Мы продолжаем серию публикаций о безопасности в интернете, начатую рассказом о фишинге. Сегодня — об устройстве антивирусной системы Яндекса и способах обезопасить себя от вирусов в интернете.
Яндекс обрабатывает миллионы поисковых запросов. Ежедневно пользователи совершают около 50 миллионов переходов с поиска Яндекса на сторонние ресурсы — веб-страницы, которых к настоящему моменту насчитывается более 700 миллионов.
К сожалению, кроме полезных сайтов встречаются и те, которые:
• пытаются при просмотре заразить компьютер пользователя вирусами;
• предлагают пользователям загрузить и запустить заражённые файлы;
• обманывают пользователя, чтобы получить его учётную запись или подписать на платные услуги с помощью SMS.
По оценкам Яндекса, доля таких сайтов в интернете не превышает одного процента, однако порой злоумышленники взламывают и заражают очень популярные сайты, которые посещают десятки и сотни тысяч пользователей в день.
Чтобы защитить пользователей от случайного перехода на такие страницы, Яндекс предупреждает о них в Поиске, Почте, Яндекс.Браузере, Элементах для Firefox, Яндекс.DNS, а также других сервисах и приложениях.
Существует несколько простых правил, которые помогут вам избежать заражения:
1. Следите за обновлениями операционной системы и браузера и используйте их последние версии.
2. Установите антивирус. Существует достаточно много бесплатных антивирусов, их список можно найти, например, в разделе «Помощь» на Яндексе.
3. Включите и настройте файрволл.
4. Используйте легальные копии программного обеспечения и скачивайте их только с официальных сайтов.
5. Используйте сложные пароли.
Современная веб-страница состоит из множества элементов. Это не только разного рода контент — тексты или изображения, — но и различные стили CSS, модули Java Script и полноценные программы. Как правило, эти программы выполняют полезную роль, например, оптимизируют разметку страницы под разрешение монитора пользователя или подсчитывают стоимость товаров в корзине. Однако при помощи этих элементов страницы, а также уязвимостей в браузерах и их дополнениях злоумышленники пишут программы, которые могут устанавливать и запускать вирусы на компьютере пользователя.
Переход на веб-страницы с подобными программами с большой вероятностью приведёт к заражению компьютера. Заражение при просмотре страниц сегодня происходит чаще, чем по локальной сети, при скачивании файлов из интернета или копировании файлов с заражённого компьютера.
Вредоносный код чаще всего внедряется на сайты злоумышленниками, которые каким-либо образом получили доступ к серверам или системе управления сайтом. Кроме того, источником заражения могут быть коды баннерных систем, счётчиков и другой сторонний код, который вставляют на страницу владельцы сайтов. Баннерные системы могут быть взломаны так же, как и любые другие сайты, и владельцы сайтов, разместившие у себя заражённый баннер, могут даже не подозревать об этом.
Сайт, который ещё вчера был безопасен, сегодня может быть заражён. Чтобы знать, какие сайты представляют опасность в данный момент, Яндекс ежедневно проверяет десятки миллионов страниц и находит тысячи новых заражённых сайтов.
Для проверки сайтов Яндекс использует две антивирусные технологии: одна принадлежит компании Sophos, другая — собственная разработка Яндекса.
Технология Sophos построена на сигнатурном методе. Она проверяет код страницы на наличие определенных фрагментов (они называются сигнатурами), которые содержатся в базе вредоносных кодов. Это очень похоже на анализ текста на присутствие «плохих» слов или словосочетаний. Основное преимущество этого метода — скорость, а главный недостаток — невозможность поиска новых, ещё неизвестных вирусов.
Собственный антивирусный комплекс Яндекса использует анализ поведения и направлен как раз на выявление новых типов угроз. Антивирусная программа открывает исследуемый сайт и анализирует его поведение. Она проверяет, запрашивает ли браузер при просмотре сайта какие-нибудь дополнительные файлы, перенаправляет ли на другие страницы и так далее. Если при просмотре сайта какая-то программа начинает работать без ведома пользователя, то, скорее всего, сайт заражён. Он объявляется опасным для посещения, а код, который отвечает за такое поведение, добавляется в базу вирусных сигнатур. Теперь этими результатами может воспользоваться первый, более быстрый, метод анализа, а также чёрный список. Работая в паре, оба метода дополняют друг друга и позволяют быстро и надежно анализировать сайты в интернете.
Яндекс предупреждает не только пользователей, но и владельцев заражённых сайтов. Они могут следить за состоянием своего ресурса с помощью сервиса Яндекс.Вебмастер. В случае обнаружения вируса вебмастеру будет выслано письмо с предупреждением. Сайт, на котором Яндекс нашел вредоносное содержимое, обязательно будет перепроверен через какое-то время. Если в ходе повторной проверки окажется, что сайт всё ещё заражен, интервалы между перепроверками начнут увеличиваться. Чем раньше сайт будет обеззаражен, тем быстрее Яндекс узнает об этом и снимет пометку об опасности для пользователей.