Video: Kaspersky vs Bitdefender Free | Test vs Malware (September 2024)
Förra veckan släppte det oberoende laboratoriet AV-Test sina resultat från en 18-månaders studie som tittade på skadlig programvara som levererades via sökmotorer. Det stora för oss och våra läsare var att Bing returnerade nästan fem gånger så mycket skadlig programvara än Google, men det var fortfarande inte ledaren enligt AV-Test. Den titeln gick till den ryska sökmotorn Yandex, som sedan har utmanat AV-tests resultat.
Yandex vill ha svar
I ett uttalande ställde Yandex flera frågor - av vilka några återkallades i våra kommentarer - om AV-tests metod. Yandex ville veta hur AV-Test definierade skadlig programvara, varför provstorlekarna varierade så dramatiskt, hur informationen för studien samlades in och så vidare.
Yandex påpekade också att företaget som regel inte filtrerar sina resultat för skadlig programvara. "Yandex använder sin egen antivirusteknologi för att skydda användare från skadlig programvara", läser ett e-postmeddelande från företaget. "Yandex markerar de infekterade webbsidorna i sina sökresultat för att meddela användare om osäkert innehåll. Vi meddelar bara användare om möjliga konsekvenser och blockerar inte åtkomst till webbsidan helt."
AV-test svarar
Det tyska testlaboratoriet berättade för SecurityWatch att det definierade skadliga webbplatser som de som "sprider känd skadlig programvara eller uppvisar skadligt beteende, inklusive webbplatser som innehåller drivrutiner för nedladdningar eller direkt nedladdning av skadliga binärer."
När det gäller hur de skadliga webbplatserna räknades förklarade AV-Test att det använde fyra metoder för verifiering. Först undersöktes alla webbplatser för misstänkt beteende, inklusive dumt Javascript, dolda iframes och ovanliga omdirigeringar bland annat. Webbplatser som hade någon av dessa funktioner gick sedan in i företagets dynamiska analyssystem, som letar efter skadligt beteende - till exempel kända exploater.
Förutom dynamisk analys använder AV-Test listor över känt skadligt innehåll och webbplatser. "Vi tillämpar utökade statiska kontroller av webbplatsens innehåll, " sade AV-Test. "Så vi kunde identifiera redan kända exploater eller malware-binära filer enligt våra data."
Som en del av deras regelbundna antivirus-testning, som vi rutinmässigt täcker, skräddarsyr AV-Test från programvaran från skadliga program mot skadliga webbadresser. Laboratoriet integrerade sedan denna "verkliga testning" i studien. Företaget förklarade att "en stor del av de misstänkta webbadresserna testades också mot Anti-Virus-produkter som en del av vår regelbundna offentliga testning."
Misstänkta webbadresser korskontrollerades också mot andra skadliga databaser, t.ex. Malwaredomainlist och Zeustracker.
En annan typ av test
AV-Test behandlade också Yandex poäng om deras anti-malware-lösning och noterade att sökmotorn inte är ensam om att placera varningar nära misstänkta länkar. "De flesta om inte alla sökmotorer gör detta till viss del, " sa AV-Test till säkerhetsvakt.
"Men det var inte en del av den här studien, " fortsatte AV-testet. "Vi testade hur många skadliga webbplatser som kan göra det i sökmotorns index och stanna där ett tag." Detta är en kritisk åtskillnad, eftersom den inte riktigt tar upp vilken sökmotor som är "säkrare" men hur sökmotorer används av de onda för att sprida skadlig programvara.
AV-Test sa att för att bestämma effekten av Yandex's anti-malware-system, skulle de behöva utforma en ny studie som tittade på hur många skadliga webbplatser sökmotorn korrekt identifierade. En sådan studie skulle också behöva titta på om varningarna är lätta att se och korrekt tolkas av användare, hur snabbt varningarna visas och hur många falska positiver som visas.
Går framåt
Yandex och AV-Test deltar tydligen i "vänliga" samtal om frågan, men det lämnar fortfarande några frågor obesvarade. En sak är dock helt tydlig: angripare använder aktivt sökmotoroptimering för att sprida skadlig programvara via sökmotorsresultat.
Hur sökmotorer väljer att hantera denna fråga är upp till dem och deras affärsmodell. Faktum är att även om Yandex kan ha andra sätt att skydda sina användare, är de skadliga resultaten fortfarande kvar. Detsamma gäller för Google, Bing och de andra webbplatserna i studien.
Den verkliga hoten
En annan sak som många av våra läsare diskuterade var huruvida denna taktik utgör ett verkligt hot eller inte. AV-Test erkände att chansen att en individ möter skadlig programvara via en sökmotor är extremt låg, men det är inte det som angriparna spelar. De bankar på det faktum att Google bara behandlar 2-3 miljarder sökningar per dag. Det ger upp till cirka 50 000 skadliga resultat om dagen, över hela världen. Som vanligtvis är fallet med attacker mot skadlig kod, det handlar inte om dig, det handlar om siffrorna.
Dessutom konstaterade AV-Test att många av dessa skadliga webbplatser använder sökmotoroptimeringstekniker (eller SEO, för de som hoppas till lingot). Det här är några av samma tekniker som hjälper nyhetssajter och bloggar att höja sina sökresultat, konstgjort eller rättvist, för att bli märkt på Google. Dessa är inte slumpmässiga möten; de riktar sig till relevanta aktuella resultat i hopp om att dra så många offer som möjligt.
Avhämtningen är fortfarande densamma: håll dig säker, klicka smart och skaffa något slags säkerhetsprogram.
