Сегодня одним из основных каналов заражения вредоносным программным обеспечением является Интернет. О необходимости защищаться от проникновения по данному каналу написаны горы литературы. О существующих средствах противодействия также сказано и написано очень многое.
В данной статье мы с вами попробуем протестировать качество обнаружения как фильтрами браузеров, так и бесплатными антивирусами вредоносного ПО, проникающего по данному каналу.
С недавних пор браузеры обзавелись своими фильтрами вредоносного программного обеспечения, использующего сервисы репутации. Более того, появились несколько разновидностей подобных сервисов. В данном случае мы с вами будем говорить, используя терминологию Microsoft, о URL Reputation Service (URS), используемой как уже понятно из названия для оценки репутаций веб-страниц, сайтов и ссылок, и Application Reputation Service (ARS), с помощью которой оценивается репутация загружаемых файлов.
Однако несмотря на такие титанические усилия проблему все же решить не удалось.
Давайте подумаем почему.
Для этого проведем тестирование фильтров вредоносного содержимого в Internet Explorer 9, Opera 11.60, Goggle Chrome 16.0.912.75 m и Firefox 9.0.1.
Для этого с помощью Kaspersky Internet Security 2012 было выбрано 90 ссылок на русскоязычные вредоносные ресурсы, в том числе загружающие вредоносное ПО, и 40 ресурсов не принадлежащих России (Украине). Для чего мы так сделаем, вы поймете чуть позднее.
В дальнейшем осуществляем переходы по каждой ссылке чтобы определить реакцию каждого браузера.
Полученные результаты, откровенно, меня просто ошеломили (таб. 1):
Таблица 1 Результаты блокирования вредоносных ссылок на русскоязычнх ресурсах
Браузер | Блокировано вредоносных ссылок, включая загрузку файлов |
Internet Explorer 9 | 13, 11% |
Opera 11.6 | 0 % |
Google Chrome 16.0.912.75 m | 0 % |
Firefox 9.0.1 | 1,64 % |
Первая мысль, которая приходит в голову – «Не может быть!».
Вторая – «А может это потому что отобранные сайты на русском языке?»
Проверил англоязычную выборку. Результаты впечатлили еще сильнее (табл 2).
Таблица 2
Браузер | Блокировано вредоносных ссылок, включая загрузку файлов |
Internet Explorer 9 | 4 % |
Opera 11.6 | 0 % |
Google Chrome 16.0.912.75 m | 0 % |
Firefox 9.0.1 | 0 % |
Решил подумать, а чем же причина такого распределения? Почему в отчете NSS Labs приведена цифра для IE9 в 99%?
На самом деле ларчик открывается довольно быстро. Ведь, как я уже писал, основным каналом при добавлении сайта в список репутаций является поисковая система. В данном случае Bing просто отнес сайты, которые участвовали в тесте в конец списка популярности, а раз так, посещаемость у них ниже, следовательно, вероятность заражения тоже ниже, пользователей-то ходит меньше, верно? Верно!
Но почему же эти сайты отработаны антивирусом Касперского, с помощью которого собиралась выборка? Тут, на самом деле все тоже совсем не сложно. С помощью сервиса Kaspersky Network Security для отнесения сайта к зараженным и снижения репутации соответствующей ссылки достаточно чтобы один пользователь из многомиллионной армии пользователей продукта выбрал себе эту ссылку, антивирус по каким-то признакам отнес ее к вредоносным и в дальнейшем все пользователи продукта будут оповещены с помощью KSN о том, что данная ссылка является вредоносной. Более того, даже если просто по ссылке пытаются загрузить вредоносное ПО, то автоматически и сайт и ссылка конкретная будут указаны как вредоносные.
Это, естественно, существенно ускоряет процесс отнесения ссылки к вредоносным.
Отсюда можно сделать вывод. Фильтры репутации в браузерах будут хорошо работать в случае посещения популярных ресурсов. В случае посещения ресурсов менее популярных толку от них не много, увы.
Вместе с тем я хотел уточнить, а как отработают данные ссылки бесплатные антивирусы?
Для теста были отобраны бесплатные антивирусы Avira, AVG и Avast!
Тестировалось поведение данных антивирусов при попытке открыть вредоносную ссылку, запустить вредоносный скрипт или загрузить зараженное программное обеспечение.
Тестирование проводилось на той же коллекции.
Результаты теста приведены в таблице 3.
Таблица 3
Антивирус | Блокировано |
Avira | 8,24% |
AVG | 7.06% |
Avast! | 55.34% |
В первую очередь данные результаты свидетельствуют о том, что на сегодня бесплатные антивирусы не в состоянии обеспечить безопасность пользователей и их информации в должном объеме. Это происходит потому что обновляется большинство из бесплатных антивирусов не чаще одного раза в день, что сегодня явно недостаточно.
Мало того, следует учесть что большинство сайтов с вредоносными ссылками (в первую очередь фишинговыми ссылками) сегодня живут не дольше 72 часов. А значит вообще не попадают в поле зрения бесплатных антивирусов.
Вывод, который можно сделать будет весьма прост и не очень приятен большинству пользователей. За безопасность все же нужно платить!