Neostrada czyli malware?

Użytkownik forum Gery.pl posądził Wirtualną Polskę o praktyki monopolistyczne, wyłudzanie pieniędzy od nieświadomych reklamodawców przez celowe kierowanie ruchu do WP. Wszystko dlatego, że po zainstalowaniu pewnej wersji aplikacji dostępowej Neostrady, użytkownicy przeglądarki Internet Explorer wpisując adres z pominięciem "WWW." lub "http:" zamiast na docelowej stronie, lądowali na wyszukiwarce WP. Biuro Prasowe Telekomunikacji Polskiej oraz Zespół Komunikacji Wirtualnej Polski oddalają zarzuty o celowe działania, jednak przyznają, że błąd aplikacji ma miejsce. O ile posądzenia o praktyki monopolistyczne mają słabe podstawy, nazwanie aplikacji oprogramowaniem typu malware jest jak najbardziej uzasadnione.

O problemie dowiedzieliśmy się z wpisu na forum portalu Gery.pl. Anonimowy autor o pseudonimie sloonik, twórca wrocławskiego serwisu praktyczny.pl, nie przebiera w słowach, tytułując go "Nowe praktyki monopolistyczne TP S.A. i WP ??, Koń trojański dla użytkowników Neostrady".

Sloonika oburzył fakt, że po instalacji Neostrady TP, wpisując adres strony internetowej bez "www." czy "http:" internauta trafia na stronę wyszukiwarki WP.

Sprawdziliśmy, jak zachowuje się komputer, po zainstalowaniu oprogramowania z płyty "Neostrada TP, CD z aplikacją dostępową, modem USB SpeedTouch 330".

Sytuację obrazuje też załączony obok film.

Sprawdzamy efekty instalacji aplikacji dostępowej Neostrady
Katalog Neostrada TP na płycie instalacyjnej , jest datowany na 6 lipca 2005. Na pewno ta wersja płyty z aplikacją dostępową prowadzi do opisanych przez nas problemów. Nie wiadomo, ile innych wersji ten problem również dotyczy.

Przed instalacją Neostrady TP, komputer testowy był podłączony do internetu, za pośrednictwem sieci lokalnej. Sprawdziliśmy jak zachowuje się przeglądarka Internet Explorer. Wpisywanie adresów bez ciągu znaków "http:" i "www.", powodowało, że Internet Explorer wczytywał stronę pożądaną przez użytkownika. Na przykład wpisanie adresu "idg.pl", powodowało, że przeglądarka łączyła się ze stroną "http://www.idg.pl".

Po odłączeniu sieci lokalnej, dokonaliśmy instalacji Neostrady z oryginalnej płyty, znajdującej się w pudełku. Aby zainstalować oprogramowanie, należy kliknąć na napis "Rozpocznij instalację modemu". W czasie instalacji nie jesteśmy informowani, że poza sterownikami modemu do systemu ładowane są dodatkowe aplikacje. Po instalacji pakietu, ponownie uruchomiliśmy Internet Explorera. Tym razem, wpisanie adresu "idg.pl" w przeglądarce, otwierało stronę "http://szukaj.wp.pl/szukaj.html?szukaj=idg.pl", a nie jak poprzednio "http://www.idg.pl". Zauważyliśmy, że w pasku nazwy okna Internet Explorera, pojawił się dodatkowy napis "Neostrada TP", ikonka programu Outlook została zastąpiona, przez ikonkę TP. Nie wiemy, ile innych zmian w systemie powoduje instalacja Neostrady TP.

Po odinstalowaniu oprogramowania Neostrada TP, dokonaliśmy manualnej instalacji sterowników modemu Thomson SpeedTouch. Po restarcie, ponownie uruchomiliśmy Internet Explorera. Połączyliśmy się z siecią, za pośrednictwem Neostrady, ale już bez użycia aplikacji. Wpisanie adresów bez ciągu znaków "http:" i "www" nie kierowało już na strony Wirtualnej Polski.

