Artykuły dotyczące tematu: antywirusy

dodany: 31.01.2013 | tagi: , , , ,

Instalować – nie instalować? Czy faktycznie nie potrzebujemy antywirusów?

3

Zarzut, że instalowanie oprogramowania antywirusowego to zbędny wysiłek powraca pod różnymi postaciami niczym bumerang. Od testów poszczególnych produktów, przez rządowy malware, po samozwańczych „ekspertów”, którzy upodobali sobie wygłaszanie opinii na wszelkich forach internetowych. Zwłaszcza ci ostatni posługują się zwykle takimi samymi argumentami w kwestii krytyki poszczególnych produktów, próbując powoływać się na swoje doświadczenie. Z powyższych powodów pragnę odnieść się do części argumentów-mitów – tych spotykanych w prawie każdej dyskusji , a zwykle błędnie obieranych jako prawdę.

 

Argument pierwszy: wynik skanowania VirusTotal

VirusTotal to bardzo użyteczne narzędzie do zdobycia wstępnych informacji o danej próbce, ale nie jest on żadnym wyznacznikiem wydajności produktów antywirusowych. Co najważniejsze, jest to opinia samych autorów, którzy nie lubią nadużywania ich usługi w bezsensownym celu. Od lat na ich stronie można znaleźć informacje na ów temat:

 

VirusTotal: druga opinia, nie zamiennik

VirusTotal nie jest zamiennikiem oprogramowania antywirusowego zainstalowanego na komputerze, jedynie skanuje poszczególne pliki/linki na życzenie. Nie zapewnia również stałej opieki systemowej. O naszej usłudze myślimy jako o drugiej opinii dotyczącej szkodliwości plików/linków.

Chociaż współczynnik wykrywania osiągany dzięki użyciu wielu silników antywirusowych jest znacznie wyższy od tego oferowanego przez jeden produkt, otrzymane wyniki NIE GWARANTUJĄ nieszkodliwości pliku/URL-a. Ponadto, wyniki fałszywie pozytywne otrzymane w ten sposób są liczniejsze od pojedynczego skanera. (…)

ZŁY POMYSŁ: VirusTotal jako test antywirusów

Jesteśmy już zmęczeni powtarzaniem, że nasza usługa nie jest zaprojektowana jako narzędzie do przeprowadzania testów i analizy antywirusów, lecz do sprawdzania podejrzanych próbek i wspomagania laboratoriów antywirusowych poprzez informowanie ich o malware, którego ich produkty nie wykrywają. Te osoby, które używają VirusTotal do testowania antywirusów, powinny wiedzieć o wielu błędach w takiej metodologii:

VirusTotal korzysta z konsolowych wersji silników antywirusowych, zatem w zależności od produktu, nie będą one zachowywać się tak samo, jak ich graficzne odpowiedniki. (…)

 

To nie wszystkie błędy w takiej metodologii testów. Oczywistym jest, że silniki używane przez VirusTotal nie są skonfigurowane w identyczny sposób, jak ich odpowiedniki dostępne na rynku. Jeżeli dana próbka nie została wykryta przez VirusTotal, autorzy antywirusa przejmują się tym znacznie mniej niż gdyby prawdziwy, płatny produkt zawiódł.

Po drugie, żadna firma nie dostarcza swoich najbardziej zaawansowanych rozwiązań do systemu, w którym atakujący mogą przetestować swoje nowe dzieło i poprawić je tak, aby było niewykrywalne przez wystarczającą liczbę skanerów.

Po trzecie, VirusTotal nie ma uruchomionych antywirusów w tle, tylko przeprowadza skanowanie na konkretnej próbce. Tym samym nie jest testowana ochrona proaktywna, śledzenie zachowań, skanowanie pamięci i heurystyka. Dlatego wyniki VirusTotal mogą odbiegać od wyników prawdziwych antywirusów.

