovat zkušenost průměrného uživatele internetu tím, že klikal na reklamy a tím, že probíhala vzájemná interakce mezi ním a webovými stránkami, které vyžadovaly výzvy. Automatický sběr Tato metoda využívala automatický webový bot, který byl navržen odborníkem, aby sledoval všechny dostupné odkazy na identifikované podezřelé webové stránce porušující autorská práva. Zaprvé, na jakékoli dané webové stránce bot v první řadě shromáždil informace z odkazů na domovské stránce. Zadruhé, sledoval všechny tyto odkazy na sekundární webové stránky. Zatřetí, sledoval všechny tyto odkazy na terciární webové stránky. V každém kroku vyhledal binární soubory, které by mohly být zajímavé pro následnou manuální analýzu, včetně potenciálního nebo podezřelého škodlivého softwaru a potenciálně nežádoucích programů. Tento proces byl využit až u 1 000 odkazů na webovou stránku.
6. Po shromáždění binárních souborů byly tyto soubory zanalyzovány v bezpečném
počítačovém prostředí s cílem pochopit jejich interní funkčnost a řádně je kategorizovat. Pomocí volně šiřitelných nástrojů byla provedena předběžná analýza, na jejímž základě bylo možné porovnat zjištění se zprávami o kybernetických hrozbách. Shromážděné vzorky softwaru pak byly doručeny platformě EMAS k analýze; ta poté byla porovnána s předběžnými výsledky.
Přehled metodiky
Vzorky odhaleného škodlivého softwaru a potenciálně nežádoucích programů K 28. červenci 2017 bylo během prvního kola sběru automaticky zkontrolováno 5 240 webových stránek (1 054 unikátních) s 617 vyhledanými relevantními soubory (hudba, video, torrentové soubory a software) o celkovém objemu 47 GB. Tento nevytříděný balík souborů si vyžádal další analýzu, aby bylo možné určit, které shromážděné soubory jsou pro studii relevantní. Vzorky webových stránek porušujících autorská práva byly ve všech deseti modelových zemích u každého typu média (televizní pořady, filmy, hudba a videohry) podobné. Na základě toho byla z modelových zemí náhodně vybrána Belgie a všechny webové stránky identifikované jako webové stránky porušující autorská práva v případě Belgie byly manuálně zkontrolovány, zda neobsahují škodlivý nebo jinak nežádoucí software. Dne 10. srpna 2017, po druhém kole sběru, bylo z webových stránek pro všechny země automaticky získáno celkem 3 665 souborů o celkovém objemu 167 GB. Pro všechny země bylo vyextrahováno celkem 1 057 unikátních adres URL z 5 606 webových stránek, což znemožnilo jejich manuální kontrolu. Po předběžné analýze shromážděných souborů bylo na základě obou kol sběru škodlivého softwaru získáno 106 unikátních binárních souborů pro MS Windows, Android a Mac OS. Přesněji, 41 souborů bylo vybráno během prvního kola a 65 jich bylo vybráno během druhého kola, konkrétně 2 pro Mac, 15 pro Android a 89 pro MS Windows. Z těchto souborů lze 21 považovat za známé škodlivé programy, které takto označilo více dodavatelů antivirových programů a které jsou agregovány na platformě VirusTotal. Jsou mezi nimi soubory stažené přímo z vybraných webových stránek porušujících autorská práva, jakož i soubory, které byly vytvořeny během spouštění stažených souborů. Následně byly shromážděné vzorky softwaru zanalyzovány v prostředí sandboxu a doručeny platformě EMAS pro pokročilejší analýzu možných škodlivých aktivit. Celkově bylo ve čtyřech zprávách EMAS odhaleno pro všechny binární soubory 821 různých škodlivých událostí (Windows 7 SP1, Windows7 SP1 64bitová verze, Windows 10
Výběr zemí pro analýzu
Identifikace titulů pro analýzu
Identifikace webových stránek a mobilních aplikací
porušujících autorská práva
Sběr škodlivého softwaru
Analýza binárních vzorků
64bitová verze, Windows XP SP3). Některé ze zpráv nezmiňovaly žádné podezřelé aktivity a některé z nich uváděly až deset již známých škodlivých aktivit. Během závěrečné fáze studie byly výsledky předběžné analýzy srovnány s výsledky zpráv EMAS. Kvantitativní shrnutí výsledků obsahuje níže uvedená tabulka.
