Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

KSN: Analiza przeglądarek internetowych

Siergiej Golowanow
Kaspersky Lab Expert
Dodany 22 października 2012, 13:55 CEST
Tagi:

W dzisiejszych czasach cyberprzestępcy są niesamowicie szybcy w wykorzystywaniu luk w popularnych aplikacjach, takich jak: Adobe Reader, Flash i Java. Powód tej popularności jest prosty: exploity dla luk obecnych w tych programach mogą infekować komputery bez względu na używane przeglądarki internetowe czy systemy operacyjne. Założyliśmy, że zagrożenia dla użytkowników nie płyną z wyboru przeglądarki internetowej i przeprowadziliśmy kilka badań, aby sprawdzić to założenie.

Grafika opublikowana dzięki uprzejmości operatorów witryny PCMAG

Źródło danych

Kaspersky Security Network (KSN), chmura Kaspersky Lab, gromadzi anonimowe statystyki wszelkich zagrożeń, wykrytych na komputerach użytkowników, którzy dobrowolnie przystąpili do tego programu. Informacje te są następnie wykorzystywane do blokowania nieznanych szkodliwych programów, co również odbywa się za pośrednictwem chmury.

Dla celów badawczych wyróżniliśmy 10,5 miliona komputerów w różnych miejscach na całym świecie. Te komputery regularnie wymieniają dane z KSN (http://www.kaspersky.pl/ksn) informacjami na temat szkodliwego kodu wykrywanego w internecie.

Kiedy zagrożenia internetowe, takie jak złośliwe skrypty, exploity i zainfekowane pliki, zostaną wykryte na serwerze przez przeglądarkę starającą się uzyskać do nich dostęp, KSN otrzymuje informacje o nazwie przeglądarki i jej sumie MD5. Analizując dane pochodzące z KSN, możemy uzyskać statystyki dotyczące przeglądarek internetowych, zainstalowanych na komputerach naszych klientów.

Najpopularniejsza przeglądarka

Na początek dane pokazujące popularność różnych przeglądarek, zainstalowanych na przykładowych komputerach:

Przeglądarka Liczba użytkowników
CHROME 3 472 506
INTERNET EXPLORER 3 324 190
FIREFOX 3 096 316
OPERA 1 575 880
SAFARI 7648
Całkowita liczba użytkowników 10 406 291

Wskaźnik popularności przeglądarek internetowych zainstalowanych na komputerach użytkowników

Google Chrome posiada największą liczbę użytkowników. Ten werdykt jest zgodny z wynikami wielu innych badań (np. http://en.wikipedia.org/wiki/Usage_share_of_web_browsers).

Wykazaliśmy również, że:

  • tylko około 10% użytkowników posiada na komputerze jednocześnie dwie przeglądarki internetowe;
  • w 50 - 60% przypadków, na komputerach zainstalowane są najnowsze wersje przeglądarek.

 

Właściwości przeglądarki

Przyjrzeliśmy się, które przeglądarki są instalowane przez użytkowników zgodnie z systemem operacyjnym.


Informacje o systemach operacyjnych i przeglądarkach internetowych zainstalowanych na komputerach użytkowników

Na tym diagramie wyraźnie widać, że większość wybranych przez nas komputerów pracuje pod kontrolą systemu operacyjnego Windows 7 x64. Na tych komputerach najczęściej występującą przeglądarką jest Internet Explorer. Internet Explorer cieszy się również sporą popularnością wśród użytkowników systemów Windows 7 (w wersji 32-bitowej), Windows Vista i Windows XP.

Firefox najczęściej jest uruchamiany na Windows XP Professional; Chrome zazwyczaj pracuje na "profesjonalnych" wersjach Windows 7.

Należy podkreślić, że "domowe" wersje systemów operacyjnych są zazwyczaj wykorzystywane przez zwykłych użytkowników domowych. Profesjonalne wersje systemów Windows XP i Windows 7 są ogólnie preferowane przez użytkowników "zaawansowanych".

Jakie są zagrożenia?

Kontynuując nasze badania, zestawiliśmy współczynniki dla zagrożeń najczęściej napotykanych przez użytkowników każdej przeglądarki.


20 najpopularniejszych zagrożeń, z jakimi borykają się użytkownicy poszczególnych przeglądarek

Na czołowych pozycjach powyższej listy widać werdykty aplikacji antywirusowych, które wskazują na grupy szkodliwych obiektów:

WMUF:(blocked) – złośliwe witryny, do których dostęp został zablokowany.
HEUR:Trojan.Script.Generic – złośliwe skrypty.
HEUR:Trojan.Script.Iframer – skrypty, które zwracają IFRAME'y do zainfekowanych witryn.
UFO:(blocked) – złośliwe strony lub pliki, do których dostęp zablokowała chmura.
HEUR:Trojan.Win32.Generic – pliki wykazujące złośliwe zachowanie.

