Что скрывают о браузере IE9?

Функционал безопасности нового браузера от Microsoft может создать трудности для разработчиков ПО и опасность заражения компьютеров пользователей. Заявления компании об успешном блокировании большого количества вредоносных загрузок – не более чем пиар-ход, заявляют аналитики…

Утверждение Microsoft о том, что Internet Explorer 9 (IE9) блокирует атаки, никак не подтверждается, заявляет аналитик систем безопасности.

«Они представили только половину уравнения, — сказал Чет Висниевски (Chet Wisniewski), исследователь в сфере безопасности компании Sophos. — Они вложили ворох цифр, чтобы все выглядело «научно», но этим создали больше вопросов, чем дали ответов».

Так Висниевски отреагировал на сообщение в блоге Джеба Хейбера (Jeb Haber), ведущего руководителя технологической программы SmartScreen компании Microsoft. В своем сообщении Хейбер приводит широкий круг статистических данных, демонстрируя, что IE9, оснащенный новой функцией под названием SmartScreen Application Reputation (App Rep), заблокировал значительное число попыток проникновения вредоносных загрузок на ПК под управлением Vista или Windows 7.

Среди ключевых примеров, которые привел Хейбер: данные Microsoft, согласно которым одна из каждых 14 загрузок, осуществляемых пользователями Windows – вредоносная, и блокируется IE9. Microsoft также утверждала, что применение App Rep подавляло разновидность атак, основанных на обмане пользователей при загрузке и установке опасного файла, содержащего код, позволяющий скомпрометировать компьютер и заразить его вредоносными программами.

Висниевски заявил в недавнем интервью: «Microsoft сравнивает яблоки… ни с чем». Потому что IE9 не в состоянии блокировать эксплойты таких программ, как Adobe Reader и Flash, Apple iTunes или Java от Oracle. Сведения Microsoft не отражают реальной картины происходящего. «Где оно, это количество эксплойтов?» — задается вопросом Висниевски, адресуясь к атакам, которые часто проводятся не за счет загрузки, но попутным взломом и использованием уязвимостей в ПО от Microsoft или популярных программ сторонних производителей.

Microsoft представила фрагмент общей картины как пиар ход, сказал Висниевски. «Они не сравнили свои цифры с количеством действующих эксплойтов, так что я чувствую, они врут мне, — сказал он. – Я до сих пор не вижу ни одного настоящего аргумента».

App Rep использует хэш-файл, который идентифицирует содержимое загружаемого файла и цифровой сертификат, чтобы определить надежность репутации и известность приложения. Если алгоритм App Rep определяет файл как неизвестный, возможно потому, что это значение хэш ранее не видел, IE9 выдает предупреждение при попутке запуска или сохранения файла.

Висниевски отметил неувязки в этом подходе. «Проблема с подписанием кода в том, что мы регулярно наблюдаем злоупотребление этим», — сказал Висниевски, используя в качестве примера червь Stuxnet. Изучая червя, эксперты пришли к выводу, что один из вариантов Stuxnet, написанный для создания хаоса в ядерной программе Ирана для маскировки под легальное ПО использовал пару украденных сертификатов.

Подобный подход, когда пользователь отказывается от загрузки легального программного обеспечения, еще не «одобренного» Microsoft, может запутать. Это плохо отзовется разработчику легального продукта, но что еще хуже — может «приучить» пользователей IE9 в целом игнорировать эти предупреждения.

«Мне нравится идея блокирования загрузок на основе репутации», — признал Висниевски, отдавая должное Microsoft и ее браузеру с App Rep за попытку «действовать на упреждение». Но в его глазах Microsoft допустила ляп, рекламируя цифры, раскрывающие лишь половину сказанного. «Они сделали пиар-ход, показав нам лишь половину общей картины, — сказал он. – И не достигли цели».