Интервью с Джебом Хейбером, разработчиком репутационного фильтра Internet Explorer 9
В ближайшие дни широкой общественности будет предъявлен первый релиз-кандидат новой версии обозревателя Internet Explorer. В девятом выпуске пользователей ждут новые контуры противодействия онлайн-угрозам; в преддверии его появления Интернет-издание ZDNet побеседовало с сотрудником Microsoft Джебом Хейбером о новом репутационном фильтре IE9.
Если взглянуть на последний годовой отчет лаборатории PandaLabs, то можно узнать, что за один лишь 2010 год было создано тридцать процентов всех образцов вредоносного программного обеспечения, когда-либо попадавших в руки вирусных аналитиков Panda. Эти данные лишний раз подтверждают, что год от года объем опасных программ неуклонно возрастает, и уследить за всеми новыми порождениями "темной стороны" становится все сложнее. В силу этого разработчики Internet Explorer обратились к оценке репутации приложений в надежде, что этот механизм выступит надежным проактивным барьером на пути многообразных инфекций; попробуем узнать немного больше об этой защитной подсистеме IE9 от руководителя разработок фильтра SmartScreen.
Какова наиболее существенная угроза безопасности, с которой намерена бороться ваша команда?
Мы считаем, что основной угрозой для пользователей являются загружаемые из Интернета исполняемые файлы. Наша основная задача — обеспечить упомянутым пользователям надлежащую защиту, чтобы при работе с Сетью они не подвергались риску. Спектр Интернет-угроз, безусловно, широк — в него входят сетевые атаки, уязвимости, взлом веб-узлов, межсайтовое исполнение сценариев и так далее; мы сосредоточились на борьбе с теми нападениями, которые направлены против самого пользователя (простейший пример — психологическое воздействие, или социнжиниринг).
Таким образом, в сферу нашего внимания в первую очередь попадают два типа угроз: фишинг и вредоносные программы. Мы уже пробовали бороться с ними при помощи системы URS — службы распознавания адресов; таким способом мы противостояли опасным программам, для доставки которых используются приемы психологического воздействия, и за 16 месяцев заблокировали 1,2 млрд. ссылок. Замечу, что фишинг не столь масштабно распространен, как вредоносные программы: с ним оказалась связана в лучшем случае одна из 50 блокировок, а иногда на одну фишинговую ссылку приходилось 99 вирусных.
И тогда вы поняли, что не сможете заблокировать все опасные адреса, и решили задействовать иной подход?
Мы пришли к заключению, что все "блокирующие" решения, начиная с антивирусов и заканчивая нашим распознавателем, неизбежно будут страдать от временных задержек между появлением угрозы и ее детектированием, равно как и между детектированием и актуализацией системы защиты. В итоге мы решили перевернуть проблему идентификации и блокирования: определять не опасные, а, наоборот, безопасные образцы, а все остальное по умолчанию считать подозрительным.
Как вы идентифицируете легитимные файлы?
Мы внимательно изучили вопрос о том, можно ли построить репутационный сервис на основании контрольных сумм и сертификатов файлов, и можно ли заявлять, что не соответствующие таким оценочным параметрам объекты небезопасны.
В результате определенным уровнем репутации в нашей системе может обладать как отдельная программа — она будет опознаваться по хэшу, — так и файловый сертификат. Если вы используете определенный сертификат для подписывания всех своих программных продуктов, то со временем степень доверия к нему будет возрастать, а ваши разработки, имеющие подобную "верительную грамоту", будут автоматически получать положительную репутацию — если вы, конечно, не начнете подписывать ею же вредоносные программы. Отчасти с помощью такого подхода мы хотим поощрить практику применения файловых сертификатов, поскольку индивидуально назначать уровень доверия для каждого отдельного легитимного файла мы не сможем.
Но ведь не секрет, что некоторые вирусописатели тоже подписывают свой код, чтобы избежать предупреждений защитных систем о неподписанном файле...
Ну и прекрасно — ведь сертификат можно отметить и как утративший доверие. Одно изменение его свойств — и мы единственным "ударом" избавляемся от всех опасных объектов, которые им подписаны, вместо того, чтобы по очереди вносить в базы каждый отдельный образец.
