«Специалистам всегда было известно, что браузер Firefox имеет значительно больше уязвимостей чем IE. Для этого достаточно регулярно заходить на популярный сайт secunia.com, где публикуются подробные списки всех уязвимостей продуктов мировых производителей. Например, на конец 2008 г. Firefox 2.0 имел 154 уязвимости, а IE 7 -- 70. На конец июня 2009 Firefox 3 имел 81 уязвимость, а IE 8 -- всего 8. А на 10 ноября 2009 г. Firefox 3 имеет 133 уязвимости, а IE 8 – всего 16! Так что «открытие» Cenzic никого из специалистов не удивляет», -- комментирует Владимир Мамыкин, директор по информационной безопасности ООО «Майкрософт Рус».
Мы обратились к ведущим специалистам по безопасности с просьбой прокомментировать приведенные результаты и дать свою оценку новым средствам безопасности в IE 8.
Наши эксперты сошлись во мнении, что браузер тем уязвимее, чем выше его популярность, -- писать вредоносы, использующие «дыры» нераспространенных программ, просто не имеет смысла, а потому менее популярные браузеры можно считать более безопасными. Но это не значит, что в них меньше уязвимостей, нежели в тех, которыми пользуется большинство. Да и активность вирусописателей стимулирует разработчиков более оперативно реагировать на появление новых «эксплойтов» (exploit, эксплуатировать -- компьютерная программа, фрагмент программного кода или последовательность команд, использующие уязвимости в программном обеспечении и применяемые для проведения атаки на вычислительную???) и выпускать обновления. Кроме того, стоит обращать внимание не только на уязвимости браузера, но и на надежность дополнительных модулей, например, для воспроизведения медиаконтента. Именно они зачастую становятся причиной того, что вредоносное ПО попадает на компьютер.
Сергей Комаров, руководитель отдела антивирусных разработок и исследований компании «Доктор Веб»
Если говорить в целом о безопасности современных браузеров, следует выделить несколько возможных рисков. Прежде всего стоит опасаться атак на браузер с засылкой вредоносного ПО, а также сбора конфиденциальных данных о пользователе. В конце концов даже сохранение истории поисковых запросов и посещенных страниц способно скомпрометировать пользователя.
Средства безопасности IE8 лучше, чем были в прошлых версиях Internet Explorer. Правда, доходит до курьезов -- очень большая часть контента с сайта microsoft.com блокируется в IE8, настроенном по умолчанию.
Кстати, ранее уже появлялось исследование (NSS Labs), результаты которого свидетельствовали, что IE 8 более безопасен, нежели другие браузеры. В нем оценивалась способность браузера предупреждать пользователя о том, что открываемая им страница содержит вредоносный контент, который может быть загружен и запущен на его компьютере . Впрочем, в нем изначально оговаривалось, что сайты, содержащие эксплойты, не рассматривались. Однако именно они, на наш взгляд, представляют сейчас наибольшую опасность для пользователей.
В последние годы компания Microsoft очень обеспокоена безопасностью своих продуктов и предпринимает действительно серьезные организационные и технические меры. Но все же необходимо учитывать, что MS Internet Explorer остается самым популярным веб-браузером в мире по числу активных пользователей. И это является мощным мотиватором для злоумышленников.
Насколько хороши встроенные в IE 8 средства безопасности, покажет время, но следует отметить, что интересным нововведением в MS Internet Explorer стал механизм защиты от XSS-атак, которые активно используют злоумышленники для привлечения аудитории на фишинговые ресурсы. Эксплуатация уязвимостей усложнилась, так как DEP (Data Execution Prevention Memory Protection) теперь включен не только для модулей IE 8, но и для всех установленных расширений.
Конечно, разработчики других браузеров уделяют значительное внимание безопасности, но стоит, наверное, отдельно выделить Firefox, для которого существует большое количество расширений, в том числе и от антивирусных компаний, позволяющих повысить уровень безопасности пользователей.
Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ
Степень безопасности браузера -- понятие относительное. Согласно отчетам компании Symantec (Internet Security Threat Report) за 2008 г., да и за 2007 г. также, абсолютным лидером по числу уязвимостей действительно был Mozilla Firefox, а второе место принадлежало Microsoft Internet Explorer.
