Share via


Защита от вредного ПО и фишинга в браузерах

NSS Labs опубликовала два отчета об исследовании безопасности веб-браузеров.

Тестированию подверглись:

  • Apple Safari 4,
  • Google Chrome 2,
  • Microsoft Internet Explorer 8,
  • Mozilla Firefox 3,
  • Opera 10 Beta.

В случае с Firefox версия 3.5 оказалась недостаточно стабильной для проведения тестирования. Ручная проверка работы системы безопасности показала, что в версиях 3.0.11 и 3.5 она работает идентично.

 

Все браузеры тестировались в чистой установке + обновления. Без антивирусов, без аддонов и плагинов, без групповых политик безопасности и специальных настроек.

Socially Engineered Malware Protection

Результаты эксперимента

Эксперимент проводился по схеме, аналогичной эксперименту в первом квартале этого года (предыдущий отчет можно найти тут https://nsslabs.com/anti-malware/browser-security).

Тестирование проводилось непрерывно в течение 12 дней (24х7), запускалось заново каждые 4 часа. Всего было проведено около 69 запусков теста, каждый из которых добавлял новые ссылки на зловредное ПО.

На начало теста каждый из браузеров устанавливал все доступные обновления.

По сравнению с предыдущим тестированием IE8 улучшил свой показатель на 12% и сейчас в отрыве от ближайшего преследователя на 54%.

Firefox 3 показал результат в 27% – и это наилучший результат среди браузеров, использующих Google SafeBrowsing API (также его используют Safari и Chrome).

Safari 4 оказался на 3% хуже Safari 3. Chrome 2 упал на 8% относительно предыдущего исследования.

Opera 10 пропускала практически все. Исследователи специально проверили, как ведет себя предыдущая версия, выдавшая в первом квартале 5% – существенной разницы в уровне защиты обнаружено не было.

image

Детали эксперимента

По данным антивирусных компаний, каждый день появляется от 15000 до 50000 новых зловредных программы (или около миллиона каждый месяц) – тут исследователи ссылаются на Касперского.

По данным Trend Micro, 53% вредного ПО устанавливается через интернет-загрузку, 12% – из почты, 7% -- эксплойты IFrame.

Понятно, что злоумышленники активно используют возможности множества социальных сайтов вроде FaceBook, MySpace, LinkedIn и сайтов с пользовательским контентом (блоги, твиттеры и т.д.).

Какие ссылки считались зловредными:

Socially engineered malware URL: a web page link that directly leads to a ‘download’ that delivers a malicious payload whose content type would lead to execution.

Для борьбы с этой напастью современные браузеры предлагают дополнительный уровень защиты. В деталях он может быть устроен по-разному, но в целом он разделяется на две основные компоненты.

Основная компонента находится в облаке и устроена как система репутации, оценивающая сайты автоматически, полуавтоматически или на базе ручных отзывов, ведущая черные и белые списки и т.д.

Вторая компонента находится в браузере и при обращении к тому или иному сайту сверяется с компонентой в облаке. Если сайт признается плохим – пользователю выводится соответствующее предупреждение.

В случае загрузки пользователем по той самой “Socially engineered malware URL” пользователю выдается предупреждение о возможной угрозе.

Изначально тест содержал 608 ссылок, каждый день в среднем добавлялось 197 новых (по мере выявления, эксперимент проводился на реальных актуальных данных). По мере прохождения тестирования система репутаций (в облаке), естественно продолжала работать и обучаться.

Ниже приведенный график показывает, как много времени используемым системы репутаций понадобилось, чтобы начать выдавать предупреждения на используемые в тестах ссылки.

image 

Среда для тестирования:image

Phishing

Результаты эксперимента

Схема проведения эксперимента аналогична предыдущему. Всего было около 80 запусков теста, каждый из которых добавлял новую порцию фишинговых сайтов.

По результатам эксперимента IE8 и FF3 показали очень близкий результат.

Opera – пришла третьей с почти 20% отставанием в следствие наличия каких-то операционных проблем.

Chrome смог обнаружить 26% фишинговых сайтов, Safari – около 2%.

image 

Детали эксперимента

Под фишинговой ссылкой понималось следующее…

Phishing URL: the URL both falsely impersonates another entity and attemps to trick the user into disclosing personal information via a web form.

При отслеживании фишинговых сайтов и предупреждении пользователей работает аналогичная репутационная система.

Изначально в тест было включено 593 уникальных сайтов. В среднем каждый день добавлялся 61 новый сайт.

Графики ниже показывают, изменение процента блокируемых сайтов из теста (он периодически обновлялся) во времени.

image

Среднее время на появление сайта в блок-листе:

image