Na redakční otázky odpovídá Karel Obluk, Technický ředitel, AVG Technologies

1) V jakých případech je nasazení URL filtrace žádoucí – a v jakých naopak nikoliv?

URL filtrace, tedy filtrace přístupu na některé webové stránky na základě URL, může mít význam především v korporátním prostředí, kde si zaměstnavatel přeje nějakým způsobem omezit množinu míst, na která se zaměstnanci na Internetu mohou dostat. Použití této techniky k čemukoliv jinému mi připadá jako dosti neefektivní; zejména pro zabezpečení proti webovým infiltracím je detekce na základě URL velmi neúčinná. Podle našich průzkumů až 65% infikovaných URL existuje méně, než 1 den. Podstatně účinnější je tedy analyzovat obsah dat, která jsou doručována na klienta

2) Jakou účinností se vyznačují dnešní systémy filtrace obsahu?

Pokud je systém založen na analýze obsahu webové stránky, je účinnost detekce škodlivého kódu poměrně vysoká. Stejně tak je poměrně dobře možné detekovat stránky s tzv. „rogue antispyware“ programy – tedy programy, které jsou škodlivé, ale předstírají, že jde o anti-spyware či antivirus. Zatímco v detekci malware se dostáváme filtrací obsahu až někam nad 80% úspěšnost, tyto techniky mohou jen stěží fungovat pro tzv. phishing, kdy je cílová falešná stránka věrnou kopií originální stránky a škodlivý kód je skryt na serveru. Tam je potom nutné zapojit další mechanismy, které ověřují i samotné URL, DNS záznamy a podobně. V každém případě však platí, že je nutné kombinovat více vrstev ochrany, spoléhat se jen na jediný modul v dnešní době rozhodně nestačí.

3) Co představuje z technického hlediska největší výzvu při filtrování obsahu?

Problémů je celá řada, počínaje detekcí šifrovaného obsahu, přes složité útoky zneužívající nějaké konkrétní slabiny HTTP protokolu až po „banální“ problém rychlosti, resp. vnímání rychlosti uživatelem. Důležitý je totiž především subjektivní pocit uživatele – takže i když při objektivním měření zjistíte, že stránka se načítá prakticky stejně rychle s filtrem i bez něj, je důležité také jak rychle a v jakém pořadí se zobrazí první objekty a text stránky; to je někdy docela oříšek.

4) Jakým způsobem ošetřit filtrování obsahu, který je šifrovaný?

Metod je několik v zásadě je nutné mít zapojené filtrování na více vrstvách a detekovat tak i již dešifrovaný obsah stránky. Na druhou stranu moderní prohlížeče validují použité certifikáty, takže počet stránek se škodlivým obsahem poskytovaných prostřednictvím https není nijak vysoký