Пользователи Интернета ежедневно скачивают и своими руками устанавливают огромное количество вредоносных программ. Все современные браузеры борются с этой проблемой, но их эффективность различается. Я предлагаю вам результаты своего сравнительного теста браузеров на предмет блокирования загрузки вредоносных программ (malware).
Это продолжение рассказа о средствах защиты от мошенничества в браузерах. Напомню вкратце, что они блокируют как фишинговые сайты, так и вредоносные файлы:
- Internet Explorer задействует свой фильтр SmartScreen
- Firefox, Chrome и Safari используют Google Safe Browsing API
- Opera полагается на AVG Link Scanner для определения вредоносных файлов (сайты блокируются с помощью сервисов PhishTank и NetCraft)
Именно эти механизмы защиты и сравниваются в данном тесте. Коллекцию фишинговых сайтов мне собрать не удалось. А вот ссылки на свежие вредоносные программы оказалось легче найти, поэтому тест проводился только на блокирование загрузки вредоносных программ.
На диаграмме вы видите главный результат моего теста — Internet Explorer 9 на порядок лучше других браузеров блокировал загрузку вредоносных программ. И дальше вы во всех подробностях узнаете, как я пришел к этому результату. Мы также поговорим о том, стоит ли отключать защиту от мошенничества в браузере, имея антивирус или комплексное защитное средство.
Программы вредоносные и не очень
Русская Wikipedia называет malware вредоносной программой, но толкует термин шире. Строго говоря, далеко не всегда такие программы могут нанести вам вред. Например, программа для кражи паролей к игре Lineage опасна только для тех, кто в нее играет.
С другой стороны, какая-нибудь панель в браузере может просто отсылать информацию о ваших перемещениях в сети, что тоже не наносит прямого ущерба. Но никто не даст вам гарантию, что однажды эта панель не перекинет вас на зараженный сайт. А там уже будет помещен эксплойт для свежей уязвимости браузера или его дополнения. Вам нужна такая программа?
В своем тесте я не делал различия между действительно вредоносными и просто нежелательными программами. С классификацией нет единства и у антивирусных вендоров, как вы увидите ниже.
Как проводился тест
Мои возможности не идут ни в какое сравнение с профессиональными тестовыми лабораториями, поэтому методика была выбрана очень простая. Набравшись терпения, вы даже сможете воспроизвести ее самостоятельно.
Методика
Вкратце, тест проводился так:
- отбирается коллекция из свежих ссылок (в пределах 48 часов) на вредоносные программы
- все ссылки по очереди открываются в каждом из тестируемых браузеров
- результаты записываются
Я проверял IE и Opera, а мой коллега Morpheus взял на себя Chrome и Firefox, за что ему большое спасибо.
Более подробное описание теста я выложил в формате PDF, чтобы не занимать место в статье. Ваши умные комментарии о методике приветствуются. Если же у вас есть другой подход к тестированию, мне будет очень интересно узнать о нем и посмотреть на ваши результаты.
Содержимое коллекции
Спустя неделю после теста, я проверил всю коллекцию вредоносных программ с помощью сервиса VirusTotal. Он позволяет протестировать файлы четырьмя десятками разных антивирусных сканеров.
Чтобы вы не запутались с двойными процентами, я озвучу несколько выводов из результатов проверки:
- все файлы в коллекции являлись вредоносными по версии как минимум двух антивирусов
- лишь 5% файлов вызвали реакцию менее 10% защитных программ
- более 30% антивирусов отреагировали на 77% файлов
О различиях в реакции антивирусов мы еще поговорим, а пока давайте еще раз взглянем на результаты теста.
Интерпретация результатов теста
Я не буду делать громких заявлений на основе теста, поэтому ограничу свои выводы только размером коллекции. Впрочем, я не сомневаюсь, что любое другое независимое тестирование покажет похожие результаты.
В моем тесте браузеры проявили себя очень по-разному.
- Internet Explorer 9 не позволил скачать 79 вредоносных программ, входивших в коллекцию. Кроме того, 12 раз он выдал предупреждение о недостаточной репутации программы и затруднил ее запуск. Таким образом, браузер Microsoft помешал запуску 91 вредоносной программы из 100.
- Opera скачала 88 программ и заблокировала 12 – это все, на что оказался способен AVG Link Scanner.
