Статьи

Порівняльний тест браузерів: блокування завантаження шкідливих програм - Вадим Стеркиной

  1. Програми шкідливі і не дуже
  2. Як проводився тест
  3. Методика
  4. вміст колекції
  5. Інтерпретація результатів тесту
  6. Перевага механізму репутації файлів в IE9
  7. Як швидко антивіруси дізнаються про шкідливі програми
  8. думка експерта
  9. Рецепти захисту від шахрайства і шкідливих програм

Користувачі Інтернету щодня викачують і своїми руками встановлюють величезну кількість шкідливих програм Користувачі Інтернету щодня викачують і своїми руками встановлюють величезну кількість шкідливих програм. Всі сучасні браузери борються з цією проблемою, але їх ефективність різниться. Я пропоную вам результати свого порівняльного тесту браузерів на предмет блокування завантаження шкідливих програм (malware).

це продовження розповіді про засоби захисту від шахрайства в браузерах . Нагадаю коротко, що вони блокують як фішингові сайти, так і шкідливі файли:

  • Internet Explorer задіює свій фільтр SmartScreen
  • Firefox, Chrome і Safari використовують Google Safe Browsing API
  • Opera покладається на AVG Link Scanner для визначення шкідливих файлів (сайти блокуються за допомогою сервісів PhishTank і NetCraft)

Саме ці механізми захисту і порівнюються в даному тесті. Колекцію фішингових сайтів мені зібрати не вдалося. А ось посилання на свіжі шкідливі програми виявилося легше знайти, тому тест проводився тільки на блокування завантаження шкідливих програм.

На діаграмі ви бачите головний результат мого тесту - Internet Explorer 9 на порядок краще за інших браузерів блокував завантаження шкідливих програм. І далі ви у всіх подробицях дізнаєтеся, як я прийшов до цього результату. Ми також поговоримо про те, чи варто відключати захист від шахрайства в браузері, маючи антивірус або комплексне захисний засіб.

Програми шкідливі і не дуже

Російська Wikipedia називає malware   шкідливою програмою   , Але тлумачить термін ширше Російська Wikipedia називає malware шкідливою програмою , Але тлумачить термін ширше. Строго кажучи, далеко не завжди такі програми можуть нанести вам шкоду. Наприклад, програма для крадіжки паролів до гри Lineage небезпечна тільки для тих, хто в неї грає.

З іншого боку, якась панель в браузері може просто відсилати інформацію про ваші переміщення в мережі, що теж не завдає прямого збитку. Але ніхто не дасть вам гарантію, що одного разу ця панель не перекине вас на заражений сайт. А там вже буде поміщений експлойт для свіжої уразливості браузера або його доповнення. Вам потрібна така програма?

У своєму тесті я не робив відмінності між дійсно шкідливими і просто небажаними програмами. З класифікацією немає єдності і у антивірусних вендорів, як ви побачите нижче.

Як проводився тест

Мої можливості не йдуть ні в яке порівняння з професійними тестовими лабораторіями, тому методика була обрана дуже проста. Набравшись терпіння, ви навіть зможете відтворити її самостійно.

Методика

Якщо коротко, тест проводився так: Якщо коротко, тест проводився так:

  • відбирається колекція зі свіжих посилань (в межах 48 годин) на шкідливі програми
  • всі посилання по черзі відкриваються в кожному з тестованих браузерів
  • результати записуються

Я перевіряв IE і Opera, а мій колега Morpheus взяв на себе Chrome і Firefox, за що йому велике спасибі.

Більш докладний опис тесту я виклав в форматі PDF , Щоб не займати місце в статті. Ваші розумні коментарі про методику вітаються. Якщо ж у вас є інший підхід до тестування, мені буде дуже цікаво дізнатися про нього і подивитися на ваші результати.

вміст колекції

Через тиждень після тесту, я перевірив всю колекцію шкідливих програм за допомогою сервісу VirusTotal. Він дозволяє протестувати файли чотирма десятками різних антивірусних сканерів.

Щоб ви не заплуталися з подвійними відсотками, я озвучу кілька висновків з результатів перевірки:

  • всі файли в колекції були шкідливими за версією як мінімум двох антивірусів
  • лише 5% файлів викликали реакцію менше 10% захисних програм
  • більше 30% антивірусів відреагували на 77% файлів

Про відмінності в реакції антивірусів ми ще поговоримо, а поки давайте ще раз глянемо на результати тесту.

Інтерпретація результатів тесту

Я не буду робити гучних заяв на основі тесту, тому обмежу свої висновки тільки розміром колекції. Втім, я не сумніваюся, що будь-яке інше незалежне тестування покаже схожі результати.

У моєму тесті браузери проявили себе дуже по-різному.

