For to uker siden vakte et sikkerhetshull i Microsofts nettleser Internet Explorer oppsikt verden over. Fra flere hold, blant annet Norges sikkerhetsmyndighet NSM, ble brukere oppfordret til å velge en annen nettleser. (Ikke alle var enige: Rik Ferguson i Trend Micro advarte mot å bytte ut IE.)
Torsdag publiserte NSS Labs, et kjent amerikansk testlaboratorium, de to første rapporter i en serie om sikkerhet i nettlesere.
I begge rapportene er konklusjonene entydig: Det er mange ganger større risiko å surfe med Safari, Firefox og Chrome enn med Internet Explorer (IE).
Begge rapportene er gratis tilgjengelig. Opera er ikke med i NSSs tester.
Poenget her er følgende: Det ble for to uker siden avdekket en sårbarhet i IE som ga uvedkommende mulighet til dyptgripende angrep mot brukerens pc, og det ble klart at muligheten hadde vært utnyttet. NSS-testene bestrider ikke dette. De tar derimot for seg nettlesernes allmenne sikkerhetsegenskaper, i første omgang evnen til å blokkere ondsinnet kode fra infiserte nettsteder, og evnen til å sperre mot såkalt klikksvindel, og tester dem over tid.
NSS-testene avdekker et gap i sikkerhetsnivå som stiller Apple, Google og Mozilla overfor et forklaringsproblem. Hadde det dreid seg om en kollisjonstest for biler ville de fått null stjerner mot seks til IE. Myndigheter som advarte mot IE for to uker siden, har også et forklaringsproblem.
Den første NSS-rapporten handler om nettlesernes evne til å blokkere ondsinnet kode spredd gjennom surfing. Dette er viktig, fordi smitte spredd fra nettsteder bryter ofte gjennom bedrifters og pc-ers øvrige forsvarsmekanismer. Bruken av SSL reduserer ytterligere disse øvrige forsvarsmekanismenes mulighet til å hindre smitte fra ondsinnede nettsteder. For brukere med bærbare pc-er som ofte befinner seg utenfor bedriftens brannmurer, er nettleserens evne til å blokkere ondsinnet kode en del av førstelinjeforsvaret.
NSSs test av nettlesernes evne til å blokkere smitte gjennom ondsinnede nettsteder ble kjørt døgnet rundt i en periode på 175 dager fra 2. desember 2011. Det ble brukt identiske virtuelle pc-er under Windows 7. Nettleserne ble oppgradert løpende etter hvert som oppgraderingene ble gjort tilgjengelig. Det ble til sammen benyttet 84 396 nettadresser med aktiv smitte, som alle var sport opp «i det fri» av NSS. Hver nettadresse ble aksessert gjentatte ganger med seks timers mellomrom, helt til den ikke lenger var aktiv. Hver nettleser ble utsatt for en ondsinnet nettadresse over 750 000 ganger.
Blokkeringsratene varierer enormt. Som grafen øverst viser, ligger IE jevnt på rundt 95 prosent, mens Safari og Firefox ligger jevnt på under 6 prosent. Sagt på en annen måte: IE sperrer 19 av 20 ondsinnede nettadresser. Safari og Firefox lar 19 av 20 slippe til.
Blokkeringsraten til Chrome varierer mellom 13 prosent og 74 prosent. Det gjenspeiler trolig at teknologien i Chrome er i stand til å «lære» underveis, og at de kriminelle på sin side også er i stand til å lære hvordan forsvarsmekanismene kan omgås.
Den andre rapporten dreier seg om nettlesernes evne til å sperre for klikksvindel.
Klikksvindel betyr at kriminelle elementer bruker falske annonseklikk til å tappe nettannonsører for penger. Den direkte skaden på brukeren hvis pc misbrukes til å utløse falske annonseklikk er minimal. Men klikksvindel er en del av den kriminelle økonomien på internettet, og bidrar til å finansiere andre typer svindel mot både bedrifter og individuelle brukere. Nettsteder og annonsedistributører tjener mer på en annonse jo oftere den klikkes på. Useriøse aktører kan følgelig la seg friste til å være med på klikksvindel for å øke inntektsstrømmen. Seriøse annonsedistributører tar imidlertid tiltak for å avdekke klikksvindel.
Klikksvindel foregår ved å spre spesielt tilpasset kode fra tilsynelatende normale nettsteder. Klikksvindelinfiserte nettadresser har kort levetid, knapt to til tre døgn, blant annet for å unngå å bli avslørt.
Den store utbredelsen av klikksvindel gjør at også nettleserleverandører er presset til å bidra med mottiltak. Her er det stor forskjell mellom nettleserne, og igjen er IE suveren.
NSS-testene viser at IE sperrer klikksvindel i over 96 prosent av tilfellene. Sperreratene til Firefox og Safari er begge under 1 prosent.
Chrome sperrer for 1,6 prosent. Som produkt av et børsnotert selskap som lever av nettannonser, kan man undres over hvorfor Chrome ikke er på høyde med IE i kampen mot klikksvindel.
NSS har målt sperrerater mot klikksvindel for de fire amerikanske nettleserne i over tre år. Målingene gir blant annet grunnlag for å beregne fordelingen av falske annonseklikk per nettleser. Grafen nedenfor viser antall klikksvindelnedlastinger per nettleser de siste tre årene.
Chromes økende popularitet gjør at Googles nettleser har tatt over etter Firefox som den primære formidleren av klikksvindel.
– Med mindre Chrome bedrer sitt vern mot klikksvindel, vil hyppigheten av falske annonseklikk øke i tiden framover, advarer NSS.
Ondsinnet kode for klikksvindel bør i prinsippet kunne sperres på linje med annen ondsinnet kode som distribueres gjennom smittede nettadresser. I praksis er det ikke slik, med unntak av IE.
IE sperrer 95 prosent av all ondsinnet kode, fordelt på 97 prosent av klikksvindelkode og 92 prosent av annen ondsinnet kode.
For de tre øvrige nettleserne er suksessraten mot klikksvindel langt lavere enn mot annen ondsinnet kode. Chrome sperrer 26 prosent av annen ondsinnet kode, men bare 1,6 av klikksvindelkode. Både Firefox og Safari sperrer over 6 prosent av annen kode og under 1 prosent av klikksvindelkode.