- Chrome и Firefox не только показали абсолютно одинаковый результат, 7 блокировок на 100 загрузок, но и реагировали на одни и те же файлы. Это неудивительно, учитывая общий API.
Фильтр SmartScreen в IE9 оставил конкурентов далеко позади. К такому же выводу пришел MVP по безопасности Владимир Безмалый, который чуть раньше провел аналогичный тест, пусть и на вчетверо меньшей коллекции. Upd. Один из читателей решил воспроизвести мою методику на коллекции из 50 ссылок и получил похожие результаты.
Также очевидно, что новый механизм проверки репутации файлов в IE9 должен пойти на пользу тем, кто качает программы, не задумываясь о последствиях. Об этой технологии я уже рассказывал, а теперь давайте посмотрим на нее с практической точки зрения.
Преимущество механизма репутации файлов в IE9
Проверка репутации файлов в Internet Explorer 9 препятствует загрузке вредоносных программ с первой секунды их распространения в Интернете. И я покажу вам, почему это очень важно для защиты.
Разработчики IE в своем блоге представили интересную картину одного реального случая массированного распространения вредоносной программы.
Как видите, в первые четыре часа атака достигла своего пика, а потом постепенно пошла на спад, и через 11 часов количество загрузок вредоносной программы значительно сократилось. Очевидно, начиная с четвертого часа, информация начала достигать специалистов, и в дело вступили различные репутационные сервисы комплексных защитных программ, блокирующие загрузку. Кроме того, хостинговые компании могли начать блокировку сайтов, распространяющих «зловреда».
В описанном случае 99% пользователей IE9 отказались от запуска вредоносной программы после предупреждения фильтра SmartScreen. В первые часы атаки защитная программа могла еще ничего не знать об угрозе, но ее помощь и не понадобилась.
Как видно на диаграмме, разработчики защитных программ не моментально узнают о появлении новых угроз. Иногда это занимает несколько дней, и дальше я приведу вам еще одно доказательство этого тезиса. Кстати, одним из источников информации для аналитиков антивирусных компаний служат подозрительные файлы, присылаемые пользователями форумов, где проводится лечение систем от вредоносных программ.
Как быстро антивирусы узнают о вредоносных программах
Мои читатели в комментариях отмечали, что не считают нужным использовать защиту от фишинга в браузере при наличии антивируса или комплексного защитного средства. Я понимаю логику, но хочу продемонстрировать вам, что совмещение этих способов защиты укрепляет безопасность.
Поскольку я использовал очень свежие файлы, у меня была хорошая возможность посмотреть на скорость реакции антивирусов. С помощью сервиса VirusTotal я проверил все файлы, репутация которых показалась IE9 недостаточно надежной. Я сделал это сразу после загрузки и повторил через неделю с помощью очень удобной программы VT Checker, созданной моими коллегами с OSZone.
На рисунке файлы отсортированы по дате первого сканирования на VirusTotal. Видно, что три нижних файла давно циркулируют по Интернету, т.е. новые ссылки ведут на старые угрозы, которые могут быть уже и не страшны.
В контексте реакции антивирусов на новые «зловреды» интересны файлы, появившиеся в поле зрения специалистов только что. Верхняя четверка – это файлы не старше 48 часов на день проведения теста. Спустя неделю, у каждого из них добавилось почитателей среди антивирусных вендоров – это видно по возросшему проценту защитных программ, среагировавших на выделенные файлы.
IE9 выразил недоверие этим файлам сразу, но как вы уже заметили, единства среди антивирусов нет. И я попросил знакомого эксперта взглянуть на файлы с подмоченной репутацией.
Мнение эксперта
Константин Алгаш — лидер сайта SafeZone.cc, из школы которого выходят все борцы с вирусами, оказывающие помощь на OSZone.net и других крупных ресурсах под эгидой ассоциации VirusNet. Я отправил ему 12 файлов с недостаточной репутацией по версии IE9, и привожу цитаты из его ответа.
Константин Алгаш: Я сразу отбросил 4 заведомо вредоносных файла по версии Лаборатории Касперского (ЛК). Оставшиеся 8 файлов отправились в антивирусные лаборатории Dr. Web и ЛК. Ответ ЛК не дал новой информации, а Dr. Web счел 6 файлов из 8 вредоносными.
