Vídeo: Malwarebytes 4 Review | Tested vs Malware (Outubro 2024)
Na semana passada, o laboratório independente AV-Test divulgou suas descobertas em um estudo de 18 meses analisando malware sendo entregue através de mecanismos de pesquisa. O grande problema para nós e nossos leitores foi que o Bing retornou quase cinco vezes mais malware do que o Google, mas ainda não era o líder, de acordo com o AV-Test. Esse título foi para o mecanismo de busca russo Yandex, que desafia os resultados do AV-Test.
Yandex quer respostas
Em uma declaração, a Yandex fez várias perguntas - algumas das quais ecoaram em nossos comentários - sobre a metodologia do AV-Test. A Yandex queria saber como o AV-Test definiu o malware, por que os tamanhos das amostras variaram tão drasticamente, como as informações do estudo foram coletadas e assim por diante.
Yandex também apontou que a empresa, por regra, não filtra seus resultados em busca de malware. "O Yandex usa sua própria tecnologia antivírus proprietária para proteger os usuários de softwares maliciosos", lê um email da empresa. "O Yandex marca as páginas infectadas nos resultados da pesquisa para notificar os usuários sobre conteúdo não seguro. Nós apenas notificamos os usuários sobre possíveis consequências e não impedimos o acesso completo à página".
Respostas do teste AV
O laboratório de testes alemão disse à SecurityWatch que define sites maliciosos como aqueles que "espalham malware conhecido ou exibem comportamento malicioso, incluindo sites que contêm downloads por unidade ou downloads diretos de binários maliciosos".
Quanto à contagem dos sites maliciosos, o AV-Test explicou que usava quatro métodos de verificação. Primeiro, todos os sites foram examinados por comportamento suspeito, incluindo Javascript ofuscado, iframes ocultos e redirecionamentos incomuns, entre outras coisas. Os sites que tinham qualquer um desses recursos entraram no sistema de análise dinâmica da empresa, que procura comportamento malicioso - como explorações conhecidas.
Além da análise dinâmica, o AV-Test usa listas de sites e conteúdos maliciosos conhecidos. "Aplicamos verificações estáticas estendidas no conteúdo do site", disse o AV-Test. "Portanto, conseguimos identificar explorações já conhecidas ou binários de malware de acordo com nossos dados".
Como parte de seus testes antivírus regulares, que rotineiramente cobrimos, o AV-Test coloca o software pronto para uso contra URLs maliciosos. O laboratório então integrou esse "teste do mundo real" ao estudo. A empresa explicou que "grande parte dos URLs suspeitos também foi testada contra produtos antivírus como parte de nossos testes públicos regulares".
URLs suspeitos também foram cruzados com outros bancos de dados de malware, como Malwaredomainlist e Zeustracker.
Um tipo diferente de teste
O AV-Test também abordou o ponto de vista da Yandex sobre sua solução anti-malware, observando que o mecanismo de pesquisa não está sozinho ao colocar avisos perto de links suspeitos. "A maioria, senão todos os mecanismos de busca, fazem isso até certo ponto", disse o AV-Test à Security Watch.
"Mas isso não fez parte deste estudo", continuou o AV-Test. "Testamos quantos sites maliciosos podem entrar no índice do mecanismo de busca e permanecer lá por um tempo". Essa é uma distinção crítica, pois não trata realmente qual mecanismo de pesquisa é "mais seguro", mas como os mecanismos de pesquisa são usados pelos bandidos para espalhar malware.
O AV-Test disse que, para determinar a eficácia do sistema anti-malware da Yandex, eles teriam que projetar um novo estudo que analisasse quantos sites maliciosos o mecanismo de pesquisa identificou corretamente. Esse estudo também precisaria verificar se os avisos são fáceis de ver e interpretados corretamente pelos usuários, com que rapidez os avisos aparecem e quantos falsos positivos aparecem.
Daqui para frente
O Yandex e o AV-Test aparentemente estão se engajando em conversas "amigáveis" sobre o assunto, mas ainda deixa algumas perguntas sem resposta. No entanto, uma coisa é absolutamente clara: os invasores estão usando ativamente a otimização de mecanismos de pesquisa para espalhar malware pelos resultados dos mecanismos de pesquisa.
Como os mecanismos de pesquisa optam por lidar com esse problema depende deles e de seu modelo de negócios. O fato é que, embora o Yandex possa ter outros meios para proteger seus usuários, os resultados maliciosos ainda estão lá. O mesmo vale para o Google, Bing e os outros sites do estudo.
A verdadeira ameaça
Outro ponto discutido por muitos de nossos leitores foi se essa tática constituía ou não uma ameaça real. O AV-Test reconheceu que a chance de um indivíduo encontrar malware através de um mecanismo de pesquisa é extremamente baixa, mas esse não é o jogo que os atacantes estão jogando. Eles estão apostando no fato de que o Google sozinho processa 2 a 3 bilhões de pesquisas por dia. Isso soma cerca de 50.000 resultados maliciosos por dia, em todo o mundo. Como é geralmente o caso de ataques de malware, não é sobre você , é sobre os números.
Além disso, o AV-Test observou que muitos desses sites maliciosos estão empregando técnicas de otimização de mecanismos de pesquisa (ou SEO, para aqueles que estão na moda). Essas são algumas das mesmas técnicas que ajudam sites de notícias e blogs a aumentar seus resultados de pesquisa, artificial ou de maneira justa, para serem notados no Google. Estes não são encontros aleatórios; eles são direcionados a resultados relevantes e tópicos, na esperança de atingir o maior número possível de vítimas.
O objetivo ainda é o mesmo: mantenha-se seguro, clique com inteligência e obtenha algum tipo de software de segurança.
