Rezultātu kopsavilkums Pārskats 2020. gada 2. ceturksnis SALĪDZINOŠAIS TESTA PĀRSKATS 2020. gada 2. ceturksnī NSS Labs veica neatkarīgu ļaunprogrammatūras aizsardzības testu, ko piedāvāja tīmekļa pārlūkprogrammas: 32 267 atsevišķi testi (katrā tīmekļa pārlūkprogrammā), izmantojot 1065 unikālus paraugus 34 dienu laikā. Lai aizsargātu pret ļaunprogrammatūru, pārlūkprogramma Microsoft Edge izmanto Microsoft Defender SmartScreen; pārlūkprogramma Google Chrome un Mozilla Firefox izmanto Google drošas pārlūkošanas API, bet pārlūkprogramma Opera izmanto Yandex. Microsoft Edge piedāvāja vislielāko aizsardzību, bloķējot 98,5% ļaunprogrammatūru un vienlaikus nodrošinot augstāko nulles stundas aizsardzības līmeni (96,7%). Pārlūkprogramma Firefox nodrošināja otru efektīvāko aizsardzību, bloķējot vidēji 86,1%, un nākamā bija pārlūkprogramma Google Chrome ar 86,0%. Pārlūkprogramma Opera bloķēja 5,6%. Aizsardzība pret ļaunprogrammatūru laika gaitā Reputācijas sistēmas saīsina laiku, kad uzbrucējiem jāsasniedz mērķi, nepieļaujot darbību vai brīdinot lietotājus, ka attiecīgais vietrādis URL, fails vai lietojumprogramma rada apdraudējumu. Tomēr lietotāji pastāvīgi apmeklē jaunas vietnes, kā arī lejupielādē failus un instalē lietojumprogrammas. Reputācijas sistēmas nevar vienkārši bloķēt visu, kas ir jauns. To zinot, uzbrucēju ļaunprogrammatūras kampaņas pastāvīgi mainās, un lielākā daļa jaunu uzbrukumu notiek pirmajās uzbrukuma sākšanas stundās. Tāpēc veiksmīgai aizsardzībai ir svarīgi ātri un precīzi klasificēt saturu. NSS Labs izvērtēja pārlūkprogrammu spēju bloķēt ļaunprogrammatūru tikpat ātri, kā mēs atradām to internetā. Mēs turpinājām testēt ļaunprātīgus vietrāžus URL, failus un programmas ik pēc sešām stundām, lai noteiktu, cik ilgs laiks piegādātājam ir nepieciešams, lai nodrošinātu aizsardzību, ja tāda vispār tiek piedāvāta. Visas testēšanas laikā pastāvīgi tika pievienota jauna ļaunprogrammatūra. Tika noņemti vietrāži URL, faili un programmas, kas vairs nav sasniedzamas vai kurās tiek viesota ļaunprogrammatūra. Katru datu punktu aprēķina no mērījumiem, kas reģistrēti noteiktā laikā. Ja ļaunprogrammatūra tika bloķēta agrāk, pārlūkprogrammas aizsardzības atbilstības rādītājs laika gaitā uzlabojās. Vai arī, ja pārlūkprogramma nebloķēja ļaunprogrammatūru, rezultāts samazinājās. Testēšana tika veikta, izmantojot rīku Web Browser Test Methodology v4.0 (kas pieejams tīmekļa vietnē www.nsslabs.com). 1
Pamatinformācija Sociālās inženierijas ļaunprogrammatūras (SEM) uzbrukumos tiek izmantota dinamiska sociālo tīklu, pārņemtu e-pasta kontu, nepatiesu paziņojumu par datora problēmām un citas maldinošas informācijas kombinācija, lai aicinātu lietotājus lejupielādēt ļaunprogrammatūru Kibernoziedznieki izmanto pārņemtos e-pasta kontus, lai izmantotu uzticību starp kontaktpersonām un maldinātu upurus, ļaujot tiem noticēt, ka saites ar