Achtergrond

Security Tip van de Week: voorkom toolbars en andere PUPs

dinsdag 15 oktober 2013, 14:12 door Sabrina Berkenkopf, 18 reacties

Technische fora staan vol met vragen en klachten over "Potentially Unwanted Programs", kortweg PUPs. Gebruikers klagen dat 'een virus hun browser heeft geïnfecteerd' of dat 'een toolbar de pc heeft gehackt' en de angst is groot.

Echter, het gaat hier niet om traditionele malware en de meeste van deze ‘infecties’ kunnen goed worden voorkomen. Jammer genoeg is het onderwerp PUPs vrij ingewikkeld voor zowel gebruikers als voor de AV-industrie. PUPs zijn geen traditionele malware.

De term malware beschrijft software die is bedoeld om schade toe te brengen aan het geïnfecteerde apparaat of om informatie te stelen die kan worden gebruikt om criminele activiteiten te ontplooien, zoals identiteitsdiefstal en fraude. De scheidingslijn met vervelende software als adware of PUPs is niet helemaal helder, maar toch lijken deze laatste programma’s niet helemaal onder de definitie van malware te vallen.

Er wordt vaak van AV-ontwikkelaars gevraagd om hun software aan te passen, zodat PUPs worden gedetecteerd en geblokkeerd. Maar PUPs maken geen misbruik van beveiligingslekken om een systeem te infecteren. In plaats daarvan installeren gebruikers de PUPs zelf, meestal zonder dat ze zich daar bewust van zijn. Beveiligingssoftware bemoeit zich niet met software die niet (echt) schadelijk is en waarvoor de gebruiker zelf toestemming geeft om die te installeren.

PUPs doen meestal geen prettige zaken. Meestal veranderen ze de browser settings (browser hijackers), tonen ongewilde advertenties (adware), bespioneren de gebruiker op de achtergrond (spyware) en soms nestelen ze zich diep in het systeem. Maar in de strikte zin van het woord, doen ze niet echt iets kwaadaardigs. Er zijn mensen die deze functies wel willen gebruiken, vandaar de naam ‘Potentially’ Unwanted Programs.

Lucratieve zaak

In de meeste gevallen wordt van populaire, gratis programma’s een nieuwe executable gemaakt, waar ook een PUP aan wordt toegevoegd (bundling). Deze executable wordt via onofficiële downloadsites aangeboden. Er wordt uiteraard alleen gesproken over het populaire programma in de omschrijving, die in feite als aas werkt. Door middel van manipulatie van search engine optimalisatie worden deze sites goed gevonden bij zoekopdrachten naar het populaire programma.

Overigens zijn er ook veel bonafide software-ontwikkelaars die hun populaire programma’s zelf bundelen met programma’s die als PUPs kunnen worden beschouwd. Er bestaan legitieme bedrijven die speciale PUP-distributiediensten aanbieden en er wordt in deze bedrijfstak veel geld verdiend.

Zelf de-installeren

Gedurende de installatie van de gebundelde executable, wordt de gebruiker meestal de optie voorgelegd om kleine 'behulpzame' tools mee te installeren, zoals bijvoorbeeld toolbars. Standaard staand de vakjes voor de installatie hiervan aangevinkt en moet de gebruiker er zelf aan denken om de vinkjes weg te halen. Dit wordt vaak over het hoofd gezien tijdens een –over het algemeen snel en gemakkelijk- installatieproces waarbij in principe alleen een paar keer op 'Volgende' en een keer op ‘Voltooien’ moet worden geklikt.

Er zijn ook gevallen waarin een 'Overslaan' knop grijs is gemaakt, waarmee de indruk wordt gewekt dat de optie om zo’n hulpprogramma niet te installeren niet kan worden geselecteerd. In zo’n geval zullen veel gebruikers automatisch op ‘Verder’ klikken, omdat dat de enige optie lijkt. Een andere methode die gebruikt wordt is het onbegrijpelijk maken van de tekst in het dialoogvenster. Zo wordt er gebruikt gemaakt van dubbele ontkenningen, waardoor het heel moeilijk wordt om te kiezen tussen 'ja' en 'nee'.

