Video: Bối rối này (Tháng Chín 2024)
Tuần trước, phòng thí nghiệm độc lập AV-Test đã công bố phát hiện của mình từ một nghiên cứu kéo dài 18 tháng, xem xét phần mềm độc hại được phân phối thông qua các công cụ tìm kiếm. Phần lớn đối với chúng tôi và độc giả của chúng tôi là Bing đã trả lại phần mềm độc hại nhiều gấp năm lần so với Google, nhưng nó vẫn không phải là người dẫn đầu theo AV-Test. Danh hiệu đó thuộc về công cụ tìm kiếm Yandex của Nga, người đã thách thức kết quả của AV-Test.
Câu trả lời của Yandex
Trong một tuyên bố, Yandex đã đặt ra một số câu hỏi về một số câu hỏi được lặp lại trong các nhận xét của chúng tôi về phương pháp của AV-Test. Yandex muốn biết AV-Test đã xác định phần mềm độc hại như thế nào, tại sao kích thước mẫu lại thay đổi đáng kể như thế nào, thông tin cho nghiên cứu được thu thập, v.v.
Yandex cũng chỉ ra rằng, theo quy định, công ty không lọc kết quả của nó cho phần mềm độc hại. "Yandex sử dụng công nghệ chống vi-rút độc quyền của riêng mình để bảo vệ người dùng khỏi phần mềm độc hại", đọc email từ công ty. "Yandex đánh dấu các trang web bị nhiễm trong kết quả tìm kiếm của mình để thông báo cho người dùng về nội dung không an toàn. Chúng tôi chỉ thông báo cho người dùng về hậu quả có thể xảy ra và không chặn hoàn toàn quyền truy cập vào trang web."
Phản hồi AV-Test
Phòng thí nghiệm thử nghiệm của Đức nói với SecurityWatch rằng họ đã xác định các trang web độc hại là những trang web "phát tán phần mềm độc hại đã biết hoặc thể hiện hành vi độc hại, bao gồm các trang web chứa tải xuống theo ổ đĩa hoặc tải xuống trực tiếp các tệp nhị phân độc hại".
Về cách các trang web độc hại được tính, AV-Test giải thích rằng nó đã sử dụng bốn phương pháp xác minh. Đầu tiên, tất cả các trang web đã được kiểm tra về hành vi đáng ngờ, bao gồm Javascript bị che khuất, iframe ẩn và chuyển hướng bất thường trong số những thứ khác. Các trang web có bất kỳ tính năng nào trong số này sau đó đã đi vào hệ thống phân tích động của công ty, tìm kiếm các hành vi độc hại, ví dụ như khai thác đã biết.
Ngoài phân tích động, AV-Test sử dụng danh sách các trang web và nội dung độc hại đã biết. "Chúng tôi áp dụng kiểm tra tĩnh mở rộng trên nội dung trang web", AV-Test cho biết. "Vì vậy, chúng tôi đã có thể xác định các khai thác đã biết hoặc nhị phân phần mềm độc hại theo dữ liệu của chúng tôi."
Là một phần trong quá trình kiểm tra chống vi-rút thường xuyên của họ, mà chúng tôi thường xuyên bao gồm, AV-Test tạo ra phần mềm sẵn có để chống lại các URL độc hại. Sau đó, phòng thí nghiệm đã tích hợp "thử nghiệm thực tế" này vào nghiên cứu. Công ty giải thích rằng, "một phần lớn các URL đáng ngờ cũng đã được kiểm tra đối với các sản phẩm chống vi-rút như là một phần của thử nghiệm công khai thường xuyên của chúng tôi."
Các URL đáng ngờ cũng được kiểm tra chéo đối với các cơ sở dữ liệu phần mềm độc hại khác, chẳng hạn như Malwaredomainlist và Zeustracker.