ļaunprātīgiem failiem ir uzticamas. Pārņemtie sociālo tīklu konti tiek izmantoti tāpat kā pārņemtie e-pasta konti. Tomēr sociālo tīklu gadījumā loks kļūst plašāks: draugi un pat draugu draugi var tikt apkrāpti. Sociālās inženierijas taktikā var tikt izmantoti uznirstošie ziņojumi, piemēram, iesakot lietotājiem instalēt lietojumprogrammas, piemēram, Adobe Flash Player, vai norādot, ka lietotāju datori ir inficēti vai jāinstalē atjauninājumi. Kad ļaunprogrammatūra ir instalēta, cietušie ir neaizsargāti pret identitātes datu zādzību, bankas konta apdraudējumu un citām potenciāli kaitīgām sekām. Tīmekļa pārlūkprogrammu aizsardzība pret ļaunprogrammatūru Lai aizsargātu pret ļaunprogrammatūru, pārlūkprogrammās tiek izmantotas mākonī izvietotas reputācijas sistēmas, kas meklē internetā ļaunprātīgas tīmekļa vietnes, un pēc tam attiecīgi apkopo saturu kategorijās, pievienojot to atļauto vai neatļauto vienumu sarakstiem vai piešķirot tam rezultātu (atkarībā no piegādātāja pieejas). Šīs kategorizēšanas metodes var piemērot manuāli vai automātiski. Otrs funkcionālais komponents aizsardzībai pret ļaunprogrammatūru ietver tīmekļa pārlūkprogrammu, kas mākonī izvietotajām reputācijas sistēmām pieprasa reputācijas informāciju par konkrētiem vietrāžiem URL, failiem vai programmām un pēc tam brīdina par ļaunprātīgu programmatūru vai to bloķē. Ja rezultāti liecina, ka pastāv ļaunprogrammatūra, tīmekļa pārlūkprogramma novirza lietotāju uz brīdinājuma ziņojumu, kurā norādīts, ka vietrādis URL, fails vai lietojumprogramma ir ļaunprātīga. Dažas reputācijas sistēmas ietver arī papildu izglītojošu saturu. Savukārt, ja saturs ir noteikts kā labs, tīmekļa pārlūkprogramma neveic nekādas darbības, un lietotājs joprojām nezina, ka pārlūkprogramma tikko veikusi drošības pārbaudi. Google un Firefox izmanto Google drošās pārlūkošanas API gan attiecībā uz vietrāžu URL reputāciju, gan lai bloķētu vai brīdinātu lietotājus par konkrētu failu veidu lejupielādi. Pārlūkprogramma Microsoft Edge izmanto Microsoft Defender SmartScreen, tostarp programmu reputācijas pakalpojumu, lai nodrošinātu aizsardzību pret pikšķerēšanas un ļaunprogrammatūras apdraudējumu. Pārlūkprogramma Opera izmanto Netcraft, 1 PhishTank 2 un Metamask 3 bloķēšanas sarakstu, kā arī ļaunprogrammatūras sarakstu no Yandex. 4 Turklāt Microsoft rīks Defender SmartScreen tika iekļauts kā vispārējs operētājsistēmas līdzeklis kopš 2017. gada oktobra Windows 10 atjauninājuma. SmartScreen operētājsistēmas aizsardzības versija ir atbalsta mehānisms visām pārlūkprogrammām, e-pasta klientiem, USB un citām programmām un ir iekļauts operētājsistēmas aizsardzībā pret ļaunprogrammatūru. Tādējādi lietotāji gūst labumu no pārlūkprogrammas vietrāžu URL aizsardzības, pārlūkprogrammas programmu un failu aizsardzības, kā arī operētājsistēmas aizsardzības. Testa uzbūve ļaunprogrammatūras piemēri Šajā pārskatā