  • Internet Explorer 9 не дозволив завантажити 79 шкідливих програм, що входили в колекцію. Крім того, 12 разів він видав попередження про недостатню репутації програми і ускладнив її запуск. Таким чином, браузер Microsoft завадив запуску 91 шкідливої ​​програми з 100.
  • Opera скачала 88 програм і заблокувала 12 - це все, на що спромігся AVG Link Scanner.
  • Chrome і Firefox не тільки показали абсолютно однаковий результат, 7 блокувань на 100 завантажень, а й реагували на одні і ті ж файли. Це не дивно, враховуючи загальний API.

Фільтр SmartScreen в IE9 залишив конкурентів далеко позаду. До такого ж висновку прийшов MVP з безпеки Володимир Безмалий, який трохи раніше провів аналогічний тест , Нехай і на вчетверо меншою колекції. Upd. Один з читачів вирішив відтворити мою методику на колекції з 50 посилань і отримав схожі результати .

Також очевидно, що новий механізм перевірки репутації файлів в IE9 повинен піти на користь тим, хто качає програми, не замислюючись про наслідки. Про цю технологію я вже розповідав , А тепер давайте подивимося на неї з практичної точки зору.

Перевага механізму репутації файлів в IE9

Перевірка репутації файлів в Internet Explorer 9 перешкоджає завантаженні шкідливих програм з першої секунди їх поширення в Інтернеті. І я покажу вам, чому це дуже важливо для захисту.

Розробники IE в своєму блозі представили цікаву картину одного реального випадку масованого поширення шкідливої ​​програми.

Розробники IE в своєму блозі представили цікаву картину одного реального випадку масованого поширення шкідливої ​​програми

Як бачите, в перші чотири години атака досягла свого піку, а потім поступово пішла на спад, і через 11 годин кількість завантажень шкідливої ​​програми значно скоротилося. Очевидно, починаючи з четвертої години, інформація почала досягати фахівців, і в справу вступили різні репутаційні сервіси комплексних захисних програм, які блокують завантаження. Крім того, хостингові компанії могли почати блокування сайтів, що поширюють «зловредів».

В описаному випадку 99% користувачів IE9 відмовилися від запуску шкідливої ​​програми після попередження фільтра SmartScreen. У перші години атаки захисна програма могла ще нічого не знати про загрозу, але її допомогу і не знадобилася.

Як видно з діаграми, розробники захисних програм не моментально дізнаються про нові загрози. Іноді це займає кілька днів, і далі я наведу вам ще один доказ цієї тези. До речі, одним з джерел інформації для аналітиків антивірусних компаній служать підозрілі файли, що надсилаються користувачами форумів, де проводиться лікування систем від шкідливих програм .

Як швидко антивіруси дізнаються про шкідливі програми

Мої читачі в коментарях відзначали , Що не вважають за потрібне використовувати захист від фішингу в браузері при наявності антивіруса або комплексного захисного засобу. Я розумію логіку, але хочу продемонструвати вам, що поєднання цих способів захисту зміцнює безпеку.

Оскільки я використав дуже свіжі файли, у мене була хороша можливість подивитися на швидкість реакції антивірусів. За допомогою сервісу VirusTotal я перевірив всі файли, репутація яких здалася IE9 недостатньо надійною. Я зробив це відразу після завантаження і повторив через тиждень з допомогою дуже зручної програми VT Checker , Створеної моїми колегами з OSZone.

збільшити малюнок
збільшити малюнок

На малюнку файли відсортовані за датою першого сканування на VirusTotal. Видно, що три нижніх файлу давно циркулюють по Інтернету, тобто нові посилання ведуть на старі загрози, які можуть бути вже і не страшні.

В контексті реакції антивірусів на нові «зловредів» цікаві файли, що з'явилися в поле зору фахівців тільки що. Верхня четвірка - це файли не старше 48 годин на день проведення тесту. Через тиждень, у кожного з них додалося шанувальників серед антивірусних вендорів - це видно по зростанню відсотку захисних програм, що зреагували на виділені файли.

IE9 висловила недовіру цих файлів відразу, але як ви вже помітили, єдності серед антивірусів немає. І я попросив знайомого експерта поглянути на файли з підмоченою репутацією.

думка експерта

Костянтин Алгаш - лідер сайту SafeZone.cc , Зі школи якого виходять всі борці з вірусами, які надають допомогу на OSZone.net та інших великих ресурсах під егідою асоціації VirusNet . Я відправив йому 12 файлів з недостатньою репутацією за версією IE9, і привожу цитати з його відповіді.

Костянтин Алгаш: Я відразу відкинув 4 свідомо шкідливих файлу за версією Лабораторії Касперського (ЛК). Решта 8 файлів вирушили в антивірусні лабораторії Dr. Web і ЛК. Відповідь ЛК не дав нової інформації, а Dr. Web визнав 6 файлів з 8 шкідливими.

Зверніть увагу на розбіжність в оцінці файлів у двох провідних російських антивірусних вендорів. Костянтин перевірив один з таких файлів (deluserlex.exe, троян за версією Dr. Web), а також дві що залишилися програми, на які не лаявся жоден з двох антивірусів.

