Порівняння блокування завантаження шкідливих програм браузерами (NSS Labs, Лютий 2014 року) - Вадим Стеркиной

1. [+] Сьогодні в програмі
2. Які технології використовують браузери для блокування завантажень файлів
3. Результати тесту NSS Labs на блокування завантаження шкідливих програм
4. Неефективність Safe Browsing API для блокування завантаження
5. висновок
6. дискусія

Наша взаимовыгодная связь https://banwar.org/

Нещодавно компанія NSS Labs опублікувала результати свого щорічного тестування браузерів на предмет блокування завантаження «зловредів». Там є цікаві моменти, і я хочу обговорити їх з вами.

Рой Хібберт блокує данк Кармело Ентоні

Це третя стаття річної серії про безпеку, що почалася розповідями про бюлетені Microsoft і ризики роботи в застарілій ОС . Їх прочитання повинно було навести вас на думку, що набори для атаки на відомі вади в безпеці - це один з найнеприємніших способів поширення експлойтів ОС і ПО.

Вам буде легше правильно інтерпретувати написане в цій статті після вивчення цих матеріалів блогу:

Воно було опубліковано 3 роки тому, але описані в них технології працюють і по сей день. А про деякі зміни ми якраз і поговоримо.

[+] Сьогодні в програмі

Чому браузери повинні вміти блокувати завантаження шкідливих програм

Пол Пірс і Кевін Гарнетт блокують кидок Кобі Брайанта

Завдання зловмисників зводиться до того, щоб виконати шкідливий код на комп'ютері жертви. Досягти цього вони намагаються різними способами, але дуже поширений такий: жертва, введена в оману за допомогою соціальної інженерії (в т.ч. фішингу ), Сама викачує і запускає виконуваний файл. Наприклад, в якості наживки може використовуватися різноманітна халява .

Зрозуміло, що закачування файлу відбувається в браузері, тому його роль в захисті периметра системи в останні роки значно зросла. Набагато краще не допускати завантаження і виконання шкідливого коду, ніж надіятися тільки на те, що ворога визначить резидентний антивірус.

Треба розуміти, що мова йде виключно про можливості браузерів перешкоджати завантаженню і запуску «зловредів», які розповсюджуються способами соціальної інженерії.

При цьому браузери не можуть захистити від експлойтів, націлених на уразливості ОС і програм, включаючи самі браузери.

Які технології використовують браузери для блокування завантажень файлів

Ленс Стівенсон дме в вухо Леброну Джеймсу

У творців браузерів є два шляхи - використовувати рішення своєї компанії або покладатися на розробки партнерів. Я вже розбирав принципи роботи основних технологій в блозі (див. Посилання на початку статті), тому обмежуся таблицею для довідки.

Браузер Технології Internet Explorer Smart Screen:
• репутація посилань (сайти і завантаження)
• репутація файлів (завантаження) Chrome • Safe Browsing API (сайти і завантаження)
• Download Protection (завантаження) Firefox Safe Browsing API Safari Safe Browsing API Opera ?

Офіційної інформації з цього питання ніколи не було. Раніше використовувався AVG Link Scanner. Зараз на невеликої колекції посилань мені не вдалося домогтися в Opera vNext. спрацьовування блокування завантажень. Якщо у вас є конкретні відомості про захисному механізмі, напишіть в коментарях.

І тут ми підходимо до дуже цікавого моменту. Я проводив своє тестування рівно три роки тому. Тоді Chrome і Firefox показали абсолютно однаковий результат, а в тестах NSS Labs вони теж демонстрували аналогічний рівень захисту поряд з Safari. Це пояснювалося тим, що всі три браузера використовували Safe Browsing API від Google.

Незадовго до проведення мого тесту розробники Chrome заявили про захист завантажень за допомогою того ж Safe Browsing API. Тоді я написав: «Ймовірно, Firefox і Safari скоро послідують цьому прикладу». Давайте подивимося, чи збулося моє припущення :)

Результати тесту NSS Labs на блокування завантаження шкідливих програм

В останньому тесті NSS Labs брали участь ще й три китайських браузера, але я виключив їх з діаграм на увазі нульовий поширеності у читачів блогу. Safari же цікавий в якості додаткової лакмусового папірця для Safe Browsing API.

