Антивирус со вкусом "Яндекса" Андрей Крупин

Антивирус со вкусом "Яндекса"

Андрей Крупин

С наступлением весны, когда всё начинают цвести и пахнуть, компания «Яндекс» ещё сильнее озаботилась безопасностью аудитории своего поисковика и дополнила существующую систему обнаружения заражённых сайтов антивирусным комплексом собственной разработки, использующим поведенческие методы определения угроз. Если ранее за отсеивание вредоносного контента в результатах поиска отвечали только лицензированные у Sophos сигнатурные сканеры, то теперь борьба за чистоту сетевого эфира ведётся в тандеме с программными роботами, имитирующими поведение пользователя и анализирующими происходящие в системе операции. В случае, если без каких-либо дополнительных действий со стороны виртуального веб-сёрфингиста начинает скачиваться или исполняться какое-либо приложение, то такая страница попадает в список подозрительных. По словам представителей «Яндекса», подобная, простая на первый взгляд, техника позволяет обнаруживать на сайтах вирусы, ещё не попавшие в антивирусные базы.

"Только за 5 дней работы нового антивируса в тестовом режиме количество обнаруженных заражённых сайтов увеличилось на 9 %. Благодаря различию в технологиях, антивирусы «Яндекса» и Sophos находят разные вирусы — пересечение составляет около 34 %. Обе технологии работают параллельно, обеспечивая пользователям более надёжную защиту", — так утверждается в опубликованном компанией пресс-релизе. Согласно предоставленной «Яндексом» статистике, только за прошлый месяц комплексная система защиты отечественного поисковика проверила более 100 миллионов страниц и нашла среди них более 35 тысяч заражённых. Впечатляющие цифры, лишний раз подтверждающие переиначенную на новый лад известную поговорку "вирусов бояться — в Интернет не ходить".

При попытке посетить интернет-ресурс, который может содержать вредоносный код, пользователь «Яндекса» увидит на экране соответствующее предупреждение. Прочитав его, он может либо вернуться к результатам поиска и выбрать другой сайт, либо, на свой страх и риск проследовать на потенциально опасную страницу. Для оповещения владельцев сайтов предусмотрен сервис "Яндекс. Вебмастер", автоматически рассылающий оповещения всем зарегистрированным участникам, оставившим сведения о курируемых порталах в Сети. Аналогичная система, кстати, предусмотрена и в Google. Разница лишь в том, что сведения о небезопасных сайтах «Гугл» заимствует из базы данных коалиции StopBadware, активным членом которой является сама корпорация и некоторые другие известные IT-организации.

"Данная система фактически защищает только пользователей сервисов компании «Яндекс» от случайного посещения потенциально опасных веб-страниц, — говорит Александр Матросов, руководитель центра вирусных исследований и аналитики ESET. — Это означает, что система способна зафиксировать ограниченный класс современных вирусных угроз, а также делает проверки не во всем Интернете, а только на сервисах "Яндекса"". По мнению Александра, если система и эффективна, то только для ограниченного круга пользователей. "С технической точки зрения сложно говорить об эффективности, поскольку таких подробностей о своей системе «Яндекс» не раскрывает. Но можно предположить, что речь идёт об автоматизированной системе, которая сначала получает различные адреса веб-страниц и фиксирует изменения, произошедшие после посещения того или иного сайта. Подобного рода системы используются антивирусными производителями уже не первый год. У ESET существуют собственные, достаточно неплохо зарекомендовавшие себя, разработки в данной области, нацеленные на поиск новых угроз ещё на ранней стадии их появления".

Аналогичного мнения придерживается руководитель центра глобальных исследований и анализа угроз "Лаборатории Касперского" Александр Гостев. "Я бы не назвал подход компании «Яндекс» уникальным, — комментирует представитель «ЛК». — Аналогичные решения, так называемые high-interaction honeypots, давно используются практически всеми антивирусными компаниями в качестве одного из инструментов для поиска новых вирусов. Компания Microsoft в 2005 году представила свой аналог такой системы, под названием HoneyMonkey. Разумеется, подобные системы существуют и у нас". Александр подчеркнул, что упомянутые решения в настоящее время уже не обеспечивают требуемой скорости реакции по обнаружению угроз, поскольку зависят от состава и количества сайтов, по которым «бродят». "Даже для «Яндекса» это будет проблемой, — раскрывает нюансы Александр, — поскольку в их систему будут попадать только те сайты, которые нашел их поисковый робот, и очевидно, что временная задержка может быть достаточно большой. Мы же идём по пути развития облачных технологий, которые позволяют очень быстро получать информацию о сайтах, на которые реально заходят наши клиенты, и проверять именно их, а не «перелопачивать» весь Интернет".

Таково мнение участников антивирусного рынка, вполне ожидаемое, кстати сказать. Но критика — критикой, а реальная польза от внедренного «Яндексом» решения, как ни крути, неоценима, особенно для тех веб-серферов, которые не успели наслушаться страшилок от более опытных товарищей о том, что простое открытие веб-страницы может инфицировать систему. Примеров — пруд пруди, и повторно перечислять мы их не будем. Скажем только, что в последнее время специалисты «Яндекса» постоянно радуют почитателей отечественного поисковика результатами своей работы. Сначала они понизили ранжирование ресурсов с popunder-баннерами, затем занялись разборками с сайтами, торгующими ссылками и предназначенными исключительно для манипулирования алгоритмами поисковых систем, теперь вот сотрудники отечественной компании вплотную занялись подставными сайтами, используемыми злоумышленниками и киберпреступниками для распространения вирусов и троянов. Если выбранный вектор развития сохранится, то в недалеком будущем в плане выдачи поискового контента «Яндекс» станет белым и пушистым. Скорее бы.

К оглавлению