W tych zestawieniach można również zobaczyć, które szkodliwe programy są najczęściej wykrywane na komputerach użytkowników korzystających z konkretnych przeglądarek.

Na komputerach użytkowników Firefoxa najczęściej wykrywane są exploity luk w oprogramowaniu firmy Adobe: Exploit.JS.Pdfka, Trojan-Downloader.JS.Expack, Exploit.SWF.CVE-2011-0611.

Użytkownicy Chrome'a najczęściej napotykają niepożądane aplikacje adware: not-a-virus:AdWare.Win32.iBryte, not-a-virus:AdWare.Win32.ScreenSaver, not-a-virus:HEUR:AdWare.Win32.SweetIM.

Użytkownicy Internet Explorera najczęściej borykają się z rozszerzeniem przeglądarki w postaci adware: not-a-virus:WebToolbar.Win32.MyWebSearch i złośliwego adware: Trojan.JS.Popupper.

Użytkownicy przeglądarki Opera są nękani przez szkodliwy program Trojan-Downloader.SWF.Voleydaytor.h, który jest wdrażany przez cyberprzestępców na zainfekowanych stronach internetowych.

Nic szczególnego nie spotyka użytkowników przeglądarki Safari.

Różnice w wykazach złośliwego oprogramowania są częściowo powodowane przez osobliwości w działaniu danej przeglądarki, np. w sposobie, w jaki obsługuje ona pliki PDF lub używa technologii piaskownicy.

Na wyniki mają również wpływ różnice w tym, co użytkownicy robią na swoich komputerach. Na przykład, użytkownicy "zaawansowani" są bardziej aktywni online niż użytkownicy domowi, dlatego najprawdopodobniej częściej odwiedzają strony zawierające exploity.

Liczba odpartych ataków

Porównajmy liczbę powiadomień o atakach odpartych w przeglądarkach.

Przeglądarka Liczba zablokowanych ataków
CHROME.EXE 73 770 843
FIREFOX.EXE 65 941 246
OPERA.EXE 52 931 615
IEXPLORE.EXE 33 892 596
SAFARI.EXE 114 526
W sumie 226 650 826

Liczba ataków zablokowanych przez przeglądarkę

Mimo, iż Internet Explorer jest na drugim miejscu pod względem popularności, to jest też drugi od końca pod względem zablokowanych ataków.

Jeśli porównamy liczbę ataków, które przeciętny użytkownik każdej przeglądarki napotkał we wrześniu 2012 r., to otrzymamy następujący obraz:


Średnia liczba zablokowanych zagrożeń przypadająca na użytkownika przeglądarki

Jak widać na rysunku, średnia liczba ataków odpieranych na komputerach użytkowników Chrome'a i Firefoxa jest bardzo podobna, i prawie taka sama, jak średnia dla wszystkich użytkowników przeglądarek.

Użytkownicy Internet Explorera stanęli w obliczu najmniejszej liczby ataków, z kolei posiadacze Opery byli atakowani najczęściej.

Możemy przypuszczać, że użytkownicy domowi, którzy wolą Internet Explorera, zazwyczaj odwiedzają ograniczoną liczbę popularnych witryn. W konsekwencji, ich komputery są rzadziej atakowane przez cyberprzestępców niż komputery "zaawansowanych" użytkowników innych przeglądarek, którzy mają tendencję do wykazywania bardziej ryzykownych zachowań w internecie.

Wnioski

Podsumowując, chcielibyśmy przedstawić kilka ważnych punktów:

  1. Chrome jest najpopularniejszą przeglądarką internetową wśród użytkowników produktów Kaspersky Lab, którzy brali udział w badaniu.
  2. Użytkownicy "domowych" wersji systemu Windows chętniej korzystają z Internet Explorera.
  3. Użytkownicy Opery odparli największą liczbę ataków.
  4. Nie było dowodów ukierunkowanych ataków, które cyberprzestępcy wykorzystywali przeciwko konkretnym przeglądarkom. Jednak, istnieją konkretne profile zagrożeń internetowych, które można powiązać z grupami użytkowników każdej popularnej przeglądarki. Skojarzenia te odzwierciedlają stosowanie odpowiednich technologii zabezpieczeń w przeglądarkach internetowych i profile zachowań sieciowych ich użytkowników.

Przeprowadzone badanie oczywiście nie jest kompletne ponieważ nie uwzględnia analizy geograficznego rozmieszczenia użytkowników przeglądarek. Również zagrożenia skupione razem w kategoriach heurystyki i werdyktów zachowań wymagają dalszej analizy. Może stać się to przedmiotem przyszłych publikacji. W tym miejscu chcę podziękować Jurijowi Namiestnikowowi i Kaspersky Lab Database Design & Development Group, których pomoc okazała się nieoceniona podczas prowadzonych badań.