Основная программа защита блокировка вредоносных веб сайтов: Программа для блокировки рекламы Adguard — защита от вредоносных сайтов и Adware

В помойку весь рекламный мусор!

Вы совершенно не обязаны наблюдать весь рекламный мусор, который пытаются вывалить на пользователей некоторые рекламодатели. И если в случае рекламы по телевизору остается только смириться, то в сети у вас есть выбор! Все, что вам нужно, – это надежная программа, отвечающая за блокировку ненужных баннеров, видеороликов и других элементов.

Web-фильтр Adguard

Это уникальная программа, которая сочетает в себе все необходимые функции для комфортного пользования Интернетом. Основная задача этого web-фильтра – качественная блокировка абсолютно всех видов рекламы. Теперь, чтобы посмотреть ролик на Youtube или любимый сериал, вам не придется ждать несколько минут, пока пройдет реклама. Всплывающие окна будут заблокированы, все надоедливые баннеры с отвратительным содержимым исчезнут. Так как все лишние элементы на сайтах удалятся (а их довольно много!) – страницы будут загружаться быстрее. Да, Adguard значительно сэкономит трафик и ускорит Интернет на вашем устройстве.

Многофункциональность

Помимо полного удаления рекламы онлайн и в программах на вашем компьютере (Skype, uTorrent) Adguard обладает и другими полезными функциями. Так, отдельный модуль «Антифишинг» защитит пользователей от вредоносных сайтов, фишинга и других возможных онлайн-угроз. Модуль счетчиков и систем аналитики запретит кому-либо следить за вами в сети. А вот модуль «Родительский контроль» необходим всем, у кого дети сидят в Интернете. Блокировка доступа к сайтам для взрослых, фильтрация нецензурных материалов, защита паролем – Adguard защитит маленьких пользователей от информации, которую им знать еще рано.

Подробнее о функциях

Итак, Adguard – это блокировка рекламы, защита от онлайн-угроз, защита детей от нецензурных материалов и защита личных данных. Все эти функции представлены соответствующими модулями:

• Антибаннер полностью удаляет все рекламные элементы с web-страниц. Блокирует видеорекламу, всплывающие окна, убирает объявления, баннеры и другие материалы рекламного характера. При этом фильтрация происходит еще до загрузки сайта в браузере, а это значит – никакой рекламы и сокращение времени загрузки сайтов.
• Антифишинг защищает вас от сайтов, содержащих вредоносный код, а также от сайтов интернет-мошенников. Программа действительно снижает вероятность заражения компьютера вирусами. Adguard использует черные списки, насчитывающие миллионы опасных сайтов. Модуль Антифишинга обрабатывает URL-адреса в режиме реального времени – сверяет их с доменами сайтов в своей базе данных. А благодаря оптимизации данного процесса такая проверка занимает доли секунды.
• Родительский контроль позволяет защитить детей от вызывающих и нецензурных материалов и сайтов для взрослых, что в целом обеспечивает безопасность детей онлайн. Родители могут быть абсолютно спокойны.
• Антитрекинг – это защита от посторонних наблюдателей истории вашего серфинга. С Adguard рекламные сети и счетчики не смогут отследить ваши поисковые запросы и посещенные вами сайты и использовать эти данные в корыстных целях.

Для любого устройства

Adguard – эта целая линейка программного обеспечения, а значит, каждый сможет найти веб-фильтр подходящего формата: программа Adguard для Windows для ваших компьютеров и ноутбуков, мобильное приложение Adguard для устройств на базе Android, Adguard для Mac – первый в мире полноценный блокировщик рекламы для OS X.

Не тратим нервы зря!

1. Вас не будут отвлекать все эти пестрые, мигающие и просто неприятные баннеры.
2. Больше не нужно ждать, пока наконец пройдет видеореклама.
3. Вы заметите насколько быстрее стал работать Интернет: страницы, не отягощенные ничем лишним, загружаются гораздо быстрее.
4. Вы сможете спокойно позволять детям сидеть в Интернете, так как с Adguard вы будете уверены, что они не увидят ничего лишнего.
5. Adguard – отличное дополнение к антивирусу; предупредит вас об опасности при переходе на подозрительные сайты.
6. Adguard запретит трекинг ваших действий онлайн, таким образом ваши личные данные будут под надежной защитой.
7. Adguard – простая в использовании программа, которая содержит все функции, необходимые каждому интернет-пользователю. Работает незаметно, в фоновом режиме, вы увидите только результат — чистый и безопасный Интернет.

Приобрести программу для блокировки рекламы Adquard вы можете в интернет-магазине Allsoft.

Вредоносные программы (malware)

Название «вредоносные программы» соотносится с англоязычным термином «malware», образованным от двух слов: «malicious» («злонамеренный») и «software» («программное обеспечение»). Существуют и другие, более редкие варианты — «badware», «computer contaminant», «crimeware». В лексиконе некоторых специалистов встречаются жаргонные названия «вредонос», «зловред», «малварь». В обиходе все вредоносные программы часто называют компьютерными вирусами, хотя это терминологически некорректно.

К вредоносным программам относят любое программное обеспечение, несанкционированно проникающее в компьютерную технику. Подобные приложения наносят прямой или косвенный ущерб — например, нарушают работу компьютера или похищают личные данные пользователя.

Вредители создаются для реализации двух основных групп целей. Одна из них сводится к получению выгоды от внедрения в компьютер жертвы. Например, злоумышленник добивается возможности управлять компьютером, крадет секретную информацию, осуществляет вымогательство. Вторая группа целей не связана с материальной выгодой. Написание вредоносного кода может быть проявлением желания автора, создавшего программу, утвердиться в своих умениях, обычным хулиганством или шуткой.

Согласно статье 273 Уголовного Кодекса РФ, вредоносными объектами следует считать компьютерные программы или иную информацию, которые заведомо предназначены для несанкционированного уничтожения, блокирования, модификации, копирования данных либо для нейтрализации средств их защиты.

Корпорация Microsoft считает, что вредоносная программа — это любое ПО, разработанное с целью нанесения урона отдельному компьютеру или целой сети, серверу. Совершенно не важно, является ли такое ПО вирусом, трояном или разновидностью программы-шпиона.

Классификация вредоносных программ

Ниже перечислены основные виды вредоносных программ.

1. Агенты ботнетов. Ботнетом называется группа зараженных компьютеров, получающих команды от злоумышленника; за прием и исполнение этих команд отвечает соответствующая вредоносная программа. Такая сеть может насчитывать от нескольких единиц до миллионов компьютеров, она также называется зомби-сетью.
2. Эксплойты — хакерские утилиты, предназначенные для эксплуатации уязвимостей в программном обеспечении.
3. Бекдоры — программы для удаленного подключения к компьютеру и управления им.
4. Компьютерные вирусы. Вирусом принято называть программу, которая внедряет свой код в другие приложения («заражает» их), так что при каждом запуске инфицированного объекта этот код исполняется.
5. Руткиты — средства скрытия вредоносной деятельности (например, другие приложения не смогут обнаружить файлы, принадлежащие нежелательному ПО).
6. Сетевые черви — вредоносные программы с самой разной функциональной нагрузкой, которые способны самостоятельно распространяться по компьютерным сетям.
7. «Троянские кони» («трояны») — широкий класс вредоносных объектов разнообразного назначения, которые обычно не имеют собственного механизма распространения (т.е. не могут заражать файлы или размножать свои копии через сеть). Название произошло от ранней тактики их проникновения — под видом легитимной программы или в качестве скрытого дополнения к ней.

В особую группу можно выделить вымогатели и шифровальщики (ransomware). Сценарий работы таких вредоносных программ состоит в том, что они каким-либо способом блокируют доступ пользователя к его данным и требуют выкуп за разблокировку.

