У вас обновлен браузер и все дополнения. Но на каком-то сайте вы увидели уведомление о заражении своего компьютера и установили рекомендуемую защитную программу. После чего та предложила вылечиться за деньги, причем в системе стало невозможно работать.
Нет, конечно, с вами такого произойти не могло! Ведь вы опытный пользователь, который никогда не попадется на такие примитивные уловки мошенников. А как насчет ваших близких, друзей и знакомых — они тоже такие опытные? А может быть, вы считаете, что достаточно просто установить им антивирус, чтобы застраховаться от таких угроз?
Кстати, вы сможете отличить поддельный антивирус Microsoft Security Essentials от настоящего?
На прошлой неделе моему брату разные знакомые привезли по компьютеру с фальшивыми защитными программами. Имевшиеся в системе бесплатные антивирусы от известных производителей оказались повержены более могучими поддельными собратьями.
Не секрет, что пользователи зачастую сами создают себе проблемы, устанавливая вредоносные программы, прячущиеся под маской легитимных приложений. Ситуация усугубляется тем, что во время установки фальшивки ведут себя прилично, не давая особого повода к ним придраться. И лишь потом они проявляют себя во всей дьявольской красе.
Почувствуйте себя… рыбой!
Фишинг (рыбалка, в буквальном переводе) – это сочетание приемов, с помощью которых злоумышленники стараются:
- завлечь вас на мошеннический сайт с целью выудить личную и финансовую информацию
- побудить вас к посещению зараженного ресурса, где эксплуатируются уязвимости браузеров и дополнений
- подсунуть вам замаскированную вредоносную программу, которая будет вымогать деньги или возьмет систему под свой контроль
Приведенный выше пример с фальшивым антивирусом – это классический фишинг. В качестве другого распространенного случая можно привести надстройки для просмотра видео. Помните огромную долю сайтов с порнографией и потоковым видео среди всех зараженных ресурсов? Там очень логично предлагать к загрузке какой-нибудь плеер. Хочешь бесплатной «клубнички»? Установи надстройку! И ставят 🙂
Да, оперативное обновление браузеров и дополнений помогает защититься от угроз типа drive-by download — скрытого выполнения вредоносного кода при посещении сайтов, но этого недостаточно.
Сочетая анти-фишинговый фильтр браузера с антивирусной или комплексной защитой, вы не только укрепляете оборону от выполнения вредоносных программ без вашего ведома, но и получаете дополнительную страховку от загрузки «зловредов» по недосмотру или непониманию.
Идеальная защитная тактика в Интернете – это никуда не ходить и ничего не запускать. Но это неимоверно скучно, поэтому создатели браузеров и защитных программ делят для вас сайты и файлы на хорошие и плохие. Противодействие фишингу в браузерах заключается в предупреждениях о:
- посещении неблагонадежных сайтов
- загрузке и запуску подозрительных файлов
Давайте посмотрим, как они реализованы в популярных браузерах.
Что скрывается за анти-фишинговой защитой Opera
Защита от фишинга в Opera с 2008 года строилась в сотрудничестве с компанией Haute Security. Сейчас в предложении сообщить о вредоносном сайте (ALT+ENTER) отображаются логотипы сервисов PhishTank и Netcraft (любопытно, что это окно не полностью локализовано). Эти сервисы защищают вас от посещения неблагонадежных сайтов.
В июле 2010 года, при выходе версии 10.60, компания объявила устами пресс-секретаря о сотрудничестве с AVG, и эту информацию распространили многие онлайн-издания. Но почему-то ни в описании защиты от фишинга. ни в блоге разработчиков, ни в списках изменения версий эти сведения не отражены (10.61 лишь скромно упоминает о переименовании элемента интерфейса). Компания AVG тоже никак не отметилась, хотя это событие достойно пресс-релиза.
При таком раскладе трудно понять, как работает защита, поэтому предположу, что каким-то образом интегрирован сервис LinkScanner. на который возложена блокировка загрузок вредоносных файлов.
Что же касается подхода, который используется в браузере Opera для сверки посещаемых вами сайтов с черным списком, то он имеет общие черты с реализацией в Chrome, Firefox и Safari, о которых и пойдет речь дальше.
Как Chrome, Firefox и Safari определяют зараженные сайты
Эти три браузера используют Safe Browsing API. открытый механизм получения информации о вредоносных сайтах, и вот как это работает на примере Google Chrome.
Поисковый движок Google служит источником для списков зараженных сайтов, которые компания хранит и обновляет у себя на серверах. По информации разработчиков, Chrome загружает и локально сохраняет обновленные списки в течение пяти минут после запуска, а затем с получасовыми интервалами. Это ускоряет проверку, т. к. не требуется посылать каждую посещаемую ссылку на сервер и ждать ответа.
Понятно, что ссылок в списках очень много, поэтому для ускорения загрузки и экономии трафика применяется хэширование ссылок по алгоритму SHA-256. При этом в список, загружаемый браузером, заносятся только первые 32 бита из 256. Все посещаемые вами ссылки хэшируются и сравниваются с данными в списке. Если обнаруживается совпадение по 32 битам, браузер отправляет запрос на сервер и получает в ответ все 256-битные хэши с этим совпадением. Получив список, Chrome сравнивает с ним полный хэш ссылки, и в случае полного совпадения выводит предупреждение.
В Firefox и Safari получение данных работает примерно также, но оно может отличаться объемами и частотой обновления. Обратите внимание, что этот механизм не дает Google возможности узнать, какие сайты вы посещаете. Компания не получает полный URL, а лишь первые 32-бита его хэша, при этом сравнение выполняется только на вашем компьютере.
