一份由独立实验室发布的测试报告显示,在防范社会化工程类恶意软件方面,Internet Explorer 8比其它任何网络浏览器做得都好。
--------------------------------------------------------------------------------------------
2009年7月,NSS公布了对所有主要网络浏览器处理社会化工程类恶意软件进行测试的最终结果。在下面,我会对这一结果进行分析。每次我打算发布该文章的时间,就会出现新消息。现在,终于是最终结果了。
什么是社会化工程类恶意软件
在这方面,我的朋友谷歌和维基百科没有提供什么帮助。最后,我在报告内容的大约三分之一处找到了答案,NSS是这样定义社会化工程类恶意软件的:
“一个会被直接‘下载’包含了可执行恶意有效内容的网页链接。”
我明白了。所谓的社会化工程类恶意软件就是指恶意或者损害网站的滴管程序。这是一个很好的测试;滴管程序是目前最成功的计算机恶意软件之一。
测试内容是什么?
新版浏览器在下载内容之前都会自动检查网站的信誉情况。该报告是这样说明的:
“这种模式是以云信誉为基础的系统,可以搜索互联网上的恶意网站和内容,并进行归类;或者将其加入黑名单或者白名单,或者进行评分(依据供应商的做法)。这可以是手动、自动或复合的。
第二项功能是驻留在网络浏览器中的,可以对特定网址利用云系统进行信誉查询,并提供预警和拦截服务。”
简单地说,NSS测试的是网络浏览器的恶意网址数据库,它们的更新频率如何,网络浏览器是采用何种方式进行匹配查询的。
测试结果
NSS从12000条恶意网址中选择了608条满足要求的。在测试中,NSS每天测试若干条选定的恶意网址,记录每个网络浏览器阻止威胁的能力。在第一个图中,显示的是每个浏览器成功地发现和阻止恶意网址的百分比:
NSS还记录了网络浏览器的数据库是否提供关于每个威胁的信息。如果找不到关于具体威胁的信息,NSS就会对数据库更新进行跟踪,找出加入该信息耗费的时间。这些结果显示在下面的图中:
这意味着什么?
对于Internet Explorer 8来说,获得防范社会化工程类恶意软件的第一名是个好现象。在NSS进行的类似测试网络浏览器拦截钓鱼网址中,Internet Explorer 8再次跃居榜首。
许多安全分析人士担心,微软向这次测试提供了费用,会造成结果的倾向性。显然,微软的在线安全工程团队聘请NSS进行基准测试。针对这些涉及到微软的非议,NSS总裁里克·莫埃向Ars Technica进行了说明:
“进行正确测试的成本非常高,并且,我们也需要以某种方式赢利。我们邀请过谷歌、Mozilla、苹果和Opera参加,但除了指出自己并不真正专注于恶意软件的Opera之外,其它厂商甚至懒得回应。 ”
最后的思考
关于这一测试结果是否属于有效的情况?我们应该考虑到下面几点因素:
· NSS为什么没有对恶意网址列表进行详细说明。
· NSS为什么没有说明它不对网站漏洞进行测试的原因。
· 微软向这次测试提供了费用支持。
更新(2009年8月19日)
我联系上里克·莫埃(NSS总裁),并提出了几个由techrepublic成员贡献的问题:
1、NSS是在哪里获得包含12000个恶意网站的列表的?
“这些网站来自我们自己研究、检索、垃圾邮件陷阱等方面的工作,以及不参与该测试的其他当事方,如Mailshell、Sunbelt等公司。在测试之前,没有供应商可以获得测试地址。”
2、对于这项包括网站在内的测试来说,确切的标准是什么?
“在报告中已经提到了社会化工程类恶意软件的定义。这是针对用户的攻击,而不是对软件漏洞的利用。这次测试是面向未来的。”
这里是定义:一个会被直接‘下载’包含了可执行恶意有效内容的网页链接。在莫埃先生作出解释之前,我一直不能理解这一定义意味着什么。现在我明白了,关键在于用户必须自觉地点击一个链接以激发开始的进程。
3、一个网站可以使用“社会化工程”(不需要Javascript支持)说服用户选择一个链接,结果导致浏览器下载一个恶意软件的安装包并执行。这次测试针对的是这种类型的网站?
“是的。”
解释:NSS界定社会化工程类恶意软件是引诱用户点击一个链接的过程。
4、恶意网址链接到的是伪造的恶意网站还是冒充的官方网站?
“两者都有。”
5、微软为这次测试提供了多少费用?
这项测试属于一项我们已经反复运行了大约九个月的整体测试的一部分。所有的浏览器厂商和一些防病毒厂商都有机会对测试方法进行研究并提出自己的意见。最终的决定是由NSS独立做出的。我们鼓励大家对测试方法进行研究分析,并自行决定它是否符合现实世界的情况。我们将研究和考虑所有提出的意见。但请注意,迄今为止,我们一直没有得到关于这种测试方法实质性的批评。