Обратите внимание на расхождение в оценке файлов у двух ведущих российских антивирусных вендоров. Константин проверил один из таких файлов (deluserlex.exe, троян по версии Dr. Web), а также две оставшиеся программы, на которые не ругался ни один из двух антивирусов.
Константин Алгаш:
Проверяю файлы сам:
- deluserlex.exe — судя по всему, файл чист или поврежден, т.к. никаких вредоносных действий он не совершает
- MinasTirith17.exe – является самораспаковывающимся архивом, вредоносных действий не выполняет
- yapbrowser.exe – является классическим adware
Из 12 загрузок репутация только двух файлов была поставлена под сомнение браузером Microsoft без веских оснований. Это позволяет сделать вывод, что механизм репутации файлов IE9 в Windows Vista и Windows 7 дает пользователям дополнительный уровень защиты от загрузки вредоносных программ (исполняемых файлов).
Отмечу, что вескость оснований всегда остается на усмотрение разработчиков защитных программ и сервисов. Так, эти три файла вызывают опасения у 49%, 31% и 56% антивирусов соответственно, если смотреть по списку VirusTotal (рисунок выше).
Эксперт также напомнил, что механизм проверки репутации не являются панацеей.
Константин Алгаш:
Нужно учесть, что:
- механизм репутации файлов полагается на цифровые сертификаты, которыми подписана программа (легитимные сертификаты можно украсть — вспомним Stuxnet)
- пользователь может проигнорировать предупреждение
- браузер не в состоянии блокировать эксплойты, использующие уязвимости в приложениях Adobe Reader, Flash, Apple iTunes и Java
Последнее замечание резонирует с моим тезисом о том, что актуальность дополнений браузеров — это обязательный элемент защиты от современных угроз в Интернете.
Рецепты защиты от мошенничества и вредоносных программ
К сожалению, универсального рецепта для защиты от мошенничества не существует, поскольку программам пока недоступно лечение человеческих слабостей и восполнение недостатка знаний. Поэтому противоядие нужно подбирать в зависимости от компьютерных навыков и привычек конкретных пользователей, а также аппаратной конфигурации системы.
Сочетание хорошего антифишингового фильтра браузера с легким антивирусным сканером не замедляет работу системы, что особенно актуально на слабых конфигурациях, в т.ч. нетбуках. Такую стратегию также можно порекомендовать опытным пользователям, ценящим свое время. С другой стороны, неопытным пользователям нужна более мощная защита от мошенников, и Internet Explorer 9 в этом плане подходит лучше всего, если опираться на результаты теста браузеров. Не забывайте, что отдельные учетные записи для членов семьи позволяют каждому из них использовать наиболее подходящий браузер.
Поскольку выбор браузера редко диктуется исключительно соображениями безопасности, вы можете укрепить защиту от фишинга в любом из них, установив дополнение WOT. Оно использует отзывы множества пользователей и данные репутационных ресурсов (например, PhishTank) для определения подозрительных сайтов. Расширение не создает мощного препятствия для загрузки вредоносных программ, но в какой-то степени поможет уберечься от посещения сайтов, где их предлагают скачать.
Наивысшую степень безопасности дает сочетание антифишингового фильтра в браузере с комплексной защитной программой, обладающей собственными фильтрами. Эффективность таких программ тоже разнится, но так или иначе они препятствуют мошенникам еще на подступах к вашей системе. По собственным данным лаборатории Касперского, в 2010 году их продукты заблокировали 60% от общего числа выявленных угроз без всякого анализа кода и обновления антивирусных баз. Обратной стороной медали применения комплексных программ является более высокая нагрузка на систему и замедление работы, в том числе в Интернете.
Но самый мощный антифишинговый фильтр находится у вас на плечах. Если вы знаете векторы современных угроз в Интернете, он уже работает. Я просто помогаю вам его настроить :)
А как у вас организована защита от загрузки вредоносных программ? Закручиваете ли вы гайки потуже пакетом из разряда Internet Security или предпочитаете более легкое, сбалансированное решение? Варьируете ли вы стратегию защиты в зависимости от аппаратной конфигурации или навыков пользователя, которого нужно обезопасить? Поделитесь своим опытом в комментариях! И, кстати, что вы думаете об этом тесте? :)
В браузерах нет анализаторов. И они не завязаны на облако. Всё гораздо проще: при каждом запросе идёт обращение к базе данных партнёрского сервиса, и если там сайт в списке — выдаётся предупреждение. Нет в списке — открывается страница. Естественно, это очень упрощённая схема, и для ускорения работы с AVG и Yandex базами также используются соответствующие API, но, повторю, никакого встроенного «анализатора» нет.
