eWeek Labs тестирует новые решения для защиты веб-браузера и приходит к выводу, что большинство из них малоэффективно
Производители средств безопасности проявляют все больше изобретательности при разработке продуктов, призванных усилить защиту браузера. Они предлагают различные решения для потребительского рынка, которые должны помочь веб-серферам принимать более разумные и обоснованные решения относительно посещения тех или иных сайтов и загрузки программ.
Разработчики ПО безопасности создают такие продукты для наименее подготовленных клиентов. Этим технологиям еще предстоит войти в арсенал компаний. Можно, однако, ожидать, что некоторые из них появятся и на предприятиях, поскольку пользователи и администраторы заинтересованы в обеспечении безопасности браузера.
Последний год я экспериментировал с самыми разными программными надстройками целого ряда производителей, предназначенными для обеспечения защиты от Интернет-угроз. Я пришел к выводу, что большинство из них обладает какими-то полезными функциями. И все же они не настолько хороши, чтобы я и дальше продолжал ими пользоваться.
Я начинал свое исследование в порядке личного эксперимента. До прошлого года я был уверен, что способен избежать заражения своих ПК вредоносным кодом. Настолько уверен, что даже не считал нужным устанавливать на них антивирусы.
Я применял ряд позаимствованных у корпоративного сектора приемов: своевременно устанавливал обновления для ОС, браузера и приложений; регистрировался в локальной системе в качестве пользователя с ограниченными правами; всячески избегал загрузки прикрепленных файлов и старался не делать глупостей вроде перехода по подозрительным ссылкам.
Но в связи с расширением спектра Интернет-угроз, особенно исходящих от обычно не вызывающих подозрения сайтов, я начал терять уверенность в своей способности чувствовать опасность прежде, чем попадусь в ловушку. Я смирил гордость и установил антивирус на все компьютеры, с которых выхожу в Интернет. А потом стал искать способы укрепления безопасности.
Я начал исследование с расширения для браузера Firefox под названием NoScript. Оно по умолчанию извлекает из сайтов лишь абсолютный минимум информации, блокируя запуск программного кода с помощью Java, JavaScript, Flash и других плагинов без моего явно выраженного согласия. Если я хотел разрешить исполнение какого-то кода, то мог включить данный веб-сайт в “белый список” на постоянной основе либо только на время данной сессии. Или же мог разрешить запуск лишь выбранного аплета.
И раньше, и сейчас NoScript был и остается моим излюбленным средством ограничения функциональности веб-браузера. Но тем, кто пользуется компьютерами наряду со мной, не нравилось, что оно требует тонкой настройки. Поэтому я приступил к поискам чего-то менее требовательного.
В течение прошлого года я выбрал три решения, проверяющие репутацию веб-сайтов: SiteAdvisor Plus фирмы McAfee, LinkScanner Pro компании Exploit Prevention Labs (недавно ее поглотила AVG Technologies) и TrendProtect, созданное в Trend Micro. (В июле к этим производителям присоединилась корпорация Symantec, анонсировавшая бета-версию SafeWeb — нового плагина для пакета Norton Internet Security 2009, который будет предоставлять сходные сервисы).
Все три решения предоставляют важную информацию о веб-сайте, прежде чем пользователь на него зайдет. О том, насколько сайт заслуживает доверия, свидетельствуют зеленый, желтый или красный индикаторы. Эти сведения могут предоставляться по каждому сайту в отдельности, когда пользователь проверяет соответствующие ссылки, или о нескольких адресах сразу, когда производится поиск в Интернете с помощью одной из крупных поисковых машин.
SiteAdvisor Plus и LinkScanner Pro (цена каждого из них — 20 долл. в год для одного ПК) производят более глубокую проверку, чем бесплатный продукт TrendProtect (имеются бесплатные версии SiteAdvisor Plus и LinkScanner Pro с ограниченным набором возможностей).