Một loại thử nghiệm khác
AV-Test cũng đề cập đến quan điểm của Yandex về giải pháp chống phần mềm độc hại của họ lưu ý rằng công cụ tìm kiếm không đơn độc trong việc đưa ra các cảnh báo gần các liên kết đáng ngờ. "Hầu hết nếu không phải tất cả các công cụ tìm kiếm làm điều này ở một mức độ nào đó", AV-Test nói với đồng hồ bảo mật.
"Nhưng đó không phải là một phần của nghiên cứu này", AV-Test tiếp tục. "Chúng tôi đã thử nghiệm, có bao nhiêu trang web độc hại có thể đưa nó vào chỉ mục của công cụ tìm kiếm và ở đó một lúc." Đây là một điểm khác biệt quan trọng, vì nó không thực sự giải quyết công cụ tìm kiếm nào "an toàn" hơn nhưng cách kẻ xấu sử dụng công cụ tìm kiếm để phát tán phần mềm độc hại.
AV-Test cho biết để xác định tính hiệu quả của hệ thống chống phần mềm độc hại của Yandex, họ sẽ phải thiết kế một nghiên cứu mới xem xét có bao nhiêu trang web độc hại mà công cụ tìm kiếm xác định chính xác. Một nghiên cứu như vậy cũng sẽ phải xem xét liệu các cảnh báo có dễ nhìn thấy và được giải thích chính xác bởi người dùng hay không, mức độ cảnh báo xuất hiện nhanh như thế nào và có bao nhiêu thông báo sai xuất hiện.
Đi về phía trước
Yandex và AV-Test rõ ràng đang tham gia vào các cuộc nói chuyện "thân thiện" về vấn đề này, nhưng nó vẫn để lại một số câu hỏi chưa được trả lời. Tuy nhiên, có một điều hoàn toàn rõ ràng: những kẻ tấn công đang tích cực sử dụng tối ưu hóa công cụ tìm kiếm để phát tán phần mềm độc hại thông qua kết quả của công cụ tìm kiếm.
Làm thế nào các công cụ tìm kiếm chọn để đối phó với vấn đề này là tùy thuộc vào họ và mô hình kinh doanh của họ. Thực tế là trong khi Yandex có thể có các phương tiện khác để bảo vệ người dùng của mình, thì kết quả độc hại vẫn còn đó. Điều tương tự cũng đúng với Google, Bing và các trang web khác trong nghiên cứu.
Mối đe dọa thực sự
Một điểm khác mà nhiều độc giả của chúng tôi đã thảo luận là liệu chiến thuật này có cấu thành mối đe dọa thực sự hay không. AV-Test thừa nhận rằng khả năng một cá nhân gặp phải phần mềm độc hại thông qua công cụ tìm kiếm là rất thấp, nhưng đó không phải là những kẻ tấn công trò chơi đang chơi. Họ đang ngân hàng trên thực tế rằng một mình Google xử lý 2-3 tỷ lượt tìm kiếm mỗi ngày. Điều đó thêm vào khoảng 50.000 kết quả độc hại mỗi ngày trên toàn thế giới. Như thường lệ với các cuộc tấn công phần mềm độc hại, nó không phải là về bạn mà là về các con số.
Trên hết, AV-Test lưu ý rằng nhiều trang web độc hại này đang sử dụng các kỹ thuật tối ưu hóa công cụ tìm kiếm (hoặc SEO, cho những người thích chơi lô tô). Đây là một số kỹ thuật tương tự giúp các trang web tin tức và blog nâng cao kết quả tìm kiếm của họ, một cách giả tạo hoặc công bằng, để được chú ý trên Google. Đây không phải là những cuộc gặp gỡ ngẫu nhiên; họ nhắm mục tiêu đến kết quả chủ đề có liên quan với hy vọng đánh càng nhiều nạn nhân càng tốt.
Việc mua vẫn giống nhau: giữ an toàn, nhấp thông minh và nhận một số loại phần mềm bảo mật.