 

Argument drugi: skanowanie wirusów dostępnych w różnych kolekcjach i narzekanie, że antywirus nie wykrył wszystkiego

Nawet podczas skanowania takiego zbioru za pomocą pełnoprawnego antywirusa, nie używa się go tak, jak zakładają autorzy. Przemysł antywirusowy już dawno zdał sobie sprawę z tego, że nie da się zagwarantować wystarczającej ochrony skanując wyłącznie pliki. W myśl „lepiej zapobiegać niż leczyć”, programiści skupili się na zapobieganiu zainfekowaniu maszyny poprzez uniemożliwianie kontaktu, zamiast wykrywaniu już istniejącej infekcji.

Typowy produkt antywirusowy, a raczej pakiet, zawiera wiele poziomów zabezpieczeń, a skanowanie plików jest ich niewielką częścią. Oferowane funkcje różnią się od produktu, ale najczęściej spotyka się:

  1. Filtrowanie linków i przeglądanych stron, używane, aby zapobiec natknięciu się na podejrzane strony.
  2. Skanowanie HTTP i innych protokołów, aby wyłapać szkodliwą treść zanim trafi do przeglądarki internetowej/odpowiedniego programu.
  3. Wykrywanie exploitów, aby zablokować je zanim będą mogły przejąć kontrolę nad systemem. Nawet jeżeli nie zostanie wykryta konkretna luka, antywirusy często podejmują podstawowe kroki bezpieczeństwa w celu ochrony.
  4. Sieciowe skanowanie na podstawie „reputacji” pliku dostępnej w bazie na serwerze producenta. Wielu użytkowników twierdziło, że taki rodzaj ochrony powinien zastąpić klasyczne antywirusy. Tak naprawdę, współczesne produkty wykorzystują go jako jedną z broni w swym arsenale.
  5. Uruchamianie w wirtualnym środowisku (tzw. piaskownica, z ang. sandbox) i heurystyka, aby wyłapać podejrzane pliki przed ich wykonaniem.
  6. Tradycyjne skanowanie plików – to, co większość osób rozumie przez pojęcie programu antywirusowego. Dostarcza jedynie 15-20% ochrony przed zagrożeniami.
  7. Oddzielne skanowanie pamięci wykrywające malware, które nie trafia na dysk albo nie udało się go sprawdzić w wirtualnym środowisku.
  8. Proaktywna heurystyka i skanowanie pamięci jest ostatnią linią obrony, która znajduje pliki zachowujące się szkodliwie lub podejrzanie.

Nie zagłębiałem się w szczegóły z prostej przyczyny: żeby wytłumaczyć dlaczego każda z powyższych funkcji jest potrzebna oraz w jaki sposób ona działa, zajęłoby zbyt wiele czasu i miejsca. Chodzi mi o to, że nawet jeśli antywirus nie wykrył szkodnika podczas skanowania, nie znaczy to, że zagrożenie nie zostałoby zablokowane w przypadku prawdziwego ataku.

Skuteczna ochrona opiera się na wielu zabezpieczeniach. Co najzabawniejsze, wielu forumowych ekspertów poleca któreś z wyżej opisanych funkcji jako nowość. Cóż – większość pakietów antywirusów i tak oferuje owe „nowości”, bo są niezwykle niezbędne.

 

Argument trzeci: czarne listy to głupstwo – ludzie powinni korzystać z białych list

Gdyby białe listy były rozsądnym rozwiązaniem, to czy nie byłyby praktykowane? Tak naprawdę są one wykorzystywane w innych celach, takich jak poprawa wydajności i unikanie fałszywych alarmów.

Białe listy rozwiązują tylko problem plików wykonywalnych, zatem nie chronią systemu przed zagrożeniami wynikającymi z wirusów rezydujących w pamięci, exploitów lub szkodliwych stron.

 

Argument czwarty: antywirus powinien być po stronie serwera, nie komputerów biurkowych

Przerzucenie ciężaru ochrony antywirusowej na serwery biurowe oraz zapomnienie o obciążeniu wynikającym z ochrony proaktywnej byłoby bardzo miłe. Niestety nie jest to wykonalne, ponieważ w dzisiejszych czasach używamy coraz więcej komputerów mobilnych.

