Изменения в фильтре SmartScreen в IE8 RC1
Привет, меня зовут Алекс Гловер (Alex Glover) и я являюсь главным тестером фильтра SmartScreen в Internet Explorer 8. Фильтр SmartScreen позволяет защитить пользователей IE8 от фишинговых атак и сайтов, распространяющих вредоносные приложения. В предыдущей статье Эрик Лоуренс уже рассказывал о функциях SmartScreen и изменениях, внесенных в новый фильтр по сравнению с фишинговым фильтром из IE7, в частности, об обнаружении вредоносных приложений, новом интерфейсе и улучшенной производительности. Сегодня я расскажу о том, как фильтр SmartScreen взаимодействует с другими функциями для борьбы с вредоносными приложениями, и опишу изменения, которые мы произвели в IE8 RC1, чтобы гарантировать вашу безопасность.
Реальные атаки вредоносных приложений
Ежедневно авторы вредоносного ПО пытаются изобрести новые способы заражения компьютеров и одним из самых часто используемых способов обмана является вынуждение к загрузке произвольного приложения под соусом необходимого для ваших нужд. Благодаря сообщению SANS Internet Storm Center и Grand Forks Herald мы недавно столкнулись с интересным примером такого обмана. По всему городу на машинах были расклеены фальшивые парковочные талоны со ссылкой на сайт, на котором хозяевам машин было необходимо скачать панель инструментов для браузера, чтобы увидеть фотографии своих нарушений. Оказалось, что именно эта панель инструментов была вредоносной программой. База данных, используемая фильтром SmartScreen, была немедленно обновлена, и у любого пользователя, который пытался закачать эту вредоносную панель задач, браузер тут же блокировал это действие, если, конечно, они при этом использовали IE8 с включенным фильтром SmartScreen.
Атаки вредоносного ПО в браузере
На сегодняшний день существует два способа, которые могут использовать вредоносные сайты для заражения компьютера. Первый способ – использование уязвимостей браузера для автоматической установки вредоносной программы без участия пользователя, также известный как drive-by download. А второй – привлечь или обмануть пользователя, заставив скачать и установить программу, которая является вредоносной, как было уже приведено в примере выше. Для полной безопасности мы должны защищать пользователя от обоих типов атак.
Несколько дополнительных функций IE8 и Windows Vista помогают защититься от drive-by download атак, которые пытаются запуститься без согласия или уведомления пользователя. В этот список входит защита памяти DEP/NX, улучшения в безопасности ActiveX, а также User Account Control в сочетании с Protected Mode в IE. Но ни один из этих механизмов не может защитить пользователя от программы, которую он самостоятельно загрузил и запустил. И здесь важное место занимает фильтр SmartScreen.
Улучшенная страница блокировки
Очень много данных обратной связи касалось фильтра SmartScreen в IE8 Beta 2, особенно от сообщества по безопасности, в которых сообщалось о том, что пользователям очень легко перейти со страницы блокировки фильтра SmartScreen и, как следствие, оказаться на опасном сайте. В IE8 RC1 мы учли эти отзывы и улучшили страницу блокировки фильтра SmartScreen in IE8 Beta 2, чтобы обезопасить пользователя. Мы желаем склонить пользователей, увидевших эту страницу, сделать безопасный выбор, а также получить дополнительную информацию. Вот снимок новой версии страницы:
По умолчанию страница имеет всего одну ссылку – «Вместо этого перейти на домашнюю страницу». Данное решение облегчает принятие очевидного решения, не предоставляя пользователю выбора из нескольких вариантов. Заинтересованные могут щелкнуть по ссылке дополнительной информации: после того, как вы щелкнете по ссылке «Дополнительная информация» появятся дополнительные ссылки и информация. Ссылки «Узнать больше о фишинге» и «Узнать больше о вредоносном программном обеспечении» приведут на страницу, где можно больше узнать о данных типах угроз, а также о том, как защитить себя (данные страницы пока все еще находятся в разработке, поэтому они пересылают на страницу SmartScreen Filter FAQ).
Вы, тем не менее, можете проигнорировать предупреждение фильтра SmartScreen и щелкнуть по ссылке «Отказаться и продолжить». Спрятав эту ссылку и переместив ее вниз страницы, мы хотели усложнить переход на вредоносный сайт. Поэтому самым безопасным действием будет просто пойти на какой-то другой сайт. Администраторы домена также могут использовать групповые политики, чтобы убрать ссылку «Отказаться и продолжить» и в принудительном порядке запретить пользователям переход на сайты, заблокированные фильтром SmartScreen.
Новое диалоговое окно небезопасных загрузок
В IE8 B2 мы добавили защиту от вредоносного ПО, которое атакует компьютер или пытается украсть конфиденциальную информацию. Если вы начнете загрузку с сайта, замеченного в распространении вредоносного ПО, то фильтр SmartScreen заблокирует загрузку и отобразит диалоговое окно с предупреждением об угрозе. Вот как данное окно выглядело в Beta 2:
Хотя это диалоговое окно использовалось для блокировки загрузки, оно сообщало о рисках не так эффективно, как могло бы. В IE8 RC1 мы изменили дизайн окна, чтобы сделать его более понятным:
Новое диалоговое окно имеет красный баннер, и краткое изложение опасности в одну строку в верхней части окна, чтобы упростить описание угрозы. Кроме того, мы также добавили пункт, рассказывающий о том, что понимается под небезопасной загрузкой. Как и в случае с групповыми политиками, администраторы могут заблокировать ссылку "Отказаться и загрузить небезопасный файл".
Итоги
Фильтр SmartScreen играет важнейшую роль в обеспечении вашей безопасности в сети. Авторы вредоносного ПО постоянно придумывают новые способы проникновения своего кода на компьютеры. Мы внесли ряд изменений, призванных защитить пользователей, сделав риски посещения вредоносных сайтов более ясными и воспрепятствовав бездумному игнорированию предупреждений. Посему настоятельно рекомендую включить фильтр SmartScreen и продолжить отсылать нам данные обратной связи. Спасибо!
Алекс Гловер,
главный тестер фильтра SmartScreen в команде Internet Explorer.