SmartScreen (официально называемый Windows SmartScreen , SmartScreen Защитника Windows и SmartScreen Filter в разных местах) - это облачный компонент защиты от фишинга и вредоносного ПО, включенный в несколько продуктов Microsoft, включая Windows 8 и более поздние версии , Internet Explorer , Microsoft Edge и Outlook. com . Он разработан, чтобы помочь защитить пользователей от атак, которые используют социальную инженерию и скрытые загрузки для заражения системы путем сканирования URL-адресов, к которым обращается пользователь, по черному списку.веб-сайтов, содержащих известные угрозы. В обновлении Windows 10 Creators Update Microsoft поместила параметры SmartScreen в Центр безопасности Защитника Windows . [1]
SmartScreen в Internet Explorer
Internet Explorer 7: фильтр фишинга
SmartScreen был впервые представлен в Internet Explorer 7, тогда известный как фильтр фишинга. Фильтр фишинга не проверяет все веб-сайты, посещаемые пользователем, а только те, которые известны как подозрительные. [2]
Internet Explorer 8: фильтр SmartScreen
С выпуском Internet Explorer 8 фильтр фишинга был переименован в SmartScreen и расширен за счет включения защиты от вредоносных программ, созданных с помощью социальной инженерии. Каждый веб-сайт и загрузка проверяются по локальному списку популярных легитимных веб-сайтов; если сайта нет в списке, весь адрес отправляется в Microsoft для дальнейшей проверки. [3] Если он был отмечен как самозванец или вредоносный, Internet Explorer 8 покажет экран с сообщением о том, что сайт признан вредоносным и не должен посещаться. Оттуда пользователь может либо перейти на свою домашнюю страницу , либо на предыдущий сайт, либо перейти на небезопасную страницу. [4] Если пользователь пытается загрузить файл из опасного места, загрузка отменяется. Сообщается, что эффективность фильтрации SmartScreen превосходит эффективность защиты от вредоносных программ, созданных с помощью социальной инженерии, в других браузерах. [5]
По данным Microsoft, технология SmartScreen, используемая в Internet Explorer 8, была успешной против фишинговых и других вредоносных сайтов, а также в блокировке вредоносных программ, созданных с помощью социальной инженерии . [6]
Начиная с Internet Explorer 8, SmartScreen можно принудительно использовать с помощью групповой политики .
Internet Explorer 9: репутация приложения
На основе фильтра SmartScreen, представленного в Internet Explorer 8, защита Internet Explorer 9 от загрузки вредоносных программ расширена функцией SmartScreen Application Reputation, которая обнаруживает ненадежные исполняемые файлы. [7] Это предупреждает человека, если он загружает исполняемую программу без безопасной репутации с сайта, который не имеет безопасной репутации.
Internet Explorer Mobile 10
Internet Explorer Mobile 10 был первым выпуском Internet Explorer Mobile, поддерживающим фильтр SmartScreen. [8]
Окна
Фильтрация SmartScreen на уровне рабочего стола, по умолчанию выполняющая проверку репутации любого файла или приложения, загруженного из Интернета, была представлена в Windows 8 . [9] [10] Подобно тому, как SmartScreen работает в Internet Explorer 9, если программа не имеет хорошей репутации, пользователь получает предупреждение о том, что запуск программы может нанести вред его компьютеру.
Если для SmartScreen оставить настройки по умолчанию, администратору необходимо запустить и запустить программу.
Microsoft столкнулась с проблемами, связанными с конфиденциальностью, законностью и эффективностью новой системы, предполагая, что автоматический анализ файлов (который включает отправку криптографического хэша файла и IP-адреса пользователя на сервер) может быть использован для создания базы данных пользователей. 'загружается в Интернете, и что использование устаревшего протокола SSL 2.0 для связи может позволить злоумышленнику перехватить данные. В ответ Microsoft позже выпустила заявление, в котором отмечалось, что IP-адреса собираются только в рамках нормальной работы службы и будут периодически удаляться, что SmartScreen в Windows 8 будет использовать SSL 3.0 только из соображений безопасности, и эта информация собирается через SmartScreen не будет использоваться в рекламных целях или продаваться третьим лицам. [11]
Outlook.com
Outlook.com использует SmartScreen для защиты пользователей от нежелательных сообщений электронной почты (спама), мошеннических сообщений электронной почты (фишинг) и вредоносных программ, распространяемых по электронной почте. После первоначального просмотра основного текста система фокусируется на гиперссылках и вложениях.