Ze stacjonarnym komputerem podłączonym wyłącznie do lokalnej sieci w biurze, administrator teoretycznie mógłby zajmować się bezpieczeństwem na poziomie sieci. W rzeczywistości większość komputerów to laptopy, które podłączają się z jednej sieci do drugiej i jedyne, co pozostaje stałe, to oprogramowanie na nim dostępne. Ponadto takie rozwiązanie nie chroniłoby przed wirusami na nośnikach wymiennych.

Antywirus w chmurze mógłby odciążyć pojedyncze maszyny, ale chroniłby gorzej z powodu zrezygnowania z niektórych zabezpieczeń, w efekcie byłby mniej przydatny.

 

Argument piąty: „aktualizujemy firmowego antywirusa, ale duża część malware i tak się przedostaje”

Wyjaśnienie tego jest dwojakie.

Po pierwsze, żaden produkt nie oferuje 100% ochrony; może co najwyżej powstrzymać większość ataków. Na stronie AV-Comparatives można sprawdzić jak skuteczny jest dany produkt (pisaliśmy już kiedyś o tym,  jak działa ośrodek: W jaki sposób AV-Comparatives testuje oprogramowanie antywirusowe?). Zawsze znajdzie się atak, który przedostanie się przez zabezpieczenia.

Po drugie, wiele korporacji okalecza swojego antywirusa przez blokowanie połączeń z serwerem danego producenta. W efekcie antywirus opiera się wyłącznie na lokalnej bazie (nie może jej zaktualizować) i skanerze, co znaczy, że pozbawia się większości rodzajów ochrony i zabezpiecza się mniej, niż gdyby wszystkie techniki zostały użyte.

 

Argument szósty: “antywirus nie wykrywa 98-100% malware, które widzę”

Jeden z najbardziej niedorzecznych argumentów. To logiczne, że użytkownik widzi tylko te wirusy, które przedostały się przez zabezpieczenia.

Ponadto twórcy antywirusów byliby niezwykle wdzięczni, gdyby każdy skontaktował się z nimi i podzielił wszelkimi informacjami o ataku. Sam szkodliwy plik rzadko dostarcza wystarczającej ilości informacji, aby zapobiec kolejnym atakom.

 

Lepiej pomyśleć samemu

Nie ufaj ludziom, którzy sugerują Ci rezygnację z antywirusa tylko dlatego, że nie jest on doskonały. Wbrew temu co propagują forumowi „eksperci”, oprogramowanie antywirusowe tworzone jest przez prawdziwych ekspertów, którzy dokładają wszelkich starań, aby Twój komputer pozostał bezpieczny.

dodany: 22.01.2013 | tagi: , ,

Jaki antywirus jest najlepszy?

1
Jaki antywirus jest najlepszy?

Zastanawiając się nad sensem instalowania zabezpieczeń w systemie operacyjnym w jednym z poprzednich artykułów, wspomniałem jedynie ogólnie o programach antywirusowych. Po komentarzach Czytelników do tego wpisu pomyślałem, że może warto nieco rozszerzyć temat i może podsunąć materiał, który pokrótce streści najbardziej popularne aplikacje i może dzięki niemu Czytelnicy będą mogli wybrać coś dla siebie.

(więcej…)

dodany: 31.12.2012 | tagi: , , , ,

Czy warto używać dodatkowych zabezpieczeń dla systemów?

7
Czy warto używać dodatkowych zabezpieczeń dla systemów?

Korzystając z internetu i poruszając się po rozmaitych stronach skupiamy się na tym, żeby otrzymać to czego szukamy, znaleźć informacje, które są nam akurat potrzebne i obejrzeć różne materiały. Najczęściej znajdujemy rezultaty w dowolnej wyszukiwarce i przechodzimy do stron, które są nam wyświetlane na liście pierwszych od góry pozycji. Po pobieżnym rzucie oka na proponowany link odwiedzamy strony, które wydają się nam odpowiednie, ale już nie myślimy, czy są one bezpieczne i czy nie ma tam zagrożenia. Samo odwiedzanie witryn to tylko fragment działania, które może się skończyć kłopotami – może to być używanie klientów P2P, ściąganie nieznanych plików uruchamialnych, albo nawet wystawienie swojego komputera w świat na publicznym numerze IP bez żadnych firewalli czy filtrów. “Jest wiele możliwości, bardzo wiele” cytując jeden ze starych i bardzo znanych polskich filmów :-)