Конкретно — сказал выше, а технические особенности реализации я не изучаю — не мой профиль.
Претензия была не в «глубже», а в том, что мы вообще молчим об этих средствах. Я показал информацию практически на главных страницах.
То, что в браузерах нет систем анализа файлов. Все пользуются сторонними сервисами. В том числе и IE, и Chrome.
Ничего не могу сказать по этому поводу — я не проводил исследований и пока не встречал достаточно качественную аналитику по данному вопросу.
На самом деле источники финансирования мало интересуют. Гораздо важнее знать методику исследования, а вот с этим как раз у NSS Labs проблемы. А не зная методики очень сложно проверить результаты. Вот совсем недавно в сети появлялись исследования, в которых IE на порядки обходил по скорости всех конкурентов. Ознакомление с методикой исследования показало, откуда такие волшебные результаты. Аналогично может быть и с отчётами NSS Labs — но никто не может проверить и подтвердить или опровергнуть.
Всё правильно — «одного аспекта». Не комплексное исследование, должное показать защищённость браузеров при работе в сети _по всем наиболее важным аспектам_, а именно исследование одного. Причём, как я написал ранее — не самого важного и критичного в силу особенностей «активации» данной проблемы.
Безопасность браузеров — это большой комплекс средств (начиная от возможности просмотра ссылок во всплывающих подсказках и заканчивая отсутствием дыр в коде самого браузера), и работа с онлайновыми базами данных является лишь небольшой частью этого комплекса. Я согласен: скорость обновления блэк-листов по вредоносным файлам в SmartScreen может быть выше, чем у AVG и Яндекс, но это совершенно ничего не говорит о защищённости браузеров в целом. Поэтому я и не согласен с тем, что в вашем исследовании делаются выводы о безопасности браузеров.
Более того, даже назвать исследование «Сравнением эффективности SmartScreen и AVG» тоже нельзя, т.к. были исследованы не все функции этих сервисов (блокирование фишинговых сайтов, сайтов с Malware, ссылок на вредоносные файлы, и т.д. и т.п.), а только одна — конкретно по ссылкам на вредоносные файлы. Но это тоже не даёт полной картины.
В свою очередь я вижу на оперных форумах постоянные сообщения вроде «почему мой сайт блокируется в Opera, но без проблем открывается в других браузерах», но я не делаю на этом основании вывод, что Opera — самый защищённый браузер.
Илья Шпаньков, мы оба сходимся на том, что в каждый браузер встроен тот или иной механизм обмена данными с базой вредоносных файлов/сайтов, размещенной вне клиента — на серверах Microsoft, Google, Yandex, AVG и иже с ними.
Этот механизм можно назвать «анализатором, завязанным на облако». Можно не называть, как хотите. Суть от этого не изменится, так что не придирайтесь к словам.
Opera, как я понимаю с ваших слов, ничего не хранит локально и каждый раз связывается с базой партнера. IE хранит некую базу локально, равно как и браузеры, использующие Safe Browsing API. Качество проверки от этого не меняется, надо полагать, а вот скорость — может варьироваться.
Вы невнимательно читаете, так дело не пойдет :( Я дважды говорил о том, что нигде не упоминается о механизме блокировки файлов. Упоминается? Тогда ссылки в студию :)
Теперь о том, чему посвящена основная часть вашего последнего комментария. Она сводится к двум тезисам:
1. Исследованный аспект не самый важный.
2. Это не комплексное исследование.
Отвечу по пунктам.
1. «Важность» — это не количественное понятие. Его очень трудно измерить. То, что вы считаете неважным, я считаю весьма важным. И у меня есть на то причины. На всякий случай процитирую тут самую соль.
Заранее прошу прощения за то, что статистика не просто оплачена, но даже подготовлена Microsoft :)) Если вас это напрягает, найдите другой источник — сравним.
2. Ничто не запрещает мне изучить один конкретный аспект и сделать выводы на основе этого исследования.
