Минулого тижня незалежна лабораторія AV-Test оприлюднила свої результати 18-місячного дослідження, в якому розглядалося питання зловмисного програмного забезпечення, яке доставляється через пошукові системи. Найважливішим для нас та наших читачів було те, що Бінг повертав майже в п’ять разів більше шкідливого програмного забезпечення, ніж Google, але він все ще не був лідером згідно з AV-Test. Цей заголовок дійшов до російської пошукової системи Яндекса, яка з тих пір оскаржує результати AV-Test.
Яндекс хоче відповіді
У своїй заяві «Яндекс» поставив кілька питань - деякі з яких були озвані в наших коментарях - щодо методології AV-Test. Яндекс хотів дізнатися, як AV-Test визначає шкідливе програмне забезпечення, чому розміри вибірки змінюються настільки різко, як збирається інформація для дослідження тощо.
Яндекс також зазначив, що компанія, як правило, не фільтрує свої результати щодо зловмисного програмного забезпечення. "Яндекс використовує власну антивірусну власну технологію для захисту користувачів від шкідливого програмного забезпечення", - йдеться в повідомленні компанії. "Яндекс відзначає заражені веб-сторінки у своїх результатах пошуку, щоб повідомляти користувачів про небезпечний контент. Ми просто повідомляємо користувачів про можливі наслідки і не блокуємо доступ до веб-сторінки повністю".
AV-тест відповідає
Німецька лабораторія тестування повідомила SecurityWatch, що вона визначає шкідливі сайти як такі, що "поширюють відомі зловмисні програми або виявляють зловмисну поведінку, включаючи веб-сайти, що містять завантаження або пряме завантаження шкідливих бінарних файлів".
Щодо підрахунку шкідливих сайтів, AV-Test пояснив, що він використовує чотири способи перевірки. По-перше, всі сайти були перевірені на предмет підозрілої поведінки, включаючи неясний Javascript, приховані рамки кадрів та незвичайні переадресації. Сайти, які мали будь-яку з цих особливостей, потім перейшли в систему динамічного аналізу компанії, яка шукає зловмисну поведінку - наприклад, відомі подвиги.
Окрім динамічного аналізу, AV-Test використовує списки відомого шкідливого вмісту та сайтів. "Ми застосовуємо розширені статичні перевірки вмісту веб-сайту", - зазначив AV-Test. "Таким чином, нам вдалося ідентифікувати вже відомі подвиги або зловмисне програмне забезпечення за нашими даними".
У рамках їх регулярного тестування на антивіруси, яке ми регулярно висвітлюємо, AV-Test виконує програмне забезпечення, що не працює на зловмисне програмне забезпечення, проти шкідливих URL-адрес. Потім лабораторія інтегрувала це "реальне тестування" у дослідження. Компанія пояснила, що "значна частина підозрілих URL-адрес також була протестована на антивірусні продукти в рамках нашого регулярного публічного тестування".
Підозрілі URL-адреси також були перевірені на предмет інших баз даних шкідливих програм, таких як Malwaredomainlist та Zeustracker.
Різний вид тесту
AV-Test також звернувся до точки зору Яндекса щодо їх антимобільного рішення, зазначивши, що пошукова система не одна в розміщенні попереджень біля підозрілих посилань. "Більшість, якщо не всі пошукові системи так чи інакше роблять це", - сказав AV-Test для охоронців.
"Але це не було частиною цього дослідження", - продовжив AV-тест. "Ми перевірили, скільки шкідливих веб-сайтів можуть перетворити його в індекс пошукової системи і залишитися там деякий час". Це важлива відмінність, оскільки насправді справа не в тому, яка пошукова система є "безпечнішою", але як пошукові системи погані хлопці використовують для поширення шкідливих програм.
Компанія AV-Test сказала, що для визначення ефективності системи проти зловмисного програмного забезпечення Yandex їм доведеться розробити нове дослідження, яке вивчило б кількість шкідливих веб-сайтів, які пошукова система правильно визначила. У такому дослідженні також слід було б вивчити, чи легко попередження переглядаються та правильно інтерпретуються користувачами, як швидко з’являються попередження та скільки помилкових позитивних даних.
Йти вперед
Yandex та AV-Test, мабуть, беруть участь у "дружніх" розмовах щодо цього питання, але це все ще залишає без відповіді деякі питання. Однак одне абсолютно зрозуміло: зловмисники активно використовують оптимізацію пошукових систем для розповсюдження зловмисного програмного забезпечення через результати пошуку.
Як пошукові системи вирішують вирішити цю проблему, залежить від них та їх бізнес-моделі. Справа в тому, що, хоча Yandex може мати інші засоби захисту своїх користувачів, шкідливі результати все ще є. Те саме стосується Google, Bing та інших сайтів у дослідженні.
Справжня загроза
Ще один момент, про який багато наших читачів обговорювали, чи є ця тактика справжньою загрозою чи ні. AV-Test визнав, що шанси натрапити на шкідливе програмне забезпечення через пошукову систему надзвичайно низькі, але це не ті, які грають зловмисники. Вони беруть участь у тому, що лише Google обробляє 2-3 мільярди пошуків на день. Це додає до 50 000 шкідливих результатів на день у всьому світі. Як зазвичай це стосується атак зловмисних програм, не про вас, а про цифри.
На додаток до цього, AV-Test зазначив, що в багатьох із цих шкідливих сайтів використовуються методи оптимізації пошукових систем (або SEO для тих, хто стикається з мовою). Це одні і ті ж методи, що допомагають сайтам новин і блогам штучно або справедливо піднімати результати пошуку, щоб їх помітити в Google. Це не випадкові зустрічі; вони орієнтовані на відповідні, актуальні результати з надією вдарити якомога більше жертв.
Виїзд все одно той самий: будьте в безпеці, натисніть на розумні та отримайте якесь програмне забезпечення для безпеки.