PUPs die het wel heel bont maken, zijn degene die beloven bescherming te bieden tegen malware en PUPs. Zoals bij veel nep-antivirusprogramma’s zijn er hulpfuncties die de gebruiker geld kosten.

Het is heel terecht dat PUPs worden gezien als een plaag en veel AV-softwareontwikkelaars zouden veel van deze programma’s direct op de zwarte lijst willen plaatsen. Maar dat is juridisch gezien niet mogelijk, omdat het om legale programma’s gaat, waar de gebruiker (vaak meer in praktijk dan in theorie) zelf voor kiest.

Hoe kun je de installatie van PUPs voorkomen?

Download alleen software van de website van de ontwikkelaar van het gewenste programma.
Wees achterdochtig wanneer zogenaamde hulpprogramma’s worden aangeboden in een browser-venster, in een systeem-pop up of in een advertentie.
Let goed op voor automatisch aangevinkte vakjes tijdens de installatie van een programma die ongewilde (hulp)programmaatje laten mee-installeren.
Voordat je een toolbar installeert, denk eerst goed na of je die nodig hebt.
Kies bij de installatie van een programma voor het ‘user –defined’ of ‘advanced’ installatieproces in plaats van het snelle, automatische proces, want dan zie je de verschillende opties duidelijk voorbij komen.
Lees alle dialoogvensters tijdens de installatie goed door en controleer of de juiste vakjes zijn aangevinkt.
Lees de databeschermingsvoorwaarden en gebruiksvoorwaarden van de software goed door.

Sabrina Berkenkopf is researcher bij G Data SecurityLab.

Dit artikel is geschreven op persoonlijke titel van de auteur en reflecteert niet noodzakelijk de zienswijze van Security.NL.

Heb jij ook een goede security tip voor de lezers van Security.NL? Mail de redactie en maak kans op een exclusief Security.NL T-shirt!

Juridische vraag: hoe lang moet je logbestanden bewaren?

Juridische vraag: is het draaien van een Tor exit-node strafbaar?

Reacties (18)

15-10-2013, 14:39 door Anoniem

Een groot aantal veel gebruikte programma's is te downloaden via ninite.com. Je vinkt de programma's die je wil installeren aan en download dan een klein installatieprogramma.
Het installatieprogramma van ninite.com biedt veel voordelen:
1. alle programma's worden automatisch - dus zonder tussenkomst van de gebruiker - geïnstalleerd;
2. toolbars en aanverwante ellende wordt overgeslagen;
3. je krijgt altijd de laatste versie van het programma;
4. programma's die al zijn geïnstalleerd worden of bijgewerkt naar de laatste versie of anders overgeslagen.
Ook erg handig voor digibete vrienden en familie die nu programma's kunnen installeren zónder jouw aanwezigheid. Het belangrijkste nadeel is de ninite.com veel, maar lang niet álle programma's en utilities aanbiedt die ik veel gebruik.

15-10-2013, 14:41 door Anoniem

Al die apps en add ons zijn volgens mij ook ideale doelwitten voor hackers.Het lijkt mij dat deze apps, add ons en extensies vrij makkelijk te manipuleren en uit te schakelen zijn.Zeker als een smartphone geen mobile internetsecurity heeft en de gebruiker denkt dat ie met een security appje zn telefoon wel even veilig stelt.Al deze aps,add ons en extensies maken de browsers en daarmee de pc/smartphone in feite alleen maar kwetsbaarder en daardoor onveiliger.Een goede browser,ook qua veiligheid heeft al die aps,add ons en extensies niet nodig.

15-10-2013, 15:14 door Anoniem

Goede algemene informatie Mevr. Berkenkopf, bedankt voor de bijdrage!

15-10-2013, 15:37 door Anoniem

Hoe installeert men software?

Zet je muisaanwijzer op volgende en blijf klikken totdat de installatie afgerond is.

15-10-2013, 20:15 door [Account Verwijderd]

Een duidelijke omschrijving van een lastig probleem, bedankt.

16-10-2013, 08:30 door Anoniem

Sterk artikel, helder geformuleerd!

16-10-2013, 11:07 door Anoniem

Mooi helder verhaal Sabrina, url is inmiddels gedeeld.

