На прошлой неделе независимая лаборатория AV-Test опубликовала результаты 18-месячного исследования, посвященного вредоносным программам, распространяемым через поисковые системы. Большое значение для нас и наших читателей заключалось в том, что Bing вернул почти в пять раз больше вредоносного ПО, чем Google, но по мнению AV-Test он все еще не был лидером. Этот титул достался российской поисковой системе Yandex, которая с тех пор оспаривает результаты AV-Test.
Яндекс хочет ответы
В своем заявлении Яндекс задал несколько вопросов, некоторые из которых были отражены в наших комментариях, о методологии AV-Test. Яндекс хотел узнать, как AV-Test определяет вредоносное ПО, почему размеры выборки так сильно различаются, как собирается информация для исследования и так далее.
Яндекс также отметил, что компания, как правило, не фильтрует свои результаты на наличие вредоносных программ. «Яндекс использует собственную запатентованную антивирусную технологию для защиты пользователей от вредоносного программного обеспечения», - говорится в электронном письме компании. «Яндекс отмечает зараженные веб-страницы в результатах поиска, чтобы уведомлять пользователей о небезопасном контенте. Мы просто уведомляем пользователей о возможных последствиях и не блокируем доступ к веб-странице полностью».
AV-Test Ответы
Немецкая лаборатория тестирования сообщила SecurityWatch, что она определила вредоносные сайты как те, которые «распространяют известное вредоносное ПО или демонстрируют вредоносное поведение, включая веб-сайты, содержащие отдельные загрузки или прямые загрузки вредоносных двоичных файлов».
Что касается подсчета вредоносных сайтов, AV-Test пояснил, что он использовал четыре метода проверки. Во-первых, все сайты были проверены на подозрительное поведение, в том числе запутанный Javascript, скрытые фреймы и необычные перенаправления среди прочего. Сайты, которые имели любую из этих функций, затем вошли в систему динамического анализа компании, которая ищет вредоносное поведение, такое как известные эксплойты.
Помимо динамического анализа, AV-Test использует списки известных вредоносных материалов и сайтов. «Мы применяем расширенные статические проверки содержимого сайта», - сказал AV-Test. «Таким образом, мы смогли идентифицировать уже известные эксплойты или двоичные файлы вредоносных программ по нашим данным».
В рамках своего регулярного антивирусного тестирования, которое мы регулярно освещаем, AV-Test противопоставляет готовое ПО вредоносным URL-адресам. Затем лаборатория включила это «испытание в реальном мире» в исследование. Компания пояснила, что «большая часть подозрительных URL-адресов также была протестирована на антивирусные продукты в рамках нашего регулярного публичного тестирования».
Подозрительные URL-адреса также подвергались перекрестной проверке против других вредоносных баз данных, таких как Malwaredomainlist и Zeustracker.
Другой вид теста
AV-Test также обратил внимание на мнение Яндекса об их антивирусном решении, отметив, что поисковая система не одинока в размещении предупреждений рядом с подозрительными ссылками. «Большинство, если не все поисковые системы, в некоторой степени, делают это», - сказал AV-Test.
«Но это не было частью этого исследования», - продолжил AV-Test. «Мы проверили, сколько вредоносных сайтов может попасть в индекс поисковой системы и какое-то время оставаться там». Это критическое различие, поскольку оно не затрагивает вопрос о том, какая поисковая система «безопаснее», а о том, как поисковые машины используются плохими парнями для распространения вредоносных программ.
В AV-Test заявили, что для определения эффективности системы защиты от вредоносных программ Яндекса им нужно будет разработать новое исследование, в котором будет рассмотрено, сколько вредоносных веб-сайтов правильно определил поисковик. Такое исследование также должно было бы посмотреть на то, легко ли пользователи видят и правильно интерпретируют предупреждения, как быстро появляются предупреждения и сколько ложных срабатываний появляется.
Идти вперед
Яндекс и AV-Test, по-видимому, ведут «дружеские» переговоры по этому вопросу, но некоторые вопросы остаются без ответа. Однако совершенно ясно одно: злоумышленники активно используют поисковую оптимизацию для распространения вредоносного ПО через результаты поиска.
Как поисковые системы решают эту проблему, зависит от них и их бизнес-модели. Дело в том, что хотя у Яндекса могут быть и другие средства для защиты своих пользователей, вредоносные результаты все же присутствуют. То же самое верно для Google, Bing и других сайтов в исследовании.
Настоящая угроза
Другой вопрос, который обсуждали многие из наших читателей, заключался в том, представляет ли эта тактика реальную угрозу. AV-Test признал, что вероятность попадания вредоносного кода в поисковую систему крайне мала, но злоумышленники играют не в эту игру. Они рассчитывают на то, что один только Google обрабатывает 2-3 миллиарда запросов в день. Это составляет около 50 000 вредоносных результатов в день по всему миру. Как обычно бывает с атаками вредоносных программ, дело не в цифрах.
Кроме того, AV-Test отметил, что многие из этих вредоносных сайтов используют методы поисковой оптимизации (или SEO, для тех, кто любит говорить). Это некоторые из тех же методов, которые помогают новостным сайтам и блогам искусственно или справедливо повышать результаты поиска, чтобы их заметили в Google. Это не случайные встречи; они нацелены на актуальные, актуальные результаты в надежде поразить как можно больше жертв.
Вывод тот же: оставайтесь в безопасности, нажимайте «умно» и приобретайте какое-то программное обеспечение для обеспечения безопасности.