Однако подобные исследования не могут дать нам точного ответа на вопрос, какие из данных уязвимостей были серьезными, а какие не представляли интереса для хакеров и угрозы для пользователей. Но поскольку IE является самым популярным средством просмотра веб-контента и его используют около 80% пользователей, то вполне понятно, что любая уязвимость в нем автоматически подвергает риску очень большое количество ПК. Впрочем, в последнее время четко прослеживается тенденция как к снижению количества недочетов по безопасности в продуктах Microsoft, так и к ускорению процесса реагирования на обнаруженные уязвимости. Это может в некоторой степени характеризовать IE как более безопасный, ведь, будучи самым распространенным, он подвергается максимальному количеству как легальных, так и не очень легальных «исследований» на предмет взлома. А вот меньшее количество известных уязвимостей, например в браузерах Opera или Chrome, необязательно свидетельствует об их большей безопасности. Здесь нужно учитывать, что они, являясь менее популярными, просто не так часто попадают под пристальное внимание «искателей» программных недочетов безопасности.
Александр Гостев, руководитель глобального центра исследований «Лаборатории Касперского»
Большинство веб-браузеров (Firefox 3.5, Chrome 2.0 и Internet Explorer 8.0) теперь имеют встроенную защиту в виде URL-фильтра. Он не позволяет пользователю заходить на вредоносные сайты, содержащие эксплойты для известных или неизвестных уязвимостей, а также применяющие методы социальной инженерии для кражи личных данных. Например, Firefox и Chrome используют Google Safe Browsing API -- бесплатный сервис, предоставляемый Google, для фильтрации URL-адресов. Google Safe Browsing API содержит более 300 тыс. адресов известных вредоносных веб-сайтов и более 30 тыс. адресов веб-сайтов, занимающихся фишингом. Информации о размерах и содержании аналогичной базы, имеющейся в IE 8.0, у нас, увы, нет.
В общем, широкое применение технологий для безопасной навигации показывает, что разработчики веб-браузеров обратили внимание на новую тенденцию распространения зловредных программ через веб-сайты и предпринимают ответные действия. По сути, веб-браузеры со встроенной защитой уже становятся нормой, однако проблема уязвимостей в дополнительных модулях остается критической и не может быть решена силами только производителей браузеров.
Петр Федоров, технический эксперт Agnitum
У IE есть одна большая беда, унаследованная от версии 4.0, -- глубокая интеграция в ОС. Во-первых, приложения IE и Windows Explorer неразлучны: их функции перемешаны, одни и те же задачи могут выполняться в контексте как Windows Explorer, так и IE, на глазах мимикрируя то под один,то под другой.
Во-вторых, большинство приложений используют в качестве базы CHM-файлы, просмотр которых обеспечивает движок IE. С одной стороны, IE находится на переднем крае, обрабатывая неизвестный и опасный код с интернет-сайтов, с другой -- в центре межпроцессного взаимодействия в недрах операционной системы.
В-третьих, большинство «заплаток» выходят уже после того, как ПК рухнули под натиском заражений с использованием уязвимостей.
Поэтому применение IE предоставляет кратчайший путь от открытия опасного сайта до получения контроля над системой пользователя и заражения ее, а следовательно, этот браузер -- наиболее желанная цель взломщиков.
Поскольку современный браузер обязан поддерживать широкий спектр технологий, то он чрезвычайно сложен. А известно, чем замысловатее приложение, тем больше в нем зависимостей, трудно уловимых для самих разработчиков. Курс, выбранный разработчиками IE 8, безусловно, сократит его отставание. Но, увы, стоит ли ждать радикальных улучшений без решения основных проблем, с которыми можно справиться только «физическим» отделением IE от ОС и отказом от поддержки нестандартных, плохо тестируемых технологий.
Итак, правильный выбор браузера -- одно из условий сохранности данных и обеспечения работоспособности компьютера. Абсолютно безопасных решений, к сожалению, нет. Возможно, малое число уязвимостей, обнаруженных в IE 8, объясняется как раз его относительно невысокой популярностью Хотя, конечно же, стоит учесть и старания разработчиков Microsoft, совершенствующих средства безопасности этого браузера.
Немного статистики
Стоит отметить, что вопрос популярности браузеров довольно спорный. В одних случаях подсчитываются статистические данные по использованию семейств браузеров, а в других -- определяется популярность каждой версии. Так, согласно большинству отчетов самым популярным семейством браузеров признан Internet Explorer. Но если рассматривать конкретные выпуски этих приложений, то лидирует, как ни странно, Firefox 3.5, опережая обсуждаемый в статье IE 8.
Статистика по семействам браузеров и по последним стабильным версиям (ноябрь, 2009)