Объекты воздействия

Атаки вредоносных программ распространяются практически на всех пользователей интернета. Цель воздействия зависит от типа злоумышленника: хулиган, мелкий вор или киберпреступник. Соответствующим образом различаются и последствия: одна инфекция просто мешает нормально работать с компьютером, другая — приводит к финансовым убыткам, третья — заканчивается утечкой сведений, составляющих коммерческую тайну.

В последние годы от вредоносных программ часто страдают различные компании и организации — в первую очередь из-за своей платежеспособности. Типовой атакой является шифрование, например, бухгалтерской базы данных и последующее требование заплатить за восстановление этой критически важной для бизнеса информации. Атакам эксплойтов, троянов и червей подвергаются серверы веб-сайтов, откуда злоумышленники воруют информацию о клиентах и пользователях, включая данные банковских карт, что грозит потерей финансов, баз данных, другой корпоративной информации.

Объектами внедрения вредоносных программ являются и обычные пользователи Сети. Интерес представляют личные данные, информация о банковских счетах, электронная почта, пароли доступа к социальным сетям. Довольно часто целью инфекций становятся геймеры, имеющие большое количество игровой валюты и редкие артефакты.

Источник угрозы

Самые опасные и сложные вредоносные программы создаются на заказ государственными спецслужбами или связанными с ними группами киберпреступников. Такие объекты имеют ярко выраженную специфику и направлены на конкретную жертву или группу жертв. Целью их работы могут быть сбор и кража секретных данных либо прямое вредительство.

Однако большинство вредоносных программ создается рядовыми злоумышленниками, не связанными с организованной киберпреступностью или спецслужбами. Внедрив свои разработки на компьютер жертвы, они могут красть данные для доступа к счетам в банках, выполнять с зараженного устройства сетевые атаки, вымогать выкупы, размещать рекламу сомнительной продукции или рассылать спам. Источником распространения вредителей являются мелкие преступники, похищающие логины, пароли и другую личную информацию (например, аккаунты участников онлайн-игр) с целью несанкционированного использования или продажи.

Внедрять вредоносные программы могут исследователи, находящиеся в процессе изобретения иных способов заражения, противодействия антивирусным продуктам. Цель деятельности этих программистов состоит не в получении выгоды, а в изучении компьютерной среды и проверке своих идей.

Анализ риска

Пользователи персональных компьютеров порой не считают вредоносные программы серьезной угрозой, хотя часто становятся жертвами кражи учетных данных либо блокировки компьютера с требованием выкупа. Бизнес, наоборот, говорит об инфекциях как о существенной угрозе своей деятельности.

Распространение получают вредоносные программы, попадающие в устройства интернета вещей. Так, компания из Британии создала вирус-вымогатель для термостата, подключенного к Wi-Fi. Получив контроль над оборудованием, он способен опустить температуру до критической отметки и требовать денег. Подробнее о новой вредоносной программе можно прочитать в статье «Вирусы-вымогатели добрались до термостатов».

Нет абсолютной защиты от инфекций, но снизить риск реализации угрозы можно. Для этого необходимо устанавливать новые версии операционных систем, следить за обновлением всех программ, использовать антивирусные решения от надежных производителей, не допускать к ПК посторонних лиц, не открывать подозрительные ссылки, письма и файлы, выполнять ряд других предохранительных мер.

Kaspersky Security Bulletin 2009. Основная статистика за 2009 год

1. Kaspersky Security Bulletin 2009. Развитие угроз в 2009 году
2. Kaspersky Security Bulletin 2009. Основная статистика за 2009 год
3. Kaspersky Security Bulletin 2009. Спам в 2009 году

Отчет сформирован на основе данных, полученных и обработанных при помощи Kaspersky Security Network. KSN является одним из важнейших нововведений в персональных продуктах и в настоящее время готовится к включению в состав корпоративных продуктов «Лаборатории Касперского».

Kaspersky Security Network позволяет нашим экспертам оперативно, в режиме реального времени, обнаруживать новые вредоносные программы, для которых еще не существует сигнатурного или эвристического детектирования. KSN позволяет выявлять источники распространения вредоносных программ в интернете и блокировать доступ пользователей к ним.

Одновременно KSN позволяет реализовать значительно большую скорость реакции на новые угрозы — в настоящее время мы можем блокировать запуск новой вредоносной программы на компьютерах пользователей KSN через несколько десятков секунд с момента принятия решения о ее вредоносности, и это осуществляется без обычного обновления антивирусных баз.

Вредоносные программы в интернете (атаки через Web)

В основной части отчета мы уделили значительное внимание проблеме веб-эпидемии Gumblar. На самом деле эта эпидемия является только верхушкой айсберга веб-инфекций, которые на протяжении последних лет стали доминирующим способом заражения компьютеров пользователей.

В этой области киберпреступность достаточно быстро эволюционировала, выйдя на уровень создания полноценных ботнетов из взломанных веб-сайтов, способных самостоятельно поддерживать свою популяцию.

Кроме того, активно используются возможности, предоставляемые социальными сетями. Наши наблюдения показывают, что существующий уровень доверия между пользователями социальных сетей является очень высоким. Вероятность того, что пользователь социальной сети запустит предлагаемый ему «друзьями» файл или пройдет по присланной от имени «друга» ссылке примерно в 10 раз выше, чем если бы этот файл или ссылка пришли к нему по электронной почте. И злоумышленники используют это при распространении вредоносных программ и спама.

Мы неоднократно писали о технологии drive-by-download. При ее использовании заражение компьютера происходит незаметно для пользователя во время обычной работы в интернете. В 2009 году ситуация значительно ухудшилась — число подобных атак, зафиксированных нами, увеличилось примерно в 3 раза. При этом следует понимать, что речь идет о десятках миллионов атак.

При помощи Kaspersky Security Network мы можем осуществлять учет и анализ всех попыток заражения наших пользователей при работе в интернете.

По итогам работы KSN в 2009 году зафиксировано 73 619 767 (аналогичный показатель 2008 года — 23 680 646) атак на наших пользователей, которые были успешно отражены. Кроме попыток загрузки на компьютеры вредоносных и потенциально опасных программ в число зафиксированных инцидентов вошли 14 899 238 попыток доступа к фишинговым и вредоносным сайтам, которые были заблокированы нашим антивирусом.

Вредоносные программы в интернете: TOP-20

Из всех вредоносных программ, участвовавших в интернет-атаках на пользователей, мы выделили 20 наиболее активных. Каждая из этих 20 угроз была зафиксирована нами более 170 000 раз, на них пришлось более 37% (27 443 757) всех зафиксированных инцидентов.

Первое место в рейтинге со значительным отрывом занимает эвристическое детектирование вредоносных ссылок, которые внедряются хакерами, а зачастую и самими вредоносными программами, в код взломанных сайтов. Эти ссылки осуществляют скрытое обращение браузера к другому сайту, на котором, как правило, и находится основной набор эксплойтов, использующих уязвимости браузеров и приложений.

Второе место досталось Gumblar, и это не удивительно, учитывая размах его эпидемии. Почти 3 000 000 раз наш продукт детектировал обращения наших клиентов к серверам данного ботнета. Можно только вообразить себе, сколько миллионов персональных компьютеров могли бы стать жертвами этой вредоносной программы.

Примечательно и то, что третье место заняла рекламная программа Boran.z. Adware уже давно является, наряду со спамом и порнографией, одним из основных движущих элементов в структуре киберпреступности.

Практически все остальные участники двадцатки в той или иной мере относятся к различным вариациям эксплойтов уязвимостей.

