IE9 weert social engineering malware volledig
Gepubliceerd: Maandag 18 juli 2011
Auteur: Tonie van Ringelestijn
IE9 kan 100 procent van de malware-aanvallen via social engineering blokkeren. De browser laat op dit punt zijn rivalen ver achter zich.
Dat blijkt uit een onderzoek (PDF) door beveiligingsbedrijf NSS Labs. Bij aanvallen via 'social engineering' gebruiken criminelen de argeloosheid van eindgebruikers. Die slachtoffers worden ertoe verleid zelf door te klikken om malware vermomd als screensavers, browserplugins of videocodecs te installeren.
Sites die direct kwaadaardige code op een computer uitvoeren, bijvoorbeeld door gebruik te maken van gaten in browsers, zijn in het NSS-onderzoek niet meegenomen. Dit browseronderzoek is in april gedurende 19 dagen uitgevoerd op een reeks Europese malware-URL's.
Reputatiefilter
IE9 scoort met zijn Application Reputation Filter 100 procent in het tegenhouden van social engineering-aanvallen. Zonder Application Reputation blokkeert de Microsoft-browser 76 procent van de aanvallen die gebruikers proberen te manipuleren.
Andere browsers scoren veel slechter met hun filters om sites te blokkeren die via social engineering malware verspreiden. Firefox, Chrome en Safari blokkeren 16 procent van de malware-URL's één dag na het verschijnen. Daarna volgt Opera met 14 procent. IE8 scoort 77 procent.
Internet Explorer haalt positieve resultaten vanwege twee technieken: SmartScreen URL Filter, een cloudsysteem dat webadressen checkt in een database met malware-URL's. Die bescherming is aanwezig in zowel IE8 als IE9. In laatstgenoemde zit ook nog het SmartScreen Application Reputation-filter, een systeem dat kijkt naar de reputatie van de download. Chrome, Firefox en Safari gebruiken alle drie Google's Safe Browser Feed voor de detectie van malware-adressen. Browsermaker Opera gebruikt een systeem van antivirusbedrijf AVG.
Kritiek
Op het browseronderzoek valt wel het een en ander af te dingen. NSS Labs stelt dat social engineering de meest gebruikelijke manier is waarop malware zijn weg naar de pc vindt. Andere aanvallen als click-jacking en drive-by downloads via ongepatchte beveiligingslekken zijn echter ook belangrijke middelen voor malwareverspreiding.
Bij die besmettingsmethodes scoort IE veel slechter dan de concurrentie. In 2008 was een soortgelijk onderzoek door NSS Labs nog omstreden vanwege sponsoring door Microsoft. Ditmaal meldt het onderzoeksbureau niets over subsidiëring.
In mei uitte een onderzoeker van securityleverancier Sophos nog kritiek op Microsofts voorstelling van zaken rond de SmartScreen Application Reputation in IE9. Volgens Microsoft blokkeert het systeem 1 op de 14 downloads wegens malware. Maar Sophos vindt dat die cijfers vergeleken moeten worden met die over het herkennen van exploits. De downloadblokkade in IE9 haalt volgens Sophos ook te veel vals-positieve resultaten (false positives), waarbij de browser ten onrechte waarschuwt voor een legitiem bestand.
