"Microsoft заявляет, что Internet Explorer 9 блокирует атаки. Но они выдают
лишь половину этого уравнения", - сказал Чет Вишневски, исследователь
информационной безопасности британского разработчика Sophos. "Оперируя кучей
цифр "для большей научности", они порождают больше вопросов, чем ответов. Так в
чём же суть, на самом деле?".
Вишневски ответил на
пост в блоге Джеба Хабера, ведущего руководителя проекта SmartScreen
компании Microsoft, выложенный во вторник. В своём сообщении Хабер привёл
широкий круг статистических данных для того, чтобы показать, что IE9, благодаря
своему новому компоненту SmartScreen Application Reputation, предотвратил
значительное количество попыток загрузки вредоносного ПО на компьютеры с Vista и
Windows 7.
Среди ключевых моментов, отмеченных Хабером, были следующие: данные Microsoft
говорят, что каждая 14-ая загрузка -
вредоносная, и следственно блокируется IE9. Microsoft также утверждала, что
компонент Application Reputation браузера IE9 (или "App Rep"), препятствует
атакам социального инжиниринга, которые обманным путем заставляют пользователя
скачивать и устанавливать опасные файлы, содержащие программу, взламывающую
систему защиты компьютера и заражающую его вирусом.
IE9 не способен блокировать эксплойты такого ПО, как Adobe Reader и Flash,
iTunes компании Apple или Java компании Oracle, поэтому данные Microsoft не
показывают реального положения дел. "А где же остальные эксплойты?", - задаётся
вопросом Вишневски, говоря об атаках, часто проводимых не через загрузку, а о
drive-by атаках, максимально использующих уязвимости самого ПО Microsoft или
популярных сторонних программ.
"В результате мы видим ту часть картины, которую Microsoft хочет показать в
качестве PR-хода", - пояснил Вишневски.
"Раз они не сопоставляют свои цифры с действительным количеством эксплойтов –
я начинаю подозревать их во вранье", - заметил он.
"Глупо спорить о фактах". Используя всю ту же статистику Microsoft, Вишневски
отметил уязвимости IE9 в блокировке загрузок. Хабер сказал, что 90% всех
загрузок не вызывают в IE9 уведомления об опасности, а в случае, когда 1 из 10
загрузок всё-таки сигналит о нападении - "ошибочное срабатывание",
необоснованное блокирование допустимого файла, составляет 30-75%
"Если это так, неужели ты после захочешь обращать внимание на действительно
серьёзные предупреждения? Людей это просто может достать, также как [User
Account Control] уведомления в Vista".
App Rep использует хеш файла, для идентификации его содержания, и цифровой
сертификат (идентификатор) файла, определяющий "репутацию" приложения. Если
алгоритм App Rep оценивает файл как неизвестный (возможно только потому, что
данный хеш ранее не встречался), IE9 выдаёт предупреждение когда пользователь
пытается запустить или сохранить этот файл.
Вишневский отметил несколько проблем, связанных с этим подходом.
"Мы постоянно видим проблемы с подписыванием кода и обходом этой технологии",
- сказал Вишневски, используя червь Stuxnet в качестве примера. Одна из версий
Stuxnet (червя,
который, по мнению экспертов, разработали, чтобы нанести серьезный ущерб
Иранской ядерной программе) использовала пару краденых сертификатов, чтобы
выступить в качестве легального ПО.
"Один из приёмов, которые использует
Zeus – это захват всех
цифровых подписей на [взломанном] компьютере", - добавил Вишневский, говоря о
широко распространённых пакетах криминального ПО, которые стали причиной
повышения интереса к атакам, ориентированным на получение прибыли.
Легальное ПО, которое ещё не было "одобрено" компанией Microsoft, может также
заставить пользователей либо остановить загрузку, что плохо для разработчика
этого продукта, либо, что ещё хуже, "научить" пользователей IE9 полностью
игнорировать уведомления.
"Мне нравится, что идея блокировки файлов на основе их репутации
развивается", - признал Вишневски, поддержавший Microsoft и IE9 в попытках
опередить с помощью App Rep даже тех, кто сейчас "на гребне волны".
Но всё же компания Microsoft опустилась в его глазах, "рекламируя" данные,
выдающее лишь частичное положение дел: "Провернув свой PR-ход, они показали нам
лишь половину. Они промахнулись".