Домінування IE в цьому аспекті вже давно стало традицією, тому я не буду загострювати увагу на цьому факті. Набагато цікавіше величезний розрив, який утворився між Chrome з одного боку і Firefox з Safari з іншого.

Велика різниця спостерігається і в середньому часу блокування, тобто показнику швидкості, з якою браузери дізнаються про шкідливість файлів.

Internet Explorer потрібно в районі 5 хвилин, щоб дізнатися про шкідливої ​​натурі файлу, Chrome укладається о четвертій годині, а Firefox і Safari потрібно більше доби.

Неефективність Safe Browsing API для блокування завантаження

Леброн Джеймс не може допомогти команді через травму в кінцівці першого матчу фіналу 2014

Здавалося б, Chrome, Firefox і Safari повинні показувати схожі результати зважаючи на загальне API, але на практиці цього не відбувається. Справа в тому, що Google, що володіє цим API, вирішила обмежити його тільки блокуванням фішингових сайтів, а перешкода завантаженні шкідливого ПО притримала для свого браузера Chrome.

В останньому тесті NSS Labs є цілком конкретні цифри, що підкреслюють значну різницю між ефективністю блокування завантажень в Chrome і чистим Safe Browsing API.

Фільтр Smart Screen в IE покладається на репутацію посилань, а репутацію файлів задіює вже в останню чергу. Chrome, навпаки, щосили використовує свою функцію блокування завантаження, а репутація посилань грає більш ніж другорядну роль.

Зверніть увагу, що за допомогою Safe Browsing API Chrome заблокував завантаження лише 4.2% шкідливих файлів. Таке ж значення фігурує у Firefox і Safari на першій діаграмі - це все, що у них є.

Історичні дані NSS Labs не менше цікаві (результат останнього тесту в них не входить). На малюнку нижче відсоток заблокованих завантажень шкідливих програм в різні роки.

Firefox і Safari йдуть рука об руку, в той час як ефективність блокування в Chrome значно зросла в порівнянні з 2011 роком. Нагадаю, що саме тоді розробники браузера Google оголосили про появу цієї функції в Safe Browsing API. Очевидно, політика швидко взяла своє - функція не потрапила в API, а стала конкурентною перевагою Chrome;)

висновок

Тім Данкан і Тіаго Спліттер захищають кільце від Леброна Джеймса

Google і Microsoft серйозно підходять до блокування завантаження «зловредів», залишаючи інші популярні браузери позаду. Зауважте, що у обох компаній є свої пошукові движки, відомості яких аналізуються і застосовуються в захисних фільтрах. До речі, у Яндекс теж є свій API для захисту від фішингу, сумісний з Safe Browsing API, а також веб-антивірус для пошуку, але при цьому в браузері компанії завантаження перевіряє Kaspersky .

Звичайно, не можна цілком покладатися на браузер для боротьби з шкідливим ПЗ. Однак високоякісна захист від завантаження «зловредів» буде гарною підмогою, особливо для недосвідчених користувачів.

Якщо ваш браузер не блищить в цьому аспекті, подумайте про установку комплексного захисного засобу з перевіркою репутації посилань і файлів, що завантажуються.

Всі провідні антивірусні компанії мають такими рішеннями, хоча їх ефективність може сильно варіюватися. У будь-якому випадку, наявність цих функцій в безкоштовних антивирусах малоймовірно.

дискусія

А як у вас організований захист від завантаження шкідливих файлів? Напишіть в коментарях, що саме може перешкодити завантаженні «зловредів» на ваш ПК. Питання не випадково поставлено в щодо вільній формі - подивимося, що ви знаєте про свій захист;)

Фото сьогоднішньої записи навіяні що точиться фінальною серією ігор NBA .

Обговорення завершено.