В данной статье мы попробуем протестировать качество обнаружения фильтрами браузеров и бесплатными антивирусами вредоносных программ, проникающих из Интернета.
С недавних пор браузеры обзавелись своими фильтрами вредоносного программного обеспечения, использующего сервисы репутации. Более того, появилось несколько разновидностей подобных служб. В данном случае речь пойдет, если использовать терминологию Microsoft, об URL Reputation Service (URS), применяемой, как следует из названия, для оценки репутаций веб-страниц, сайтов и ссылок, и Application Reputation Service (ARS), с помощью которой оценивается репутация загружаемых файлов. Мы проведем тестирование фильтров вредоносного содержимого в Internet Explorer 9, Opera 11.60, Goggle Chrome 16.0.912.75 m и Firefox 9.0.1.
С помощью Kaspersky Internet Security 2012 было выбрано 90 ссылок на русскоязычные вредоносные ресурсы, в том числе загружающие опасные программы, и 40 ресурсов, не относящихся к России (Украине). Для чего я так сделал, будет ясно чуть позднее. Далее мы будем осуществлять переходы по каждой ссылке, чтобы определить реакцию того или иного браузера.
Полученные результаты, говоря откровенно, меня просто ошеломили (см. таблицу 1).
Таблица 1. Результаты блокирования вредоносных ссылок на русскоязычных ресурсах
Браузер Блокировано вредоносных ссылок, включая загрузку файлов
Internet Explorer 9 13,11%
Opera 11.6 0 %
Google Chrome
16.0.912.75 m 0 %
Firefox 9.0.1 1,64 %
Первая мысль, которая приходит в голову: «Не может быть!».
Вторая: «А может это потому, что отобранные сайты на русском языке?»
Проверил англоязычную выборку. Результаты впечатлили еще сильнее (см. таблицу 2).
Таблица 2. Результаты блокирования вредоносных ссылок на англоязычных ресурсах
Браузер Блокировано вредоносных ссылок, включая загрузку файлов
Internet Explorer 9 4 %
Opera 11.6 0 %
Google Chrome
16.0.912.75 m 0 %
Firefox 9.0.1 0 %
В чем же причина такого распределения? Почему в отчете NSS Labs приведена цифра для IE9 в 99%?
На самом деле ларчик открывается довольно просто. Как я уже подчеркивал, основным каналом при добавлении сайта в список репутаций является поисковая система. В данном случае система Bing просто отнесла сайты, которые участвовали в тесте, в конец списка популярности, а раз так, посещаемость у них ниже, следовательно, вероятность заражения тоже ниже, пользователей-то ходит меньше, верно? Верно.
Но почему же эти сайты отработаны антивирусом Касперского, с помощью которого собиралась выборка? Здесь на самом деле все тоже совсем несложно. Чтобы служба Kaspersky Network Security отнесла сайт к зараженным и снизила репутацию соответствующей ссылки, достаточно, чтобы один человек из многомиллионной армии пользователей продукта выбрал себе эту ссылку, антивирус по каким-то признакам отнес ее к вредоносным и в дальнейшем все пользователи продукта будут оповещены с помощью KSN о том, что данная ссылка является вредоносной. Более того, даже если по ссылке пытаются загрузить вредоносное программное обеспечение, то автоматически и сайт, и ссылка будут помечаться как вредоносные. Отсюда можно сделать следующий вывод. Фильтры репутации в браузерах будут хорошо работать в случае посещения популярных ресурсов. При посещении сайтов менее популярных толку от них, увы, немного.
Вместе с тем я хотел уточнить, как отработают данные ссылки бесплатные антивирусы. Для теста были отобраны бесплатные антивирусы Avira, AVG и Avast! Тестировалось поведение данных антивирусов при попытке открыть вредоносную ссылку, запустить опасный сценарий или загрузить зараженное программное обеспечение. Тестирование проводилось на той же коллекции.
Результаты теста приведены в таблице 3.
Таблица 3
Антивирус Блокировано
Avira 8,24%
AVG 7,06%
Avast! 55,34%
В первую очередь такие результаты свидетельствуют о том, что на сегодня бесплатные антивирусы не в состоянии обеспечить безопасность пользователей и их информации в должном объеме. Это происходит потому, что обновляется большинство бесплатных антивирусов не чаще одного раза в день, а сегодня этого явно недостаточно. Мало того, следует учесть, что большинство сайтов с вредоносными ссылками (в первую очередь фишинговыми) сегодня живут не дольше 72 часов. А значит, вообще не попадают в поле зрения бесплатных антивирусов.