Изменения в фильтре SmartScreen в IE8 RC1

Привет, меня зовут Алекс Гловер (Alex Glover) и я являюсь главным тестером фильтра SmartScreen в Internet Explorer 8. Фильтр SmartScreen позволяет защитить пользователей IE8 от фишинговых атак и сайтов, распространяющих вредоносные приложения. В предыдущей статье Эрик Лоуренс (Eric Lawrence) уже рассказывал о функциях SmartScreen и изменениях, внесенных в новый фильтр по сравнению с фишинговым фильтром из IE7, в частности, об обнаружении вредоносных приложений, новом интерфейсе и улучшенной производительности. Сегодня я расскажу о том, как фильтр SmartScreen взаимодействует с другими функциями для борьбы с вредоносными приложениями, и опишу изменения, которые мы сделали в IE8 RC1, чтобы гарантировать вашу безопасность.


Реальные атаки вредоносных приложений
Ежедневно авторы вредоносного ПО пытаются изобрести новые способы заражения вашего компьютера и одним из самых часто используемых способов обмана является вынуждение к загрузке произвольного приложения под соусом необходимого для ваших нужд. Благодаря сообщению SANS Internet Storm Center и Grand Forks Herald мы недавно столкнулись с интересным примером такого обмана. По всему городу на машинах были расклеены фальшивые парковочные талоны, на которых была ссылка на сайт, на котором хозяевам машин было необходимо скачать панель инструментов для браузера, чтобы увидеть фотографии своих нарушений. Оказалось, что именно эта панель инструментов была вредоносной программой. База данных, используемая фильтром SmartScreen, была немедленно обновлена, и у любого пользователя, который пытался закачать эту вредоносную панель задач, браузер тут же блокировал это действие, если, конечно, они при этом использовали IE8 с включенным фильтром SmartScreen.


Атаки вредоносного ПО в браузере
На сегодняшний день существует два способа, которые могут использовать вредоносные сайты для заражения компьютера. Первый способ - использование уязвимостей браузера для автоматической установки вредоносной программы без участия пользователя, также известный как drive-by download. А второй - привлечь или обмануть пользователя, заставив скачать и установить программу, которая является вредоносной, как было уже приведено в примере выше. Для полной защиты мы должны защищать пользователя от обоих типов атак.

Несколько дополнительных функций IE8 и Windows Vista помогают защититься от drive-by download атак, которые пытаются запуститься без согласия или уведомления пользователя. В этот список входит защита памяти DEP/NX, улучшения в безопасности ActiveX, а также User Account Control в сочетании с Protected Mode в IE. Но ни один из этих механизмов не может защитить пользователя от программы, которую он самостоятельно загрузил и запустил. И здесь важное место занимает фильтр SmartScreen.


Улучшенная страница блокировки
Очень много данных обратной связи касалось фильтра SmartScreen в IE8 Beta 2. В частности, специалистов по безопасности неоднократно говорли о том, что пользователям очень легко перейти со страницы блокировки фильтра SmartScreen и, как следствие, оказаться на опасном сайте. В IE8 RC1 мы учли эти отзывы и улучшили страницу блокировки фильтра SmartScreen in IE8 Beta 2, чтобы обезопасить пользователя. Мы желаем склонить пользователей, увидивших эту страницу, сделать безопасный выбор, а также получить дополнительную информацию. Вот скриншот новой версии страницы:

По умолчанию страница имеет всего одну ссылку - "Вместо этого перейти на домашнюю страницу". Данное решение облегчает принятие очевидного решения, не предоставляя пользователю выбор из несколько вариантов. Заинтересованные пользователи могут щелкнуть по ссылке дополнительной информации: после того, как вы щелкнете по ссылке "Дополнительная информация" появятся дополнительные ссылки и информация. Ссылки "Узнать больше о фишинге" и "Узнать больше о вредоносном программном обеспечении" приведут вас на страницу, где вы сможете больше узнать о данных типах угроз, а также о том, как вы можете себя защитить (данные страницы пока все еще находятся в разработке, поэтому они пересылают на страницу SmartScreen Filter FAQ).

Вы, тем не менее, можете проигнорировать предупреждение фильтра SmartScreen и щелкнуть по ссылке "Отказаться и продолжить". Спрятав эту ссылку и переместив ее вниз страницы, мы хотели усложнить переход на вредоносный сайт. Поэтому самым безопасным действием будет просто пойти на какой-то другой сайт. Администраторы домена также могут использовать групповые политики, чтобы убрать ссылку "Отказаться и продолжить" и в принудительном порядке запретить пользователям переход на сайты, заблокированные фильтром SmartScreen.


Новое диалоговое окно небезопасных загрузок
В IE8 B2 мы добавили защиту от вредоносного ПО, которое атакует ваш компьютер или пытается украсть вашу конфиденциальную информацию. Если вы начнете загрузку с сайта, замеченного в распространении вредоносного ПО, то фильтр SmartScreen заблокирует загрузку и отобразит диалоговое окно с предупреждением об угрозе. Вот как данное окно выглядело в Beta 2:

Хотя это диалоговое окно использовалось для блокировки загрузки, оно сообщало о рисках не так эффективно, как могло бы. В IE8 RC1 мы изменили дизайн окна, чтобы сделать его более понятным:

Новое диалоговое окно имеет красный баннер, и краткое изложение в одну строку в верхней части окна, чтобы упростить описание угрозы. Кроме того, мы также добавили пункт, рассказывающий о том, что понимается под небезопасной загрузкой. Как и в случае с групповыми политиками, администраторы могут заблокировать ссылку "Отказаться и загрузить небезопасный файл".


Итоги
Фильтр SmartScreen играет важнейшую роль в обеспечении вашей безопасности в сети. Авторы вредоносного ПО постоянно придумывают новые способы проникновения своего кода на ваши компьютеры. Мы внесли ряд изменений, призванных защитить наших пользователей, сделав риски посещения вредоносных сайтов более ясными и воспрепятствовав безраздумному игнорированию предупреждений. Посему настоятельно рекомендую включить фильтр SmartScreen и продолжить отсылать нам данные обратной связи. Спасибо!

Алекс Гловер,
главный тестер фильтра SmartScreen в команде Internet Explorer.


Источник: http://blogs.msdn.com/ieru
Перевод: Zloy Kak Pё$