Страны, на ресурсах которых размещены вредоносные программы: TOP-20

73 619 767 атак, зафиксированных нами в 2009 году, проводились с интернет-ресурсов, размещенных в 174 странах мира. Более 97% всех зафиксированных нами атак было осуществлено из двадцати стран.

Первая пятерка стран в таблице идентична первой пятерке в аналогичном рейтинге 2008 года.

Как и год назад, абсолютным лидером по числу атак, проведенных с ресурсов, размещенных в стране, стал Китай. Однако процент атак, проведенных с китайских веб-ресурсов, уменьшился с 79% до почти 53%. На втором месте по-прежнему США, при этом доля зараженных серверов на территории этой страны значительно выросла — с 6,8% до 19%. Россия, Германия и Голландия составляют «второй эшелон», и их доли выросли незначительно.

Лидерство Китая, как в области создания новых вредоносных программ, так и по числу зараженных веб-сайтов, уже стало объектом внимания со стороны правительственных и правоохранительных органов страны. Для исправления ситуации регулирующие органы уже предприняли ряд мер, призванных усложнить появление вредоносных ресурсов. Теперь оформление доменного имени в зоне .cn производится по письменному заявлению установленного образца и только после того, как заявитель лично предъявит удостоверение и лицензию на осуществление коммерческой деятельности. Из-за несоблюдения этих норм уже были закрыты несколько китайских компаний-регистраторов доменов.

Практически сразу после введения (в конце 2009 года) данных мер было отмечено уменьшение числа ссылок на китайские домены в спаме. Мы надеемся, что в 2010 году эта же тенденция затронет и прочие способы заражения компьютеров и обмана пользователей.

Страны, в которых пользователи подвергались атакам в 2009 году: TOP-20

Следующий показатель, требующий рассмотрения: пользователи каких стран и регионов стали объектами атак.

Более 86% из 73 619 767 зафиксированных попыток заражения пришлось на компьютеры жителей следующих двадцати стран:

По сравнению с прошлым годом в этом рейтинге произошли значительные изменения. Китай по-прежнему лидирует по числу потенциальных жертв, но его доля уменьшилась на 7%. А вот другие лидеры прошлого года — Египет, Турция, Вьетнам — стали заметно менее интересны киберпреступникам. Одновременно с этим значительно выросло число атак на граждан США, Германии, Великобритании и России.

По нашему мнению, такое изменение в направлении атак является еще одним следствием мирового экономического кризиса. Денег в Сети стало значительно меньше, и начавшийся было рост числа пользователей интернет-банкинга в ряде стран замедлился. Преступникам пришлось переключиться на более «богатые» рынки, где вероятность заработать на заражении пользователей значительно выше.

Свой вклад в этот процесс внесли и китайские преступники, которые стали меньше атаковать своих же сограждан. О снижении активности игровых троянцев мы уже писали. Вероятно, в ситуации с атаками через Web мы наблюдаем последствия этой же тенденции.

Сетевые атаки

Неотъемлемой частью современной антивирусной программы является файервол. Он позволяет блокировать различные атаки, осуществляемые на компьютер извне не через браузер, а также противодействует попыткам кражи с компьютера пользовательских данных.

В состав Kaspersky Internet Security включен файервол с функцией детектирования входящих пакетов (IDS), многие из которых являются эксплойтами, использующими уязвимости в сетевых службах операционных систем, и способны вызвать заражение непропатченной системы или предоставить злоумышленнику полный доступ к ней.

В 2009 году система IDS, реализованная в KIS2010, отразила 219 899 678 сетевых атак. Аналогичный показатель 2008 года составлял чуть более 30 млн. инцидентов.

На первом месте, как и в прошлом году, находится простая и распространенная атака Dos.Generic.SYNFlood, которая при успешном исполнении приводит к отказу в использовании атакуемого компьютера. Такой тип атак сегодня успешно отражается большинством современных систем обнаружения.

На второе место попала более интересная и опасная угроза — NETAPI.buffer-overflow.exploit, которая является реализацией уязвимости MS08-067.

Это та самая уязвимость, которую использовал печально известный червь Kido. Она была обнаружена в конце 2008 года и в аналогичном рейтинге того же года заняла четвертое место. В 2009 году на долю Kido, несомненно, приходится львиная доля из 32 миллионов обнаруженных и заблокированных попыток заражения компьютеров с использованием MS08-067.

Продолжает существовать в Сети и червь Helkern (Slammer). Несмотря на то, что ему исполняется уже 7 лет, он продолжает находиться в лидерах — на него пришлось 23 миллиона заблокированных попыток заражения. Таким же долгожителем является и эксплойт, занявший четвертое место — RPC-DCOM (MS03-026). Эта же уязвимость вызвала глобальную эпидемию червя Lovesan в августе 2003 года.

Локальные заражения

Исключительно важным показателем является статистика локальных заражений пользовательских компьютеров. В эти данные попадают объекты, которые проникли на компьютеры не через Web, почту или сетевые порты.

Наши антивирусные решения успешно обнаружили более 100 000 000 (107 370 258) вирусных инцидентов на пользовательских компьютерах, участвующих в Kaspersky Security Network.

Всего в данных инцидентах было зафиксировано 703 700 разных вредоносных и потенциально нежелательных программ.

На долю первых ста из них пришлось 28 597 901 инцидентов, или 27%.

Вредоносные программы из первой двадцатки являются наиболее распространенными угрозами 2009 года.

Более чем на трех миллионах компьютеров были заблокированы попытки заражения, которые были успешно обнаружены с помощью эвристических методов. Большинство реализованных таким способом детектов попали в рейтинг: это HEUR:Trojan.Win32.Generic, HEUR:Worm.Win32.Generic, HEUR:Trojan-Downloader.Win32.Generic и HEUR:Trojan.Win32.StartPage.

На деле же, как мы уже говорили, главной эпидемией года стал червь Kido (Conficker), поразивший миллионы компьютеров по всему миру. В двадцатку наиболее распространенных угроз попали сразу три модификации данного червя — Kido.ir, Kido.ih и Kido.iq, и в общей сложности они по количеству скомпрометированных компьютеров опережают лидера — HEUR:Trojan.Win32.Generic — более чем на полтора миллиона.

Следующим после Kido идет Sality.aa, который вызвал всемирную эпидемию в прошлом году и лидировал в нашем годовом отчете. Надо отметить, что продержался он недолго — сетевые черви вновь завоевали свои позиции.

Однако помимо Sality в рейтинге присутствуют еще два вируса, один из которых является классическим файловым, а второй даже не вписывается в существующую классификацию.

Первый — это Virus.Win32.Virut.ce, который, помимо основного функционала — заражения исполняемых файлов, инфицирует веб-сервера, а также распространяется с помощью пиринговых сетей. Эпидемия этого вируса тоже была одним из наиболее заметных событий года.

Второй — Virus.Win32.Induc.a — очень интересный образец творчества создателей вредоносных программ, для своего размножения использующий механизм двушагового создания исполняемых файлов, реализованный в среде Delphi. Согласно данному механизму, исходный код разрабатываемых приложений сначала компилируется в промежуточные .dcu-модули, из которых затем собираются исполняемые в Windows файлы. К счастью, этот вирус в настоящее время не несет функциональной нагрузки помимо самого заражения, однако демонстрирует потенциально новый вектор реальных заражений. Следует заметить, что причиной запоздалого обнаружения Induc (зараженные файлы появились в конце 2008 года, а обнаружен он был лишь в августе 2009) является именно отсутствие в нем какого-либо вредоносного функционала помимо размножения.

Благодаря системе мгновенного обнаружения угроз — UDS, работающей в составе Kaspersky Security Network, более 600 000 компьютеров пользователей были защищены в режиме реального времени: новые вредоносные файлы максимально оперативно детектировались как UDS:DangerousObject.Multi.Generic.