1. kolo 2. kolo
Datum 28. července 2017 10. srpna 2017
Odhalené webové stránky v 10 zemích EU
5 240 5 606
Unikátní webové stránky 1 054 1 057
Relevantní soubory 617 3 6652
Velikost relevantních souborů, GB
47 167
Doručeno platformě EMAS
Android 3 12
Mac OS 2 –
MS Windows 36 53
Celková velikost, byte 175 600 117 522 991 095
Řešení Europolu pro analýzu škodlivého softwaru (EMAS) Řešení Europolu pro analýzu škodlivého softwaru (EMAS) je dynamické, automatické řešení analýzy škodlivého softwaru, které Europol poskytuje členským státům EU. EMAS nabízí možnost vytvářet analytické zprávy, ale jeho nejvíce revolučním znakem je tvorba zpravodajských informací pro policejní vyšetřovatele. Automatické křížové kontroly mohou ukázat vazby mezi útoky v různých zemích s týmž škodlivým softwarem, který se připojuje ke stejným doménám a souvisí s různými vyšetřovanými případy v EU i mimo ni, nebo s týmž zločinným spolčením ukrytým za stejnou skupinou škodlivého softwaru. V roce 2015 bylo řešení EMAS plně automatizováno, což umožnilo přímý přístup účastníkům z řad orgánů dohlížejících na dodržování zákona, s nimiž má Europol operativní dohody. V roce 2015: bylo v EMAS zanalyzováno 525 108 souborů, z nichž 356 863 bylo označeno za škodlivé.
Jak ukazuje obrázek níže, lze shromážděné binární soubory obecně kategorizovat podle škodlivosti jako neškodné (soubory, které nezpůsobují žádnou újmu), potenciálně nežádoucí programy a škodlivý software. Potenciálně nežádoucí programy navíc nebyly objeveny jen pro Microsoft Windows; byly nalezeny i pro Android a Mac OS, což naznačuje, že se vývojáři škodlivého softwaru používáním různých platforem snaží zasáhnout co nejvíce uživatelů. Potenciálně nežádoucí programy a škodlivý software lze dále rozlišit podle hlavních typů škodlivého softwaru, tj. trojské koně, bezplatný program s reklamou (adware) a „zadní vrátka“ (backdoor). Nalezený software spadal z větší části do kategorie potenciálně nežádoucích programů. Fungování potenciálně nežádoucích programů lze spojit s jedním z následujících obchodních modelů: falešné instalace her vyžadující osobní údaje a údaje o bankovním účtu, stažení „užitečných“ programů, které nutí uživatele kupovat si předplatné na placenou verzi, nebo instalace bezplatných programů pro přístup na platformy porušující autorská práva. Tyto aplikace mohou ohrozit osobní údaje a konfiguraci počítače uživatelů. Pomocí triků sociálního inženýrství mohou být vyzrazeny i různé druhy soukromých údajů, jako jsou údaje o platební kartě, osobní
2 Rozdíl mezi údaji z prvního a druhého kola způsobila během druhého kola automatického sběru existence webových stránek, které na každé své stránce zveřejňovaly několik skupin souborů.
informace a přihlašovací údaje k účtům na sociálních médiích. Výzkum také identifikoval 15 aplikací pro operační systém Android z trhů s aplikacemi třetích stran a po předběžné analýze došel k závěru, že se takové aplikace mohou podílet na šíření obsahu porušujícího autorská práva a na vyzrazování osobních údajů. Škodlivost
Typy škodlivého softwaru
Hrozby pro koncové uživatele V průběhu dvou kol identifikace webových stránek a analýzy škodlivého softwaru nebyly nalezeny žádné ransomwarové binární soubory. Většinu shromážděného škodlivého softwaru lze obecně charakterizovat jako trojské koně, což znamená, že se na webových stránkách možná vyskytují jako neškodný běžně používaný nebo oblíbený software, ale ve skutečnosti mohou ukrást nebo vyzradit soukromé informace. Nezkušený uživatel může softwaru do značné míry důvěřovat a nemusí si všimnout žádných abnormalit. Kromě toho by statická analýza a pozorování dynamického chování takového softwaru bez zdrojového kódu nemusely odhalit jeho plnou funkci. Po předběžné analýze škodlivého softwaru analýza EMAS ukázala konkrétnější škodlivé aktivity. Důsledky instalace tohoto softwaru na počítači koncového uživatele by mohly být značné a nemusely by způsobit pouze finanční ztráty, ale i krádež osobních údajů a jiná rizika nežádoucího přístupu a ovládání. Výsledkem těchto aktivit může dle očekávání být shromažďování osobních údajů a jejich předávání třetím stranám v zašifrovaném nebo otevřeném textovém formátu. Takové údaje by mohly obsahovat například přihlašovací údaje k bankovnímu účtu z prohlížeče, podrobnosti o konfiguraci hardwaru/softwaru počítače nebo v zásadě cokoli, co uživatel napíše na klávesnici.
Čisté Potenciálně nežádoucí programy
Škodlivý software
Bezplatný software
s reklamou
Trojský kůň Zadní vrátka
© Úřad Evropské unie pro duševní vlastnictví, 2018
Pořizování kopií je povoleno pod podmínkou uvedení zdroje.
IDENTIFIKACE A ANALÝZA ŠKODLIVÉHO SOFTWARU NA VYBRANÝCH PODEZŘELÝCH WEBOVÝCH STRÁNKÁCH PORUŠUJÍCÍCH AUTORSKÁ PRÁVA SHRNUTÍ Září 2018