(więcej…)

dodany: 18.12.2012 | tagi: , ,

W jaki sposób AV-Comparatives testuje oprogramowanie antywirusowe?

3

Zarówno publicyści, użytkownicy, jak i dostawcy zainteresowani testami oprogramowania antywirusowego często odnoszą się do badań AV-Comparatives. Testerzy tworzą niezależny ośrodek badawczy, funkcjonujący non-profit. Współdziała z Wydziałem Informatyki i Inżynierii Jakości na Uniwersytecie w Innsbrucku i częściowo dofinansowywany jest przez rząd austriacki. Postanowiliśmy przyjrzeć się, w jaki sposób przeprowadzane są tam testy oprogramowana AV. W swoich badaniach ośrodek skupia się na odwzorowaniu warunków pracy przeciętnego użytkownika, a sam proces nazywa Dynamicznym testem ochrony „W świecie rzeczywistym”.

W testach wykonywanych przez AV-Comparatives do oceny poziomu ochrony przyczyniają się wszystkie cechy produktu, a nie tylko jedna z części (np. skanowanie sygnatur plików). Ideałem byłoby, gdyby oprogramowanie osiągało wysokie wyniki we wszystkich sferach ochrony, a nie jedynie w ramach sprawdzania pojedynczych elementów (np. blokowania URL, które chroni tylko podczas przeglądania stron internetowych, ale nie daje ochrony przed złośliwym oprogramowaniem wprowadzanym na inne sposoby lub obecnym już w systemie).

Testowanie każdego dnia dziesiątków programów antywirusowych na setkach adresów, to za dużo pracy, by mogła być ona wykonywania ręcznie, dlatego niezbędne jest zautomatyzowanie tego procesu. Poniżej przedstawiamy procedury testowe, jakimi w swoich testach kieruje się ośrodek.

 

Warunki laboratoryjne

Każdy program, badający bezpieczeństwo, zainstalowany jest na oddzielnym komputerze testowym.

Wszystkie komputery są podłączone do Internetu (szczegóły poniżej).

System zostaje „zamrożony”, to znaczy, że wstrzymana zostaje możliwość wprowadzania wszelkich zmian, aktualizacji itp.

Badanie przeprowadza się na rzeczywistych stacjach roboczych bez użycia jakiejkolwiek wirtualizacji.

Każda stacja robocza posiada własne połączenie internetowe z własnym, zewnętrznym IP.

AV-Comparatives posiada specjalne umowy z kilkoma dostawcami (np. na dostęp do klasterów pracy awaryjnej oraz nieblokowanie ich ruchu) w celu zapewnienia stabilnego połączenia z Internetem.

Testy wykonywane są podczas „żywego” połączenia z siecią.

Żeby nie powodować np. wybuchów malware, podjęto wszelkie środki ostrożności (skonfigurowano firewalle, itp.).

 

Sprzęt i oprogramowanie

Do badania wykorzystuje się identyczne stacje robocze, sterowniki i ustawienia serwerów oraz technologię Network Attached Storage (w skr. NAS – technologia ta umożliwia podłączenie zasobów pamięci dyskowych bezpośrednio do sieci komputerowej).

