Przeglądarka powinna być bramą do bezpiecznego internetu dla każdego użytkownika – wychodzą z założenia twórcy Google Safe Browsing. Jak ta koncepcja sprawdza się w praktyce i jaka jest historia tej popularnej usługi?
Przeglądając strony internetowe, jesteśmy codziennie narażeni na różne niebezpieczeństwa wynikające z próby kradzieży danych lub zainstalowania na naszych urządzeniach szkodliwego oprogramowania. Choć producenci systemów operacyjnych starają się cały czas ulepszać swoje produkty tak, aby zminimalizować możliwości ataku na użytkowników, to większość czynności w internecie robimy dziś za pomocą przeglądarek internetowych – i to właśnie one powinny być pierwszą linią obrony przed zagrożeniami w sieci.
Problem bezpiecznego przeglądania po raz pierwszy dostrzeżono w 2005 roku. Google zdało sobie wtedy sprawę, że użytkownicy usług tego koncernu (a właściwie wszyscy użytkownicy sieci) narażeni są na gwałtownie rosnącą liczbę nadużyć i przestępstw.
Na początku usługa bezpiecznego przeglądania Google wyłącznie ostrzegała użytkowników, że dana strona internetowa może próbować skłonić ich do zrobienia czegoś szkodliwego.
Rok później jednak gigant z Mountain View zaczął oznaczać odnośniki i strony internetowe, które mogły rozpowszechniać złośliwe oprogramowanie. W 2007 roku natomiast usługa zyskała swoją oficjalną nazwę – Google Safe Browsing.
Czym jest Google Safe Browsing?
Usługa działa w tle podczas ładowania każdej strony internetowej, a także wyszukiwania aplikacji w sklepie Google Play na urządzenia z systemem Android. Analizuje potencjalnie szkodliwe zachowania i powiadamia o tym użytkownika. Stworzenie tak potężnego systemu weryfikacji nie było jednak łatwe w kwestii zmagań z problemami oceny i decydowania o tym, czy dana strona bądź program są szkodliwe, czy też nie. Problem ten nie został do końca rozwiązany – mimo to jednak sługa Safe Browsing stała się swego rodzaju filarem i nieodłącznym elementem internetu, jaki znamy.
Według jednego z twórców Safe Browsing – inżyniera Google Nielsa Provosa – na początku największą trudnością było przedstawienie użytkownikowi phishingu w taki sposób, by problem ten był jasny i zrozumiały. Sama słownikowa definicja byłaby dla laika całkowicie bezużyteczna i pozbawiona jakiegokolwiek sensu – twierdzi Provos. Tym bardziej biorąc pod uwagę narastający trend umieszczania na przejętych przez przestępców stronach szkodliwych plików, które automatycznie (ataki typu drive-by downloads) pobierały się na komputer odwiedzających strony osób. Wtedy też – jak wspomina Provos – doszło do połączenia w ramach usługi Safe Browsing ochrony przeciwko phishingowi oraz ochrony przed szkodliwym oprogramowaniem.
Webmasterzy – niczego nieświadome ofiary
Zdaniem innego pracownika Google pracującego nad tą usługą Panajotisa Mavrommatisa w wyniku dokonanej przez koncern analizy okazało się, że większość złośliwego oprogramowania pochodzi z witryn, które same w sobie nie są szkodliwe, ale padły ofiarą ataku hakerów. Właściciele lub administratorzy tych witryn nie zdawali sobie sprawy, że padli ofiarą ataku i byli bardzo zaskoczeni, kiedy dowiadywali się o tym od Google.
“Kiedy po raz pierwszy kontaktowaliśmy się z webmasterami, byli bardzo zaskoczeni tą sytuacją. Zaczęliśmy więc budować narzędzie przeznaczone specjalnie dla nich, które obecnie znane jest pod nazwą Google Search Console. Naszym założeniem było, że trzeba przedstawić powód, dla którego ich strona została zablokowana lub jeśli nie znamy dokładnego powodu, to przynajmniej ujawnić, jakie strony na ich serwerze dystrybuują malware. Chcieliśmy też móc pokazać im choć mały wycinek złośliwego kodu, który został wstrzyknięty na stronę” – tłumaczy Mavrommatis.
Po niemal 10 latach istnienia usługi Google Safe Browsing jest obecne na ponad 3 miliardach urządzeń. Według Mavrommatisa to “trochę przerażające”, ale zarazem – jak twierdzi – uświadamia im to poczucie ogromnej odpowiedzialności, jaka spoczywa na inżynierach. “Jeśli nie wykonamy dobrej roboty w kwestii wykrywania, to użytkownicy będą narażeni na szkodliwe treści” – podsumowuje Mavrommatis.