Я всегда очень аккуратно подбираю слова в своих статьях. Прочтите выводы о рез-татах тестировании внимательно — они ограничены только этим аспектом, причем даже конкретной выборкой :) Однако сам факт проверки одного аспекта никак не дискредитирует мое исследование.
Поэтому, пожалуйста, не пытайтесь подменить мою область тестирования и результаты своими умозаключениями о том, что я распространяю свои выводы на общую безопасность браузеров.
P.S. Мы оба очень любим браузер Opera и пользуемся им по этой причине. Но разница между нами в том, что вы не можете демонстрировать преимущества конкурентов, а я могу. И если я вижу, что технология Microsoft лучше, я напишу об этом. Обратное тоже верно, и примеры есть в блоге. Вот один для вашего развлечения: Серия пенальти: Opera 11 vs. IE9
Сколько людей — столько мнений. Поэтому и судить о степени безопасности браузеров очень сложно на основании выборочных исследований. То же самое, как со скоростью и прочими субъективными параметрами.
Почитайте комментарии — не у одного меня возникло ощущение, что целью исследования стало выяснение степени безопасности именно браузеров. Видимо, подбор слов всё-таки оказался не до конца аккуратным.
Илья Шпаньков, если кто-то посмотрев на картинку и «ниасилив» текст, сделал вывод, что IE самый безопасный, а остальных незаслуженно обидели, это не моя проблема. Судя по вашим комментариям, вы тоже решили, что именно это я и хотел сказать.
К сожалению, я не могу контролировать умозаключения других людей. И дело тут не в подборе слов.
Пожалуйста, процитируйте каждый комментарий, в котором на ваш взгляд возникло такое ощущение. Сравним ощущения…
Здравствуствуйте.
Статья понравилась, поскольку отображает степень защиты разных браузеров.
Отвечая на Ваш вопрос, я скажу, что пользуюсь Opera 11.52 1100, отключил: «… защиту от мошенничества и вредоносного ПО», брандмауер, поставил avast free 6, и не посещаю «подозрительные» сайты.
Итог: За все время пользования мною интернета (с 2008 г.), я не подцепил ни одного «зловреда» с загрузок, ни одной порно и т.п. рекламы. Знаком со всем этим, только когда приходил к знакомым убирать с компа баннеры и т.д. =) Может некоторые посчитают меня «дикарем», но такая защита действительно работает. Добавлю, что отключение брандмауера, защиты браузера — связанно с тем, что у меня просто медленный Нет. А в остальном все хорошо :)
Была дискуссия по поводу самого безопасного браузера с одним человеком ,и я ему ответил(с ссылкой на Вашу статью)-что это браузер Internet Explorer9) и вот его аргумент-«друг, это пиар и бред сивой кобылы
на заборе тоже «.уй» написано
но это вовсе не значит, что это .уй
я опираюсь на собственный опыт вебмастера, а не на проплаченный бред с гавносайтов
так что извини))))»Как бы Вы прокомментировали?Спасибо.
Владиммир,
1. Из этой статьи неправильно делать вывод о том, что IE9 — самый безопасный браузер. Я этого вывода не делал, да и такого понятия вообще не существует.
В других материалах (см. ссылки прямо под статьей) я неоднократно подчеркивал, что основная угроза вовсе не в уязвимостях браузера. Опасность представляют необновленные вовремя плагины и социальная инженерия.
2. Я не комментирую хамские неаргументированные утверждения неизвестных мне веб-мастеров на тему безопасности браузеров. И впредь прошу их тут не цитировать.
>Из 12 загрузок репутация только двух файлов была поставлена
>под сомнение браузером Microsoft без веских оснований
Ага, ерунда, 17%
У вас все неплохо с математикой. Но почему-то вы забыли посчитать процент реально вредоносных загрузок, пропущенных другими браузерами. Калькулятор в меню Пуск :)
Спасибо за статью и за информацию о блокировке рекламы в IE . Не знал… точней, даже не интересовался, т.к. IE не пользуюсь вообще. Не принципиально — просто Firefox удовлетворяет все потребности.
В качестве защиты — Privatefirewall и встроенные механизмы Окон. От антивирусов отказался давно, т.к. HIPS + голова работают гораздо лучше. И требуют куда меньше ресурсов :) .