minētie dati aptver 34 dienu pārbaudes periodu no 2020. gada 21. aprīļa līdz 25. maijam. Visas pārbaudes tika veiktas NSS testēšanas uzņēmumā Ostinā, Teksasā. Testēšanas laikā NSS inženieri regulāri uzraudzīja savienojamību, lai nodrošinātu, ka pārbaudāmās pārlūkprogrammas var piekļūt ļaunprogrammatūras vietrāžiem URL, kā arī reputācijas pakalpojumiem mākonī. Galvenā uzmanība tika pievērsta jaunākajai informācijai, tāpēc galīgajā testa kopā tika izvērtēts lielāks skaits piemēru, nekā pavisam tika saglabāts, jo testam pastāvīgi tika pievienoti jauni paraugi un tika noņemti neaktīvie paraugi. Testēšanā norādīto kaitīgo piemēru kopējais skaits Kopā ar katru tīmekļa pārlūkprogrammu tika vairākkārt testēti 1844 neapstrādāti, nevalidēti piemēri, kopumā veicot 182 676 atsevišķus testus bez pārtraukuma 822 stundu laikā (ik pēc 6 stundām 34 dienas). NSS inženieri noņēma paraugus, kas neatbilda validācijas kritērijiem, tostarp tos, kurus ietekmēja ļaunprātīga lietošana (nav iekļauti šajā testā). Visbeidzot, 129 068 atsevišķos, derīgos ļaunprogrammatūras piemēros tika iekļauti 1065 unikāli, derīgi ļaunprogrammatūras testi (32 267 katrā tīmekļa pārlūkprogrammā), uzrādot kļūdu robežu, kas ir mazāka par 2 procentiem (< 2%), ar ticamības līmeni 95%. 1 http://www.netcraft.com/ 2 http://www.phishtank.com/ 3 https://github.com/metamask/eth-phishing-detect 4 https://yandex.com 2
Ļaunprogrammatūras bloķēšanas ātrums Iespēja brīdināt potenciālos upurus par to, ka viņi plāno atvērt ļaunprātīgu tīmekļa vietni, padara tīmekļa pārlūkprogrammas unikālas, lai cīnītos pret sociālās inženierijas ļaunprogrammatūru. Tā kā ļaunprogrammatūras vietnes pastāvēšanas laiks ir īss, ir svarīgi, lai attiecīgā vietne tiktu iespējami drīz atklāta, validēta, klasificēta un pievienota reputācijas sistēmai. Tādēļ, lai sasniegtu augstus atklāšanas rādītājus, labai reputācijas sistēmai jābūt gan precīzai, gan ātrdarbīgai. Pārlūkprogrammas izstrādātāji skaidri izprot šo saistību, un pirmajās 24 atklāšanas stundās tiek bloķēts ievērojami vairāk ļaunprogrammatūras vietņu nekā pēc tam. Ļaunprogrammatūras aizsardzības histogramma Galvenā aizsardzības tehnoloģija pārlūkprogrammā Edge ir SmartScreen, kas nodrošina vietrāžu URL aizsardzību pret uzbrukumiem, izmantojot integrētu mākonī izvietotu vietrāžu URL reputācijas pakalpojumu, kā arī lietojumprogrammu reputāciju ļaunprātīgai failu bloķēšanai. SmartScreen, izmantojot programmu reputāciju, bloķēja 98,5% gadījumu pārlūkprogrammā Edge. Pārlūkprogramma Mozilla Firefox un Google Chrome izmanto drošās pārlūkošanas API. Pārlūkprogramma Firefox bloķēja 86,1%. Pārlūkprogramma Google Chrome bloķēja 86,0%. Pārlūkprogramma Opera, kas izmanto vairāku avotu bloķēšanas sarakstu kombināciju, bloķēja 5,6%. Turklāt Microsoft Defender SmartScreen bloķēja papildus 93,1% ļaunprātīgu failu pārlūkprogrammā Opera, 13,1% pārlūkprogrammā