Video: Miten suojaudut poliisin ja rikollisten haittaohjelmilta (Lokakuu 2024)
Viime viikolla riippumaton laboratorio AV-Test julkaisi tulokset 18 kuukautta kestäneestä tutkimuksesta, jossa tarkasteltiin haittaohjelmien toimittamista hakukoneiden kautta. Suuri pala meille ja lukijoillemme oli, että Bing palautti lähes viisi kertaa enemmän haittaohjelmia kuin Google, mutta se ei silti ollut AV-Testin mukaan johtava. Tämä otsikko meni venäläiselle hakukoneelle Yandexille, joka on sittemmin haastanut AV-Testin tulokset.
Yandex haluaa vastauksia
Yandex esitti lausunnossaan useita kysymyksiä AV-Testin metodologiasta, joista jotkut toistettiin kommentteissamme. Yandex halusi tietää, kuinka AV-Test määritteli haittaohjelmat, miksi näytteen koot vaihtelivat niin dramaattisesti, kuinka tutkimusta koskevat tiedot kerättiin jne.
Yandex huomautti myös, että yritys ei yleensä suodata tuloksia haittaohjelmien varalta. "Yandex suojaa käyttäjiä haittaohjelmilta omaa virustentorjuntatekniikkaansa", luetaan yrityksen sähköpostiviesti. "Yandex merkitsee tartunnan saaneet verkkosivut hakutuloksissaan ilmoittaakseen käyttäjille vaarallisesta sisällöstä. Me vain ilmoitamme käyttäjille mahdollisista seurauksista emmekä estä pääsyä verkkosivulle kokonaan."
AV-testi vastaa
Saksalainen testauslaboratorio kertoi SecurityWatchille, että se määritteli haitallisiksi sivustoiksi "levittämään tunnettuja haittaohjelmia tai käyttäytymään haitallisesti, mukaan lukien verkkosivustot, jotka sisältävät päivityksiä tai suorat lataukset haitallisista binaareista".
Haitallisten sivustojen laskemisesta AV-Test selitti käyttäneensä neljää tarkistusmenetelmää. Ensin, kaikilla sivustoilla tutkittiin epäilyttävää käyttäytymistä, mukaan lukien tukkeutunut Javascript, piilotetut iframe-kehykset ja epätavalliset uudelleenohjaukset. Sivustot, joilla oli jokin näistä ominaisuuksista, menivät sitten yrityksen dynaamiseen analyysijärjestelmään, joka etsii haitallista käyttäytymistä - kuten tunnettuja hyväksikäyttöjä.
Dynaamisen analyysin lisäksi AV-Test käyttää luetteloita tunnetuista haitallisista sisällöistä ja sivustoista. "Käytämme laajennettuja staattisia tarkistuksia verkkosivuston sisältöön", AV-Test sanoi. "Joten pystyimme tunnistamaan jo tiedossa olevat hyöty- tai haittaohjelmabinaarit tietojemme mukaan."
Osana säännöllistä virustorjuntatestaustaan, jota rutiininomaisesti peitämme, AV-Test kuoppaa hylly-ohjelmistot haitallisia URL-osoitteita vastaan. Sitten laboratorio integroi tämän "reaalimaailman testauksen" tutkimukseen. Yhtiö selitti, että "suurta osaa epäilyttävistä URL-osoitteista testattiin myös viruksentorjuntatuotteita vastaan osana säännöllistä julkista testausta".
Epäilyttävät URL-osoitteet tarkistettiin myös muiden haittaohjelmatietokantojen, kuten Malwaredomainlist ja Zeustracker, suhteen.
Erilainen testi
AV-Test käsitteli myös Yandexin huomautusta heidän haittaohjelmien vastaisesta ratkaisustaan huomauttaen, että hakukone ei ole yksin sijoittamalla varoituksia epäilyttävien linkkien läheisyyteen. "Useimmat, elleivät kaikki hakukoneet, tekevät tämän jossain määrin", AV-Test kertoi vartioitsijalle.
"Mutta se ei ollut osa tätä tutkimusta", jatkoi AV-Test. "Testasimme, kuinka moni vahingollinen verkkosivusto voi tehdä siitä hakukoneen hakemiston ja pysyä siellä jonkin aikaa." Tämä on kriittinen ero, koska siinä ei todellakaan käsitellä sitä, mikä hakukone on "turvallisempi", vaan sitä, kuinka pahat pojat käyttävät hakukoneita haittaohjelmien levittämiseen.
AV-Test kertoi, että Yandexin haittaohjelmien torjuntajärjestelmän tehokkuuden määrittämiseksi heidän tulisi suunnitella uusi tutkimus, jossa tarkasteltiin kuinka monta haitallista verkkosivustoa hakukone tunnisti oikein. Tällaisessa tutkimuksessa olisi myös selvitettävä, ovatko varoitukset käyttäjän havaittavissa ja tulkittavissa oikein, kuinka nopeasti varoitukset ilmestyvät ja kuinka monta vääriä positiivisia esiintyy.
Eteenpäin
Yandex ja AV-Test ovat ilmeisesti käymässä "ystävällisiä" keskusteluja aiheesta, mutta se jättää silti jotkin kysymykset vastaamattomiksi. Yksi asia on kuitenkin täysin selvä: hyökkääjät käyttävät aktiivisesti hakukoneoptimointia haittaohjelmien levittämiseen hakukoneiden tulosten kautta.
Se, kuinka hakukoneet päättävät käsitellä tätä kysymystä, on heidän itsensä ja heidän liiketoimintamallinsa päättäjä. Tosiasia, että vaikka Yandexillä voi olla muita keinoja suojata käyttäjiään, haitalliset tulokset ovat edelleen olemassa. Sama pätee Googleen, Bingiin ja muihin tutkimuksen sivustoihin.
Todellinen uhka
Toinen seikka, josta monet lukijamme keskustelivat, oli se, onko tämä taktiikka todellinen uhka vai ei. AV-Test myönsi, että yksilön mahdollisuus kohdata haittaohjelmia hakukoneen kautta on erittäin pieni, mutta se ei ole peli, jota hyökkääjät pelaavat. He pankkivat siitä, että pelkästään Google käsittelee 2–3 miljardia hakua päivässä. Tämä lisää noin 50 000 haitallista tulosta päivässä maailmanlaajuisesti. Kuten yleensä haittaohjelmahyökkäyksissä, ei kyse ole sinusta, vaan numeroista.
Tämän lisäksi AV-Test huomautti, että monet näistä haitallisista sivustoista käyttävät hakukoneoptimointitekniikoita (tai SEO niille, jotka kieltäytyvät lingosta). Nämä ovat joitain samoja tekniikoita, jotka auttavat uutissivustoja ja blogeja nostamaan hakutuloksiaan keinotekoisesti tai oikeudenmukaisesti, jotta heidät huomataan Googlessa. Nämä eivät ole satunnaisia kohtaamisia; ne on kohdistettu asiaankuuluville, ajankohtaisille tuloksille toivossa lyödä mahdollisimman monta uhria.
Nouto on edelleen sama: pysy turvassa, napsauta fiksua ja hanki jonkinlainen suojausohjelmisto.