Эти три продукта определяют репутацию на основе информации о сайте (например, о дате регистрации домена и стране, в которой размещен сайт), а также с учетом того, был ли сайт замечен в попытках фишинга или спуфинга. SiteAdvisor Plus и LinkScanner Pro проверяют сайты на наличие угроз, сканируя их в поисках вредоносного кода. Делают они это различными способами.
SiteAdvisor производит сканирование периодически. Возникает вопрос, насколько актуальны его данные и не пропускает ли он недавно появившийся вредоносный код, если сканирование могло происходить несколькими месяцами ранее. Действительно, с тех пор как я начал пользоваться этой программой год назад, я обнаружил, что McAfee перестала сообщать дату последнего сканирования, оставляя меня в неведении. Кроме того, выдаваемая продуктом McAfee оценка относится к сайту в целом. В результате SiteAdvisor может закрыть доступ к легитимному сайту, одна из страниц которого была взломана.
Но мне нравится, что при оценке сайта SiteAdvisor учитывает его связи и снижает оценку, если он связан с сайтами, пользующимися дурной славой. Помимо этого SiteAdvisor отлеживает количество спама, появляющегося после публикации на сайте адреса электронной почты.
LinkScanner производит поиск вредоносного кода по запросу пользователя и оценивает каждую ссылку, а не только сайт в целом. Так что если пользователь осуществляет поиск с помощью Google, LinkScanner для обнаружения вредоносного кода просмотрит все ссылки, выданные на первой странице с результатами поиска. Я обнаружил, что подобное сканирование происходит достаточно быстро при условии, что на одной странице находится до десяти ссылок. Но если я настраивал поиск на выдачу 100 результатов на каждой странице, сканирование могло длиться бесконечно долго.
TrendProtect не производит поиска вредоносного кода. Вместо этого программа предлагает пользователям определить категории контента, от которых они хотели бы себя оградить, например секс или употребление наркотиков. Подобный подход больше напоминает применяемый в Интернет-фильтрах с целью оградить детей от посещения веб-сайтов определенных типов (или запретить их посещение задержавшимся в развитии взрослым), чем защиту от вредоносного кода. Кроме того, по сравнению с конкурирующими решениями TrendProtect дает пользователю гораздо менее полное представление о том, на каком основании принимаются решения об отнесении сайта к той или иной категории.
Лишь McAfee стремится позиционировать свое решение для проверки сайтов в качестве корпоративного. Компания интегрирует управление SiteAdvisor Plus и его сетевую установку на компьютерах пользователей с центральной консолью управления. Однако наиболее важный шаг McAfee, сделанный с целью увеличения инсталляционной базы SiteAdvisor на предприятиях, это партнерство с Yahoo. Благодаря этому результаты проверки сайтов автоматически становятся доступны каждому, кто осуществляет поиск на yahoo.com с помощью бета-версии программы SearchScan, даже тем, у кого SiteAdvisor не установлен.
В течение последних недель я тестировал решения, которые должны дополнять антивирусные программы потоковым сканированием трафика. ZoneAlarm ForceField компании Check Point использует потоковое сканирование наряду с созданием виртуальной копии браузера, чтобы отделить операционную систему от браузера и защитить ее от получаемого им контента.
Trend Micro расширила свою модульную систему интернет-безопасности за счет новой надстройки Web Protection Add-On 1.2, которая должна работать наряду и вместе с антивирусными решениями компаний McAfee, Symantec, Sophos, Microsoft и “Лаборатория Касперского”.
Web Protection Add-On ведет мониторинг исходящих интернет-запросов и сканирование входящего Интернет-трафика прежде, чем он достигнет запросившего его веб-браузера. Помимо этого надстройка осуществляет мониторинг входящего трафика с целью выявления признаков активности посторонних программ. Поскольку она работает на уровне протокола, ей необходимо пользоваться специальным браузером.
В настоящее время продукт Web Protection Add-On доступен только в виде бесплатной испытательной версии со сроком действия 90 дней. Цены должны быть объявлены в ближайшем будущем.