Нежелательная почта (спам)
Для фильтрации спама фильтр SmartScreen использует машинное обучение от Microsoft Research, которое учитывает известные угрозы спама и отзывы пользователей, когда электронные письма помечаются пользователем как «Спам».
Со временем эти настройки помогают фильтру SmartScreen различать характеристики нежелательной и законной электронной почты, а также могут определять репутацию отправителей по количеству проверенных электронных писем. Использование этих алгоритмов и репутация отправителя - это оценка вероятности нежелательной почты (оценка уровня достоверности спама), присваиваемая каждому сообщению электронной почты (чем ниже оценка, тем желательнее). Оценка -1, 0 или 1 считается не спамом, и сообщение доставляется в почтовый ящик получателя. Оценка 5, 6, 7, 8 или 9 считается спамом и доставляется в папку нежелательной почты получателя. Оценка 5 или 6 считается спамом, а оценка 9 - определенно спамом. [12] Показатель вероятности нежелательной почты для электронного письма можно найти в различных x-заголовках полученного электронного письма.
Фишинг
SmartScreen Filter также анализирует сообщения электронной почты с мошенническими и подозрительными веб-ссылками. Если такие подозрительные характеристики обнаруживаются в электронном письме, оно либо [ требуется разъяснение ] напрямую отправляется в папку «Спам» с красной информационной полосой в верхней части сообщения, которая предупреждает о подозрительных свойствах. SmartScreen также защищает от подделки доменных имен (спуфинга) в электронных письмах, чтобы проверить, отправлено ли электронное письмо тем доменом, который он утверждает, что отправляется. Для этого используется технология Sender ID и DomainKeys Identified Mail (DKIM). Фильтр SmartScreen также гарантирует, что одно электронное письмо [ требуется пояснение ] от аутентифицированных отправителей может легче отличить, помещая значок зеленого щита в строку темы этих писем. [13] [14]
В других продуктах
SmartScreen также включен в Microsoft Outlook и Microsoft Exchange Server . [15]
Сертификаты подписи кода
SmartScreen создает репутацию на основе сертификатов подписи кода, которые идентифицируют автора программного обеспечения. Это означает, что после создания репутации новые версии приложения могут быть подписаны одним и тем же сертификатом и поддерживать ту же репутацию.
Однако сертификаты подписи кода необходимо обновлять каждые два года. SmartScreen не связывает обновленный сертификат с просроченным. Это означает, что репутацию необходимо восстанавливать каждые два года, а пользователи тем временем получают пугающие сообщения. Сертификаты расширенной проверки (EV), похоже, позволяют избежать этой проблемы, но они дороги и труднодоступны для небольших разработчиков. [16]
Эффективность
В конце 2010 года были опубликованы результаты тестирования браузеров на вредоносное ПО, проведенного NSS Labs. [17] В исследовании изучалась способность браузера предотвращать переход пользователей по злонамеренным ссылкам, созданным с помощью социальной инженерии, и загрузку вредоносного программного обеспечения. Он не проверял способность браузера блокировать вредоносные веб-страницы или код.
По данным NSS Labs, Internet Explorer 9 блокировал 99% загрузок вредоносных программ по сравнению с 90% для Internet Explorer 8, в котором отсутствует функция SmartScreen Application Reputation, по сравнению с 13%, достигнутыми в Firefox , Chrome и Safari ; которые все используют фильтр вредоносных программ безопасного просмотра Google . Было обнаружено, что Opera 11 блокирует всего 5% вредоносных программ. [18] [19] [20] Фильтр SmartScreen также был известен тем, что почти мгновенно добавлял легитимные сайты в свои черные списки, в отличие от нескольких часов, которые требовались для обновления черных списков в других браузерах.