Phishing – plaga naszych czasów
Około roku 2009 inżynierowie z Google zaczęli pracę nad wykorzystaniem uczenia maszynowego do walki z phishingiem. Wówczas proces ten nie był w pełni zautomatyzowany i uczenie maszynowe było wykorzystywane jedynie do określania, gdzie powinno się w danym momencie przenieść/wykorzystać największą moc obliczeniową. Największe obawy budził fakt, że po raz pierwszy w historii w pełni automatycznie będzie dokonywana ocena tego, czy coś jest phishingiem lub czy dany plik jest złośliwy bądź też nie. Wyzwaniem dla Google pozostaje również walka z false positives.
“Pamiętam dzień, kiedy uczenie maszynowe zaczęło działać i to było coś jak: teraz maszyna jest za to odpowiedzialna. To był wielki dzień i nic złego się nie stało. Pamiętam jednak, że uruchomienie tego narzędzia zajęło nam bardzo dużo czasu. Myślę, że w tamtym momencie wszyscy spodziewaliśmy się, że zajmie nam to kilka tygodni, ale w rzeczywistości upłynęło kilka miesięcy, zanim byliśmy pewni tego, co robimy. Byliśmy świadomi tego, jak destruktywne mogą być skutki naszych działań, jeśli popełnimy błąd” – wspomina pracujący dla Google inżynier sztucznej inteligencji Noe Lutz, który zajmował się wówczas wdrażaniem usługi Safe Browsing.
Nawet najlepszym zdarzają się jednak wpadki, o czym przekonali się internauci w 2009 roku. W wyniku błędu ludzkiego każdy wynik wyszukiwania w wyszukiwarce Google został oznaczony jako szkodliwy/potencjalnie zagrażający użytkownikom. Problem został jednak szybko zauważony i w ciągu ok. 15 minut udało się przywrócić system do prawidłowego działania.
Około roku 2011/2012 doszło do jeszcze większej integracji usługi bezpiecznego przeglądania z produktami Google, w tym z systemem Android, rozszerzeniami do przeglądarki Chrome oraz ze sklepem Google Play. Stworzono osobne zespoły, które zajmowały się integracją usługi z danym produktem oraz współpracowały ze sobą.
Jak zauważa menedżer ds. rozwoju oprogramowania Fabrice Jaubert Google nie może rozkazywać użytkownikom, co mogą, a czego nie mogą robić na stronach internetowych, ale “możemy powiedzieć, co uważamy za dopuszczalne lub nie w odniesieniu do rozszerzeń Chrome lub aplikacji na Androida”.
Niechciane oprogramowanie to też (rosnący) problem
Według Mavrommatisa kolejny ważny etap w rozwoju bezpiecznego przeglądania nastąpił na przełomie roku 2013/2014, kiedy palącym problemem zaczęło być tzw. niechciane oprogramowanie (ang. unwanted software). Problem ten dotyczył przede wszystkim użytkowników komputerów stacjonarnych instalujących programy, w których celowo ukryto złośliwe oprogramowanie. Nieświadomy internauta często nie zdawał sobie sprawy, że po zainstalowaniu np. kolejnej aplikacji do gry w szachy na jego komputerze wyświetla się coraz więcej reklam, a dane, które wpisuje do formularzy w na stronach internetowych, mogą być wysyłane na serwery zewnętrzne kontrolowane przez hakerów.
Dane koncernu Google’a za rok 2014 ujawniły, że ponad 40 proc. skarg zgłaszanych przez użytkowników przeglądarki Google Chrome dotyczyło różnego rodzaju oprogramowania, które było uruchamiane na ich komputerach i miało wpływ na przeglądanie stron internetowych. Niechciane oprogramowanie mogło spowodować m.in. wyświetlanie większej ilości reklam lub zainstalować funkcje, których użytkownicy nie potrzebują. Było to głównym powodem, dla którego zespół Google zaczął doskonalić usługę ochrony pobierania plików oraz ostrzegać użytkowników przed pobieraniem potencjalnie niechcianych lub niebezpiecznych plików.
Czy jedna usługa może rozwiązać wszystkie problemy?
Bezpieczne przeglądanie nie rozwiąże wszystkich problemów, przed którymi stają codziennie internauci. Wszak – jak już kiedyś dostrzegł to Kevin Mitnick – najsłabszym ogniwem jest zawsze człowiek. To on podejmuje decyzję, czy zignorować komunikat i wejść na stronę pomimo wyraźnego ostrzeżenia, czy też opuścić ją. Nawet najlepsze pakiety bezpieczeństwa nie zapewnią najwyższej ochrony bez zdrowego rozsądku ze strony użytkownika. Warto jednak zaznaczyć, że producenci starają się tworzyć często programy zabezpieczające w myśl zasady “zainstaluj i zapomnij”, dostrzegając, że niewiele osób chce być bombardowanych powiadomieniami lub po prostu nie ma wiedzy, czy np. danej aplikacji zezwolić na uruchomienie lub wymianę danych z serwerem producenta.