Отметим также большое количество вредоносных программ, созданных с помощью скриптового языка FlyStudio. Таких в рейтинге целых 3: Worm.Win32.FlyStudio.cu, Trojan-Dropper.Win32.Flystud.yo и Packed.Win32.Klone.bj. Учитывая, что FlyStudio пользуются в основном китайские злоумышлении, попадание в двадцатку этих программ подтверждает сказанное в первой части отчета: Китай сейчас действительно является одним из ведущих поставщиков вредоносных программ.

Еще одной ярко проявившейся тенденцией в создании вредоносных программ в этом году стала их упаковка и обфускация с помощью специально созданных упаковщиков, что усложняет задачу обнаружения и детектирования даже уже известных образцов. В рейтинг попали несколько представителей подобных упаковщиков, которые принадлежат поведению Packed: это Black.a, Black.d и Klone.bj.

Уязвимости

Уязвимости в программных продуктах являются наиболее опасным видом угроз для компьютеров пользователей. Они могут предоставить злоумышленникам возможность обойти имеющиеся средства защиты и атаковать компьютер.

Самая громкая эпидемия 2009 года — червь Kido — произошла именно из-за обнаружения очередной критической уязвимости в операционной системе Windows.

Однако, как и год назад, заражение через браузер является наиболее распространенным способом проникновения вредоносных программ в систему. При этом сам браузер может не иметь уязвимостей, но заражение возможно, если уязвимости присутствуют в различных плагинах и приложениях, с которыми браузер взаимодействует.

По итогам работы системы анализа уязвимостей в 2009 году нами было обнаружено 404 различных уязвимости. При этом общее количество уязвимых файлов и приложений на компьютерах пользователей составило 461 828 538.

Мы проанализировали 20 наиболее распространенных уязвимостей. На их долю пришлось 90% (415608137) уязвимых файлов и приложений, обнаруженных на компьютерах пользователей наших антивирусных решений.

Из пяти наиболее распространенных уязвимостей первые две были обнаружены в 2009 году, третья и четвертая — в 2008, а Microsoft XML Core Services Multiple Vulnerabilities, оказавшаяся в таблице на пятом месте, еще в 2007 году.

По числу файлов и приложений, обнаруженных на пользовательских компьютерах, самыми распространенными в 2009 году стали уязвимости в продукте компании Apple — QuickTime 7.x. Более 70% всех уязвимостей обнаружены именно в этом продукте. При этом следует отметить, что в прошлом году QuickTime также был лидером по числу уязвимостей (более 80%).

Рассмотрим, в продуктах какой компании было обнаружено более всего уязвимостей из первой двадцатки:

В прошлом году в этом списке находилось 7 компаний, сейчас же их количество сократилось до четырех.

Вновь, как и год назад, лидирует Microsoft с 10 уязвимостями, что, впрочем, не удивительно, так как мы рассматриваем именно ситуацию на платформе Windows. 9 из этих уязвимостей обнаружены в приложениях, входящих в состав Microsoft Office: Word, Excel, Outlook, PowerPoint и т.д.

На Apple пришлось 4 уязвимости — все они обнаружены в QuickTime.

Таким образом можно констатировать, что ситуация полностью аналогична 2008 году — самыми уязвимыми приложениями на современных Windows-системах остаются QuickTime и MS Office.

Впрочем, отставание от них третьей популярной софтверной компании — Adobe, — не столь уж велико. Все четыре уязвимости, записанные на ее счет, принадлежат одному и тому же продукту — Adobe Flash Player. Из четырех уязвимостей две были обнаружены в этом году. И вновь ситуация за год не изменилась к лучшему — скорее только ухудшилась.

Рейтинг наиболее опасных приложений 2009 года выглядит следующим образом:

1. QuickTime
2. Microsoft Office
3. Adobe Flash Player

Если сгруппировать двадцать наиболее распространенных уязвимостей по типам воздействия, то мы получим следующий график:

Все двадцать наиболее часто обнаруживаемых уязвимостей относятся к категории «remote», что подразумевает возможность их использования злоумышленником удаленно, даже если он не имеет локального доступа к компьютеру.

Использование каждой из этих уязвимостей приводит к разным последствиям для атакованной системы. Самым опасным является тип воздействия «system access», позволяющий злоумышленнику получить практически полный доступ к системе.

19 уязвимостей открывают возможности для «system access», 5 способны привести к утечке важной информации.

Какие вирусы угрожают пользователям Apple

В конце сентября специалист по информационной безопасности, основатель компании Digita Security Патрик Уордл понял, как создатель вируса Fruitfly Mac Филипп Дурачинский на протяжении более 13 лет заражал компьютеры на операционной системе macOS, после чего воровал файлы, подслушивал пользователей и подглядывал за ними. Дурачинский, писал ZDnet, сканировал порты: через подключение к интернету или по внутренней сети он искал компьютеры со слабыми или отсутствующими паролями, устанавливал на них вредоносную программу.

ФБР арестовала Дурачинского в январе 2017 г., а в начале 2018 г. обвинения против него выдвинул минюст США.

Устройства Apple считаются менее уязвимыми для вирусов, именно они все чаще становятся целью злоумышленников. С января 2018 г. антивирусная компания Avast собрала более 37 000 новых образцов вредоносных программ для macOS, в том числе 98 вредоносных рекламных программ и 76 новых троянцев, приводит цифры вирусный аналитик Avast Владимир Залуд. А по данным «Лаборатории Касперского», вирусов для macOS в первой половине 2018 г. появилось больше, чем за весь 2017 год. И в отличие от Fruitfly Mac Дурачинского они пытаются зарабатывать на украденных данных.

Относительная безопасность

По-настоящему защищенной можно считать только операционную систему Apple iOS, на которой работают смартфоны iPhone: она спроектирована с акцентом на безопасность, приложения выполняются в собственных изолированных безопасных средах, где невозможно проводить никаких манипуляций с файлами других приложений или операционной системы, объясняет старший антивирусный эксперт «Лаборатории Касперского» Михаил Кузин.

Но некоторые троянцы все же умудряются атаковать и пользователей iPhone – правда, не в самом устройстве. В сентябре 2018 г. эксперты «Лаборатории Касперского» обнаружили вредоносную активность мобильного банковского троянца Roaming Mantis, который применяет метод подмены DNS – троянец перенаправляет их на поддельный сайт, где злоумышленники крадут идентификатор пользователя, пароль и данные банковской карты. Также программа заражала устройства с целью веб-майнинга. Способ атаки определялся злоумышленниками исходя из того, что может принести больше денег в каждом случае, объясняет представитель «Лаборатории Касперского». В 2018 г. Россия вошла в топ-3 стран, пользователей которых атаковал этот троянец.

Но под угрозой обычных вирусов, которые внедряются вместе с программным обеспечением, устройства, где отключены встроенные разработчиками средства защиты – jailbreak, предупреждает замруководителя лаборатории компьютерной криминалистики Group-IB Сергей Никитин: не ломать защиту устройства – самый надежный способ не стать жертвой.

Кроме того, необходимо своевременно обновлять систему, чтобы закрывать периодически обнаруживаемые злоумышленниками уязвимости, советует аналитик Digital Security Игорь Лырчиков.

Социально активные вирусы

Операционная система macOS, на которой работают компьютеры Apple, в отличие от iOS позволяет установить приложение не только из официального магазина Apple, но на это нужно согласие пользователя. Именно поэтому самый частый способ заражения компьютеров – различные методы социальной инженерии, говорят опрошенные «Ведомостями» эксперты. Это могут быть фишинговые рассылки, фейковые приложения и программы, которые пользователь сам ставит вместе с пиратским софтом, рассказывает Никитин.