 

Ustawienia

Testowane są wszystkie pakiety zabezpieczeń na ustawieniach domyślnych (out-of-the-box). Test ma symulować rzeczywiste warunki, jakich każdego dnia doświadczają użytkownicy. Jeżeli program wymaga od użytkownika interakcji, testerzy dokonują wyboru. Jeśli system zostanie nienaruszony, program zostaje uznany za chroniący, nawet jeśli wymagał interakcji użytkownika. Jeśli system zostanie naruszony, uznaje się, że poziom ochrony programu jest „zależny od użytkownika”. Określenie „ochrona” ma znaczyć, że system nie jest zagrożony. Oznacza to, że złośliwe oprogramowanie nie jest uruchomione (lub zostało usunięte) i w systemie nie wystąpiły żadne znaczące czy złośliwe zmiany. Np. charakter działania firewalla, który powiadamia o ataku malware i pyta dopiero czy ma zablokować złośliwy program, to zbyt małe i zbyt późne reakcje, by można było uznać je za zadowalającą „ochronę”.

 

Przygotowanie do każdego Dnia Testu

Aby stworzyć nową podstawę do badań, codziennie rano pobierane i instalowane są dostępne aktualizacje oprogramowania zabezpieczającego. Gwarantuje to, że nawet w przypadku, gdy program AV nie skończy większej aktualizacji w ciągu dnia (programy są aktualizowane przed każdym testem) lub update nie jest osiągalny, to przynajmniej zostanie zaktualizowany rano tak, jak dzieje się to w rzeczywistym życiu.

 

Cykl Testowy dla każdego szkodliwego adresu URL

Przed sprawdzeniem każdego nowego, złośliwego URL czy przypadku testowego, dany program (sygnatury wirusów) zostaje zaktualizowany. Na początku miesiąca zainstalowane zostają nowe wersje głównych programów, dlatego w każdym raporcie miesięcznym otrzymujemy wyniki testu głównej wersji programu. Oprogramowanie testowe monitoruje PC tak, żeby wszelkie zmiany dokonane przez szkodliwe oprogramowanie zostały zarejestrowane. Co więcej, algorytm rozpoznawania sprawdza czy program antywirusowy wykrywa malware. Po każdym przypadku wykrycia komputer powraca do pierwotnej, „czystej” wersji.

 

Ochrona

Programy zabezpieczające powinny dobrze chronić komputery użytkowników. Na tym etapie nie jest ważne na jakim polu odbywa się ochrona. Może to być ochrona zarówno podczas przeglądania strony internetowej (np. przez blokowanie adresów URL) lub kiedy eksploit próbuje się uruchomić podczas pobierania pliku. Jeśli złośliwe oprogramowanie nie zostanie zablokowane przez program AV, na obserwację jego działań przewidziane zostało kilka minut wolnego czasu. Tym samym oddany zostaje prawdopodobny scenariusz reakcji zwykłego użytkownika oraz czas, który program antywirusowy powinien przeznaczyć na działania „lecznicze”.

Jeśli złośliwe oprogramowanie nie zostanie wykryte, a system jest rzeczywiście zainfekowany/naruszony, to test kontynuuje się w ramach badania „systemu zagrożonego”. Jeżeli wymagane jest działanie użytkownika, a najczęściej to właśnie od niego zależy decyzja czy coś jest szkodliwe i w ramach jego najgorszej decyzji system może zostać naruszony, sytuacja zostaje oceniona jako „zależna od użytkownika”. Z tego powodu paski na wykresie opisane jako „zależnie od użytkownika” można interpretować zarówno jako program „spełniający ochronę”, jaki i „niechroniący”.

Ze względu na dynamiczny charakter badania (czyli naśladowanie rzeczywistych warunków) oraz sposób wykorzystania w pracy kilku różnych technologii (takich jak skanery AV, usługi w chmurze czy narzędzia badania reputacji), podobne testy nie mogą zostać powtórzone czy powielone. Niemniej, aby udowodnić ustalenia i wyniki badań, są one w miarę możliwości rejestrowane. Wyniki badań są udostępniane sprzedawcom danego oprogramowania po to, by dostarczyć dodatkowych danych w przypadku ewentualnych sporów. Po każdy miesiącu testów, sprzedawcy mają możliwość zakwestionowania kompromitujących wyników badań. Dzięki temu można sprawdzić czy raport nie jest wynikiem jakichś problemów, które mogły wystąpić podczas badania czy analizy.

