Сегодня одним из основных каналов заражения вредоносным программным обеспечением является Интернет. О необходимости защищаться от проникновения по данному каналу написаны горы литературы. О существующих средствах противодействия также сказано и написано очень многое.
В данной статье мы с вами попробуем протестировать качество обнаружения как фильтрами браузеров, так и бесплатными антивирусами вредоносного ПО, проникающего по данному каналу.
С недавних пор браузеры обзавелись своими фильтрами вредоносного программного обеспечения, использующего сервисы репутации. Более того, появились несколько разновидностей подобных сервисов. В данном случае мы с вами будем говорить, используя терминологию Microsoft, о URL Reputation Service (URS), используемой как уже понятно из названия для оценки репутаций веб-страниц, сайтов и ссылок, и Application Reputation Service (ARS), с помощью которой оценивается репутация загружаемых файлов.
Однако несмотря на такие титанические усилия проблему все же решить не удалось.
Давайте подумаем почему.
Для этого проведем тестирование фильтров вредоносного содержимого в Internet Explorer 9, Opera 11.60, Goggle Chrome 16.0.912.75 m и Firefox 9.0.1.
Для этого с помощью Kaspersky Internet Security 2012 было выбрано 90 ссылок на русскоязычные вредоносные ресурсы, в том числе загружающие вредоносное ПО, и 40 ресурсов не принадлежащих России (Украине). Для чего мы так сделаем, вы поймете чуть позднее.
В дальнейшем осуществляем переходы по каждой ссылке чтобы определить реакцию каждого браузера.
Полученные результаты, откровенно, меня просто ошеломили (таб. 1):
Таблица 1 Результаты блокирования вредоносных ссылок на русскоязычнх ресурсах
Браузер | Блокировано вредоносных ссылок, включая загрузку файлов |
Internet Explorer 9 | 13, 11% |
Opera 11.6 | 0 % |
Google Chrome 16.0.912.75 m | 0 % |
Firefox 9.0.1 | 1,64 % |
Первая мысль, которая приходит в голову – «Не может быть!».
Вторая – «А может это потому что отобранные сайты на русском языке?»
Проверил англоязычную выборку. Результаты впечатлили еще сильнее (табл 2).
Таблица 2
Браузер | Блокировано вредоносных ссылок, включая загрузку файлов |
Internet Explorer 9 | 4 % |
Opera 11.6 | 0 % |
Google Chrome 16.0.912.75 m | 0 % |
Firefox 9.0.1 | 0 % |
Решил подумать, а чем же причина такого распределения? Почему в отчете NSS Labs приведена цифра для IE9 в 99%?
На самом деле ларчик открывается довольно быстро. Ведь, как я уже писал, основным каналом при добавлении сайта в список репутаций является поисковая система. В данном случае Bing просто отнес сайты, которые участвовали в тесте в конец списка популярности, а раз так, посещаемость у них ниже, следовательно, вероятность заражения тоже ниже, пользователей-то ходит меньше, верно? Верно!
Но почему же эти сайты отработаны антивирусом Касперского, с помощью которого собиралась выборка? Тут, на самом деле все тоже совсем не сложно. С помощью сервиса Kaspersky Network Security для отнесения сайта к зараженным и снижения репутации соответствующей ссылки достаточно чтобы один пользователь из многомиллионной армии пользователей продукта выбрал себе эту ссылку, антивирус по каким-то признакам отнес ее к вредоносным и в дальнейшем все пользователи продукта будут оповещены с помощью KSN о том, что данная ссылка является вредоносной. Более того, даже если просто по ссылке пытаются загрузить вредоносное ПО, то автоматически и сайт и ссылка конкретная будут указаны как вредоносные.
Это, естественно, существенно ускоряет процесс отнесения ссылки к вредоносным.
Отсюда можно сделать вывод. Фильтры репутации в браузерах будут хорошо работать в случае посещения популярных ресурсов. В случае посещения ресурсов менее популярных толку от них не много, увы.
Вместе с тем я хотел уточнить, а как отработают данные ссылки бесплатные антивирусы?
Для теста были отобраны бесплатные антивирусы Avira, AVG и Avast!
Тестировалось поведение данных антивирусов при попытке открыть вредоносную ссылку, запустить вредоносный скрипт или загрузить зараженное программное обеспечение.
Тестирование проводилось на той же коллекции.
Результаты теста приведены в таблице 3.
Таблица 3
Антивирус | Блокировано |
Avira | 8,24% |
AVG | 7.06% |
Avast! | 55.34% |
В первую очередь данные результаты свидетельствуют о том, что на сегодня бесплатные антивирусы не в состоянии обеспечить безопасность пользователей и их информации в должном объеме. Это происходит потому что обновляется большинство из бесплатных антивирусов не чаще одного раза в день, что сегодня явно недостаточно.
Мало того, следует учесть что большинство сайтов с вредоносными ссылками (в первую очередь фишинговыми ссылками) сегодня живут не дольше 72 часов. А значит вообще не попадают в поле зрения бесплатных антивирусов.
Вывод, который можно сделать будет весьма прост и не очень приятен большинству пользователей. За безопасность все же нужно платить!
Avira которая тестировалась, иела в своем составе бесплатный (за счет панели для IE) веб-модуль? Если нет, то как вообще авира и авг погли что-то заметить, если они не контролируют трафик? Непонятно.
Да, безусловно. Он же предлагается при установке для включения
Мда, результаты меня сильно огорчают. Думал что все не ТАК плохо.
Увы, именно так. Более того, я лишний раз убедился, что сервисы репутации это здорово, но все же лучше перестраховаться
[…] одном из сайтов наткнулся на обсуждение моей статьи Блокирование вредоносных ссылок в браузерах и бесплат… Читатель негодует, мол, как это, вредоносные ссылки […]
Хочу сделать одно замечание (моё наблюдение) и задать один вопрос (я дилетант, хоть и продвинутый по сравнению с некоторыми другими дилетантами) по поводу антивирусов. Вы пишете, что «обновляется большинство из бесплатных антивирусов не чаще одного раза в день». Я пользовался «Авирой», так она, действительно, бывало и раз в два дня обновлялась. А вот «Аваст» обновляется по несколько раз в день. Но и у «Авиры», и у «Аваста» есть ещё и платные варианты. Может, вам известно что-нибудь о различиях в технологии, в принципах работы платных и бесплатных антивирусов? Есть ли какое-нибудь отличие, кроме наличия в платных разных дополнительных модулей? Если нет, то, получается, можно смело говорить не о том, что бесплатный хуже платного, а о том, что «Аваст», «Авира» и др. хуже «Касперского», «Нода» и т.д.?
Попробуем по порядку.
Изначально понятно что любой бесплатный антивирус это обрезанная (рекламная) версия платного. Почему? Да потому что и компании и программистам нужно кушать, согласитесь.
Вот сравнение бесплатной и платной версии Avira http://www.avira.com/ru/avira-free-antivirus
Вот аналогично avast http://www.avast.com/ru-ru/free-antivirus-download#tab4
Вот AVG http://free.avg.com/ww-en/free-antivirus-download
Как видите — отличие между бесплатными и платными версиями продуктов просто сражает.
Если же сранивать платные версии — нужно садиться и просто сравнивать. Постараюсь сделать это как-то. Пока только не знаю когда. Как найду время