Один из первых серьезных троянцев под OS X – обнаруженный в 2012 г. Backdoor.OSX.Morcut – распространялся при помощи JAR-файла (это архив установочной программы на языке Java) с именем AdobeFlashPlayer.jar. Файл якобы был подписан компанией VeriSign Inс. (американская компания, поддерживает два корневых сервера из 13 в глобальной системе адресации DNS), приводит пример Кузин: троянец крал переписку из мессенджера Adium, собирал информацию из браузеров Safari и Firefox, записывал и передавал злоумышленникам звонки в Skype, делал снимки экрана, следил за нажатиями клавиш клавиатуры и положением курсора, перехватывал содержимое буфера обмена.

Другой троянец – Kychi (его «Лаборатория Касперского» обнаружила в 2016 г.) маскировался под JPEG-изображение, а попадая на устройство пользователя, крал все пароли, которые когда-либо вводили на Mac, из защищенного хранилища macOS – Keychain – и отправлял злоумышленникам через сеть TOR.

Троянец Aptordoc распространялся через фишинговые e-mail: в тексте сообщалось, что у адресата проблемы с уплатой налогов, и предлагалось открыть документ из zip-архива с троянцем. Aptordoc изменял настройки подключения пользователя к сети, чтобы весь трафик проходил через контролируемый злоумышленниками прокси-сервер: они получали все данные жертвы.

Экономика не сходится

Всемирная эпидемия 2017 г., вызванная шифровальщиками Petya и Wannacry, коснулась только пользователей Windows. Но если будет объединена цепочка уязвимостей, это приведет к массовому заражению устройств под управлением macOS/iOS, такой сценарий хоть и маловероятен, но не исключен, предупреждает аналитик Digital Security Игорь Лырчиков.

Массовые заражения macbook уже бывали. В 2012 г. компания Dr.Web обнаружила бот-сеть почти из 700 000 компьютеров mac, которые через уязвимость в Java заразил троянец BackDoor.Flashback.39, рассказывает представитель компании Александр Вураско: программу распространяли более 4 млн сайтов. Создание массового ботнета подтверждали и эксперты «Лаборатории Касперского». По данным Dr.Web, 56,6% зараженных компьютеров находились в США, 19,8% – в Канаде, 12,8% – в Великобритании. Атаку удалось заметить и ликвидировать обновлением от Apple.

Причина того, что атак на устройства Apple меньше, не в их суперзащищенности, а в экономической нецелесообразности, объясняет Никитин. Доля продуктов macOS и iOS на рынке и у конечного пользователя меньше, чем Windows и Android, а значит, и писать вирусы менее выгодно. «Много ли вы встречали бухгалтеров, которые работают с 1С на macbook?» – объясняет он. Кроме того, Apple чаще устанавливает обновления и напоминает о них пользователю.

Как защищаться

Главное – чтобы сам пользователь не давал злоумышленникам разрешение на обход относительно защищенной системы, соглашаются все опрошенные специалисты, не запускал приложений из сторонних источников, т. е. не из AppStore, указывает Кузин. А если в этом есть необходимость, удостоверился, что они подписаны цифровой подписью доверенного разработчика.

Антивирусные средства часто бессильны отразить атаки хакерских груп, вирусов-шифровальщиков или атак с использованием социальной инженерии, нелегитимным использованием ресурсов компаний для криптомайнинга и др., предупреждает Никитин. Поэтому если речь идет о защите бизнеса, то основную роль играют продукты класса Anti-APT (англ. Advanced Persistent Threat – «развитая устойчивая угроза», целевая кибератака), которые позволяют проводить анализ файлов в изолированной от основной сети компании среде, так называемой песочнице.

Залуд считает, что пользователи всех устройств, включая Mac, должны устанавливать антивирусы: они могут обнаруживать и блокировать вредоносные программы вроде вымогателей или шпионов до того, как те смогут попасть на устройство.

Кузин предлагает использовать решение Kaspersky Security Cloud, которое обладает встроенным VPN – он автоматически включается, если подключение к сети выглядит небезопасным, и сообщает пользователю об актуальных угрозах.

Советы по защите данных пользователей

Обновлено: апрель 2017 — Что нового >>

Существует несколько важных действий, с помощью которых вы можете обеспечить более эффективную защиту ваших данных в Evernote:

Пароли

Не используйте одинаковые пароли для Evernote и других сайтов. Таким образом, если кто-то узнает ваш пароль от другого сайта, вам не придется беспокоиться об уязвимости вашего аккаунта Evernote.

Старайтесь не использовать простые пароли, которые можно посмотреть в словаре. Выбирайте надежный пароль, для этого он должен быть не менее 8 символов и содержать прописные и строчные буквы, цифры и символы. Вы также можете использовать фразу, которая состоит из 20 символов и более.

Для обоих вариантов отлично подойдет менеджер паролей. Мы рекомендуем использовать одно из таких приложений.

Настройка двухфакторной аутентификации (2SV)

Включите двухфакторную аутентификацию для вашего аккаунта Evernote, чтобы обеспечить надежную защиту даже в том случае, если кто-то узнает ваш пароль.

Двухфакторная аутентификация, также известная как многофакторная аутентификация, усиливает безопасность вашего аккаунта в процессе авторизации, запрашивая не только пароль и имя пользователя, но специальный код подтверждения с вашего мобильного устройства. Задача этого дополнительного средства безопасности заключается в объединении уже известного вам параметра для входа (пароля) с данными, к которым только вы можете получить доступ (вашим телефоном).

Настройка двухфакторной аутентификации очень проста. Следуйте приведенной инструкции в Разделе безопасности веб-клиента Evernote. Все пользователи могут сгенерировать коды локально, используя приложение на их мобильных устройствах (мы рекомендуем Google Authenticator) или могут выбрать вариант получения кодов в формате SMS-сообщений через Telesign.

Обратите внимание на важный момент. В процессе настройки двухфакторной аутентификации вы получите несколько одноразовых кодов, которые вы сможете использовать в случае невозможности открыть код на телефоне. Не храните эти коды в Evernote, поскольку они понадобятся вам, когда у вас не будет доступа к аккаунта Evernote.

Приложения с разрешенным доступом и история доступа

Вы можете просмотреть список приложений и других сервисов (и отозвать доступ любого из них), которые на данный момент имеют доступ к вашему аккаунту Evernote. Для этого вам нужно зайти в веб-приложение, нажать на ссылку «Настройки аккаунта» и выбрать вкладку «Приложения». На этой же странице вы можете сбросить пароль и запретить доступ для всех приложений в процессе сброса. Если вы отзываете доступ для всех приложений, все, кто хотел несанкционированно войти в ваш аккаунт и имел к нему доступ, потеряют к доступ к вашему аккаунту.

Чтобы просмотреть IP-адреса и названия устройств и приложений, с которых обращались к вашему аккаунту, откройте раздел с историей доступа в веб-клиент Evernote. Данные местоположения устройств и приложений могут быть неточными (оно определяется с помощью Maxmind GeoIP). В частности, мобильные устройства и VPN-туннели могут выполнять маршрутизацию через частные сети на IP-адреса Интернета, которые находятся очень далеко от исходного местоположения передающего устройства.

Абонентское шифрование

Если вы используете версию Evernote для ПК, например Windows Desktop и Evernote для Mac, вы можете зашифровать любой текст в заметке с помощью кодовой фразы, чтобы добавить дополнительный уровень защиты конфиденциальной информации. Эта функция абонентского шифрования (end-to-end encryption) позволяет расшифровать текст только тем, кто знает кодовую фразу. Мы не получаем копию кодовой фразы или ключ шифрования ни при каких условиях. Если вы забудете кодовую фразу, мы не сможем восстановить ваши данные.

