Microsoft SmartScreen - Microsoft SmartScreen

SmartScreen (официально называется Windows SmartScreen, SmartScreen Защитника Windows и Фильтр SmartScreen в разных местах) является облачный анти-Фишинг и антивирус компонент, включенный в несколько продуктов Microsoft, в том числе Windows 8 и позже, Internet Explorer, Microsoft Edge и Outlook.com. Он разработан, чтобы помочь защитить пользователей от атак, использующих социальная инженерия и попутные загрузки заразить систему сканированием URL-адреса доступ пользователя к черный список веб-сайтов, содержащих известные угрозы. В обновлении Windows 10 Creators Update Microsoft поместила настройки SmartScreen в Центр безопасности Защитника Windows.[1]

SmartScreen в Internet Explorer

Internet Explorer 7: фильтр фишинга

SmartScreen был впервые представлен в Internet Explorer 7 затем известный как фильтр фишинга. Фильтр фишинга не проверяет все веб-сайты, посещаемые пользователем, а только те, которые известны как подозрительные.[2]

Internet Explorer 8: фильтр SmartScreen

С выходом Internet Explorer 8, фильтр фишинга был переименован в SmartScreen и расширен за счет включения защиты от вредоносных программ, созданных с помощью социальной инженерии. Каждый веб-сайт и загрузка проверяются по локальному списку популярных легитимных веб-сайтов; если сайта нет в списке, весь адрес отправляется в Microsoft для дальнейшей проверки.[3] Если он был помечен как самозванец или вредоносный, Internet Explorer 8 покажет экран с сообщением о том, что сайт считается вредоносным и его нельзя посещать. Оттуда пользователь может посетить свои домашняя страница, посетите предыдущий сайт или перейдите на небезопасную страницу.[4] Если пользователь пытается загрузить файл из местоположения, которое было признано вредоносным, загрузка отменяется. Сообщается, что эффективность фильтрации SmartScreen превосходит эффективность защиты от вредоносных программ, созданных с помощью социальной инженерии, в других браузерах.[5]

По данным Microsoft, технология SmartScreen, используемая в Internet Explorer 8, была успешной против фишинговых и других вредоносных сайтов, а также для блокировки социально разработанный вредоносное ПО.[6]

Начиная с Internet Explorer 8, SmartScreen можно принудительно использовать с помощью Групповая политика.

Internet Explorer 9: репутация приложения

На основе фильтра SmartScreen, представленного в Internet Explorer 8, Internet Explorer 9 Защита от загрузки вредоносных программ расширена функцией SmartScreen Application Reputation, которая обнаруживает ненадежные исполняемые файлы.[7] Это предупреждает человека, если он загружает исполняемую программу без надежной репутации с сайта, который не имеет безопасной репутации.

Internet Explorer Mobile 10

Internet Explorer Mobile 10 был первым выпуском Internet Explorer Mobile, который поддерживал фильтр SmartScreen.[8]

Windows

Фильтрация SmartScreen на уровне рабочего стола, по умолчанию выполняющая проверку репутации любого файла или приложения, загруженного из Интернета, была представлена ​​в Windows 8.[9][10] Подобно тому, как SmartScreen работает в Internet Explorer 9, если программа не имеет хорошей репутации, пользователь получает предупреждение о том, что запуск программы может нанести вред его компьютеру.

Если для SmartScreen оставить настройки по умолчанию, администратор необходимо запустить и запустить программу.

Microsoft столкнулась с опасениями по поводу конфиденциальности, законности и эффективности новой системы, предполагая, что автоматический анализ файлов (который включает отправку криптографического хеша файла и IP-адреса пользователя на сервер) может быть использован для создания базы данных пользователей. 'загружается в Интернете, и что использование устаревшего SSL Протокол 2.0 для связи может позволить злоумышленнику перехватить данные. В ответ Microsoft позже выпустила заявление, в котором отмечалось, что IP-адреса собираются только в рамках нормальной работы службы и будут периодически удаляться, что SmartScreen в Windows 8 будет использовать SSL 3.0 только из соображений безопасности, и эта информация собирается через SmartScreen не будет использоваться в рекламных целях или продаваться третьим лицам.[11]

Outlook.com

Outlook.com использует SmartScreen для защиты пользователей от нежелательных сообщений электронной почты (спама), мошеннических сообщений электронной почты (фишинг) и вредоносных программ, распространяемых по электронной почте. После первоначального просмотра основного текста система фокусируется на гиперссылках и вложениях.