В начале 2010 года аналогичные тесты дали Internet Explorer 8 проходной балл на 85%, причем улучшение на 5% было приписано «продолжающимся инвестициям в улучшение анализа данных». [21] Для сравнения, то же исследование показало, что Chrome 6, Firefox 3.6 и Safari 5 набрали 6%, 19% и 11% соответственно. Opera 10 набрала 0%, не сумев «обнаружить какие-либо образцы вредоносных программ, созданных с помощью социальной инженерии». [22]
Производители других браузеров раскритиковали тест, сосредоточив внимание на непрозрачности проверенных URL-адресов и отсутствии учёта многоуровневой безопасности в дополнение к браузеру, при этом Google прокомментировал, что «в самом отчете четко указано, что он не оценивает безопасность браузера, связанную с уязвимостями. в подключаемых модулях или в самих браузерах » [23] и Opera, комментируя, что результаты оказались« странными, потому что они не получили результатов от наших поставщиков данных »и что« защита от социальных вредоносных программ не является показателем общей безопасности браузера ». [24]
В июле 2010 года Microsoft заявила, что SmartScreen в Internet Explorer заблокировал более миллиарда попыток доступа к сайтам, содержащим угрозы безопасности. [25] По данным Microsoft, фильтр SmartScreen, входящий в состав Outlook.com, ежедневно блокирует 4,5 миллиарда нежелательных электронных писем, не доходящих до пользователей. Microsoft также утверждает, что только 3% входящей электронной почты является нежелательной почтой, но тест Cascade Insights показывает, что чуть менее половины всей нежелательной почты все еще поступает в почтовые ящики пользователей. [26] [27] В сентябрьском сообщении в блоге Microsoft заявила, что было остановлено 1,5 миллиарда попыток вредоносных атак и более 150 миллионов попыток фишинговых атак. [28]
Критика
В октябре 2017 года критика в отношении методов отправки URL-адресов была устранена путем создания страницы отправки URL-адресов для отчета о небезопасных сайтах . Microsoft теперь поддерживает отправку URL-адресов из этой формы, в отличие от предыдущего опыта, когда пользователю приходилось посещать сайт и использовать методы отчетности в продукте.
Фильтр SmartScreen можно обойти. Некоторые фишинговые атаки используют фишинговое электронное письмо со ссылкой на интерфейсный URL-адрес, отсутствующий в базе данных Microsoft; щелчок по этому URL-адресу в электронном письме перенаправляет пользователя на вредоносный сайт. [29] Параметр «Сообщить об этом веб-сайте» в Internet Explorer сообщает только об открытой в данный момент странице; о внешнем URL-адресе фишинг-атаки нельзя сообщить в Microsoft, и он остается доступным.
Фильтр SmartScreen создает проблемы для мелких поставщиков программного обеспечения, когда они распространяют обновленную версию установки или двоичные файлы через Интернет. [30] Каждый раз, когда выпускается обновленная версия, SmartScreen отвечает, заявляя, что файл обычно не загружается и, следовательно, может установить вредоносные файлы в вашей системе. Это может быть исправлено автором цифровой подписью распространяемого программного обеспечения. В таком случае репутация основывается не только на хэше файла, но и на сертификате подписи. Распространенный метод распространения, используемый авторами для обхода предупреждений SmartScreen, - это упаковать свою программу установки (например, Setup.exe) в ZIP-архив и распространить ее таким образом, хотя это может сбить с толку неспециалистов.
Другая критика заключается в том, что SmartScreen делает некоммерческую разработку программного обеспечения для небольших компаний недоступной по цене. Разработчикам приходится приобретать стандартные сертификаты для подписи кода или более дорогие сертификаты расширенной проверки. Сертификаты расширенной проверки позволяют разработчику немедленно завоевать репутацию с помощью SmartScreen [31], но часто недоступны для людей, разрабатывающих программное обеспечение бесплатно или не для получения немедленной прибыли. Однако стандартные сертификаты подписи кода представляют собой «уловку-22» для разработчиков, поскольку предупреждения SmartScreen заставляют людей неохотно загружать программное обеспечение, как следствие, для получения загрузок требуется сначала пройти Smartscreen, передача SmartScreen требует получения репутации, а получение репутации зависит от загрузок.
Версия Edge Chromium намеренно ограничивает (несколько экранов и скрытый вариант), чтобы большинство пользователей не запускали легитимные приложения. [32]
Смотрите также
- Антифишинговое ПО
- Безопасный просмотр Google
Рекомендации
- ^ «Изменить настройки Windows SmartScreen в Windows 10» . www.tenforums.com . Проверено 10 апреля 2017 .
- ^ «Фильтр фишинга будет доступен в Internet Explorer 7» . Справка Net Security . Справка Net Security . 30 сентября 2005 . Дата обращения 3 августа 2016 .
- ^ «Пожалуйста, обновите ваш браузер - Microsoft Windows» . Microsoft.com . Проверено 25 января 2013 года .
- ^ Лоуренс, Эрик (2 июля 2008 г.). «Безопасность IE8, часть III: фильтр SmartScreen» . Проверено 2 сентября 2008 года .
- ^ «Отчет о тестировании на вредоносное ПО, созданное с помощью социальной инженерии» (PDF) . 14 августа 2009 г. Архивировано из оригинального (PDF) 14 декабря 2010 г.
- ^ Мариус Ояга (24.07.2010). «IE8 заблокировал более 1 миллиарда попыток загрузки вредоносного ПО» . Softpedia.com.