Chrome, 13,0% pārlūkprogrammā Firefox un 0,7% pārlūkprogrammā Edge, kad mēģinājām tos palaist. Tūlītēja aizsardzība pret jaunu ļaunprogrammatūru ir ļoti svarīga. Atklājot vietnes, kas vieso ļaunprogrammatūru, tās tiek noņemtas bieži vien samērā īsā laikā. Produkti, kuriem savlaicīgi neizdodas nodrošināt aizsardzību, var tikt viegli apdraudēti. Histogrammā ir parādīts, cik ilgi katra pārlūkprogramma veica ļaunprogrammatūras bloķēšanu, kad piemērs tika iekļauts testa ciklā. Septiņu dienu laikā kumulatīvās aizsardzības efektivitāte tiek aprēķināta katru dienu, līdz apdraudējums ir novērsts. Testa laikā pārlūkprogrammas Microsoft Edge sākotnējā aizsardzības pakāpe pret ļaunprogrammatūru bija 96,7%. Pārlūkprogrammas Google Chrome un Mozilla Firefox sākotnējā aizsardzības pakāpe bija 86,2% un attiecīgi 80,8%. Pārlūkprogrammas Opera sākotnējā aizsardzības pakāpe bija 6,8%. Līdz septītās testēšanas dienas beigām visās tīmekļa pārlūkprogrammās bija vērojama aizsardzības pakāpes palielināšanās. Pārlūkprogrammai Microsoft Edge aizsardzības pakāpe palielinājās par 4,5% līdz 98,2%. Pārlūkprogrammai Google Chrome aizsardzības pakāpe palielinājās par 6,7% līdz 92,9%, pārlūkprogrammai Mozilla Firefox aizsardzības pakāpe palielinājās par 8,4% līdz 89,2%, savukārt pārlūkprogrammai Opera tā palielinājās par 0,1% līdz 6,9% 3
Nemainīga aizsardzība laika gaitā Visas testēšanas laikā pastāvīgi tika pievienota jauna ļaunprogrammatūra. Tika noņemti vietrāži URL, faili un programmas, kas vairs nav sasniedzamas vai kurās tiek viesota ļaunprogrammatūra. Katru datu punktu aprēķina no mērījumiem, kas reģistrēti noteiktā laikā. Ja ļaunprogrammatūra tika bloķēta agrāk, pārlūkprogrammas aizsardzības atbilstības rādītājs laika gaitā uzlabojās. Vai arī, ja pārlūkprogramma nebloķēja ļaunprogrammatūru, rezultāts samazinājās. Testēšanas laikā tika atklāti trīs aizsardzības slāņi: vietrāžu URL reputācija, programmu reputācija pārlūkprogrammā un operētājsistēmas programmu reputācija. Vietrāžu URL reputācija nodrošināja pietiekami labu aizsardzību. Programmu reputācijas izmantošana uzlaboja aizsardzību. Operētājsistēmu reputācija nodrošināja papildu aizsardzību. Ideālā gadījumā tīmekļa pārlūkprogramma bloķēs ļaunprogrammatūru, lai tā nekad nesasniegtu operētājsistēmu. Testēšanā tika konstatēts, ka operētājsistēmu reputācija ir ļoti efektīva. 4
Testēšanas vide BaitNET (NSS Labs Proprietary) 64 bitu Microsoft Windows 10 Pro (versija 1909 Būvējums: 18363.592) Ubuntu 18.04.3 LTS Kali (Kernel laidiens 4.19.0-kali5-amd64) VMware vcenter (versija 6.7u2 Būvējums: 6.7.0.30000) VMware vsphere (versija 6.7.0.20000) VMware ESXi (versija 6.7u3 Būvējums: 14320388) VMware Tools 10.3.5 Wireshark versija 2.6.3 WinPcap 4.1.3 Filezilla Server 0.9.6 SSH Secure Shell 3.2.9 (Būvējums: 283) GNU Wget 1.19.4 Curl 7.58.0 Testētie produkti Google Chrome: Versija 81.0.4044.113 81.0.4044.138 Microsoft Edge: Versija 83.0.478.10 84.0.516.1 Mozilla Firefox: Versija 75.0 76.0.1 Opera: Versija: 67.0.3575.137 68.0.3618.125 5
