Число угроз безопасности компьютера и личным данным пользователя постоянно растет. Антивирусные компании ежедневно выявляют до 50 тысяч вредоносных программ. В «урожайный» месяц аналитики обнаруживают свыше миллиона опасных программ самых разных типов.
С вирусами, размножающимися при первой возможности, и троянами, прикидывающимися полезными программами, борются антивирусы. Сидящие в приложениях программы-шпионы, передающие информацию хозяевам, вычищают специальные программы. От сетевых атак защищают брандмауэры.
Социальная сеть в овечьей шкуре
Есть один вид угроз, от которого очень сложно защититься. Это социальная инженерия или, проще говоря, игра на доверии пользователя. Можно ловить любые вирусы, но если пользователь спутает сайт своей любимой социальной сети с подделкой, никто ему не помешает передать злоумышленникам пароли и потерять доступ к своей странице, фотографиям, личной информации. Бывают и более сложные случаи: с помощью поддельного сайта банка программы-шпионы воруют данные доступа к счету, и пользователь теряет свои деньги. Такая технология называется фишингом.
Социальная инженерия – понятие очень широкое. К ней, например, относится и догадка о том, что содержимое обычных мусорных корзин может содержать важные данные. Однако чем дальше, тем больше охота за информацией перемещается в Сеть. Так как главным инструментом для захода на сайты являются браузеры, то разработчикам браузеров и приходится защищать пользователей от «социальных инженеров».
Самый очевидный способ борьбы – получить список веб-страниц, которые распространяют вредоносное ПО или обманывают пользователей и сверять их с сайтами, посещаемыми браузерами. На этом принципе основан программный интерфейс Google, проверяющей свои ссылки, и списки некоммерческой организации Stopbadware. Их использует множество браузеров, в частности, Chrome и Firefox.
Microsoft, разработавшая Internet Explorer, использовала такой подход несколько лет назад в седьмой версии обозревателя, назвав соответствующую возможность Phishing Filter. В восьмой версии браузера ее заменила технология SmartScreen, в которую Microsoft серьезно инвестирует, позволяя обнаруживать больше угроз и в течение более быстрого времени (буквально – в течение пары часов с момента появления угрозы в сети!), чем это делают другие браузеры. Подробно о технологии мы расскажем ниже. Отметим только, что в Internet Explorer 9 в SmartScreen появились новые функции, о которых лучше рассказать в отдельной статье.
Исследования
Различия между двумя подходами стали заметны в начале 2009 года, когда вышел отчет компании NSS Labs, измерившей защиту разных браузеров от угроз, связанных с социальной инженерией.
В первом исследовании релиз-кандидат Internet Explorer 8 занял первое место с 69 процентами обнаруженных угроз. Второе и третье место досталось Mozilla Firefox 3.07 и Safari 3.0 – соответственно, выявивших 30 и 24 процента угроз.
Двумя кварталами позже вышедший Internet Explorer 8 получил в очередном замере 81 процент, а Firefox 3 и Safari 4 – 27 и 21 процент. В первом квартале 2010 года доля процент защиты IE8 подрос до 85 процентов, а в осени 2010 года – до 90 процентов.
К этому моменту IE8 уступил новой, девятой версии Internet Explorer, которая, по оценкам NSS Labs, защищала компьютер от социально-инженерных угроз на 99 процентов.
SmartScreen
В технологии SmartScreen используется система репутации адресов страниц. Так, если пользователь часто заходит на один и тот же сайт, его репутация возрастает. При заходе на новый ресурс тот проверяется.
На вычисление репутации влияет сразу несколько факторов. Во-первых, это сам адрес страницы. Во-вторых, домен – если на нем размещались обманные страницы, его репутация будет ниже. В третьих, IP-адрес сервера, на котором располагается сайт. Обманщик может изменить домен, не меняя IP-адреса. SmartScreen узнает вредоносный ресурс по этому адресу. Кроме того, SmartScreen внимательно присматривается к DNS-серверам, которые слишком много знают про вредоносные сайты, и к провайдерам, которые предоставляют адреса злоумышленникам.
Такой подход вынуждает мошенников тратить все больше средств на попытки избежать попадания в черные списки. Но и в этом случае они остаются на подозрении, так как в отдельных случаях SmartScreen анализирует контент сайтов. Как только у системы накапливается достаточно улик, она предупреждает пользователя о том, что сайт небезопасен.
Информация о мошенниках поступает в базы данных SmartScreen из множества источников. Это 1) внутренние источники Microsoft, т.к. схожие механизмы защиты применяются и в других продуктах (почта, антивирус, поисковые системы); 2) данные сторонних компаний, занимающихся вопросами безопасности в сети; 3) отзывы самих пользователей через браузер;
сочетание всех трех факторов позволяет держать базу актуальной и достаточно полной, оперативно обновляя ее с появлением новых угроз
И самое важное – с увеличением объема собранных данных возрастает и точность системы, что и показало исследование NSS Labs.
Мошенников и их страницы все чаще ловят за руку. Но как же быть с вредоносными файлами, которые злоумышленники предлагают загружать пользователям? Это совсем другая история, главный герой которой – Internet Explorer 9.
lenta.ru