Testów dokonaliśmy na komputerze z oryginalnym systemem Windows XP Home Edition, w wersji polskiej. Nie wiemy, jak aplikacja dostępowa, zachowuje się w innych wersjach Windows, należy jednak przypuszczać, że zmiany wprowadzane do systemu są takie same.

Interpretacje

Wbrew temu, co pisze sloonik, Wirtualna Polska prawdopodobnie nie wiedziała o tym, że aplikacja dopuszcza tego typu przekierowania. Natalia Hatalska-Woźniak, kierownik zespołu komunikacji WP, napisała nam - Możemy jednoznacznie stwierdzić, że opisana przez internautę na forum gery.pl działanie nie jest w żadnej mierze działaniem Wirtualnej Polski.

Stanowisko TP jest niespójne. Z jednej strony Ewa Bujalska poinformowała nas, że - Wymagania funkcjonalne do aplikacji dostępowej dopuszczają przekierowania użytkownika neostrady tp na szukaj.wp.pl . Telekomunikacja Polska oferuje klientom neostrady tp wraz z aplikacją dostępową narzędzie, które w sytuacji, gdy klient błędnie wpisze adres www (np. www.telekomunjikacijapolska.pl ), przekieruje go na wyszukiwarkę Wirtualnej Polski, w ramach usług konwergentnych Grupy Kapitałowej TP.

Przekierowanie do wybranej przez TP wyszukiwarki WP jest oczywiście dopuszczalne w przypadku błędnego wpisania adresu strony. Trudno ocenić, czy jest też dopuszczalne w sytuacji, gdy wpisywany adres nie jest błędny, lecz nie poprzedza go ani www. ani http:. Ewa Bujalska interpretuję takie działanie wtyczki jako błąd. - Sytuacja, którą opisuje internauta to błąd aplikacji, który polega na tym, że również adres wpisany w IE bez "www" lub "http" jest rozpoznawany jako błąd i użytkownik przekierowany jest dohttp://szukaj.wp.pl . Błąd aplikacji dostępowej neostrady tp nie jest działaniem zamierzonym przez Telekomunikację Polską. Został on wykryty i poprawiony przez dostawcę.

Przedstawicielka Telekomunikacji Polskiej zapewnia, że w nowej wersji aplikacji dostępowej neostrady tp po wpisaniu adresu strony np. "telekomunikacjapolska.pl" przeglądarka IE doda brakującą część "http" i/lub "www".

Wątpliwości

Natalia Hatalska-Woźniak z WP jako "przesadzone" i "niezgodne ze stanem faktycznym" określa zarzuty sloonika - autora wpisu na forum Gery.pl - który wobec WP formułuje ich kilka:

- internauta bez swojej wiedzy otrzymuje wraz z oprogramowaniem koniecznym do prawidłowego działania internetu wtyczkę, która "w zmyślny sposób" ruch do danego serwisu kieruje na serwery Wirtualnej Polski;

- praktyki WP określa jako monopolistyczne; ich celem jest generowanie ruchu WP, "co pozwala mi zaryzykować stwierdzenie, że jest to ruch pozwalający na wyciągnięcie dodatkowych pieniędzy od nieświadomych reklamodawców (wyłudzenie)";

- "WP stara się zamaskować ten proceder" (sposoby maskowanie szczegółowo wyjaśnia załączony do wpisu na forum Gery.pl dokument).

W oficjalnym stanowisku WP można wyczytać, że portal rozważa podjęcie kroków prawnych przeciwko osobie rozpowszechniającej nieprawdziwe informacje na temat Spółki, - w szczególności jeśli tego rodzaju wypowiedzi będą kontynuowane.

Malware?