Autori Dipti Ghimire, Thomas Skybakmoen, Vikram Phatak Testēšanas metodoloģija NSS Labs Web Browser Security (WBS) Test Methodology v4.0 ir pieejama vietnē www.nsslabs.com. Kontaktinformācija NSS Labs, Inc. 3711 South Mopac Expressway Building 1, Suite 400 Austin, TX 78746 info@nsslabs.com www.nsslabs.com Šis un citi saistītie dokumenti ir pieejami vietnē: www.nsslabs.com. Lai saņemtu licencētu kopiju vai ziņotu par ļaunprātīgu izmantošanu, lūdzu, sazinieties ar NSS Labs. 2020 NSS Labs, Inc. Visas tiesības paturētas Nevienu šīs publikācijas daļu nedrīkst pavairot, kopēt/skenēt, glabāt izguves sistēmā, nosūtīt e- pastā vai kā citādi izplatīt vai pārsūtīt bez NSS Labs, Inc. ( mums vai mēs ) rakstiskas piekrišanas. Lūdzu, izlasiet atrunu šajā lodziņā, jo tajā ir svarīga jums saistoša informācija. Ja nepiekrītat šiem nosacījumiem, nelasiet pārējo šī pārskata daļu un nekavējoties nosūtiet atpakaļ mums šo pārskatu. Jūs vai jums ir persona, kas piekļūst šim pārskatam, un jebkura persona, kuras vārdā ir iegūts šis pārskats. 1. Šajā pārskatā sniegtā informācija var tikt mainīta bez iepriekšēja paziņojuma, un mums šī informācija nav obligāti jāatjaunina. 2. Mēs uzskatām, ka šajā pārskatā sniegtā informācija ir precīza un ticama tās publicēšanas laikā, taču tas netiek garantēts. Par visa šī pārskata izmantošanu un paļaušanos uz to atbildīgs esat vienīgi jūs. Mēs neesam atbildīgi vai neuzņemsimies atbildību par jebkādiem bojājumiem, zaudējumiem vai jebkāda veida izdevumiem, kas izriet no kļūdām vai izlaidumiem šajā pārskatā. 3. MĒS NESNIEDZAM NEKĀDAS SKAIDRI VAI NETIEŠI IZTEIKTAS GARANTIJAS. AR ŠO MĒS NORAIDĀM UN IZSLĒDZAM VISAS NETIEŠĀS GARANTIJAS, TOSTARP NETIEŠĀS GARANTIJAS PAR PIEMĒROTĪBU PĀRDOŠANAI, ATBILSTĪBU KONKRĒTAM MĒRĶIM UN NEPIEMĒROTĪBU. MĒS NEKĀDĀ GADĪJUMĀ NEUZŅEMSIMIES ATBILDĪBU PAR JEBKĀDIEM TIEŠIEM, IZRIETOŠIEM, NEJAUŠIEM, SODĀMIEM, IZŅĒMUMA VAI NETIEŠIEM KAITĒJUMIEM, KĀ ARĪ PAR JEBKĀDIEM PEĻŅAS, IEŅĒMUMU, DATU, DATORPROGRAMMU VAI CITU AKTĪVU ZAUDĒJUMIEM, PAT JA PASTĀV INFORMĀCIJA PAR TO IESPĒJAMĪBU. 4. Šis pārskats neietver nevienu pārbaudīto produktu (aparatūras vai programmatūras) vai produktu testēšanā izmantotās aparatūras un/vai programmatūras apstiprinājumu, ieteikumu vai garantiju. Testēšana negarantē, ka produktos nav kļūdu vai defektu vai ka produkti atbilst jūsu vajadzībām, prasībām, vajadzībām vai specifikācijām, vai ka tie darbosies bez pārtraukuma. 5. Šis pārskats neietver nevienu apstiprinājumu, sponsorus, piederību vai pārbaudi, ko veic kāda šajā pārskatā minēta organizācija. 6. Visas preču zīmes, pakalpojumu zīmes un tirdzniecības nosaukumi, kas izmantoti šajā pārskatā, ir attiecīgo īpašnieku preču zīmes, pakalpojumu zīmes un tirdzniecības nosaukumi. 6