De meest boute vorm van (P)UPs was in de installatie van een gewenst software pakketje, waarbij je tijdens de installatie op Annuleren diende te drukken om het betreffende (P)UP niet mee te installeren. Met toch heel wat jaartjes IT ervaring (daterend van voor de eeuw wisseling) moest ik toch 3 keer kijken om de juiste keuze te maken.

Opvallend vind ik verder dat veel mensen via een dergelijke constructie met Chrome opgezadeld worden. Op de vraag of ze het weleens gebruiken komt dan de opmerking dat ze geen weet hebben dat het op hun computer staat. Zorgelijk, maar door velen vast afgedaan als eigen verantwoordelijkheid...

16-10-2013, 11:35 door johanw - Bijgewerkt: 16-10-2013, 11:39

Door Anoniem: Een groot aantal veel gebruikte programma's is te downloaden via ninite.com. Je vinkt de programma's die je wil installeren aan en download dan een klein installatieprogramma.

Als een site daarmee begint haak ik al per definitie af. Dit soort installers zijn juist meestal een bron van PUP's en erger.

Wat ik veel erger vind dan virusscanners die dit soort rommel niet aanpakken zijn virusscanners die consequent keygens e.d. als PUP betitelen. Ik installeer geen virusscanner om auteursrechten van anderen te beschermen.

Hoe kun je de installatie van PUPs voorkomen?

Download alleen software van de website van de ontwikkelaar van het gewenste programma.

Alsof dat veel helpt. Zelfs grote partijen als Oracle leveren troep mee met hun Java installatie, en Google Chrome wordt ook heel erg gepushed.

16-10-2013, 11:38 door johanw

[Verwijderd]

16-10-2013, 16:16 door Anoniem

Het is wat lastig natuurlijk als de leverancier van een antivirus produkt PUP meelevert.
Ik doel hierbij op Avast Free, die mij met veel plezier Chrome Browser opdringt, bij iedere update weer. Even niet opletten met de vinkjes en je hebt hem.
Dus van die anti virus bedrijven hoeven we niet veel te verwachten.

16-10-2013, 23:04 door Anoniem

@11:35 door johanw
Dan heb je nooit Ninite (ninite.com) geprobeerd, Ik gebruik dit al 3 jaar en heb nog nooit een toolbar, PUP o.i.d gezien maar als je het 1 á 2 keer per week draait heb je wel altijd een up-to-date pc. Ook voor alle mensen waar ik de pc voor onderhoud krijgen dit en heb er sindsdien heel wat minder werk aan het onderhoud elke keer.

17-10-2013, 09:49 door Anoniem

Bij Avast Free duurt het jaar ook altijd erg kort: dit jaar is volgens hen al 3 x afgelopen, elke keer dien ik mij opnieuw te registreren... Drie nieuwe kansen om Chrome Browser te installeren!

18-10-2013, 14:27 door Anoniem

In debian heb ik nog nooit last gehad van PUP...

19-10-2013, 00:17 door Anoniem

Zojuist MS.net framework verwijderd, ook zo'n PUP die bedoeld is om andere MS programma's draaiende te houden.
Bijna een halve gigabyte aan diverse versies opgeruimd; nu eens kijken wat er allemaal niet meer draait om dan te vervangen met alternatieven.

19-10-2013, 15:41 door Anoniem

Ik zou de PUP software regret-ware willen noemen. Het lijkt me dat er een flinke markt moet bestaat om deze regret-ware te verwijderen. Of bestaat die software al ergens? Zo nee, wie neemt de ontwikkeling op zich om er een goede boterham aan te verdienen?

21-10-2013, 16:04 door Anoniem

* Firefox met no-script
* Geen Java installeren of uitschakelen in de browser
* BufferZone security
* Alles wat je download in sandboxie openen

Profit?

22-10-2013, 23:00 door Patio

PUPs doen meestal geen prettige zaken. Meestal veranderen ze de browser settings

Een beetje zichzelf respecterende browser heeft daar schijt aan. Instellingen kunnen alleen lokaal door een mens worden veranderd. Andere browser installeren, jongedame.

17-10-2014, 13:58 door Anoniem

hoe haal ik een ask toolbar weg

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer