Пользователи Интернета ежедневно скачивают и своими руками устанавливают огромное количество вредоносных программ. Все современные браузеры борются с этой проблемой, но их эффективность различается. Я предлагаю вам результаты своего сравнительного теста браузеров на предмет блокирования загрузки вредоносных программ (malware).
Это продолжение рассказа о средствах защиты от мошенничества в браузерах. Напомню вкратце, что они блокируют как фишинговые сайты, так и вредоносные файлы:
- Internet Explorer задействует свой фильтр SmartScreen
- Firefox, Chrome и Safari используют Google Safe Browsing API
- Opera полагается на AVG Link Scanner для определения вредоносных файлов (сайты блокируются с помощью сервисов PhishTank и NetCraft)
Именно эти механизмы защиты и сравниваются в данном тесте. Коллекцию фишинговых сайтов мне собрать не удалось. А вот ссылки на свежие вредоносные программы оказалось легче найти, поэтому тест проводился только на блокирование загрузки вредоносных программ.
На диаграмме вы видите главный результат моего теста — Internet Explorer 9 на порядок лучше других браузеров блокировал загрузку вредоносных программ. И дальше вы во всех подробностях узнаете, как я пришел к этому результату. Мы также поговорим о том, стоит ли отключать защиту от мошенничества в браузере, имея антивирус или комплексное защитное средство.
Программы вредоносные и не очень
Русская Wikipedia называет malware вредоносной программой, но толкует термин шире. Строго говоря, далеко не всегда такие программы могут нанести вам вред. Например, программа для кражи паролей к игре Lineage опасна только для тех, кто в нее играет.
С другой стороны, какая-нибудь панель в браузере может просто отсылать информацию о ваших перемещениях в сети, что тоже не наносит прямого ущерба. Но никто не даст вам гарантию, что однажды эта панель не перекинет вас на зараженный сайт. А там уже будет помещен эксплойт для свежей уязвимости браузера или его дополнения. Вам нужна такая программа?
В своем тесте я не делал различия между действительно вредоносными и просто нежелательными программами. С классификацией нет единства и у антивирусных вендоров, как вы увидите ниже.
Как проводился тест
Мои возможности не идут ни в какое сравнение с профессиональными тестовыми лабораториями, поэтому методика была выбрана очень простая. Набравшись терпения, вы даже сможете воспроизвести ее самостоятельно.
Методика
Вкратце, тест проводился так:
- отбирается коллекция из свежих ссылок (в пределах 48 часов) на вредоносные программы
- все ссылки по очереди открываются в каждом из тестируемых браузеров
- результаты записываются
Я проверял IE и Opera, а мой коллега Morpheus взял на себя Chrome и Firefox, за что ему большое спасибо.
Более подробное описание теста я выложил в формате PDF, чтобы не занимать место в статье. Ваши умные комментарии о методике приветствуются. Если же у вас есть другой подход к тестированию, мне будет очень интересно узнать о нем и посмотреть на ваши результаты.
Содержимое коллекции
Спустя неделю после теста, я проверил всю коллекцию вредоносных программ с помощью сервиса VirusTotal. Он позволяет протестировать файлы четырьмя десятками разных антивирусных сканеров.
Чтобы вы не запутались с двойными процентами, я озвучу несколько выводов из результатов проверки:
- все файлы в коллекции являлись вредоносными по версии как минимум двух антивирусов
- лишь 5% файлов вызвали реакцию менее 10% защитных программ
- более 30% антивирусов отреагировали на 77% файлов
О различиях в реакции антивирусов мы еще поговорим, а пока давайте еще раз взглянем на результаты теста.
Интерпретация результатов теста
Я не буду делать громких заявлений на основе теста, поэтому ограничу свои выводы только размером коллекции. Впрочем, я не сомневаюсь, что любое другое независимое тестирование покажет похожие результаты.
В моем тесте браузеры проявили себя очень по-разному.
- Internet Explorer 9 не позволил скачать 79 вредоносных программ, входивших в коллекцию. Кроме того, 12 раз он выдал предупреждение о недостаточной репутации программы и затруднил ее запуск. Таким образом, браузер Microsoft помешал запуску 91 вредоносной программы из 100.
- Opera скачала 88 программ и заблокировала 12 – это все, на что оказался способен AVG Link Scanner.
- Chrome и Firefox не только показали абсолютно одинаковый результат, 7 блокировок на 100 загрузок, но и реагировали на одни и те же файлы. Это неудивительно, учитывая общий API.
Фильтр SmartScreen в IE9 оставил конкурентов далеко позади. К такому же выводу пришел MVP по безопасности Владимир Безмалый, который чуть раньше провел аналогичный тест, пусть и на вчетверо меньшей коллекции. Upd. Один из читателей решил воспроизвести мою методику на коллекции из 50 ссылок и получил похожие результаты.
Также очевидно, что новый механизм проверки репутации файлов в IE9 должен пойти на пользу тем, кто качает программы, не задумываясь о последствиях. Об этой технологии я уже рассказывал, а теперь давайте посмотрим на нее с практической точки зрения.
Преимущество механизма репутации файлов в IE9
Проверка репутации файлов в Internet Explorer 9 препятствует загрузке вредоносных программ с первой секунды их распространения в Интернете. И я покажу вам, почему это очень важно для защиты.
Разработчики IE в своем блоге представили интересную картину одного реального случая массированного распространения вредоносной программы.
Как видите, в первые четыре часа атака достигла своего пика, а потом постепенно пошла на спад, и через 11 часов количество загрузок вредоносной программы значительно сократилось. Очевидно, начиная с четвертого часа, информация начала достигать специалистов, и в дело вступили различные репутационные сервисы комплексных защитных программ, блокирующие загрузку. Кроме того, хостинговые компании могли начать блокировку сайтов, распространяющих «зловреда».
В описанном случае 99% пользователей IE9 отказались от запуска вредоносной программы после предупреждения фильтра SmartScreen. В первые часы атаки защитная программа могла еще ничего не знать об угрозе, но ее помощь и не понадобилась.
Как видно на диаграмме, разработчики защитных программ не моментально узнают о появлении новых угроз. Иногда это занимает несколько дней, и дальше я приведу вам еще одно доказательство этого тезиса. Кстати, одним из источников информации для аналитиков антивирусных компаний служат подозрительные файлы, присылаемые пользователями форумов, где проводится лечение систем от вредоносных программ.
Как быстро антивирусы узнают о вредоносных программах
Мои читатели в комментариях отмечали, что не считают нужным использовать защиту от фишинга в браузере при наличии антивируса или комплексного защитного средства. Я понимаю логику, но хочу продемонстрировать вам, что совмещение этих способов защиты укрепляет безопасность.
Поскольку я использовал очень свежие файлы, у меня была хорошая возможность посмотреть на скорость реакции антивирусов. С помощью сервиса VirusTotal я проверил все файлы, репутация которых показалась IE9 недостаточно надежной. Я сделал это сразу после загрузки и повторил через неделю с помощью очень удобной программы VT Checker, созданной моими коллегами с OSZone.
На рисунке файлы отсортированы по дате первого сканирования на VirusTotal. Видно, что три нижних файла давно циркулируют по Интернету, т.е. новые ссылки ведут на старые угрозы, которые могут быть уже и не страшны.
В контексте реакции антивирусов на новые «зловреды» интересны файлы, появившиеся в поле зрения специалистов только что. Верхняя четверка – это файлы не старше 48 часов на день проведения теста. Спустя неделю, у каждого из них добавилось почитателей среди антивирусных вендоров – это видно по возросшему проценту защитных программ, среагировавших на выделенные файлы.
IE9 выразил недоверие этим файлам сразу, но как вы уже заметили, единства среди антивирусов нет. И я попросил знакомого эксперта взглянуть на файлы с подмоченной репутацией.
Мнение эксперта
Константин Алгаш — лидер сайта SafeZone.cc, из школы которого выходят все борцы с вирусами, оказывающие помощь на OSZone.net и других крупных ресурсах под эгидой ассоциации VirusNet. Я отправил ему 12 файлов с недостаточной репутацией по версии IE9, и привожу цитаты из его ответа.
Константин Алгаш: Я сразу отбросил 4 заведомо вредоносных файла по версии Лаборатории Касперского (ЛК). Оставшиеся 8 файлов отправились в антивирусные лаборатории Dr. Web и ЛК. Ответ ЛК не дал новой информации, а Dr. Web счел 6 файлов из 8 вредоносными.
Обратите внимание на расхождение в оценке файлов у двух ведущих российских антивирусных вендоров. Константин проверил один из таких файлов (deluserlex.exe, троян по версии Dr. Web), а также две оставшиеся программы, на которые не ругался ни один из двух антивирусов.
Константин Алгаш:
Проверяю файлы сам:
- deluserlex.exe — судя по всему, файл чист или поврежден, т.к. никаких вредоносных действий он не совершает
- MinasTirith17.exe – является самораспаковывающимся архивом, вредоносных действий не выполняет
- yapbrowser.exe – является классическим adware
Из 12 загрузок репутация только двух файлов была поставлена под сомнение браузером Microsoft без веских оснований. Это позволяет сделать вывод, что механизм репутации файлов IE9 в Windows Vista и Windows 7 дает пользователям дополнительный уровень защиты от загрузки вредоносных программ (исполняемых файлов).
Отмечу, что вескость оснований всегда остается на усмотрение разработчиков защитных программ и сервисов. Так, эти три файла вызывают опасения у 49%, 31% и 56% антивирусов соответственно, если смотреть по списку VirusTotal (рисунок выше).
Эксперт также напомнил, что механизм проверки репутации не являются панацеей.
Константин Алгаш:
Нужно учесть, что:
- механизм репутации файлов полагается на цифровые сертификаты, которыми подписана программа (легитимные сертификаты можно украсть — вспомним Stuxnet)
- пользователь может проигнорировать предупреждение
- браузер не в состоянии блокировать эксплойты, использующие уязвимости в приложениях Adobe Reader, Flash, Apple iTunes и Java
Последнее замечание резонирует с моим тезисом о том, что актуальность дополнений браузеров — это обязательный элемент защиты от современных угроз в Интернете.
Рецепты защиты от мошенничества и вредоносных программ
К сожалению, универсального рецепта для защиты от мошенничества не существует, поскольку программам пока недоступно лечение человеческих слабостей и восполнение недостатка знаний. Поэтому противоядие нужно подбирать в зависимости от компьютерных навыков и привычек конкретных пользователей, а также аппаратной конфигурации системы.
Сочетание хорошего антифишингового фильтра браузера с легким антивирусным сканером не замедляет работу системы, что особенно актуально на слабых конфигурациях, в т.ч. нетбуках. Такую стратегию также можно порекомендовать опытным пользователям, ценящим свое время. С другой стороны, неопытным пользователям нужна более мощная защита от мошенников, и Internet Explorer 9 в этом плане подходит лучше всего, если опираться на результаты теста браузеров. Не забывайте, что отдельные учетные записи для членов семьи позволяют каждому из них использовать наиболее подходящий браузер.
Поскольку выбор браузера редко диктуется исключительно соображениями безопасности, вы можете укрепить защиту от фишинга в любом из них, установив дополнение WOT. Оно использует отзывы множества пользователей и данные репутационных ресурсов (например, PhishTank) для определения подозрительных сайтов. Расширение не создает мощного препятствия для загрузки вредоносных программ, но в какой-то степени поможет уберечься от посещения сайтов, где их предлагают скачать.
Наивысшую степень безопасности дает сочетание антифишингового фильтра в браузере с комплексной защитной программой, обладающей собственными фильтрами. Эффективность таких программ тоже разнится, но так или иначе они препятствуют мошенникам еще на подступах к вашей системе. По собственным данным лаборатории Касперского, в 2010 году их продукты заблокировали 60% от общего числа выявленных угроз без всякого анализа кода и обновления антивирусных баз. Обратной стороной медали применения комплексных программ является более высокая нагрузка на систему и замедление работы, в том числе в Интернете.
Но самый мощный антифишинговый фильтр находится у вас на плечах. Если вы знаете векторы современных угроз в Интернете, он уже работает. Я просто помогаю вам его настроить :)
А как у вас организована защита от загрузки вредоносных программ? Закручиваете ли вы гайки потуже пакетом из разряда Internet Security или предпочитаете более легкое, сбалансированное решение? Варьируете ли вы стратегию защиты в зависимости от аппаратной конфигурации или навыков пользователя, которого нужно обезопасить? Поделитесь своим опытом в комментариях! И, кстати, что вы думаете об этом тесте? :)
Ну вот.. собственно.. чего далеко ходить. Рассылается через майл-агент ссылка на Hoax.HTML.MailPhish.b. КИС с удовольствием это дело заблокировал.
SmartScreen на основании чего так быстро получает информацию о вредоносности того или иного файла?
Понравилось замечание, что не имея головы даже с хорошим антивирусом, вся защита не имеет смысла. Но… пользователю очень сложно объяснить, что качать оттуда (файлопомойки) опаснее, нежели с сайта производителя. Это самый просто пример. А есть и более сложные ситуации.. И что тогда? пользователь нажмет «загрузить файл»… Это как пить дать. Потому на мой скромный взгляд лучше использовать связку «браузер — «комплексный антивирусный пакет». Ну и голову. Ибо один мой знакомый просто отключает защиту и запускает файл :))). Впрочем песня уже не о том.
ЗЫ. что-то не пойму, как зарегистрироваться на сайте.
Алексей, спасибо за отклик и пример!
Точный ответ могут дать только разработчики, но у меня есть одно предположение. У Microsoft огромная сеть телеметрии — это защитник Windows, MSE и MSRT. Допустим, MSE эвристически обнаруживает у какого-то пользователя зараженный файл. Передать данные «в центр» — не проблема. И это лишь один из путей. Так, у Microsoft есть Bing, собирающий данные о веб-сайтах и файлах.
Регистрации нет, но она и не дает особых преимуществ.
Статья интересная, спасибо. Думаю на счет «нагрузки на систему» в настоящий момент тема не актуальна. Мало у кого остались «пылесосы». По ситуации с нетбуками… Основными владельцами сиих машин являются в подавляющем большинстве люди деловые, и то что они будут лазить по разного рода подозрительным сайтам и качать не понятно что, равна нулю.Это мое мнение. Лично я пользуюсь KIS, + включен UAC. Все это на виндовс 7х64. За все время пользования, KIS два раза заволал о том что на мою машину пытались напасть 2 е бацилы.
Вадим, мне просто показалось, что регистрация где-то есть, потом разобрался, что к чему :)
Да, в принципе возможен вариант..
Вадим Стеркин.
Полностью с вами согласна по поводу браузеров. Сама уже давно использую Internet Explorer 9 в паре с AdMuncher и Microsoft Security Essentials.
Геннадий, я рад, что вам было интересно :) Но позволю себе не согласиться с вашими тезисами.
Тема всегда актуальна. Попробуйте скопировать набор файлов побольше (в т.ч. с архивами) со включенным антивирусным монитором и без оного — увидите значительную разницу во времени копирования. И чем тяжелее ваш монитор, тем больше эта разница будет. Примерно так и проверяют скорость мониторов тестовые лаборатории.
То же самое и с антифишинговыми фильтрами. При комплексной защите работа в Интернете будет медленнее, чем без нее. Это касается как скорости загрузки сайтов (проверка на легитимность), так и просто работы браузера (контроль). Помнится, когда я снес KAV, то удивился, что даже вкладки в IE стали быстрее открываться :) Поставил MSE и опять стало медленнее, хотя по ощущениям — на доли секунды быстрее, чем с KAV. Впрочем, через пару дней уже не видно разницы — привыкаешь. Такие вещи трудно измерить, но снесите свой KIS и почувствуйте разницу :)
Прониковние нетбуков гораздо шире и не ограничивается бизнес-средой. Например, школьников и студентов с нетбуками полно, хотя они могут не входить в ваш круг знакомых :)
Вадим Спасибо Вам за статью
Я уже где-то 3 года пользуюсь Мозилой но не знал что у IE9 есть такая чудесная защита :)
moon36, продукты Microsoft (да, впрочем, как и линейки других компаний) хорошо работают в связке, создавая сбалансированную среду. Так, в MSE нет защиты от фишинга, но она есть в IE.
Хуршед, я рад, что вы сделали небольшое открытие :) SmartScreen впервые появился в IE7, и с каждой следующей версией браузера в него добавляются новые возможности. Mozilla же целиком полагается на разработки Google в этом вопросе.
Увы, но отсутствие в системе двух самых главных «файлов»: golova.exe и ruki.dll не спасет ее от краха в один «прекрасный» момент даже самая «умная» «защита от дурака». А с другой стороны — вероятность подцепить заразу» присутствует даже на сайте Microsoft (хотя она и ничтожно мала, конечно). Так что интернет-серфинг независимо от «снаряжения» — все равно был и остается «бегом по минному полю»…
ив, да, головоруки нужны. Ну и что теперь, забить на всех, у кого их нет, и оставить этих людей беззащитными? Речь ведь как раз о компонентах защиты для тех, у кого нет ваших любимых файлов.
Кстати, а у вас свежие версии этих файлов? :) Вопросы в конце статьи.
Вы правы, Вадим, пытаясь хоть как-то «направить на путь истинный» упрямых юзеров, относящихся к системе по принципу: «Работает — да и ладно! Чего там ещё ковырять?» Правда, как правило, по прошествии некоторого времени, от них слышится сакраментальное: «Шеф! Всё пропало…» (с) Но тут, на мой взгляд, поделать что-либо сложно, т.к. проблема в человеческой психологии, а, это, согласитесь, несколько иная «полянка», чем IT.
Увы, упрямая статистика гласит, что только 6,3% рядовых пользователей вообще заботятся проблемами безопасности своего компьютера на уровне, выше, чем: «А у меня «крутой» антивирус стоит — мне знакомый «хакер» поставил!» (Тем более, что, собственно знаний и умений у того «хакера» не на много более, чем у юзера).
Именно об этом я и писал выше.
Что касаемо Ваших вопросов, то набив «шишек» на этапе освоения Win 3.1, сейчас к вопросам безопасности своих систем, естественно, отношусь, на мой взгляд, серьезно, но без «фанатизма», т.е. предпочитаю баланс «интересов» железа и пользователя. Благо, знаний и некоторых «умений» хватает, чтобы не «лазить где попало без ОЗК» (с), ну, и конечно, предпринимать превентивные меры к особо «рьяным» юзерам.
Успехов вам!
ив, спасибо за [теперь] развернутый ответ! :)
На самом деле, истинный путь в вашей цитате как раз заключен в кавычки :) Представьте Windows 7 из коробки, настроенную с рекомендованными параметрами (WU автоматом, UAC и SmartScreen включены и т.п.).
Это поможет уберечь от массы самых распространенных угроз, но разве такие настройки большинства у людей, которые становятся жертвами мошенничества? Сомневаюсь :)
Очевидно, что низкий уровень компьютерной грамотности выгоден определенным категориям людей, наживающихся на нем. И это не только бенефициары программ pay-per-install, но и сервисмены, которые с радостью лечат от вирусов и переустанавливают ОС за нескромную плату.
Так что мой скромный ликбез направлен не только на повышение уровня грамотности конечных пользователей, но и против теневой индустрии мошенников.
Именно так обычно и бывает. Только слова хакер они и не знают, для них что хакер, что нах*р — все равно. Ты бы еще сказал сисадмин :D
Для них все программисты, кто может закрыть повисший Word.
Вадим, как говорится, «алаверды»! :) А в вашей фразе как раз ключевое слово «настроенную с рекомендованными параметрами», чем собственно «сервисмены» и пользуются о-очень активно, благо «на просторах интернетов» можно откопать самые нелепые рекомендации, чуть ли не от САМОГО Б.Гейтса :0 Впрочем, не мне Вам рассказывать, что откуда «растет». :)
Увы, но это действительно «имеет место быть» (с) А «хакера» я привел так, в качестве одного из примеров…
Кстати, дополню. Не поленился: решил повторить Ваш тест. В результате получил примерно такой же результат, за исключением того, что я брал не 100, а 50 ссылок и Opera у меня «справилась» получше: 28 из 50 зловредов были блокированы. Но в целом, методика, выбранная Вами, мне показалась достаточно корректной для того, чтобы дать оценку защитным свойствам собственно браузеров.
ив, вы проявили достаточно терпения — поздравляю! Вы меня очень порадовали тем, что решили воспроизвести тест по моей методике. Обычно, именно она вызывает наибольшую критику :)
Вообще, у меня много времени ушло не столько на саму загрузку файлов, сколько на подготовку выборки, ее уточнение и, конечно, последующий анализ.
Я думаю, что на вариативность результатов влияют три фактора: размер коллекции, возраст ссылок и возраст файлов.
Скажем, NSS Labs отобрала коллекцию из более тысячи ссылок, но в тест вошло свыше 600, емнип. Я решил остановиться на сотне, т.к. это достаточно большая выборка для небольших выводов :)
Чем старше ссылки, тем больше вероятность того, что о них узнают анти-фишинговые фильтры. Основная опасность исходит в первые часы, что я и продемонстрировал на диаграмме в статье. Мой коллега тестировал список не одновременно со мной, а спустя 2-3 часа (т.е. у FF/Chrome даже была фора небольшая). И несколько ссылок, которые работали у меня, уже были недоступны.
Возраст файлов — это не то же самое, что возраст ссылок, как видно на скриншотах VT Checker. Тот же SmartScreen проверяет файлы после загрузки, а значит, может проверить MD5 файла и отослать хэш в центр для проверки.
А как у вас выглядит расклад коллекции по VT? Незагруженные браузерами файлы можно добрать тем же WGET. А диаграмму можно сделать в VT Checker, только в меню Файл очистите историю перед проверкой.
Обновлено с утра, на свежую голову:)
Спасибо вам огромное за тест!!! IE9 мне лично очень понравился, но из за того, что у него нет AdBlock для очистки станицы от флешь рекламы и скриптов, я вынужден оставаться на опере и лисе!!! потому как невозможно нормально открывать страницы где засыпано этой рекламой, порой просто на желаемую страницу не реально перейти, бросает из одного сайта на другой — реклама,реклама, реклама! или еще хуже порно, порно, порно!! так что ждем внедрения адекватного AdBlock для IE9 !!!! это будет праздник для всех!!!
Maks, я рад, что вам понравился тест. Позвольте мне устроить для вас праздник — Adblock для IE9 есть :)
См. Блокировка рекламы в Internet Explorer 9 и более подробно в Настройка списков защиты от слежения в Internet Explorer 9
Поковырял я этот «Adblock». Свистопляска с добавлением своих ссылок порадовала))) Я в «лисе» могу добавить объект за секунды..
Скажем, хочу убрать баннеры market***. Я не хочу лезть куда-то там и прочее.. А просто мышкой.. заблокировать..
А если еще поглядеть инфу об RuAdList.. то вообще)))
«О возникших проблемах пишите в тему на форуме по адресу
http://forum.mozilla-russia.org…. »
мда.
Такой возможности не предоставляется. Однако самообучающийся фильтр сам заблокирует баннеры, если они появляются на N разных сайтах, которые вы посещаете. N — задается в настройках.
Читатель сказал про отсутствие AdBlock для IE9, я дал ему ориентиры. Надо умело применять имеющиеся возможности браузера. Если они вас не устраивают, используйте другой браузер. Главное, чтобы вы себя безопасно и комфортно чувствовали при этом.
Вадим,
Надо просто это дореализовывать несколько. Я AdBlock имею в виду. В Хроме он прекрасно работает. Если кто-то сможет сделать это для IE9, то будет только лучше.
С N попаданий несколько заморочно, потому что бывает, что баннеры только на одном ресурсе. Думаю, знакомая ситуация. А так, в принципе, очень похоже на работу UAC — обучил и работай.
Вадим, здравствуйте!
Очень интересный материал. Помнится, не так давно я просил написать по IE, и как раз по этой тематике — и вот )))
Позволю себе процитировать из вступления с незначительной корректировкой:
>С другой стороны, какая-нибудь панель в браузере может просто отсылать информацию о ваших перемещениях в сети, что тоже не наносит прямого ущерба. Но никто не даст вам гарантию, что однажды подобный сбор информации без вашего ведома не будет обращен вам во вред.
Это напрямую касается состоявшегося обмена мнениями по работе браузера Chrome и его альтернативы — Iron. А в свете недавнего признания Google — например:
http://www.utro.ru/news/2010/05/16/894022.shtml
я для себя сделал окончательный вывод. Безопасность серфинга в Сети, помимо известного фактора «головы пользователя», зависит, пусть и не на 100%, от правильного выбора браузера.
Максим Шилов, да, у меня волшебный блог — в нем исполняются желания :)
Но заметьте, что эта тема не вызывает особого энтузиазма у читателей блога. А все потому, что 84% из них не пользуются IE :) Я готов писать об интересных технологиях не только из сферы Microsoft, но именно о продуктах этой компании у меня больше информации.
Что же касается слежения за пользователями, то это присуще браузерам и дополнениям. Та же панель Bing собирает данные. Но тут вопрос именно намерений. Да, компании как-то используют данные в своих целях, но в то же время они улучшают наш опыт использования Интернета в общем, либо для конкретного человека.
Поэтому я бы не хотел смешивать вопросы конфиденциальности и безопасности, несмотря на их близость. Google, собирая данные, не будет обращать их во вред вам. Это огромный репутационный и финансовый риск. А вот какая-нибудь «левая» панель этой мнительностью не страдает.
Спасибо за блог, за желание поделиться знаниями — очень благородно в нынешние, очень непростые, зачастую меркантильные времена…
Я тоже не отношу себя к «фанам» IE, но интерес к продуктам MS всегда был велик, возможно, это профессиональное ))
>Google, собирая данные, не будет обращать их во вред вам.
Могубыть, могубыть… Но вот интересно — если мы застаем кого-то за подглядыванием в замочную скважину, какие чувства это у нас вызывает? И не важно, какими мотивациями руководствуется «подглядывающий», оправдания здесь еще более неуместны и еще более гадливы. Репутационный и финансовый риск, как мне кажется, не слишком касается простых людей.
Но не буду продолжать, и так отклонение от темы статьи. Еще раз спасибо за «волшебство». И за книжку, кстати, и RSS работает, так что все ОК!
Добрый вечер.
Хорошая статья. Познавательная.
Вадиму и Morpheus-у Спасибо за труд!
Предпочитаю более «легкое, сбалансированное решение» — дома пересел на Linux и жену пересадил. На рабочем Макбуке — соответственно мак ось. И проблема загрузки вредоносных программ сократилась до ОЧЕНЬ мизерных процентов. :)
Довольно практично, знаете ли. ;)
Кстати, есть ли схожий механизм у Сафари?(Этот браузер отсутствует в Вашем тесте).
Как с этой бедой борются купертиновцы?
Или там просто отсутствует эта беда как класс?
Если же приходится качать что-то на рабочей тачке под Win7, то тут надежа больше на голову. Да и давно я уже что-то не качал ничего «подозрительного». Больше с сайта Майкрософт, либо с пиринговых сетей. А там SmartScreen не помогает :(
Тоже вариант :) Это вопрос более низкой таргетированности операционных систем. Но как показывает свеженький Mac Defender, маководы ведутся на такой же фишинг, что и пользователи Windows. Мошенники эксплуатируют человеческие слабости, а уязвимости систем тут вторичны.
Safari не тестировался, как обычно, ввиду низкой доли у читателей (менее 1%). Но его рез-ты вряд ли будут отличаться от Chrome и Firefox, ввиду общего Safe Browsing API.
У меня блокировкой рекламы занимается KIS, а флеш в IE блокируется очень просто — заходите в «Надстройки» выбираете флеш и правым кликом в «Подробнее», там нажимаете «Удалить все сайты». После этого IE на каждом сайте будет спрашивать разрешить флеш или нет — получается тот-же flashblock, только разрешение применяется не к фрейму, а ко всей странице, что впрочем всё равно удобно.
P.S. Пользуюсь IE и Firefox.
P.P.S. Только поставив себе 9-го ослика отметил для себя фильтр Smart Screen — хорошая наработка. Думаю если Microsoft будет продолжать двигаться в направлении взаимодействия своих продуктов, мы в скором времени получим бесплатный аналог KIS :)
Оффтоп:
Вадим, в Firefox перестал корректно работать верхний фрейм у вас на сайте (висит только одна новость, автоматическая смена статей не работает, нажатие на квадратики новости не переключает).
ProFFeSSoR, хороший совет про Flash в IE, я хотел описать его отдельно, но ввиду небольшой доли читателей с IE отложил этот вопрос до более масштабной записи :)
Оффтоп прошу занести в Баг-репорт по движку — со скриншотами и т.д.
Это конечно хорошо SmartScreen
http://blogs.msdn.com/b/ie/archive/2011/05/17/smartscreen-174-application-reputation-in-ie9.aspx
Но что вы можете сказать про ответ на данную статью, который можно найти теперь везде в интернете например
http://www.xakep.ru/post/55755/
Исследователь резко критикует Microsoft за ложную статистику о блокировке вредоносных программ в IE9
Куда уж мне спорить с известным экспертом ;) Но попробую отметить некоторые моменты.
Для начала, кое-что из сказанного в моей статье в качестве цитат Константина совпадает с указанным вами мнением эксперта — эксплойты дополнений и сертификаты. Другими словами, мой материал обозначает проблемы, от которых SmartScreen не защитит.
Вообще, блокировка эксплойтов для дополнений не должна являться обязанностью браузера. Подумайте сами — кто-то сделал аддон с дырой, и как браузер должен об этом узнавать? Но мы видим, что есть пути решения — Google сотрудничает с Adobe, включая обновления Reader и Shockwave в браузер.
Случаи с украденными сертификатами тоже есть, но они не валяются на дороге. Это, скорее, для таргетированных 0-day атак больше подходит, ибо как только об этом становится известно, сертификат отзывают. Иначе говоря, эта угроза не массовая, в отличие от остальных, которые призван блокировать IE.
По поводу ошибочного срабатывания эксперт приводит цифры, но там ведь не уточняется, что речь идет именно о предупреждениях репутации файлов, а не блокировке! Видите, как передергиваются факты? Между тем, даже без AppRep IE лидирует.
Эксперту не понравился пиар-ход, ему показалось, что картину искажают. Но ведь реальность такова, что IE9 действительно лучше других браузеров блокирует загрузку вредоносных программ. Именно это является сутью теста, а уж как там Майкрософт его распиарит, дело десятое, этим занимаются маркетологи. К разработчикам SmartScreen какие претензии-то? Они хорошо делают свою работу, ну по крайней мере лучше некоторых других.
Наконец, эксперт отмечает, что ему нравится идея AppRep. Недовольство вызвал пиар, а микрософто-ненавистники живо растиражировали слова эксперта по всему Интернету. Такая вот пиар-компания получается :)
Я проверил заявления Майкрософт своим тестом — результат перед вами. Несогласны? Методика доступна — перепроверьте.
Спасибо, интересная статья.
Я сам в принципе достаточно опытный пользователь, но дома стараюсь использовать максимальную степень защиты в Интернете, так как домашние материалы для меня самые важные.
Использую связку KIS2011+всевозможные защитные средства, встроенные в браузеры: SmartScreen в IE9, блокировщик всплывающих окон в Opera 11 и т.д.
thrustmaster1995, связка KIS+IE9 SmartScreen обеспечивает очень хорошую защиту от фишинга. Пожалуй, это лучший вариант защиты из всех существующих. Но скорость при этом страдает…
Абсольтно с Вами согласен)
Если правильно настроить KIS, то тогда он не замедляет систему слишком сильно…
Между прочим, я тоже довольно много раз встречался с пользователями, которые стояли перед выбором: хорошая защита или нормальное быстродействие…Я и сам сталкивался с этим вопросом (причем не только на моём ПК, но и на различных других компьютерах), но мне приятнее знать, что мои данные надежно защищены, пусть и в небольшой ущерб производительности ПК.
Я сам использую связку KIS с 2006 года и по сей день, при этом я достаточно хорошо изучил почти все его особености: влияние на производительность и задержку програм, проверку файлов, разные модули по защите. Я могу сказать одно: KIS — это наверное наилучший антивирусный продукт, с которым мне приходилось иметь дело, и при наличии очень гибкой настройки ВСЕХ его компонентов говорить о какой-либо медлительности немного не правильно…но это только для опытных пользователей.
Здравствуйте, Вадим. В последнее время очень увлёкся темой безопасности в целях экономии времени и нервов. Появилось ужасно много вопросов, ответы на которые приходится собирать по частям.
По теме браузеров такой вопрос: может ли быть так, что через браузер на компьютер закачивается программа и начинает заражать файлы на диске (не системном, системный защищен UAC и правами обычного пользователя). То есть, обычно вирус сначала скачивается пользователем, затем запускается им. А может быть так, что какой-нибудь скрипт-команда сайта дает браузеру команду на автоматическую закачку и ЗАПУСК исполняемого файла. Как от этого защититься? Помогут ли Adblock Plus for Chrome, похожие дополнения блокировки в сборке Opera AC, режим безопасности в IE?
Также, интересует вопрос cookie и паролий — они хранятся в файлах с такими же названиями, защищено ли их содержимое от считывания и сами файлы от копирования?
Да, такое возможно, например, атакми типа drive-by download и путем XSS.
Средства для блокировки рекламы вряд ли эффективны, а вот защищенный режим IE пожалуй будет полезнее.
Защиту нужно начинать с обновления браузеров и дополнений до последних версий. Дальнейшее зависит от степени вашей параноидальности — антивирус, комплексное защитное средство, система класса HIPS.
Сохранность паролей, запомненных в браузере, зависит от степени защищенности его хранилища паролей. Я предпочитаю использовать менеджер паролей KeePass, который открывается мастер-паролем. Там надежный алгоритм шифрования, и пароли к сайтам с финансовой и важной личной информацией я в браузере не храню.
Вадим, дело не в методике, а в том, что вы проверяете. В данном случае вы проверяли не браузеры, а эффективность встроенного в Windows средства SmartScreen. В случае с IE он есть по умолчанию, в случае с другими браузерами — его нет.
На самом деле «альтернативные» браузеры имеют встроенные средства защиты от вредоносных сайтов, а не от файлов. К тому же Opera использует не только AVG, но и Yandex для этих целей (в России). И задача такой защиты — не пустить пользователя (или как минимум предупредить его) при входе на опасные сайты, на которых могут распространяться вредоносные файлы. Понимаете разницу? Вы проверяли загрузку файлов (а их проверять как раз и призваны клиентские антивирусы, сканирующие трафик), а в браузерах правильнее проверять доступность опасных веб-сайтов.
Илья Шпаньков, мне показалось, что ваше принципиальное несогласие с существованием моего тестирования помешало вам воспринять ряд тезисов и фактов, изложенных в статье. Вы даже предположили, что я не понимаю некоторых базовых понятий :) Что ж, разъясню свой взгляд на некоторые моменты.
Защитные технологии браузеров
1. SmartScreen можно считать встроенным в Windows, только начиная с Windows 8. В остальных ОС эта технология включается только на уровне IE. Она также работает в программах/сервисах Windows Live, но для ее отключения даже нет настроек.
2. Я считаю некорректным ваше утверждение об отсутствии блокирования загрузки в других браузерах «из коробки». Она есть, что подтверждают мои тесты, т.е. используется в качестве защитного средства.
Широко рекламирует ее только IE по вполне понятным причинам. Другие браузеры либо ограничиваются заявлениями в блогах разработчиков (Chrome), либо не упоминают о технологии (Firefox, Opera), что вообще нонсенс.
3. Я перечислил те технологии браузеров, которые, как мне известно, относятся к проверке загружаемых файлов. Если я где-то ошибся, пожалуйста, сопроводите замечание (например, о Yandex) ссылкой на источник информации. Вам ведь это легко сделать? :)
Корректность данного тестирования
1. Прямая ссылка на вредоносный файл может быть размещена на любом сайте, даже легитимном (например, Facebook). Поэтому нужно подразделять блокирование загрузки файлов и посещаемых сайтов.
2. Раз все современные браузеры имеют технологию проверки скачиваемых файлов, я считаю абсолютно корректным сравнивать их достижения в этом вопросе.
Сигнатурный анализ и облачные сервисы
1. В статье показано, почему технология репутации файлов в SmartScreen имеет преимущество, в том числе и перед классическим антивирусным сканированием на стороне клиента. Рассматривается как теория работы SmartScreen, так и практическое подтверждение на основе анализа моей выборки с помощью VirusTotal. Вы увидели это?
2. Сочетание репутационного фильтра с классическим антивирусом совершенно не вредит. Да и по мере того, как набирают силу облачные технологии, традиционная сигнатурная проверка уже не является основным оружием антивирусных компаний. Это видно из цитаты Касперского, приведенной в конце статьи. Облачные сервисы браузеров играют на том же поле.
Наконец, SmartScreen рулит и в вопросе блокирования посещаемых сайтов. Тестирования NSS Labs каждый раз это наглядно показывают. Нужно просто абстрагироваться от любви к Opera, и признать, что Microsoft лидирует в этом аспекте :)
Upd @14:00 MSK. Уточнил некоторые формулировки.
Не знаю, как другие браузеры, но у Opera постоянно везде говорится об имеющихся средствах по обеспечению безопасности:
http://www.opera.com/browser/
http://www.opera.com/browser/features/#security
И, как видите, упор всё-таки делается на безопасность при посещении сайтов, а не при загрузке неких файлов. Браузер — это не антивирус, в нём нет встроенного анализатора, способного на лету определять вредоносность кода загружаемого файла. Opera использует сторонние сервисы (AVG и Yandex), обращаясь к их базе данных. Таким образом ваш тест показал сравнительный анализ эффективности SmartScreen и AVG. Собственно браузеры здесь вообще ни при чём. При этом мне, например, так и непонятно — SmartScreen и AVG работают в одной и той же области или у них всё-таки несколько разные задачи? Пока я больше склоняюсь ко второму, а поэтому сравнивать эти два сервиса тоже не очень корректно.
Да, если в базе AVG или Yandex оказались вписаны конкретные файлы — браузер заблокирует их загрузку тоже. Но это — не основная задача защитных средств браузера. Повторю, что основной упор делается на блокирование доступа к опасным веб-сайтам, содержащим вредоносный код (внедрённый в код страницы или предлагаемый в виде загружаемого файла) или занимающимся «фишингом». Именно эта проблема является наиболее важной, т.к. загрузка подозрительных или потенциально опасных файлов всё-таки должна быть инициирована пользователем, а здесь уже срабатывают правила «сетевой гигиены», которым следуют сами пользователи в большинстве своём.
Да, а результатам исследований NSS Labs я бы вообще не доверял: данная организация финансово очень «привязана» к Microsoft и их исследования вызывают больше вопросов, чем ответов.
http://my.opera.com/haavard/blog/2009/03/26/malware-report-from-nss-labs-manipulates-statistics
http://my.opera.com/haavard/blog/2011/07/20/nss-labs
http://www.favbrowser.com/opera-responds-to-nss-labs-browser-security-research-report/
Илья, спасибо за ответ! Впрочем, примерно такой аргументации я и ожидал (к сожалению, ибо хотелось чего-то пооригинальнее :).
Давайте сначала расставим правильные акценты. Opera является моим основным браузером > 10 лет, при этом у меня есть неплохое представление о ряде технологий Майкрософт, связанных с клиентскими ОС и ПО. Вы занимаетесь развитием Opera в России, что в моем понимании напрямую связано с маркетингом (поправьте, если ошибся).
Поэтому для конструктивной дискуссии нам нужно найти золотую середину между технологией и маркетологией :) Желательно без перекосов в последнее.
Я откомментирую ваши тезисы.
В принципе, эти анализаторы уже есть во всех современных браузерах, но они обязательно завязаны на облако. Разница лишь в тонкостях реализации на клиенте. Например, может использоваться кэширование списков вредоносных сайтов. См. мой расказ о работе Safe Browsing API или рассказ В. Безмалого о технологии SmartScreen в этой статье.
А что вы можете рассказать конкретного об аналогичной технологии, используемой в вашем браузере? Похоже, что ничего, делаю я вывод из следующей цитаты.
А погуглить?
С точки зрения конечного пользователя оба описания фактически идентичны, т.е. они работают в одной области.
Касательно ссылок, которые вы дали… Надо было дать эту: Opera: Fraud and Malware Protection, там все-таки поглубже расписано. Но там нет ни слова о AVG/Yandex, равно как и не упоминается блокировка файлов. А ведь она работает, именно на основе AVG (по кр. мере на момент тестирования). Почему вы об этом умалчиваете на оф. сайте, а говорить начинаете только устами PR-менеджера, когда вас клюнут?
Я понимаю, что упор делается на анализ сайтов — мы не пустим вас на сайт, потому что там есть малварь. Молодцы, правильно сделаете. Но, сказав «А», теперь скажите «Б» и не дайте мне скачать эту малварь с других сайтов. Что вам мешает развивать анализ файлов? Очевидно, отсутствие технологии. Ни у вас, ни у партнеров нет технологии, которая может сравниться по эффективности со SmartScreen.
Едем дальше. Я ведь специально кинул наживку в виде NSS Labs и получил ожидаемый ответ :)
Тут все просто. Фактов привязанности NSS Labs к Майкрософт ни у кого нет, поэтому используются любые флеймо-способы дискредитации тестов. Рельность такова, что NSS Labs всегда раскрывает источники финансирования тестов. Команда разработки SmartScreen оплачивала тестирование своего сервиса пару раз (последний раз они хотели проверить, насколько эффективно работает репутация файлов).
В этом случае они оставляют за собой право запретить публикацию теста, а в отчете появляется упоминание о том, что тест заказан Microsoft. В последнем отчете этого нет. Посмотрите несколько отчетов и убедитесь в наличии дисклеймера.
Ну хорошо, допустим, NSS Labs плохие, нечестные, проплаченные Майкрософтом и т.д. Допустим, я им тоже не доверяю. Но вот беда, аналогичных тестов больше никто в мире не публикует!
Тогда я, независимый специалист, берусь проверить своими скромными силами эффективность одного аспекта защиты от малвари в современных браузерах. Чтобы дискредитировать мои выводы у вас есть два выхода:
1. Объявить, что мне заплатила Майкрософт (это легко, ведь я же Microsoft MVP). Вы не пошли этим путем, честь вам и хвала ;)
2. Сказать, что браузер тут ни при чем. Ooops!
Как это браузеры ни при чем? Вы включили в свой браузер сторонние сервисы и доверили им защиту от фишинга и малвари. Но как только речь зашла о сравнении с конкурентами, вы отошли в сторонку и не хотите играть с другими детьми.
Придется! Потому что конечного пользователя не должно волновать, как именно реализована защита. Его интересует эффективность этой защиты — надежен ли мой браузер, предупредит ли он меня о фишинговом сайте, воспрепятствует ли он загрузке вредоносного файла?
Занимаясь развитием браузера в России, вы не можете не понимать того, что волнует пользователей. Но если вы хотите заниматься казуистикой, то я тоже так могу. ОК, я не сравниваю браузеры, я сравниваю эффективность имеющихся в них защитных средств :) Результат в статье выше.