Кстати, с 5 апреля 2011 года Google Chrome научился блокировать загрузку вредоносных файлов с помощью того же Safe Browsing API.
Вероятно, Firefox и Safari скоро последуют этому примеру.
Как работает репутация файлов в Internet Explorer 9
Проверка ссылок появилась в фильтре SmartScreen с выходом IE7, а блокировку подозрительных файлов Microsoft внедрила в фильтр еще в IE8, так что в этом отношении остальные браузеры находятся в роли догоняющих.
Эта инфографика появилась в англоязычном блоге разработчиков IE9, когда я уже почти опубликовал материал.
Когда вредоносная натура файла известна фильтру, он будет заблокирован в IE9 точно так же, как это происходило в IE8 (за исключением различий в интерфейсе браузеров).
Я уже рассказывал о работе SmartScreen в IE8, поэтому сейчас речь пойдет только о новой возможности фильтра в IE9 – репутации файлов.
Раннее оповещение и актуальное предупреждение
Задача механизма репутации файлов в том, чтобы предупредить нас о потенциально опасных исполняемых файлах, которые только что появились в сети. Другими словами, это система раннего оповещения о вредоносных и мошеннических файлах, которые могут быть еще неизвестны защитным программам.
Чтобы уведомления эффективно работали, важен не только технический, но и психологический аспект. Internet Explorer 8 при загрузке любого исполняемого файла выдавал одинаковое предупреждение.
Понятно, что когда видишь одно и то же сообщение каждый раз, на него уже не обращаешь внимания. Да и нет в предупреждении особого смысла, когда подавляющее большинство исполняемых файлов в Интернете все-таки вполне безопасны. Ведь легитимных программ для Windows больше, чем вредоносных.
Для Internet Explorer 9 создана репутационная модель загружаемых файлов, которая принимает во внимание различные критерии (например, результаты антивирусной проверки, количество и историю закачек, репутацию ссылки).
Репутация загружаемого файла устанавливается на основе:
- хэша, который уникален для каждого файла
- цифрового сертификата, которым подписан файл (один сертификат обеспечивает репутацию всем файлам, которые им подписаны)
Теперь сообщение о потенциальной опасности появляется только для исполняемых файлов без репутации, и по оценкам разработчиков увидеть его можно будет не чаще 2-3 раз в год.
Репутация работает только для исполняемых файлов программ (EXE), но не для архивов или мультимедиа файлов.
В ссылках на файлы у Microsoft нет недостатка — ведь данные стекаются не только от пользователей IE, но также из почты Hotmail и Windows Live Messenger.
Загрузка файлов с репутацией и без нее
Когда исполняемый файл обладает репутацией, все происходит стандартно. Попробуйте скачать бесплатное видео – после проверки безопасности вы увидите обычное диалоговое окно.
А вот такой же файл, но уже без репутации. Загрузите это бесплатное видео, и вы увидите предупреждение фильтра SmartScreen.
Обратите внимание, что программу без репутации невозможно сразу запустить из браузера, хотя она уже сохранена на диске. Кнопку Выполнить заменяют кнопки Удалить и Действия. Последняя открывает диалоговое окно с подробным объяснением причины блокировки (то же самое происходит и в менеджере закачек IE9) .
Чтобы добраться до возможности запуска файла, здесь придется еще нажать кнопку со стрелкой Дополнительно. Особо настойчивые пользователи все равно его запустят, но по оценкам разработчиков в этом случае риск нарваться на что-то нехорошее составляет от 25 до 70%.
Анти-фишинговый фильтр браузера предоставляет дополнительный уровень защиты системы, поскольку проверка выполняется до запуска файла, т. е. перед тем, как он попадает в сферу наблюдения антивируса.
Те, кто отключает защиту от фишинга в браузере, считая достаточным лишь антивирусный щит, демонстрируют поверхностный подход к укреплению безопасности системы.
Кстати, не путайте эти сообщения с предупреждением о загрузке неподписанного файла (я сделал такой для примера). Оно появляется всегда при отсутствии цифровой подписи, и не является частью фильтра SmartScreen.
Ситуация для разработчиков бесплатных программ
Добавление репутации файлов к фильтру SmartScreen безусловно укрепляет защиту от фишинга в IE9. Однако репутацией могут не обладать не только новые вредоносные программы, но и вполне легитимные, но не массовые приложения. И, условно говоря, пока их не скачает достаточное количество человек, репутация не появится. А раз ее нет, IE9 будет затруднять запуск исполняемого файла.
Одно из решений проблемы – цифровая подпись кода. Между тем, сертификат на один год от VeriSign стоит $500, а от Thawte — $300. Можно найти и дешевле, но порядок суммы понятен. Далеко не каждый автор бесплатной утилиты для Windows, не извлекающий прибыли из своего проекта, готов потратить такие деньги.
Можно пойти дальше и включиться в программу Windows 7 Logo. подтвердив совместимость приложения, что обеспечит ему репутацию. Думаю, что в Microsoft вполне сознательно пошли на такой шаг, чтобы подтолкнуть разработчиков к написанию программ, полностью совместимых с Windows 7. Любопытно, что дополнения для IE, которые так нужны браузеру для борьбы за место под солнцем, в эту программу не принимаются.
Разработчики, которым не подходят эти варианты обеспечения репутации своей программы, могут упаковывать исполняемый файл в ZIP-архив. Это тоже затрудняет запуск установщика, но не отпугивает пользователей предупреждениями.