Bartosz Kwitkowski, specjalista ds. bezpieczeństwa CERT Polska mówi, po czym można rozpoznać malware:

- Instalowanie programu bez wiedzy i zgody użytkownika to pierwsza kwestia. Natomiast drugą jest program, który zmienia stronę domową lub wykonuje inne specyficzne zadania (np. podmienia adres wyszukiwarki w Internet Explorer, zmienia zawartość strony "blank").

Instalowanie programu na komputerze nie będąc do tego uprawnionym należy do sytuacji, w których wykorzystywane są luki w oprogramowaniu przy pomocy exploitów. Taka czynność w myśl polskiego prawa jest przestępstwem, a ścigane jest na wniosek pokrzywdzonego.

Program, który zmienia adres strony startowej lub modyfikuje adres domyślnej wyszukiwarki w Internet Explorer nie musi być złośliwym oprogramowaniem. Modyfikowanie takich informacji może odbyć się za zgodą użytkownika. Producent oprogramowania chcąc uzyskać zgodę na wykonanie tego typu czynności zawiera informację o tym w licencji oraz warunkach korzystania. Użytkownik akceptując postanowienia producenta, wyraża zgodę na wszelkie modyfikacje związane z jego przeglądarką.

Jeżeli program został zainstalowany bez wiedzy i zgody użytkownika to jest jednoznaczne, że mowa jest o złośliwym oprogramowaniu (malware). Poziom niebezpieczeństwa, jaki generuje malware, jest uzależniony od jego przeznaczenia. Możemy mówić o wykradaniu haseł dostępu, przechwytywaniu wiadomości e-mail, udostępnianiu zawartości dysku osobom do tego nieuprawnionym lub o podmianie adresu strony startowej - skomentował dla nas Bartosz Kwitkowski.

***

Sprawdziliśmy tekst licencji: nie ma w niej słowa o wprowadzaniu przez aplikację jakichkolwiek modyfikacji. Mowa jest natomiast o tym, że TP S.A. nie odpowiada za jakąkolwiek szkodę wywołaną korzystaniem przez użytkownika z Oprogramowania (punkt 3 "Gwarancje i Odpowiedzialność TP S.A."), oraz TP S.A. wyłącza swoją odpowiedzialność względem użytkownika z tytułu rękojmi za wady fizyczne i prawne Oprogramowania, a także nie składa żadnych zapewnień w odniesieniu do Oprogramowania (tamże, punkt 4).

Być może wprowadzenie funkcjonalności, która przekierowuje użytkowników na stronę wyszukiwarki WP w przypadku wpisania niepełnego adresu zostało wprowadzone nieumyślnie, jako efekt zbyt szerokiego zdefiniowania błędów adresu. Jako błąd zostały zdefiniowane więc takie adresy, które nie są poprzedzone www. czy http:.

Efektem "błędu aplikacji" jest w każdym razie wzmożony ruch na wyszukiwarce WP.

Trudno ocenić, jak wielu użytkowników Neostrady z nieco ponad 1,3 mln, zainstalowało aplikację dostępową z taką właśnie wtyczką. Trudno też ocenić, jak często internauci wpisuja adresy bez poprzedzenia ich www czy http. Prawdopodobnie nie dzieje się to często, bo po zorientowaniu się, gdzie zaprowadzi ich taki skrócony wpis, stają się bardziej skrupulatni przy wpisywaniu adresów. Nie należy więc demonizować wpływu działania wtyczki neostrady na wielkość ruchu generowaną na portalu.

W całej sytuacji naprawdę niepokoi jeden fakt: że na żadnym kroku procesu instalacji, użytkownik nie jest informowany o zmianach wprowadzanych do Internet Explorera i innych elementów systemu. Nie jest to dobra praktyka. W podobny sposób, instalując się w systemie bez wiedzy i zgody użytkownika, zachowują się programy typu malware.

Pytaniem pozostaje, ile wersji płyty zawierało takie zmiany. Jak zapewnia Pani Ewa Bujalska z TP SA, w najnowszej wersji ten błąd już nie występuje.