Когда вы используете эту функцию, мы зашифровываем ваш текст, используя 128-разрядный ключ AES (Advanced Encryption Standard). Мы получаем этот ключ после обработки кодовой фразы вместе с уникальными случайными данными функцией PBKDF2 с 50 000 итераций хеш-функции SHA-256. С помощью этого ключа и вектора инициализации ваши данные шифруются в режиме CBC.

Потерянные или украденные устройства

Если злоумышленник украдет устройство, на котором установлено приложение для доступа к сервису Evernote, он сможет получить доступ к вашим данным Evernote так же легко, как и к электронной почте, фотографиям и другим приложениям. Чтобы защитить себя от подобных ситуаций, необходимо пользоваться функциями безопасности, которые предусмотрены в операционной системе вашего устройства. Так, вы можете настроить блокировку экрана или блокировку паролем, включить экранную заставку или установить таймер автоблокировки, а также зашифровать память устройства.

В большинстве случаев вход в Evernote на телефоне, планшете и компьютере выполняется однократно. Если вы потеряете одно из этих устройств, то вам нужно отозвать его доступ к аккаунту. Следуйте этим инструкциям.

Как определить, что полученное письмо отправлено Evernote?

Иногда хакеры заманивают пользователей на сайты, которые внешне похоже на Evernote. Они рассчитывают, что пользователь не заметит разницу, введет свои логин и пароль, и эти данные попадут к хакерам. Такие атаки называются «фишингом». Прежде чем вводить свои логин и пароль, убедитесь, что адрес в адресной строке браузера начинается с https://www.evernote.com/ или https://evernote.com.

Каждое электронное письмо от Evernote содержит криптографическую подпись и отправляется с опубликованного IP-адреса. Если вы получили письмо от одного из этих доменов, вы им можете доверять. 

Evernote:

• @evernote.com
• @emails.evernote.com
• @comms.evernote.com
• @discussion-notification.evernote.com
• @mail-svc.evernote.com
• @account.evernote.com
• @notifications.evernote.com
• @messages.evernote.com

Если вы получили сообщение, которое похоже на письмо от Evernote, но в адресе отправителя указан иной домен, значит, его отправил кто-то другой. Такое сообщение нужно удалить.

Подробнее о спаме и вредоносных письмах, якобы отправленных компанией Evernote, читайте в этой статье справочного центра.

Защита от вредоносных программ

Часто вредоносные программы попадают на компьютер после того, как пользователь посетит веб-сайт, использующий уязвимости безопасности в браузере или в установленных в него плагинах. Это называется теневой загрузкой. Отличный способ защитить себя от подобных угроз — запретить автоматический запуск плагинов в браузере. Примеры того, как это делается в различных браузерах:

Firefox: настройка плагинов «Спрашивать об активации». Смотрите на этой странице, как сделать это для Adobe Flash.

Chrome: убедитесь, что вы используете последнюю версию, и вы будете предупреждены, если сайт захочет запустить плагин.

Вы должны использовать плагины, когда это необходимо, например, загружая финансовый отчет, и только если вы доверяете веб-сайту.

Кроме того, всегда поддерживайте актуальность ПО. Когда в приложении появляется информация об обновлении, сразу же устанавливайте его. Будьте осторожны с обновлениями, которые появляются в веб-браузере, поскольку многие из них являются поддельными и попытаются обмануть вас при установке вредоносного ПО.

Служба репутаций

Рассматривая службы репутации, стоит различать «облачные» службы, применяемые сегодня в браузерах Google Chrome, Safari, Opera, Internet Explorer, антивирусные «облачные» службы репутации и службу репутации Windows 10.

Сегодня написание вирусов стало своего рода бизнесом, отраслью промышленности. Увы, но стоит признать, что времена хакеров-одиночек давно прошли. Нравится нам с вами или нет, но борьба с вирусами — это борьба с международным преступным сообществом. Основная цель сегодняшних злоумышленников — деньги. Уже давно у них появилось разделение труда: один находит уязвимые места, другой реализует их в виде тех или иных законченных решений, третий продает эти решения на бирже, четвертый покупает и применяет, а пятый все это оплачивает…

Обратимся к истории

С момента зарождения индустрии антивирусов сложился понятный механизм обеспечения защиты, когда от пострадавшего пользователя или из другого источника лаборатория получала образец вредоносного файла и после всестороннего анализа выпускала обновления к базе сигнатур вирусов вместе с рецептом по удалению заразы. Все клиенты загружали это обновление и получали актуальную защиту. Разумеется, кто-то заражался раньше, чем получал обновление, но таких было довольно мало. По мере роста числа угроз производителям антивирусов пришлось максимально автоматизировать процесс анализа новых видов угроз, используя эвристические механизмы, и даже встроить подобные механизмы в сами антивирусы. При этом частота обновлений увеличилась и выпуски стали ежедневными и даже ежечасными.

Понятно, что так долго продолжаться не могло. Объем выпускаемых обновлений на сегодня превысил все разумные пределы.

Одно время в индустрии безопасности бытовало мнение, что описанную проблему раз и навсегда решат так называемые эвристические технологии, то есть методики детектирования не на основе сигнатуры, а с использованием методов искусственного интеллекта, встраиваемого в антивирус. Эти технологии получили широкое распространение, но проблемы не решили. Лучшие примеры реализации эвристического анализа обеспечивают уровень обнаружения в пределах 50–70% для знакомых семейств вирусов и совершенно бессильны перед новыми видами атак.

В настоящий момент уже сформировалась тенденция распознавать угрозы непосредственно в распределенных центрах обработки данных антивирусной компании, а не только на компьютере конечного пользователя. Такой перенос центра тяжести технологии в Интернете называется «облачным».

Переход к «облачным» технологиям позволяет упростить архитектуру продукта, который пользователь ставит на свой компьютер, ведь теперь для каждого подозрительного ресурса предоставляется небольшое по объему обновление, индивидуально загружаемое из «облака» практически в реальном времени. Разумеется, разработанные технологии существенно сложнее, ведь многие процессы в компьютере требуют меньшего времени реакции, чем интервал получения подобных обновлений. Кроме того, необходимо обеспечить защиту в тот момент, когда компьютер вообще не подключен к Интернету. Тем не менее «облачные» технологии являются ключом к обеспечению безопасности не самых мощных компьютеров, таких как нетбуки, планшеты и смартфоны.

Что такое служба репутации?

Службы репутации показывают надежность того или иного источника (почта, Интернет), репутацию того или иного программного обеспечения. При этом вычисление репутации производится на серверах соответствующего производителя в Интернете. Хотя, если речь пойдет о браузерах, то там все грустно. Используются службы репутации только Microsoft и Google. Да-да, именно так.

Microsoft до недавнего времени использовала Smart Screen в Internet Explorer, а сейчас будет использовать эту службу в Edge и Microsoft Defender. Причем данная служба показывает лучшие результаты среди браузеров (посмотрим, так ли это будет в Edge, надеюсь не хуже). В частности, в тестах Internet Explorer блокировал более 99% вредоносных ссылок (в английском контенте), в русском цифра была несколько ниже, впрочем, понятно почему. В русскоязычном сегменте IE пользуется меньшей популярностью.

Службы репутаций в браузерах

Служба репутации в браузерах чаще всего ассоциируется прежде всего с анти-фишинговыми технологиями.

Opera

Защита от фишинга в браузере Opera опирается на технологии компании Haute Security [1].

В этом браузере для защиты от фишинга используется функция защиты от мошенничества (Fraud and Malware Protection), включенная по умолчанию (экран 2). В начале каждого сеанса с конкретным веб-сайтом она проверяет адрес, используя шифрованный канал (https): передает имя домена и адрес запрашиваемой страницы на специальный сервер, где ищет его в черных списках фишинговых ссылок, формируемых Netcraft ( www.netcraft.com ) и PhishTank ( www.phishtank.com ), а также в списках сайтов с вредоносными программами, которые ведет «Яндекс».

