一项针对反钓鱼工具条的新研究的结果表明:所有反钓鱼工具条的效果都不怎么样。
一周前,美国弗吉尼亚州Herndon的SSmartWare咨询公司发表了一篇报告,文中向人们宣布Mozilla Firefox 2.0的反钓鱼能力最强,而一个月前3Sharp LLC则报道称微软的IE7.0是最好的(参照“Mozilla:Firefox反钓鱼工具优于IE7”)。
但是,无论他们的方法论看起来多么的独立,这些报告都是由Mozilla和微软发起的,这就使其在很多人看来稍微有点不可靠。
相反地,这项新研究,“找到Phish:对诸反钓鱼工具条的评估”,是由匹兹堡的卡耐基梅隆大学的研究人员发起的,由美国国家自然科学基金和美国军事研究所资助的。
该研究评估了10种浏览器工具条:微软IE7,Microsoft Explorer 7, eBay, Google, Netcraft (Mozilla), Netscape, Cloudmark (Mozilla), Earthlink, Geotrust的 TrustWatch, 斯坦福大学的Spoofguard, 以及McAfee的SiteAdvisor。
即使是最好的那几个——Earthlink, Netcraft, Google, Coudmark, 和Explorer 7——也仅仅检测到85%的诈骗网站,这种效率远远达不到安全标准。其他工具条则只能检测到不足50%的诈骗站点,而McAfee的SiteAdvisor则一个也检测不出来。
“总的来说,我们发现本次评估的这些反钓鱼工具条远远没有达到人们期望的水平,”作者总结说。“被测试的这些工具条中很多也无法防御一些简单攻击。”
大多数的工具条都有一定程度的出错情况,一些合法站点会被错误地识别为钓鱼站点。研究者认为这种问题几乎跟没有识别真正钓鱼站点一样严重,因为不断地警告用户注意一些合法的站点,会促使用户忽略所有的警告,包括那些对真正钓鱼站点的警告。
对SiteAdviser的评价也许会招来McAfee Inc的非议,该公司曾因几周前微软赞助的、由3Sharp公司进行的钓鱼工具条测试中该产品的糟糕表现大动肝火。McAfee事后声明该产品不是用来过滤钓鱼软件的,为此事还在继续与3Sharp公司争论。
尽管他们的实验理论非常完备,研究人员并没有对McAfee无任何防钓鱼站点能力作出解释。SiteAdvisor的表现甚至没有达到其他产品的一般水平。事实上,该软件可能没有任何防钓鱼的功能——无论McAfee在他们的站点上怎么描述的——这一点并没有被该小组接受。
研究人员对浏览器的防钓鱼安全性进行了几个一般试验,第一个也是最明显的就是小心的使用这些过滤器——没有工具条能达到识别所有的诈骗站点这种程度的可靠性,不足以作为公司的防御工具。
第二点,间接地评估,就是评估运行过滤器的浏览器品种——Mozilla还是IE——并没有多大差别。引起问题的主要原因是这些工具所使用的启发式识别站点方法的效率问题,还有从用户自己角度进行的软件设计的可用性。