W przypadku produktów wykorzystujących rozwiązania w chmurze, pod uwagę będą brane tylko te wyniki badań, jakie produkt osiąga w danej chwili testu. Poziom zabezpieczeń chmurowych może spadać z powodu wewnętrznych usterek lub przestoju w wyniku remontu infrastruktury, a dostawcy mogą często nie ujawniać podobnych wad. Jest to również powód, dla którego całkowite zaufanie produktom opierającym się mocno o usługi w chmurze może być ryzykowne. Takie programy nie wykorzystują często na przykład zasad heurystyki czy metody skanowania behawioralnego, dlatego ich poziom zabezpieczenia może w wielu przypadkach znacząco maleć.

Sygnatury wirusów czy narzędzia badania reputacji powinny być wdrażane jako uzupełnienie innych, lokalnych funkcji ochrony (w tym offline), a nie zostać całkowicie zastąpione usługą w chmurze, ponieważ istniej niebezpieczeństwo, że np. gdy chmura będzie niedostępna, komputer zostanie narażony na wszelkie ryzyko.

 

Zestaw testowy

Testy skupiają się przede wszystkim na aktualnych, widocznych oraz istotnych stronach zawierających złośliwe kody/oprogramowanie, stwarzających problemy dla zwykłych użytkowników. Testerzy starają się, żeby badania uwzględniały około 50% adresów URL odsyłających bezpośrednio do malware (np. poprzez oszustwa za pomocą inżynierii społecznej, skłaniającej użytkownika do kliknięcia w linki ukryte w spamie lub zmuszanie podstępem do instalacji trojanów bądź innego nieautoryzowanego oprogramowania). Reszta to ataki eksploitów – a z tymi zwykle dobrze radzą sobie niemal wszystkie główne programy zabezpieczające (należy pamiętać, że może to być również powodem stosunkowo wysokiego wyniku testu).

Do wyszukiwania podejrzanych witryn i wyodrębniania złośliwych adresów URL (w tym spamu zawierającego złośliwe linki) wykorzystywany jest unikalny system indeksowania. Badania złośliwego URL odbywają się również „ręcznie”. Jeśli w ciągu danego dnia firmowy robot nie znajdzie ważnych złośliwych adresów URL, AV-Comparatives opiera się dodatkowo na pracy zewnętrznych badaczy.

W badaniach tego typu bardzo ważne jest stosowanie wielu różnych testów. Przeprowadzanie testu na np. tylko 20 czy 50 przypadkach może prowadzić do dość przypadkowych i statystycznie nieważnych wyników. Konieczne jest zbadanie przynajmniej 100 przypadków. Jeśli w testach porównawczych wykorzystano zbyt małą ilość próbek, różnice w wynikach mogą nie wskazywać rzeczywistych różnic pomiędzy badanymi produktami. W rzeczywistości, niezależnie czy program wypadł w testach w tym samym klasterze ochrony (na tysiąc przypadków) lepiej czy gorzej, uważany jest za przeciętny do momentu, gdy nie zacznie niesłusznie blokować zdrowych plików czy witryn.

 

Test „Fałszywych Alarmów”

Test „Fałszywych Alarmów” (błędnie zablokowanych domen/plików) składa się z dwóch części: pod kątem bezzasadnego blokowania domen (podczas przeglądania) i plików (podczas pobierania/instalacji). Należy zawsze sprawdzić czy dany produkt, który być może wypadł w tym teście słabo, nie specjalizuje się tylko w jednym (innym) rodzaju obrony (np. blokowaniu URL, badaniu reputacji strony, wykorzystywaniu mechanizmów behawioralnych).

 

Bezzasadne blokowanie domen (podczas przeglądania)

Wykorzystano około tysiąca losowo wybranych, popularnych domen. Zablokowanie nieszkodliwej domeny/URL liczy się jako fałszywy alarm. Bezprawne blokowanie domeny zostaje zgłoszone do odpowiednich dystrybutorów danego oprogramowania, którzy powinni zniwelować możliwość pomyłek.