“Ludzie powinni móc oczekiwać, że domyślnie sieć jest bezpieczna i łatwa w obsłudze. Nie masz obowiązku być ekspertem ds. bezpieczeństwa, aby przeglądać strony internetowe, nie musisz wiedzieć, czym jest phishing, nie musisz wiedzieć, czym jest złośliwe oprogramowanie. Powinieneś oczekiwać, że oprogramowanie powie ci, kiedy coś poszło nie tak” – ocenia menedżer produktu Chrome Security Emily Schechter, podkreślając, że na tym głównie skupia się obecnie działanie usługi Safe Browsing od Google.
Czy Google Safe Browsing jest naprawdę tak bardzo potrzebne?
Jest. Nie wszyscy użytkownicy mają wiedzę o tym, jak działa internet. Świadomość zagrożeń, mimo że sukcesywnie się zwiększa, wciąż pozostaje na relatywnie niewysokim poziomie, a Google Safe Browsing to usługa, która chroni użytkowników nawet wtedy, gdy są tego nieświadomi. Niejednokrotnie zapewne pokazujący się na ekranie komunikat, ostrzegający przed potencjalnie niebezpieczną stroną internetową, uratował komuś „wirtualne życie”, a przynajmniej uchronił go przed instalacją jakiegoś malware na komputerze.
Phishing to z kolei wysoce skuteczna i bardzo popularna metoda ataku, bo użytkownicy – prawda stara jak świat – nie zwracają uwagi na to, w co klikają. Ostrzeżenia na ekranie przeglądarki (a ostatnio również w usługach Google – na przykład w poczcie Gmail) są więc potrzebne, podobnie jak działające w tle algorytmy.
Możesz sam zgłosić podejrzane strony w internecie
Te ostatnie nie są jednak doskonałe i choć do rejestru niebezpiecznych stron Google Safe Browsing co kilka minut trafiają nowe informacje, to warto wiedzieć, że strony możemy też zgłaszać osobiście. Google daje użytkownikom możliwość zgłaszania stron dystrybuujących złośliwe oprogramowanie, a także stron, które mogą służyć do phishingu.
Komentarze
Słaby artykuł. Przede wszystkim bardzo jednostronny, nic nie wspominający o wadach. Po drugie za wiele nie wnosi, o windowsowym Smart Screen też chcielibyście pisać? Dostrzegam też inspiracje artykułem na ten sam temat, który pojawił się na Wired 5 tygodni temu (https://www.wired.com/story/google-safe-browsing-oral-history/)
To windowsowe rozwiązanie (nie tylko Smart Screen bo jest ich kilka) jest o tyle lepsze że zabezpiecza cały komputer a nie tylko przeglądarkę. Blokuje połączenia pod konkretny adres IP nawet jeśli to jakiś program próbuje coś pobrać a nie tylko jak przeglądarka próbuje coś wyświetlić.
Microsoft zrobił wtyczkę pod Chrome które wedle kilku testów jest lepsza niż rozwiązanie od google. Np. czas reakcji na większość strony phishingowych to minuty a nie godziny.
Po prostu rozwiązanie MS jest obecne w we wszystkich domenowych Windowsach od lat mają więc bardzo dobrą i szybką sieć automatycznej detekcji skąd przyszła infekcja na komputer. Przeglądarka nie wie co dalej się dziej e z plikiem który pobieramy więc dopiero po zgłoszeniu użytkownika może wiedzieć że ten plik był zły.
Uważam, że dla każdej strony powinien być obowiązkowy nagłówek Content Security Policy, zwłaszcza dla stron z płatnościami i bankowych. Moim zdaniem na przykład Ticketmaster jest nieświadomie współwinny wyciekom, ponieważ definiując dobrze nagłówek Content Security Policy mógł uchronić swoich klientów.
Gdyby każdy stosował CSP, to Google Safe Browsing przestałby być taki potrzebny, chociaż nie całkowicie.
Szanowna redakcjo Zaufanej Trzeciej Strony, może zrobicie artykuł o tym, jak ważne dla stron internetowych są nagłówki CSP, X-Content-Type-Options, X-Frame-Options, X-XSS-Protection, SRI, a dla stron mocno wrażliwych, typu Ticketmaster i mBank, nagłówek HPKP?
Dla mnie bardzo ciekawy. Pokazał mały wycinek historii usługi i podejście pracowników google. Linki go do formularzy googla na pewno się przyda.
Pewnie że tak.
Artykuł to taki łagodny wstęp, niewątpliwie wymagający rozwinięcia.
Np. jak inne wyszukiwarki np. Yandex (olbrzymi wolumen zapytań i ruchu za naszą wschodnią granicą) radzą sobie ze zgłaszaniem stron zawierających złośliwy kod.
> „Google nie może rozkazywać użytkownikom, co mogą, a czego nie mogą robić na stronach internetowych”
Ten fragment raczej już nieaktualny, choćby w kontekście zdalnego usuwania wtyczek z przeglądarki.