Разработчики Google создали систему защиту, имеющую клиентскую и серверную части и использующую «белые», «черные» списки, а также характеристики исполняемых файлов для обнаружения 99% опасных загрузок.
Впервые разработка CAMP была анонсирована в феврале на ежегодной конференции в Сан-Диего. Система предназначена для браузера Google Chrome, в ее основе лежит анализ списков адресов, параметров файла и его сертификатов для идентификации потенциально опасных программ.
Разработчики CAMP ставили основной целью устранение слабых сторон использования списков при обнаружении двоичного кода вредоносного ПО. Создатели системы утверждают, что 70% угроз могут быть обнаружены локально на машине пользователя, для идентификации оставшихся 30% потребуется загрузка на специализированный онлайн сервис Google. Проведение анализа файлов преимущественно на клиентской стороне системы является важным критерием в защите конфиденциальных данных пользователя.
При использовании облачных антивирусных технологии большинство исполняемых файлов загружаются на удаленный сервер, что негативно сказывается на сохранении конфиденциальности пользователя.
CAMP лишь частично использует облачные технологии для проверки только тех файлов, с которыми не справилась клиентская часть. Таким образов большинство файлов никогда не покидает браузер и данные о загрузках не передаются третьей стороне.
Использование непосредственно браузера вместо удаленного сервера является главным отличием CAMP от технологии SmartScreen корпорации Microsoft, применяемой в Internet Explorer для защиты от вредоносных файлов и ссылок.
Уровень обнаружения зараженных файлов основными антивирусами колеблется между 35% и 70%, в то время как CAMP по заявлениям разработчиков обнаруживает 98,6% подобных угроз. Во время тестирования CAMP, система в течение 6 месяцев работала на компьютерах 200 миллионов пользователей и успешно справлялась с 5 миллионами вредоносных загрузок в месяц.
При первичном анализе исполняемых файлов используются «белые» и «черные» списки известных угроз. Если эти меры не принесли результата, CAMP обращается к облачной технологии браузерной защиты Google для глубокой проверки файла. Для этого система защиты собирает самую полную и формацию о загрузки, а именно: IP адрес сервера, на котором расположен сайт загрузки, конечная ссылка загружаемого файла, размер исполняемого файла, хэш-суммы и прикрепленные сертификаты.
Браузер также регистрирует, откуда пользователь пришел на страницу загрузки. Эта информация очень важна для определения цепочки редиректов, используемых для маскировки первоначального адреса. Множественные реферальные ссылки часто являются показателем вредоносного ПО.
После сбора всей необходимой информации, CAMP отправляет ее на соответствующие сервера Google, которые в свою очередь проводят анализ и определяют, является ли файл безопасным, вредоносным или неизвестным. Соответствующая директива отправляется в браузер, который выводит пользовательское оповещение или предупреждение.
По мнению эксперта из компании Vigilant Лэнса Джеймса CAMP не может гарантировать полную безопасность пользователя, т.к. не учитывает вредоносные эксплойты, использующие уязвимости самого браузера. Подобные виды угроз как правило представляют собой вложения электронной почты от недостоверных источников, активизирующиеся при клике. Джеймс утверждает, что даже если CAMP способен противодействовать 99% вредоносных загрузок с помощью браузера, система безоружна против 99% вирусов, невидимых браузеру, а это представляет собой серьезную проблему.
Представители Google признают, что браузерные уязвимости - это не та задача, на которой они акцентировались при разработке защиты CAMP. CAMP создавалась, как система защиты от загрузок пользователем вредоносных файлов, например с социальных сетей.
Высокий уровень обнаружения CAMP и включение системы защиты в браузер Google Chrome безусловно изменит приоритеты в сфере киберпреступности. Злоумышленники попытаются изменить тактику атак, чтобы не допустить обнаружения, а это в свою очередь снизит эффективность CAMP. По мнению Джеймса это ни что иное, как игра в «кошки-мышки».
В официальных заявления разработчиков Google говорится, что при использовании встроенной в браузер защиты CAMP больше нет необходимости в онлайн антивирусных сервисах, таких как McAfee SiteAdvisor и Symantec Safe Web.
Google уже в этом году представил систему фильтров для защиты от опасных загрузок. Сайты с потенциально опасным ПО обнаруживаются и блокируются с помощью технологии Safe Browsing Service от Google.
Подробная информация о Content-Agnostic Malware Protection (CAMP)
Последние обзоры и тесты
• Лучший антивирус 2024: Тестирование антивирусов для Windows 11 на максимальных настройках защиты
• AV-Test 2024: Лучшие антивирусы для защиты от шифровальщиков и инфостилеров
• AV-Comparatives 2024: Лучшие антивирусы для защиты от целевых атак
• Антивирусы с минимальным влиянием на производительность Windows ПК – AV-Comparatives 2024
• AV-Test 2024: Тестирование 31 антивируса для Windows. Как антивирусы справляются с реальными атаками
• AV-Test 2024: Лучшие антивирусы для Windows 11 и Windows 10