Если доменное имя совпадет с именем из черного списка, сервер Fraud and Malware Protection возвратит браузеру документ XML, в котором будет описана проблема (фишинг или вредоносные программы).

При этом необходимо учесть следующее.

• Opera Fraud and Malware Protection server не сохраняет IP-адрес пользователя или любую другую идентифицирующую его информацию. Никакая сессионная информация, включая cookies, не сохраняется.
• В любое время можно отключить функцию защиты от мошенничества в меню «Настройки — Расширенные (Crtl-F12) — Безопасность».

Если веб-сайт найден в черном списке, в браузере откроется страница с предупреждением. Пользователю придется решить, посещать эту подозрительную страницу или вернуться на домашнюю. Механизм защиты от мошенничества не оказывает никакого воздействия на скорость открытия веб-страниц.

Рисунок 1. Антифишинговый фильтр в Opera

Safari

По умолчанию модуль защиты от фишинга в этом браузере включен. Для поиска фишинговых сайтов он использует технологии Google. Как только пользователь пытается открыть страницу в Safari, браузер соединяется с Google и запрашивает информацию из двух основных баз Google: базы фишинговых ссылок и базы ссылок вредоносных программ. При обнаружении совпадения пользователь должен увидеть страницу с предупреждением.

Рисунок 2. Предупреждение о переходе на сайт, содержащий вредоносные программы

Chrome, Firefox

Эти браузеры используют Safe Browsing API , открытый механизм получения информации о вредоносных сайтах.

Как это работает?

Google Chrome

Функция безопасного просмотра Google Chrome, отвечающая за обнаружение фишинга и вредоносных программ, включена по умолчанию. При попытке посещения сайта, подозреваемого в фишинге или распространении вредоносных программ, браузер выдает предупреждение.

Рисунок 3. Предупреждение о фишинговом сайте в Google Chrome

Функция безопасного просмотра защищает нас от фишинга и вредоносных программ двумя способами.

Во-первых, Google загружает в браузер информацию о сайтах, которые могут содержать вредоносные программы или подозреваются в фишинге. Списки подозрительных сайтов, позволяющие сэкономить место и предотвратить выдачу URL на небезопасные сайты, обычно содержат достаточно информации, чтобы определить, что сайт содержит вредоносные программы или создан с целью фишинга, но недостаточно, чтобы с уверенностью сказать, какую именно из этих двух угроз он представляет. Если URL просматриваемого сайта совпадает с записью в списке, браузер запрашивает дополнительную информацию с серверов Google для принятия решения. Информация, которую отправляет браузер, не позволяет компании Google установить, какой именно сайт вы просматриваете (отправляются только первые 32 бит хэша SHA-256 копии URL). Если компьютер расценит сайт как опасный, будет выдано предупреждение.

В случае если компьютер обращается в Google для запроса информации о конкретном фрагменте URL или для обновления списка, будет отправлен стандартный набор данных, в том числе ваш IP-адрес, а иногда и файл cookie. На основе этих данных невозможно установить личность. Кроме того, эти данные хранятся в Google всего несколько недель. Вся информация, полученная таким образом, защищается в соответствии со стандартными условиями политики конфиденциальности Google.

Во-вторых, безопасный просмотр защищает от целевого фишинга (так называемого spear-phishing), при котором сайт может быть еще не зарегистрирован в списках опасных сайтов Google. Для этого Chrome анализирует содержание сайта и, если оно кажется подозрительным, выдает предупреждение.

Кроме того, если вы решили предоставлять Google статистику об использовании и зашли на сайт, который может оказаться опасным, в Google отправляются и некоторые другие данные, в том числе полный URL посещаемой страницы, заголовок referer, отправленный на нее, и URL, совпавший с одним из адресов в списке вредоносных программ функции безопасного просмотра Google.

Отключить эту функцию можно в меню «Параметры — Расширенные — Конфиденциальность». Для этого достаточно снять флажок «Включить защиту от фишинга и вредоносных программ».

Фильтр SmartScreen в Internet Explorer

Начиная с Internet Explorer 8 в состав IE входит фильтр SmartScreen — набор технологий, предназначенный для защиты пользователей от возможных интернет-угроз, в том числе с использованием методов социальной инженерии. Базируется SmartScreen на технологии фишингового фильтра и предназначен для защиты пользователей от известных вредоносных сайтов. Кроме того, данный фильтр включает защиту от ClickJacking, технологии, применяемой для перехвата нажатий клавиш, искажения веб-страниц и т. д. По умолчанию он включен.

Фильтр SmartScreen в Internet Explorer  использует сразу несколько технологий. В первую очередь происходит сравнение адреса посещаемого сайта со списком известных мошеннических и вредоносных сайтов. Если сайт есть в этом списке, больше проверок не производится. В противном случае он анализируется на предмет наличия признаков, характерных для мошеннических сайтов. Также возможна отправка адреса того сайта, куда пользователь собирается зайти, онлайн-службе Microsoft, которая ищет его в списке фишинговых и вредоносных сайтов. Причем доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц. Однако обращение к данной службе пользователь может запретить.

Чтобы уменьшить сетевой трафик, на клиентском компьютере хранится зашифрованный DAT-файл со списком тысяч наиболее посещаемых узлов; все включенные в этот список сайты не подвергаются проверке фильтром SmartScreen.

Для защиты от фишинга и вредоносных программ фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь, а значит, службе URL Reputation Service (URS) могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL. Вместе с тем необходимо добавить, что в состав SmartScreen входит и проверка репутации загружаемых файлов Application Reputation Service (ARS)

При загрузке программы в IE идентификатор файла и издателя приложения (если оно подписано цифровой подписью) отправляются на проверку с помощью новой услуги репутации приложений в «облаке». Если программа имеет репутацию, то предупреждение отсутствует. Если же файл будет загружаться с вредоносного сайта, IE блокирует загрузку. Однако, если файл не имеет данных о репутации, IE покажет это в строке уведомления и менеджере загрузки, что позволит принять обоснованное решение о доверии к этому файлу.

Фильтр SmartScreen в Internet Explorer предупреждает пользователя о подозрительных или уже известных мошеннических веб-узлах. При этом фильтр проводит анализ содержимого соответствующего сайта, а также использует сеть источников данных для определения степени надежности сайта. Фильтр SmartScreen сочетает анализ веб-страниц на стороне клиента на предмет обнаружения подозрительного поведения с онлайн-службой, доступ к которой пользователь разрешает или запрещает. При этом реализуется три способа защиты от мошеннических и вредоносных узлов.

Сравнение адреса посещаемого сайта со списком известных сайтов. Если сайт найден в этом списке, больше проверок не производится.

Анализ сайта на предмет наличия признаков, характерных для мошеннических сайтов.

Отправка адреса сайта, на который пользователь собирается зайти, онлайн-службе Microsoft, которая ищет сайт в списке фишинговых и вредоносных сайтов. При этом доступ к онлайн-службе производится асинхронно по SSL-соединению, так что это не сказывается на скорости загрузки страниц.

Для защиты от фишинга и вредоносных программ фильтр SmartScreen исследует строку URL целиком, а не подмножество адресов URL, на которые заходил пользователь. Учтите, что службе URS могут быть переданы личные сведения, поскольку иногда они находятся в самой строке URL.