Если файл характеризуется положительной репутацией, IE9 не будет отображать никаких предупреждений системы безопасности перед его загрузкой. Вы считаете, что это более надежный вариант, нежели постоянная выдача уведомлений?Мы признали нерелевантными целый ряд информационных диалогов. Вообще говоря, мы хотели избавиться от предупреждений типа "в Интернете все страшно и опасно". Нет смысла вывешивать такое уведомление, скажем, при загрузке приложения iTunes.
Потому что пользователи его проигнорируют?
Да. Такой подход формирует скверную привычку: люди постоянно видят подобные диалоги, и они приедаются пользователям до такой степени, что они не читают их содержимое, а просто ищут кнопку, закрывающую сообщение. У нас есть соответствующая статистика, и мы знаем, как в массе своей ведут себя пользователи при появлении таких уведомлений. Вывешивание этих предупреждений бессмысленно.
Разумеется, в самом широком понимании объекты из Интернета вполне могут быть опасны. Но если меня будут информировать о потенциальной вредоносности каждого файла, много ли мне это принесет пользы? Мы избрали следующий принцип: не предупреждать пользователя о событиях, которые не требуют этого, и сообщать лишь о тех ситуациях, которые действительно создают те или иные риски. Это кажется банальным и простым, но, откровенно говоря, далеко не каждый программный продукт построен по такому принципу, не говоря уже об обозревателях Интернета.
И вы уверены, что пользователи не будут игнорировать уведомления, если станут видеть их реже?
Я убежден, что типичный пользователь — именно типичный, не технически "продвинутый" специалист или завсегдатай Интернета, — получит такое предупреждение два-три раза в год, а определенный процент людей и вовсе никогда его не увидит. Кстати, в бета-версии мы представили четыре разных варианта интерфейса, и данные, которые мы получили по результатам их апробации, позволят нам улучшить взаимодействие с пользователем в релизных версиях.
Насколько успешно работает предупредительный механизм? Какое количество загрузок вы признали надежными и насколько опасны были неизвестные файлы?
После моделирования, извлечения и обработки разнообразных данных, отладки алгоритма доля опознанных по хэшу или сертификату доверенных объектов установилась на уровне 90%. Относительно прочих файлов и приложений особо стоит отметить, что один лишь блокировщик URL-адресов перехватывал около 4% загрузок — довольно настораживающий результат. Все остальное можно считать подозрительными объектами; содержимое этого условного "контейнера" постоянно меняется, но в целом от 25 до 40 процентов попадающих в него образцов позднее оказывается однозначно классифицировано как вредоносное программное обеспечение.
Замечу, что каждый день в "контейнер" неопознанных объектов попадает примерно 50% никогда ранее не виденных нами исполняемых файлов — хотя мы уже довольно давно ведем соответствующие наблюдения. Следовательно, мы имеем дело либо с полиморфным вредоносным программным обеспечением, которое каждому пользователю выдается в новом виде, либо с очень странными приемами программирования, плодом которых является неподписанный код, каждый день генерируемый заново. Такая статистика, безусловно, вызывает у нас сильное беспокойство.
Коль скоро вы обрабатываете сведения обо всех загружаемых исполняемых файлах, выходит, что IE неусыпно следит за всеми пользователями и их активностью? Не угрожает ли это конфиденциальности личных сведений?
У нас хорошая команда специалистов в области защиты персональных данных, и они постоянно следят за соблюдением норм конфиденциальности. Действительно, мы занимаемся сбором информации и ее анализом; однако все эти огромные массивы разнообразных сведений обрабатываются автоматикой, а нам остается лишь работать с обобщенными моделями. В общем, в такой среде нет ничего, что позволяло бы идентифицировать конкретных пользователей.
Что касается блокировщика адресов, то поступающие данные пропускаются через специализированные анонимизаторы, которые отсекают любую персональную информацию. Доступ к этим сведениям ограничен, и риск того, что с ними ознакомится кто-либо за пределами Microsoft, ничтожен.
Отмечу также, что никакие поступающие к нам данные не используются для подачи целенаправленной рекламы; нет даже механизмов, которые теоретически могли бы обеспечить сотрудничество с рекламодателями. Все сведения служат одной цели: улучшить защиту.
Как вы думаете, насколько эффективной окажется репутационная система?
Я уверен в ее высокой эффективности. Полагаю, что, когда эта система окажется в распоряжении основной части наших пользователей, количество инцидентов успешной доставки вредоносного программного обеспечения с помощью психологического манипулирования существенно сократится.