Jak Internet Explorer 9 filtruje potencjalnie groźne witryny i aplikacje

Jedną z najważniejszych zalet Internet Explorera 9 miało być bezpieczeństwo, zapewniane użytkownikowi dzięki rozszerzeniu funkcjonalności filtra SmartScreen. Na ile skuteczny jest ten mechanizm?


to niewątpliwie przełomowe osiągnięcie Microsoftu w historii tej przeglądarki. "Dziewiątka" z mozołem walczy o odzyskanie wiarygodności, mocno nadszarpniętej w poprzednich latach.

Producenta nie można winić za to, że starsze wersje aplikacji cyberprzestępcy tak często obierali za cel i wykorzystywali do prowadzenia swojej działalności (ataki przez luki w przeglądarce). Tyle tylko, że twórcy złośliwego oprogramowania skwapliwie korzystali z nadarzających się okazji - Microsoft rozwój Internet Explorera przez długi czas zaniedbywał (lub nie poświęcał temu zagadnieniu wystarczająco dużo uwagi). Na to trudno już znaleźć usprawiedliwienie.

Na szczęście od ok. 1,5 roku widać w tym względzie wyraźną poprawę: koncern na bieżąco informował o postępie prac nad IE9, prezentował kolejne wersje rozwojowe, udostępnił wydanie beta, wreszcie - finalną wersję aplikacji (a na horyzoncie nieśmiało majaczy już Internet Explorer 10).

"Służyć i chronić"

Internet "został zaprojektowany do ochrony przed rozwijającymi się zagrożeniami internetowymi i inżynierii społecznej" - czytamy na stronie internetowej producenta. Ma o to dbać filtr SmartScreen, którego zadaniem jest ostrzeganie o zagrożeniach ze strony oszukańczych witryn internetowych i ochrona "przed przedostawaniem się potencjalnie szkodliwego oprogramowania na komputer".

Mechanizm, obecny w Internet Explorerze od wersji ósmej, w dziewiątej rozbudowano - współpracuje on z wbudowanym w IE9 menedżerem pobieranych plików. Filtr na podstawie technologii analizy reputacji witryn i dokumentów ściąganych z Sieci ocenia każdy plik od razu po rozpoczęciu jego kopiowania na komputer i ostrzega użytkownika przed ewentualnym ryzykiem wiążącym się z jego uruchomieniem.

Jeśli filtr stwierdzi, że pobierany w danej chwili plik jest mało popularny (rzadko pobierany), a ponadto brakuje w nim informacji o autorze lub wydawcy, zareaguje i wyświetli monit ostrzegawczy. Od użytkownika zależy, czy dokończy pobieranie pliku.

Zdarzają się jednak sytuacje, w których mechanizm nieumyślnie wprowadza użytkownika w błąd. Odkryliśmy np., że wersja beta IE 9 zgłosiła alert przy próbie pobrania z witryny programy.pcworld.pl aplikacji Opera 11.11.

Pobranie pliku instalacyjnego Opery 11.11 przerwane przez filtr SmartScreen w Internet Explorerze 9 beta

Pobranie pliku instalacyjnego Opery 11.11 przerwane przez filtr SmartScreen w Internet Explorerze 9 beta

Filtr SmartScreen zareagował, ostrzegając że Opera to program, który "nie jest często pobierany i może uszkodzić komputer". To prawda, że w tzw. "wielkiej czwórce przeglądarek" Opera pod względem popularności wśród użytkowników zajmuje ostatnie miejsce ale żeby od razu "uszkadzała komputer"?

Skąd ten alert?

Prawdopodobnym powodem takiego zachowania w przypadku Opery mógł być fakt, iż plik instalacyjny był pobierany z innej strony niż macierzysta strona producenta - informuje Patryk Góralowski z Microsoftu, odpowiedzialny za rozwój platformy IE9. "W moim przypadku takie zachowanie nie pojawiło się - system oda razu rozpoznał wydawcę pliku" - mówi w rozmowie z portalem pcworld.pl.

"Oczywiście nie wszystkie aplikacje z nieznaną reputacją są szkodliwe, jak np. wymieniony instalator Opery, ale jest to dobre działanie prewencyjne wymiernie chroniące użytkownika. Klasyfikacja odbywa się na podstawie algorytmu, który bada wiele czynników - ruch, historię pobierania, reputację URL" - tłumaczy Góralowski.

Z badań Microsoftu wynika, że szanse na pobranie szkodliwego oprogramowania przez internautę to 25-40 %. Średnio aż 90 % plików pobieranych przez "przeciętnego" użytkownika ma zbudowaną reputację. Statystyki dotyczące aplikacji z nieznaną reputacją (jak ten konkretny instalator Opery) mówią, że średnio są to pliki zainfekowane w 25-70 % przypadków.

"Jeżeli chodzi o usprawnienie działania mechanizmu filtrującego - jesteśmy zadowoleni z tego, jak działa w Internet Explorerze 9, gdzie pojawiły się pewne usprawnienia w stosunku do wersji ósmej (sama reputacja aplikacji jest rzeczą nową)" - zapewnia Patryk Góralowski. Zapewnia też, że mechanizm wyćwiczył się w działaniu na IE8 - a że była i wciąż jest to przeglądarka bardzo popularna, bogactwo doświadczeń budowania reputacji "jest bardzo wysokie i dojrzałe".

Komentarz redakcyjny

W kontekście opisywanej sytuacji trudno oprzeć się skojarzeniom z "niesławnym" UAC (User Account Control, kontrola konta użytkownika), wprowadzonym w systemie Windows Vista i - na całe szczęście - poprawionym w Windows 7.

Zabezpieczenie to miało chronić przed uruchomieniem aplikacji stwarzających ewentualne zagrożenie, np. mogących wykonywać potencjalnie niebezpieczne operacje. Mechanizm stawał się często utrapieniem użytkowników, generując wiele uciążliwych alertów, proszącymi o potwierdzenie, czy uruchomić program. Wiele osób, zmęczonych nieustannym klikaniem, całkowicie wyłączało UAC.

Naszym zdaniem istnieje pewne ryzyko, że część internautów pracujących z przeglądarką Microsoftu zdecyduje się na podobny krok w wypadku filtra SmartScreen - jeśli ten parę razy wygeneruje bezpodstawne ostrzeżenia.

A może nie ma o czym mówić, bo "zawiniła" wersja testowa przeglądarki, z pewnością dopracowana na etapie prac rozwojowych? Czekamy na wasze komentarze i opinie.