Video: Three tips for spotting malware (November 2024)
Pretekli teden je neodvisni laboratorij AV-Test objavil svoje ugotovitve iz 18-mesečne študije, v kateri so pregledali, kako se zlonamerna programska oprema dobavlja prek iskalnikov. Velik del nas in naših bralcev je bil, da je Bing vrnil skoraj petkrat več zlonamerne programske opreme kot Google, vendar še vedno ni bil vodilni po AV-testu. Ta naslov je pripadel ruskemu iskalniku Yandex, ki od takrat izziva rezultate AV-testa.
Yandex želi odgovore
Yandex je v izjavi postavil več vprašanj - od katerih so nekatera odmevala v naših komentarjih - o metodologiji AV-Test. Yandex je želel vedeti, kako je AV-Test določil zlonamerno programsko opremo, zakaj so se velikosti vzorcev tako zelo spreminjale, kako so bile zbrane informacije za študijo in tako naprej.
Tudi Yandex je opozoril, da podjetje praviloma ne filtrira svojih rezultatov za zlonamerno programsko opremo. "Yandex uporablja lastno lastniško protivirusno tehnologijo za zaščito uporabnikov pred zlonamerno programsko opremo, " piše v e-poštnem sporočilu podjetja. "Yandex v svojih rezultatih iskanja označi okužene spletne strani, da bi uporabnike obvestil o nevarni vsebini. Uporabnike zgolj obvestimo o možnih posledicah in ne blokiramo dostopa do spletne strani v celoti."
AV-test se odzove
Nemški laboratorij za testiranje je za SecurityWatch povedal, da je zlonamerna spletna mesta opredelila kot tista, ki "širijo znano zlonamerno programsko opremo ali kažejo zlonamerno vedenje, vključno s spletnimi mesti, ki vsebujejo prenos datotek z neposrednim prenosom ali neposredne prenose zlonamernih binarnih datotek."
Glede štetja zlonamernih mest je AV-Test pojasnil, da uporablja štiri načine preverjanja. Najprej so bila preiskana vsa spletna mesta glede sumljivega vedenja, vključno z zakritim Javascript-om, skritimi okvirji in med drugim nenavadnimi preusmeritvami. Spletna mesta, ki so imela katero koli od teh lastnosti, so nato prešla v dinamični sistem podjetja, ki išče zlonamerno vedenje - na primer znane podvige.
Poleg dinamične analize AV-Test uporablja sezname znanih zlonamernih vsebin in spletnih mest. "Na vsebini spletnega mesta uporabljamo razširjena statična preverjanja, " je dejal AV-Test. "Tako smo lahko po naših podatkih identificirali že znane eksploatacije ali binarne programske opreme."
Kot del rednega testiranja protivirusnih programov, ki ga redno pokrivamo, AV-Test preprečuje programsko opremo proti zlonamernim URL-jem. Laboratorij je nato to "resnično testiranje" vključil v študijo. Družba je pojasnila, da "je bil velik del sumljivih URL-jev testiran tudi proti protivirusnim izdelkom kot del našega rednega javnega testiranja."
Sumljivi URL-ji so bili tudi navzkrižno preverjeni glede drugih zbirk zlonamerne programske opreme, kot sta Malwaredomainlist in Zeustracker.
Drugačna vrsta testa
AV-Test je naslovil tudi Yandexovo mnenje o njihovi rešitvi za preprečevanje zlonamerne programske opreme, pri čemer je opozoril, da iskalnik ni sam v opozorilih blizu sumljivih povezav. "Večina, če ne vsi iskalniki do neke mere to počnejo, " je za varnostno uro povedal AV-Test.
"Toda to ni bilo del te študije, " nadaljuje AV-test. "Preizkusili smo, koliko zlonamernih spletnih mest lahko vnese v indeks iskalnika in tam ostane nekaj časa." To je ključna razlika, saj v resnici ne govori o tem, kateri iskalnik je "varnejši", ampak kako negativci uporabljajo iskalnike za širjenje zlonamerne programske opreme.
AV-Test je dejal, da bodo morali za določitev učinkovitosti sistema Yandex za preprečevanje zlonamerne programske opreme zasnovati novo študijo, v kateri bodo pregledali, koliko škodljivih spletnih mest je iskalnik pravilno ugotovil. Takšna študija bi morala preučiti tudi, ali opozorila uporabniki zlahka vidijo in pravilno razlagajo, kako hitro se opozorila pojavljajo in koliko lažnih pozitivnih rezultatov se pojavi.
Gredo naprej
Yandex in AV-Test sta očitno vpletena v "prijateljske" pogovore o tej zadevi, vendar še vedno pušča nekaj vprašanj brez odgovora. Vendar pa je ena stvar popolnoma jasna: napadalci aktivno uporabljajo optimizacijo iskalnikov za širjenje zlonamerne programske opreme skozi rezultate iskalnikov.
Kako se iskalniki odločajo za reševanje tega vprašanja, je odvisno od njih in njihovega poslovnega modela. Dejstvo je, da čeprav ima Yandex druga sredstva za zaščito svojih uporabnikov, so zlonamerni rezultati še vedno tam. Enako velja za Google, Bing in druga spletna mesta v študiji.
Prava grožnja
Druga točka, o kateri so razpravljali številni naši bralci, je bila, ali je ta taktika dejanska grožnja ali ne. AV-Test je priznal, da je možnost, da posameznik naleti na zlonamerno programsko opremo prek iskalnika, zelo majhen, vendar to niso napadalci igre. Banka podpira dejstvo, da Google sam dnevno obdela 2-3 milijarde iskanj. To po vsem svetu prinese približno 50.000 zlonamernih rezultatov. Kot je običajno pri napadih zlonamerne programske opreme, ne gre za vas, temveč za številke.
Poleg tega je AV-Test ugotovil, da veliko teh zlonamernih spletnih mest uporablja tehnike za optimizacijo iskalnikov (ali SEO za tiste, ki segajo na lingo). To so enake tehnike, s pomočjo katerih spletna mesta z novicami in dnevniki umetno ali pošteno dvigujejo rezultate iskanja, da bi jih Google opazil. To niso naključna srečanja; ciljajo na ustrezne, aktualne rezultate v upanju, da bodo prizadeli čim več žrtev.
Odvzem je še vedno enak: ostanite na varnem, kliknite pametno in si priskrbite nekakšno varnostno programsko opremo.