Poprzez blokowanie bezpiecznych domen, oprogramowanie nie tylko traci na wiarygodności czy prestiżu, ale potencjalnie może powodować (prócz utraty reputacji w Internecie) straty finansowe dla właścicieli domen, np. przez utratę przychodów z reklam. Dlatego blokowanie całych domen przez programy AV zalecane jest tylko wtedy, gdy jednoznacznie widać, że jedynym celem takiej witryny jest dystrybucja złośliwego kodu oraz blokować je jedynie tak długo, jak rzeczywiście są one szkodliwe. Programy, które blokują adresy URL w oparciu np. o narzędzie badania reputacji, mogą być bardziej podatne na osiągnięcie złego wyniku w tym teście, ponieważ mogą blokować wiele niepopularnych bądź nowych stron internetowych.

 

• Błędne blokowanie plików (podczas pobierania/instalacji)

Badanie zostało przeprowadzone na około 100 aplikacjach wymienianych jako najczęściej pobierane lub jako nowe/zalecane do pobrania. Pochodzą one z różnych popularnych portali udostępniających przeróżne aplikacje. Aplikacje zostały pobierane z oryginalnych witryn dostawców oprogramowania, zapisane na dysku i zainstalowane. W ten sposób można było sprawdzić czy program AV zablokuje je na którymś etapie procedury. Dodatkowo, do testu włączono kilka plików, których reputacja została zakwestionowana w ciągu ostatnich miesięcy testów.

Obowiązkiem produktów bezpieczeństwa jest ochrona przed niebezpiecznymi witrynami/plikami, a nie cenzurowanie lub ograniczanie dostępu tylko do popularnych aplikacji i stron internetowych. Blokowanie niektórych legalnych stron lub plików może być zaakceptowane jedynie wtedy, gdy użytkownik wybiera wysoki poziom zabezpieczeń (którego jawną specyfiką jest możliwość blokowania zaufanych storn). Jednak nie do przyjęcia jest, żeby tak wysoki poziom zabezpieczeń funkcjonował jako ustawienia domyślne programu, niosąc tym samym ryzyko, że użytkownik w ogóle nie będzie o tym wiedział.

Fałszywe alarmy na popularnych portalach czy w popularnym oprogramowaniu są zwykle prędko zauważalne i eliminowane w ciągu kilku godzin. Ze względu na to, testy pod kątem błędnego blokowania plików, wykonywane tylko na bardzo popularnych aplikacjach lub wykorzystujące tylko 50 pierwszych pozycji z białej listy czy monitowanych portali, byłyby stratą czasu i zasobów.

Częstotliwość występowania fałszywych alarmów na podstawie bazy danych użytkownika jest interesująca dla wewnętrznej kontroli jakości producentów oprogramowania AV, ale dla zwykłego użytkownika ważne jest, żeby wiedzieć, w jaki sposób program odróżnia pliki czyste od zainfekowanych.

 

Testowanie w bieżącym i przyszłym roku

Początkowo planowano, aby w roku 2102 przetestować w pełni zaktualizowany/połatany system, ale ze względu na bark wystarczającej ilości eksploitów do przetestowania, wrócono do testów starszych/wrażliwszych wersji systemów operacyjnych oraz oprogramowania. To powinno przypomnieć użytkownikom, żeby aktualizowali swoje systemy i aplikacje w celu zminimalizowania ryzyka zainfekowania przez eksploity wykorzystujące luki w oprogramowaniu. Na rok 2013 przewidywany jest test Windows 7 64 Bit SP1 oraz zaktualizowanego oprogramowania.

dodany: 24.10.2012 | tagi: , ,

Wpływ programów antywirusowych na wydajność systemu

10

Niezależna agencja badawcza AV-Comparatives w październiku 2012 roku udostępniła raport „Performance test (AV Products). Impact of Anti-Virus Software on System Performance”. (Ostatnia aktualizacja dokumentu została wykonana 19 października).