Нежелательная почта (спам)

Для фильтрации спама фильтр SmartScreen использует машинное обучение из Microsoft Research который извлекает информацию из известных угроз спама и отзывов пользователей, когда электронные письма помечаются пользователем как «Спам».

Со временем эти настройки помогают фильтру SmartScreen различать характеристики нежелательной и законной электронной почты, а также могут определять репутацию отправителей по количеству проверенных электронных писем. Использование этих алгоритмов и репутация отправителя - это оценка вероятности нежелательной почты (оценка уровня надежности спама), присваиваемая каждому сообщению электронной почты (чем ниже оценка, тем более желательно). Оценка -1, 0 или 1 считается не спамом, и сообщение доставляется в почтовый ящик получателя. Оценка 5, 6, 7, 8 или 9 считается спамом и доставляется в папку нежелательной почты получателя. Оценка 5 или 6 считается спамом, а оценка 9 - спамом.[12] Показатель вероятности нежелательной почты для электронного письма можно найти в различных x-заголовках полученного письма.

Фишинг

SmartScreen Filter также анализирует сообщения электронной почты с мошенническими и подозрительными веб-ссылками. Если такие подозрительные характеристики обнаружены в электронном письме, сообщение либо[требуется разъяснение ] напрямую отправляется в папку «Спам» с красной информационной полосой вверху сообщения, которая предупреждает о подозрительных свойствах. SmartScreen также защищает от подделки доменных имен (спуфинга) в электронных письмах, чтобы проверить, отправлено ли электронное письмо тем доменом, который он утверждает, что отправляется. Для этого используется технология Удостоверение личности отправителя и Почта, идентифицированная с помощью DomainKeys (ДКИМ). SmartScreen Filter также гарантирует, что одно электронное письмо[требуется разъяснение ] отправителей, прошедших проверку подлинности, легче отличить, поместив значок в виде зеленого щита в строку темы этих писем.[13][14]

В других продуктах

SmartScreen также включен в Microsoft Outlook и Сервер Microsoft Exchange.[15]

Сертификаты подписи кода

SmartScreen создает репутацию на основе сертификатов подписи кода, которые идентифицируют автора программного обеспечения. Это означает, что после создания репутации новые версии приложения могут быть подписаны одним и тем же сертификатом и поддерживать ту же репутацию.

Однако сертификаты для подписи кода необходимо обновлять каждые два года. SmartScreen не связывает обновленный сертификат с истекшим. Это означает, что репутация должна восстанавливаться каждые два года, а пользователи тем временем получают пугающие сообщения. Сертификаты расширенной проверки (EV), похоже, позволяют избежать этой проблемы, но они дороги и труднодоступны для небольших разработчиков.[16]

Эффективность

В конце 2010 года были опубликованы результаты тестирования браузеров на вредоносное ПО, проведенного NSS Labs.[17] В исследовании изучалась способность браузера предотвращать подписку пользователей социально разработанный ссылки вредоносного характера и загрузка вредоносного ПО. Он не проверял способность браузера блокировать вредоносные веб-страницы или код.

По данным NSS Labs, Internet Explorer 9 заблокировал 99% загрузок вредоносных программ по сравнению с 90% для Internet Explorer 8, не имеющего функции репутации приложений SmartScreen, в отличие от 13%, достигнутых Fire Fox, Хром, и Сафари; которые все используют Безопасный просмотр Google фильтр вредоносных программ. Опера 11 блокирует только 5% вредоносных программ.[18][19][20] Фильтр SmartScreen также был известен тем, что почти мгновенно добавлял легитимные сайты в свои черные списки, в отличие от нескольких часов, которые требовались для обновления черных списков в других браузерах.

В начале 2010 года аналогичные тесты дали Internet Explorer 8 проходной балл на 85%, причем улучшение на 5% было приписано «продолжающимся инвестициям в улучшение анализа данных».[21] Для сравнения, то же исследование показало, что Chrome 6, Firefox 3.6 и Safari 5 набрали 6%, 19% и 11% соответственно. Opera 10 набрала 0%, не сумев «обнаружить какие-либо образцы вредоносных программ, созданных с помощью социальной инженерии».[22]

Производители других браузеров раскритиковали тест, сосредоточив внимание на непрозрачности проверяемых URL-адресов и отсутствии учёта многоуровневой безопасности в дополнение к браузеру с Google комментируя, что «В самом отчете четко указано, что он не оценивает безопасность браузера, связанную с уязвимостями в плагинах или самих браузерах»,[23] и Opera, комментируя, что результаты выглядят «странно, потому что они не получили результатов от наших поставщиков данных» и что «защита от социальных вредоносных программ не является показателем общей безопасности браузера».[24]