- ^ Райан Колвин (Microsoft) (10 марта 2011 г.). «Internet Explorer 9: Защита от атак с социальной инженерией с помощью SmartScreen URL Reputation» .
- ^ О'Брайен, Терренс (20 июня 2012 г.). «Microsoft представляет Internet Explorer 10 для Windows Phone, очень похожий на настольный компьютер» . Engadget . Проверено 26 августа 2012 года .
- ^ Тунг, Лиам (16 августа 2012 г.). «Win8 SmartScreen подталкивает продавцов программного обеспечения покупать сертификаты подписи кода» . ОГО . IDG Communications . Проверено 12 сентября 2012 года .
- ^ Ларрамо, Мика. «Windows SmartScreen - Защита от вредоносных программ в Windows 8» . SamLogic . SamLogic . Проверено 11 января 2013 года .
- ^ Брайт, Питер (25 августа 2012 г.). «Жалоба на конфиденциальность Windows 8 упускает из виду лес за деревьями» . Ars Technica . Condé Nast . Проверено 12 сентября 2012 года .
- ^ «Уровни достоверности спама: справка Exchange Online» . technet.microsoft.com . Проверено 18 августа 2016 .
- ^ «Функции безопасности в Outlook.com» . Корпорация Майкрософт.
- ^ «Обновления безопасности в новом Hotmail» . Корпорация Майкрософт.
- ^ «Фильтрация спама | Фильтр нежелательной почты | Предотвращение спама» . www.microsoft.com . Проверено 7 августа 2016 .
- ^ https://security.stackexchange.com/questions/222140/transferring-microsoft-smartscreen-reputation-to-renewed-certificate . Отсутствует или пусто
|title=
( справка ) - ^ Веб - браузер Тестовая группа Социально-Engineered Malware Q3 2010 , nsslabs.com, архивируются с оригинала на 2014-03-06
- ^ Брайт, Питер (2011-07-16). «404 Not Found. Internet Explorer 9 полностью доминирует в статистике блокировки вредоносных программ» . ArsTechnica . Проверено 16 июля 2011 .
- ^ «Групповое тестирование веб-браузера на вредоносное ПО, созданное с помощью социальной инженерии» . NSS Labs . 2011-07-16. Архивировано из оригинала на 2011-07-17.
- ^ Данн, Джон Э. (18 июля 2011 г.). «Internet Explorer 9 побеждает конкурентов в тесте блокировки загрузки» . InfoWorld . IDG Enterprise . Проверено 12 сентября 2012 года .
- ^ Расширенная защита с помощью фильтра SmartScreen в IE9 , Microsoft
- ^ Рубенкинг, Нил Дж. ( 14 декабря 2010 г. ), Лаборатория NSS: Internet Explorer 9 предлагает лучшую защиту , pcmag.com
- ^ Рубенкинг, Нил (15 декабря 2010 г.). "Google отвечает на отчет о безопасности браузера NSS Labs" . PC Mag . Проверено 16 января 2011 .
- ^ Бакке, Курт (17 декабря 2010 г.). «Opera также сомневается в результатах тестирования безопасности IE» . ConceivablyTech.com. Архивировано из оригинального 28 декабря 2010 года . Проверено 16 января 2011 .
- ^ Джеймс, Мартин (26 июля 2010 г.). «Фильтр IE8 SmartScreen собирает миллиард блоков вредоносного ПО» . IT Pro . Деннис Паблишинг . Проверено 12 сентября 2012 года .
- ^ «Эффективный фильтр SmartScreen в Hotmail / Oulook.com» . Корпорация Майкрософт.
- ^ "E-mailfiltervergelijking" . Cascade Insights.
- ^ «Защита от вредоносных программ» . Корпорация Майкрософт.
- ^ Аггарвал, Анупама; Раджадесинган, Ашвин; Кумарагуру, Поннурангам (29 января 2013 г.). «PhishAri: автоматическое обнаружение фишинга в реальном времени в Twitter». Социальные и информационные сети . Корнельский университет . arXiv : 1301.6899 . Bibcode : 2013arXiv1301.6899A .
- ^ Райхль, Доминик. «Дополнительный FAQ - KeePass» . keepass.info . Проверено 10 мая 2018 .
- ^ «Microsoft SmartScreen и сертификаты подписи кода с расширенной проверкой (EV)» . Microsoft . Microsoft . Дата обращения 3 июня 2017 .
- ^ https://getimageview.net/2020/06/02/microsoft-defender-smartscreen-is-hurting-independent-developers/
Внешние ссылки
- Подробный FAQ от Microsoft по фильтру SmartScreen