البرامج الضارة ومحركات البحث: يتحدى yandex نتائج اختبار av

في الأسبوع الماضي ، أصدر مختبر مستقل AV-Test نتائجه من دراسة استمرت 18 شهرًا تبحث في البرامج الضارة التي يتم تسليمها عبر محركات البحث. كانت القطعة الكبيرة بالنسبة لنا وقرائنا هي أن Bing عاد بخمسة أضعاف عدد البرامج الضارة التي حصلت عليها من Google ، لكن لم يكن الأمر كذلك حسب AV-Test. ذهب هذا العنوان إلى محرك البحث الروسي ياندكس ، الذي تحدى منذ ذلك الحين نتائج اختبار AV.

ياندكس يريد الإجابات

في بيان ، طرحت ياندكس العديد من الأسئلة - بعضها صدى في تعليقاتنا - حول منهجية AV-Test. أراد Yandex معرفة كيفية تعريف AV-Test للبرامج الضارة ، ولماذا تباينت أحجام العينات بشكل كبير ، وكيف تم جمع المعلومات للدراسة ، وهلم جرا.

كما أشار Yandex إلى أن الشركة لا تقوم ، كقاعدة عامة ، بتصفية نتائجها بحثًا عن البرامج الضارة. "يستخدم Yandex تقنية مكافحة الفيروسات الخاصة به لحماية المستخدمين من البرامج الضارة" ، هذا ما قرأه بريد إلكتروني من الشركة. "تقوم Yandex بوضع علامة على صفحات الويب المصابة في نتائج البحث الخاصة بها لإعلام المستخدمين بالمحتوى غير الآمن. نحن فقط نبلغ المستخدمين بالنتائج المحتملة ولا نمنع الوصول إلى صفحة الويب تمامًا."

AV-Test Responds

أخبر مختبر الاختبارات الألماني SecurityWatch أنه يعرف المواقع الضارة على أنها تلك "التي تنشر برامج ضارة معروفة أو تعرض سلوكًا ضارًا ، بما في ذلك مواقع الويب التي تحتوي على تنزيلات تلو الأخرى أو تنزيلات مباشرة من الثنائيات الضارة."

فيما يتعلق بكيفية حساب المواقع الخبيثة ، أوضح AV-Test أنه يستخدم أربع طرق للتحقق. أولاً ، تم فحص جميع المواقع بحثًا عن سلوك مشبوه ، بما في ذلك جافا سكريبت غامضة ، وإطارات ifram خفية ، وعمليات إعادة توجيه غير عادية من بين أشياء أخرى. ثم انتقلت المواقع التي لديها أي من هذه الميزات إلى نظام التحليل الديناميكي للشركة ، والذي يبحث عن سلوك ضار - مثل عمليات الاستغلال المعروفة.

بالإضافة إلى التحليل الديناميكي ، يستخدم AV-Test قوائم بالمحتوى الخبيث والمواقع المعروفة. وقال AV-Test "إننا نطبق اختبارات ثابتة مطولة على محتوى الموقع". "لذلك تمكنا من تحديد الثغرات المعروفة بالفعل أو الثنائيات الخبيثة وفقًا لبياناتنا."

كجزء من اختباراتهم المعتادة لمكافحة الفيروسات ، والتي نغطيها بشكل روتيني ، تقوم AV-Test بدخول برامج جاهزة ضد عناوين URL الضارة. ثم قام المختبر بدمج هذا "الاختبار الواقعي" في الدراسة. أوضحت الشركة أنه "تم أيضًا اختبار جزء كبير من عناوين URL المشبوهة ضد منتجات مكافحة الفيروسات كجزء من اختباراتنا العامة المنتظمة."

تم التحقق من عناوين URL المشبوهة أيضًا مقابل قواعد بيانات البرامج الضارة الأخرى ، مثل Malwaredomainlist و Zeustracker.

نوع مختلف من الاختبار

تناول AV-Test أيضًا وجهة نظر Yandex حول حل مكافحة البرامج الضارة ، مشيرًا إلى أن محرك البحث ليس وحده في وضع تحذيرات بالقرب من الروابط المشبوهة. "AV إن لم يكن كل محركات البحث تفعل ذلك إلى حد ما" ، قال AV-Test لمراقبة الأمن.

"لكن ذلك لم يكن جزءًا من هذه الدراسة" ، تابع AV-Test. "لقد اختبرنا ، عدد مواقع الويب الضارة التي يمكن أن تدخلها في فهرس محرك البحث وتبقى هناك لفترة من الوقت." هذا تمييز مهم ، لأنه لا يعالج حقًا محرك البحث "الأكثر أمانًا" ولكن كيفية استخدام محركات البحث بواسطة الأشرار لنشر البرامج الضارة.

قال AV-Test إنه لتحديد مدى فعالية نظام مكافحة البرامج الضارة في Yandex ، سيتعين عليهم تصميم دراسة جديدة تبحث في عدد المواقع الضارة التي حددها محرك البحث بشكل صحيح. يجب أن تدرس مثل هذه الدراسة أيضًا ما إذا كان من السهل رؤية التحذيرات وتفسيرها بشكل صحيح من قبل المستخدمين ، ومدى سرعة ظهور التحذيرات ، وعدد الإيجابيات الخاطئة التي تظهر.

للمضي قدما

يبدو أن Yandex و AV-Test منخرطتان في محادثات "ودية" حول هذه المسألة ، لكنها لا تزال تترك بعض الأسئلة دون إجابة. ومع ذلك ، هناك شيء واحد واضح تمامًا: يستخدم المهاجمون بنشاط تحسين محرك البحث لنشر البرامج الضارة من خلال نتائج محرك البحث.

إن كيفية اختيار محركات البحث للتعامل مع هذه المشكلة أمر متروك لهم ، ونموذج أعمالهم. الحقيقة هي أنه في حين أن لدى Yandex وسائل أخرى لحماية مستخدميها ، إلا أن النتائج الضارة لا تزال موجودة. وينطبق الشيء نفسه على Google و Bing والمواقع الأخرى في الدراسة.

التهديد الحقيقي

النقطة الأخرى التي ناقشها العديد من قرائنا هي ما إذا كان هذا التكتيك يشكل تهديدًا حقيقيًا أم لا. أقر AV-Test بأن فرصة مواجهة أحد البرامج الضارة من خلال محرك بحث منخفضة للغاية ، لكن هذه ليست لعبة المهاجمين التي يلعبونها. إنهم يعتمدون على حقيقة أن Google وحدها تعالج 2-3 مليار عملية بحث يوميًا. وهذا يضيف ما يصل إلى 50000 نتيجة ضارة يوميًا في جميع أنحاء العالم. كما هو الحال عادة مع هجمات البرمجيات الخبيثة ، لا يتعلق الأمر بالأرقام.

علاوة على ذلك ، لاحظت AV-Test أن العديد من هذه المواقع الخبيثة تستخدم تقنيات تحسين محركات البحث (أو مُحسّنات محرّكات البحث ، لأولئك الذين يستخدمون الورك إلى اللغة). هذه بعض من نفس التقنيات التي تساعد مواقع الأخبار والمدونات على رفع نتائج البحث ، بشكل مصطنع أو عادل ، من أجل لفت الأنظار على Google. هذه ليست لقاءات عشوائية. إنها مستهدفة بالنتائج ذات الصلة والموضوعية على أمل ضرب أكبر عدد ممكن من الضحايا.

لا تزال الوجبات الجاهزة هي نفسها: ابق آمناً ، وانقر فوق ذكي ، واحصل على نوع من برامج الأمان.