В июле 2010 года Microsoft заявила, что SmartScreen в Internet Explorer заблокировал более миллиарда попыток доступа к сайтам, содержащим угрозы безопасности.[25] По данным Microsoft, фильтр SmartScreen, входящий в состав Outlook.com, ежедневно блокирует 4,5 миллиарда нежелательных электронных писем, не доходящих до пользователей. Microsoft также утверждает, что только 3% входящей электронной почты является нежелательной почтой, но тест Cascade Insights показывает, что чуть менее половины всей нежелательной почты по-прежнему поступает в почтовые ящики пользователей.[26][27] В сентябрьском сообщении в блоге Microsoft заявила, что было остановлено 1,5 миллиарда попыток вредоносных атак и более 150 миллионов попыток фишинговых атак.[28]

Критика

В октябре 2017 года критика в отношении методов отправки URL была устранена путем создания Сообщить о небезопасном сайте Страница отправки URL. Microsoft теперь поддерживает отправку URL-адресов из этой формы, в отличие от предыдущего опыта, когда пользователю приходилось посещать сайт и использовать внутренние методы отчетности.

Фильтр SmartScreen можно обойти. Некоторые фишинговые атаки используют фишинговое электронное письмо со ссылкой на внешний URL-адрес, не входящий в базу данных Microsoft; щелчок по этому URL-адресу в электронном письме перенаправляет пользователя на вредоносный сайт.[29] Параметр «Сообщить об этом веб-сайте» в Internet Explorer сообщает только об открытой в данный момент странице; о внешнем URL-адресе фишинг-атаки нельзя сообщить в Microsoft, и он остается доступным.

Фильтр SmartScreen создает проблему для мелких поставщиков программного обеспечения, когда они распространяют обновленную версию установки или двоичные файлы через Интернет.[30] Каждый раз, когда выпускается обновленная версия, SmartScreen отвечает, заявляя, что файл обычно не загружается и, следовательно, может установить вредоносные файлы в вашей системе. Это может быть исправлено автором цифровой подписью распространяемого программного обеспечения. В этом случае репутация зависит не только от хэша файла, но и от сертификата подписи. Распространенный метод распространения, используемый авторами для обхода предупреждений SmartScreen, - это упаковка своей программы установки (например, Setup.exe) в ZIP-архив и распространять его таким образом, хотя это может сбить с толку неспециалистов.

Еще одна критика заключается в том, что SmartScreen делает некоммерческую разработку программного обеспечения для небольших компаний недоступной по цене. Разработчикам приходится приобретать стандартные сертификаты для подписи кода или более дорогие сертификаты расширенной проверки. Сертификаты расширенной проверки позволяют разработчику немедленно установить репутацию с помощью SmartScreen [31] но часто недоступны для людей, разрабатывающих программное обеспечение бесплатно или не для получения немедленной прибыли. Однако стандартные сертификаты подписи кода представляют собой «уловку-22» для разработчиков, поскольку предупреждения SmartScreen заставляют людей неохотно загружать программное обеспечение, как следствие, для получения загрузок требуется сначала пройти Smartscreen, передача SmartScreen требует получения репутации, а получение репутации зависит от загрузок.

Версия Edge Chromium намеренно ограничивает (несколько экранов и скрытый вариант), чтобы большинство пользователей не запускали законные приложения.[32].