Фильтр SmartScreen можно включать или отключать избирательно для каждой зоны безопасности, но только в том случае, когда эта функция включена глобально. По умолчанию фильтр SmartScreen включен для всех зон, кроме местной интрасети. Если вы захотите исключить некоторые узлы из списка проверяемых фильтром SmartScreen, но не отключать при этом фильтр полностью, необходимо включить фильтр глобально, а затем отключить фильтрацию только для зоны «Надежные узлы», после чего конкретные узлы добавить в эту зону. Для того чтобы пользователи в организации не могли отключить фильтр SmartScreen, необходимо применить групповую политику.

Безопасность Windows 10: «Защита на основе репутации» в Windows 10 May 2020 Update

Термин «Потенциально нежелательные программы» (англ. Potentially unwanted programs, PUP) используется для описания программ, которые могут оказывать нежелательное воздействие на компьютер. К ним относятся рекламные, потенциально опасные и другие приложения, которые мешают нормальной работе ПК.

В отличие от вредоносных программ, которые просачиваются на компьютер без ведома пользователя, PUP устанавливаются с его согласия. Например, программа может входить «в комплект» бесплатной утилиты, а ее наличие «скрыто» от пользователя в длинном тексте лицензионного соглашения. Поскольку такие программы формально устанавливают сами пользователи, они не могут быть идентифицированы как вредоносные [4].

Защита Windows 10 от потенциально нежелательных приложений, вредоносных и подозрительных файлов и веб-сайтов в обновлении 10 May 2020 Update получила отдельную страницу настроек «Защита на основе репутации» в приложении «Безопасность Windows». В данном обновлении Microsoft переименует встроенный антивирус «Windows Defender» на Microsoft Defender [3]. Таким образом компания хочет отразить новый подход Microsoft к безопасности конечных точек. Также с точки зрения встроенной защиты, начиная с Windows 10, версия 2004, приложение Безопасность Windows получило новую категорию настроек «Защита на основе репутации». Таким образом, после длительного периода подготовки Microsoft все же включила в свой сервис обеспечения безопасности и репутационную защиту.

Защита на основе репутации

Рисунок 4. Управление приложениями / браузером

На данной странице вы сможете увидеть настройки, позволяющие управлять отдельными компонентами защиты, основанной на сервисе репутации: Проверка приложений и файлов, SmartScreen для Microsoft Edge, SmartScreen для приложений из Microsoft Store, а также новая опция «Potentially unwanted applications (PUA)», которая позволяет включить или отключить защиту от потенциально нежелательных программ (PUP) в Microsoft Defender.

Вместе с тем необходимо учесть, что защита SmartScreen это совсем не новое. Такой сервис уже давно используется для Internet Explorer, причем он показал себя весьма успешно в защите от фишинговых страниц, где еще много лет назад он блокировал до 95% англоязычных вредоносных страниц. На русском языке этот показатель достигал порядка 75%, что в любом случае значительно превышало показания Google Chrome. Так что в данном случае мы просто наблюдаем актуализацию данного сервиса для Microsoft Edge.

Рисунок 5. Защита SmartScreen для Microsoft Edge

Защита от потенциально нежелательного программного обеспечения в Microsoft Defender

Функция защиты от PUA во встроенном антивирусе Windows 10 позволяет идентифицировать и блокировать загрузку и установку ПНП на компьютерах.

По умолчанию данная функция отключена (вспомните определение, такие программы формально устанавливают сами пользователи, они не могут быть идентифицированы как вредоносные). Именно поэтому данная функция отключена. Но я рекомендую все же включать этот механизм.

Вместе с тем стоит отметить, что эта функция существовала и ранее, но требовались манипуляции с реестром или Windows Power Shell (смотри инструкцию https://www.comss.ru/page.php?id=4871).

В текущей сборке Windows 10 (2004) включить или отключить защиту от ПНП легко и быстро можно включить в меню настроек Безопасность Windows»: Управление приложениями/браузером > Защита на основе репутации > Блокировка потенциально нежелательного приложения. При включении функции все действия с PUP также будут отображаться в Журнале защиты.

Стоит отметить, что данная опция, естественно, доступна при использовании встроенного антивируса Microsoft Defender.

Как мне включить защиту от PUP?

Для включения защиты от PUP (в терминологии Microsoft эта функция именуется PUA), перейдите в Пуск-Настройки-Обновление и безопасность-Безопасность Windows-Управление приложениями и браузерами-Параметры защиты на основе репутации.

Именно там находятся элементы с помощью, которых вы можете включить блокировку нежелательных приложений, загрузок или можете запретить и то и другое.

Рекомендуется включить и блокировку PUP и блокировку загрузок:

• Блок загрузки ищет PUP во время загрузки, но учтите, что он работает только с новым браузером Microsoft Edge.
• Блокированные приложения обнаружат PUP, который вы уже скачали или установили, поэтому, если вы используете другой браузер, Windows Security может обнаружить PUP после того, как вы его загрузили.

Вместе с тем у меня возник ряд вопросов, на которые я пока не могу дать себе и вам ответ. И главное – для какой версии Microsoft Edge будет работать сервис репутации? Для привычной уже нам или для новой на базе Chromium? Но ведь она еще вроде как не доделана до конца? В крайнем случае аппаратные ключи на базе FIDO2, а следовательно, и двухфакторную аутентификацию на базе этих ключей этот браузер пока не поддерживает. А что будет с сервисами репутации? Или снова правая рука не знает, что делает левая? Поживем-увидим.

Службы репутаций в антивирусах

Kaspersky Security Network

Составными частями Kaspersky Security Network (KSN) являются несколько подсистем:

• географически распределенный мониторинг актуальных угроз на компьютерах пользователей;
• мгновенная доставка собранных данных на серверы «Лаборатории Касперского»;
• анализ полученной информации;
• разработка и применение мер защиты от новых угроз.

При помощи KSN автоматически собирается информация о попытках заражения, подозрительных файлах, загруженных на компьютеры пользователей, независимо от их источника (веб-сайты, письма, одноранговые сети и т. д.). Сеть Kaspersky Security Network создана для сбора и передачи информации о попытках заражения. Собранная информация отправляется экспертам «Лаборатории Касперского».

Информация о попытках заражения передается на серверы «Лаборатории Касперского», что обеспечивает быструю и надежную идентификацию программного обеспечения, как вредоносного, так и легитимного. Заключение о безопасности программы (ее репутации) выносится на основании цифровой подписи, удостоверяющей ее происхождение и гарантирующей целостность, а также ряда других признаков. Программа, признанная безопасной, включается в список доверенных приложений.

В случае если программа признана вредоносной, данные о ней поступают в Urgent Detection System (UDS), и эта информация становится доступной пользователям «Лаборатории Касперского» еще до создания соответствующей сигнатуры и включения ее в обновления антивирусных баз. Легитимные файлы вносятся в белые списки (Whitelisting).

По завершении анализа новой вредоносной программы ее сигнатура вносится в соответствующие антивирусные базы. Кроме белых списков, в KSN используется технология Wisdom of the Crowd (WoC), предоставляющая информацию о популярности программы и ее репутации среди пользователей KSN.

Помимо этого, последние версии продуктов «Лаборатории Касперского» позволяют получать данные глобальных рейтингов безопасности (GSR) непосредственно из «облака». Рейтинг (GSR) каждой программы рассчитывается с помощью специального алгоритма и набора репутационных данных.

Таким образом, в Kaspersky Security Network используется сочетание сигнатурных и эвристических методов детектирования вредоносных программ, технологии контроля программ с использованием белых и черных списков и репутационных служб (WoC и GSR). [1]

Литература

1. https://www.comss.ru/page.php?id=6353

1. Потенциально нежелательные программы https://encyclopedia.kaspersky.ru/glossary/potentially-unwanted-programs-pup/

мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру.

Родительский контроль — защита от порно-сайтов