Имхо, тестировать Firefox без NoScript или RequestPolicy немного некорректно, т.к. аддоны — неотъемлемая часть этого браузера. Думаю, с одним из этих расширений FF уложил бы IE на лопатки :) . Возможно, в будущем проверю по той же методике, что и в статье.
С другой стороны, конечно, Майкрософт здесь впереди за счет встроенности SmartScreen и отсутствия необходимости в ручной настройке — т.е. с точки зрения заботы о конечном пользователе (вне зависимости от его уровня знаний) IE для большинства пользователей предпочтительнее.
Павел, тестировались встроенные механизмы защиты браузеров от загрузки вредоносных программ. SmartScreen vs. SafeBrowsing API (и его реализаций в разных браузерах) vs. AVG Link Scanner.
Я считаю тестирование корректным, и в этом контексте всякие аддоны тут вообще ни при чем. Если вы хотите тестировать с аддонами — пожалуйста, общая методика доступна. Только не забудьте обвесить аддонами все браузеры.
Вадим, пардон, статью читал давно, перечитать поленился :) . Вопрос корректности отпадает.
Павел, но это не мешает вам навесить на FF все свои любимые аддоны и сравнить его с IE :)
Разумеется, не мешает :) .
Вы не поверите, но у меня НЕТ антивируса. Моим помощником уже второй год является AnVir Task Manager. Почти всегда можно заранее предугадать возможное поведение зловреда — по названию файла, иконке и конечно же по размеру. А лучше всего — не качать всякую гадость непонятно откуда. Да, и никто не отменял VirusTotal. На моем нетбуке ну о-о-очень ма-а-ало ресурсов для того, чтобы позволить себе антивирус. Как было справедливо сказано — HIPS + светлая и образованная (ну или с множеством набитых шишек) — наилучшая защита.
Олег, это непрофессиональный подход, который повышает риск заражения по сравнению с использованием антивируса. Есть AppLocker, если на то пошло.
И что толку нахваливать HIPS, если вы им не пользуетесь…
Добрый день. Собственно, как сделана защита? Антивирус Drweb можно просто, но с модулем gate, firewall comodo но без установки ихнего антивируса, браузер mozilla НО!!! с установленными дополнениями adblock и подписками, WOT в придачу ну и наличие опыта, порою горького. По моей личной статистике, клиенты гораздо, ГОРАЗДО реже обращаются на лечение даже при минимальной защите, такой как: встроенный fiewall, бесплатный avg antivirus и mozilla с adblock и подписками, чем если пользуются IE с его хваленым smartscreen. И в большинстве случаев повторных обращений, диагностика выявляет, что клиент не следует рекомендациям. В ряде случаев устанавливается и корова как дополнение. Но опять же, индивидуальный подход к построению защиты. Цель то какова? Не допустить проникновения вредоносного кода на машину. Как то так..
Александр, вы сравниваете эффективность связок AVG + Mozilla и IE + SmartScreen, полсле чего делаете вывод о преимуществе первой. А на каких основаниях вы лишили вторую антивируса? :) Надо сравнивать с IE (включенный SmartScreen) + Microsoft Security Essentials. Остальное в записи, и да, я убежден в превосходстве SmartScreen над другими антифишинговыми решениями.
Интересно как ситуация обстоит на сегодняшний день?
Сейчас в Safe Browsing API наряду с репутацией ссылок есть репутация файлов, но интегрирована она только в Chrome. За счёт этого он подтянулся к IE10. Это очень хорошо видно на рисунке 4 отчёта NSS Labs за 24 октября 2012 г.
Можете проверить самостоятельно, методика выше.
Дома баланс: жена ИЕ (все ищет везде тыкает) ребенок Хром (у него 3-4 сайта своих в старт-окне, дальше лень) + легкий антивирус.
На работе паранойя: циска, за ней пфсенс + ClamAV 0.97.5 + havp-0.91_1 HTTP Antivirus Proxy + прокси с отсекателями по категориям + антивирь каждому. Шоб никто ниче не принес :)
После обновления ИЕ с 10 версии на 11 начал греться ноут. Удалил ИЕ 11, все вернулось на круги своя, еле тепленький выхлоп.
ОС Windows 7 проф (64). Ноут thinkpad t420.