Смотрите также

Рекомендации

  1. ^ «Изменить настройки Windows SmartScreen в Windows 10». www.tenforums.com. Получено 2017-04-10.
  2. ^ «Фильтр фишинга будет доступен в Internet Explorer 7». Помощь Net Security. Помощь Net Security. 30 сентября 2005 г.. Получено 3 августа 2016.
  3. ^ «Пожалуйста, обновите свой браузер - Microsoft Windows». Microsoft.com. Получено 25 января, 2013.
  4. ^ Лоуренс, Эрик (2 июля 2008 г.). «Безопасность IE8, часть III: фильтр SmartScreen». Получено 2 сентября, 2008.
  5. ^ «Отчет о тестировании вредоносного ПО, созданного с помощью социальной инженерии» (PDF). 14 августа 2009 г. Архивировано с оригинал (PDF) 14 декабря 2010 г.
  6. ^ Мариус Ояга (24.07.2010). «IE8 заблокировал более 1 миллиарда попыток загрузки вредоносного ПО». Softpedia.com.
  7. ^ Райан Колвин (Microsoft) (10 марта 2011 г.). «Internet Explorer 9: Защита от атак с социальной инженерией с помощью SmartScreen URL Reputation».
  8. ^ О'Брайен, Терренс (20 июня 2012 г.). «Microsoft представляет Internet Explorer 10 для Windows Phone, очень похожий на настольный компьютер». Engadget. Получено 26 августа, 2012.
  9. ^ Тунг, Лиам (16 августа 2012 г.). «Win8 SmartScreen подталкивает продавцов программного обеспечения покупать сертификаты подписи кода». ОГО. IDG Communications. Получено 12 сентября 2012.
  10. ^ Ларрамо, Мика. «Windows SmartScreen - Защита от вредоносных программ в Windows 8». SamLogic. SamLogic. Получено 11 января 2013.
  11. ^ Брайт, Питер (25 августа 2012 г.). «Жалоба на конфиденциальность Windows 8 скучает по лесу за деревьями». Ars Technica. Condé Nast. Получено 12 сентября 2012.
  12. ^ «Уровни достоверности спама: справка по Exchange Online». technet.microsoft.com. Получено 2016-08-18.
  13. ^ «Функции безопасности в Outlook.com». Корпорация Майкрософт.
  14. ^ «Обновления безопасности в новом Hotmail». Корпорация Майкрософт.
  15. ^ «Фильтрация спама | Фильтр нежелательной почты | Предотвращение спама». www.microsoft.com. Получено 2016-08-07.
  16. ^ https://security.stackexchange.com/questions/222140/transferring-microsoft-smartscreen-reputation-to-renewed-certificate. Отсутствует или пусто | название = (помощь)
  17. ^ Групповое тестирование веб-браузера на вредоносное ПО, созданное социальными сетями, третий квартал 2010 г., nsslabs.com, заархивировано с оригинал на 2014-03-06
  18. ^ Брайт, Питер (2011-07-16). «404 Not Found. Internet Explorer 9 полностью доминирует в статистике блокировки вредоносных программ». ArsTechnica. Получено 2011-07-16.
  19. ^ «Групповое тестирование веб-браузера на вредоносное ПО, созданное социальными сетями». NSS Labs. 2011-07-16. Архивировано из оригинал на 2011-07-17.
  20. ^ Данн, Джон Э. (18 июля 2011 г.). «Internet Explorer 9 побеждает конкурентов в тесте блокировки загрузки». InfoWorld. IDG Enterprise. Получено 12 сентября 2012.
  21. ^ Улучшенная защита с помощью фильтра SmartScreen в IE9, Microsoft
  22. ^ Рубенкинг, Нил Дж. (14 декабря 2010 г.), NSS Labs: Internet Explorer 9 предлагает лучшую защиту, pcmag.com
  23. ^ Рубенкинг, Нил (15 декабря 2010 г.). "Google отвечает на отчет о безопасности браузера NSS Labs". PC Mag. Получено 2011-01-16.
  24. ^ Бакке, Курт (17 декабря 2010 г.). «Opera также сомневается в результатах тестирования безопасности IE». ConceivablyTech.com. Архивировано из оригинал 28 декабря 2010 г.. Получено 2011-01-16.
  25. ^ Джеймс, Мартин (26 июля 2010 г.). «Фильтр IE8 SmartScreen собирает миллиард блоков вредоносного ПО». IT Pro. Деннис Паблишинг. Получено 12 сентября 2012.
  26. ^ "Effectiviteit SmartScreen-фильтр в Hotmail / Oulook.com". Корпорация Майкрософт.
  27. ^ "E-mailfiltervergelijking". Cascade Insights.
  28. ^ «Защита от вредоносных программ». Корпорация Майкрософт.
  29. ^ Аггарвал, Анупама; Раджадесинган, Ашвин; Кумарагуру, Поннурангам (29 января 2013 г.). «PhishAri: автоматическое обнаружение фишинга в реальном времени в Twitter». Социальные и информационные сети. Корнелл Университет. arXiv:1301.6899. Bibcode:2013arXiv1301.6899A.
  30. ^ Райхль, Доминик. «Дополнительный FAQ - KeePass». keepass.info. Получено 2018-05-10.
  31. ^ «Microsoft SmartScreen и сертификаты подписи кода с расширенной проверкой (EV)». Microsoft. Microsoft. Получено 3 июн 2017.
  32. ^ https://getimageview.net/2020/06/02/microsoft-defender-smartscreen-is-hurting-independent-developers/

внешняя ссылка