Костянтин Алгаш:

Перевіряю файли сам:

  • deluserlex.exe - судячи з усього, файл чистий або пошкоджений, тому що ніяких шкідливих дій він не робить
  • MinasTirith17.exe - є архіви, шкідливих дій не виконує
  • yapbrowser.exe - є класичним adware

З 12 завантажень репутація тільки двох файлів була поставлена ​​під сумнів браузером Microsoft без вагомих підстав. Це дозволяє зробити висновок, що механізм репутації файлів IE9 в Windows Vista і Windows 7 дає користувачам додатковий рівень захисту від завантаження шкідливих програм (виконуваних файлів).

Зазначу, що вескость підстав завжди залишається на розсуд розробників захисних програм і сервісів. Так, ці три файли викликають побоювання у 49%, 31% і 56% антивірусів відповідно, якщо дивитися за списком VirusTotal (малюнок вище).

Експерт також нагадав, що механізм перевірки репутації не є панацеєю.

Костянтин Алгаш:

Потрібно врахувати, що:

  • механізм репутації файлів покладається на цифрові сертифікати, якими підписано програму (легітимні сертифікати можна вкрасти - згадаємо Stuxnet)
  • користувач може проігнорувати попередження
  • браузер не в змозі блокувати експлойти, що використовують уразливості в додатках Adobe Reader, Flash, Apple iTunes і Java

Останнє зауваження резонує з моїм тезою про те, що актуальність доповнень браузерів - це обов'язковий елемент захисту від сучасних загроз в Інтернеті.

Рецепти захисту від шахрайства і шкідливих програм

На жаль, універсального рецепта для захисту від шахрайства не існує, оскільки програмами поки недоступно лікування людських слабостей і заповнення нестачі знань. Тому протиотруту потрібно підбирати в залежності від комп'ютерних навичок і звичок конкретних користувачів, а також апаратної конфігурації системи.

Поєднання гарного антифішингових фільтра браузера з легким антивірусним сканером не уповільнює роботу системи, що особливо актуально на слабких конфігураціях, в т Поєднання гарного антифішингових фільтра браузера з легким антивірусним сканером не уповільнює роботу системи, що особливо актуально на слабких конфігураціях, в т.ч. нетбуках. Таку стратегію також можна порекомендувати досвідченим користувачам, які цінують свій час. З іншого боку, недосвідченим користувачам потрібна більш потужний захист від шахраїв, і Internet Explorer 9 в цьому плані підходить найкраще, якщо спиратися на результати тесту браузерів. Не забувайте, що окремі облікові записи для членів сім'ї дозволяють кожному з них використовувати найбільш підходящий браузер.

Оскільки вибір браузера рідко диктується виключно міркуваннями безпеки, ви можете зміцнити захист від фішингу в будь-якому з них, встановивши додаток   WOT Оскільки вибір браузера рідко диктується виключно міркуваннями безпеки, ви можете зміцнити захист від фішингу в будь-якому з них, встановивши додаток WOT . Воно використовує відгуки безлічі користувачів і дані репутаційних ресурсів (наприклад, PhishTank ) Для визначення підозрілих сайтів. Розширення не створює потужного перешкоди для завантаження шкідливих програм, але в якійсь мірі допоможе вберегтися від відвідування сайтів, де їх пропонують скачати.

Найвищий ступінь безпеки дає поєднання антифішингових фільтра в браузері з комплексної захисною програмою, яка має власними фільтрами Найвищий ступінь безпеки дає поєднання антифішингових фільтра в браузері з комплексної захисною програмою, яка має власними фільтрами. Ефективність таких програм теж різниться, але так чи інакше вони перешкоджають шахраям ще на підступах до всієї системи. за власним даними лабораторії Касперського , В 2010 році їх продукти заблокували 60% від загального числа виявлених загроз без будь-якого аналізу коду і оновлення антивірусних баз. Зворотною стороною медалі застосування комплексних програм є більш високе навантаження на систему і уповільнення роботи, в тому числі в Інтернеті.

Але найпотужніший антіфішинговий фільтр знаходиться у вас на плечах. Якщо ви знаєте вектори сучасних загроз в Інтернеті, він вже працює. Я просто допомагаю вам його налаштувати :)

А як у вас організований захист від завантаження шкідливих програм? Закручуєте ви гайки тугіше пакетом з розряду Internet Security або віддаєте перевагу більш легке, збалансоване рішення? Варіюєте ви стратегію захисту в залежності від апаратної конфігурації або навичок користувача, якого потрібно убезпечити? Поділіться своїм досвідом в коментарях! І, до речі, що ви думаєте про це тесті? :)

Обговорення завершено.

Вам потрібна така програма?
Закручуєте ви гайки тугіше пакетом з розряду Internet Security або віддаєте перевагу більш легке, збалансоване рішення?
Варіюєте ви стратегію захисту в залежності від апаратної конфігурації або навичок користувача, якого потрібно убезпечити?
І, до речі, що ви думаєте про це тесті?

Новости