Strid om vern mot skadevare i IE9

Strid om vern mot skadevare i IE9

Sophos-forsker langer ut mot sikkerhetsmekanisme i Internet Explorer 9.

En ny funksjon i Internet Explorer 9 skal hindre at skadelig programvare lastes ned til pc-en via nettleseren. Funksjonen kalles SmartScreen Application Reputation, og bruker ”omdømmet” til en applikasjon for å avgjøre om den bør lastes ned uten advarsel eller ei.

Dette omdømmet er basert på koden og en unik signatur tilordnet denne. Dersom en applikasjon er lastet ned mange ganger, eller er sertifisert av visse sertifikatutstedere, har den et godt omdømme.

Microsoft bruker dette for å spørre/advare mot filer med svakt eller dårlig omdømme. Eller til å la være å spørre om applikasjoner som er godkjente. Tidligere har IE hatt vern mot skadevare gjennom å blokkere nettstedsadresser (URL) etter omdømme og delvis etter innhold.

I en bloggartikkel forklarte produktsjef Jeb Haber i Microsoft om virkemåten i IE9 og framholdt at AppRep stopper angrep som er blodferske. Statistikken Haber viser til er at 99 prosent av IE9-brukere sa nei når de ble advart mot en helt fersk applikasjon. En av fjorten nedlastinger viste seg å inneholde skadevare og ble blokkert av IE9.

- Microsoft sammenligner epler med ingenting. IE9 klarer ikke å blokkere applikasjoner som lastes ned til Adobe Reader og Flash, Apple Itunes eller Oracle Java. Dermed er ikke trusselbildet komplett, sier Chet Wisniewski, som er sikkerhetsforsker i sikkerhetsselskapet Sophos til Computerworlds nyhetstjeneste.

Sikrer ikke mot tredjepartsverktøy

Wisniewski påpeker at disse tredjepartsverktøyene de siste årene har tatt over som angrepsmål etter hvert som Windows-plattformen har blitt stadig sikrere. Angripere går etter hva som enklest kan angripes for å generere store penger. Der er mye brukte konsumapplikasjoner som Itunes eller allestedsnærværende Java sentrale.

Sophos-forskeren hevder at uten at disse er tatt med gir tallene for nettsikkerhet feil resultat. Angrep via web foretas på flere måter enn ved aktiv nedlasting, og han mener dette må med for å få et komplett bilde av sikkerheten for nettlesere.

Han kritiserer også det han mener er for høy andel falske advarsler. Omdømmevarsling innebærer at bare en av ti nedlastinger anses utrygg. Av disse ti er mellom tredve og syttifem prosent helt OK. Wisniewski frykter at det vil få brukerne til å gå så lei av gale feilmeldinger at de aksepterer nedlasting selv for reelle trusler.

Sertifikater kan stjeles

Wisniewski mener den andre siden av trusselen er at applikasjoner som er så nye at de ikke er ”godkjent” etter omdømmetesten kan få en knekk. Dersom brukere blir vant til å svare nei til nedlasting, kan det ramme legitime applikasjonsutviklere.

Han advarer også mot å stole for mye på signerte og sertifiserte applikasjoner. Slike applikasjoner kan gå under AppRep-radaren dersom noen stjeler digitale sertifikater og signerer skadevare-applikasjoner med dem. Dette har skjedd ved et par kjente tilfeller det siste året.

Blant produktene Sophos leverer er også sikkerhetsprogramvare for alle typer nettlesere basert på egenutviklet omdømmeteknologi.

Microsoft understreker på sine sider at alle pc-er må sikres med antiskadevareverktøy som tar flere typer virus og annen skadevare. De tilbyr blant annet sin egen basale sikkerhetspakke gratis for hjemmebrukere og småbedrifter med opp til ti brukere.

Les mer: Windows 7 sliter med mer skadevare .