Raport stanowi podsumowanie badań, w których użytkownicy testowali, jaki wpływ na pracę ich komputerów mają poszczególne programy antywirusowe. Mieli obserwować, jak oddziałują one na wydajność systemu podczas wykonywania przez nich takich czynności, jak: kopiowanie plików, pakowanie i rozpakowywanie plików, zapisywanie plików audio i wideo w innych formatach, konwertowanie plików DVD na format plików do odtwarzania w iPOD-ach, pobieranie plików przez Internet, otwieranie i zamykanie plików za pomocą aplikacji (np. dokumentów PDF za pomocą Adobe Acrobat Reader) oraz instalacji i odinstalowywania aplikacji.

Ocenie poddano 20 produktów:

  1. avast! Free Antivirus 7.0
  2. AVG Anti-Virus 2013
  3. AVIRA Antivirus Premium 2013
  4. BitDefender Antivirus Plus 2013
  5. BullGuard Antivirus 2013
  6. eScan Anti-Virus 11
  7. ESET NOD32 Antivirus 5.2
  8. Fortinet FortiClient Lite 4.3
  9. F-Secure Anti-Virus 2013
  10. G DATA AntiVirus 2013
  11. GFI Vipre Antivirus 2013
  12. Kaspersky Anti-Virus 2013
  13. McAfee AntiVirus Plus 2013
  14. Microsoft Security Essentials 4.0
  15. Panda Cloud Antivirus Free 2.0.1
  16. PC Tools Spyware Doctor with Antivirus 9.0
  17. Qihoo 360 Antivirus 3.0
  18. Sophos Endpoint Security 10
  19. Trend Micro Titanium Antivirus Plus 2013
  20. Webroot SecureAnywhere Antivirus 2013

Na podstawie opinii użytkowników badane programy podzielono na trzy grupy. „Najlżejsze” programy antywirusowe znalazły się w pierwszej z nich. Okazały się nimi antywirusy: Webroot, ESET, Avast i Microsoft. W drugiej grupie znalazły się: F-Secure, Kaspersky, AVG, Panda, McAfee, AVIRA, Qihoo, BitDefender, Sophos i eScan. W trzeciej: BullGuard, Fortinet, PC Tools, G DATA, GFI Vipre i Trend Micro.

Autorzy raportu podkreślili, że wyniki testów wskazują na to, które z badanych programów antywirusowych w najmniejszym stopniu obciążają systemy, a nie które zapewniają im najlepszą ochronę. Rezultaty badań agencja AV-Comparatives przedstawiła w postaci zestawienia z podziałem na grupy, a nie w postaci wyników procentowych, bo według niej bywają one zazwyczaj nieprawidłowo interpretowane np. przez media. W raporcie możemy przeczytać też, że wyniki obecnych testów nie mogą być porównywane z wcześniejszymi. Jeśli dany program wypadł słabiej w obecnym badaniu nie oznacza to, że jest wolniejszy, niż rok temu, tylko że bardziej obciąża system, niż porównywany z nim, również poddany tegorocznym testom, inny antywirus.

Dyski twarde komputerów, na których przeprowadzane były testy, były odpowiednio przygotowane do badań, w celu zminimalizowania działania na system dodatkowych czynników. Testy wykonano na komputerach, które przez użytkowników były używane od jakiegoś czasu (nie nowych). Powtarzano je kilka razy, aby uzyskać średnie wartości wyników i odfiltrować błędy pomiarowe. Po każdym teście dysk był poddawany defragmentacji a system był uruchamiany ponownie.

Podczas przeprowadzania testów użytkownicy mogli dzięki benchmarkowi PC Mark 7 Professional Edition obserwować, jak na wydajność systemu działają poszczególne programy antywirusowe. Mogli zobaczyć, że wyniki testów zależą od wielu czynników, jak np. konflikty oprogramowania czy różne konfiguracje systemu.

Autorzy raportu poruszyli jeszcze jeden aspekt badań wpływu programów antywirusowych na wydajność systemu. Wyjaśnili, że antywirusy muszą uruchamiać się jak najszybciej, zaraz po włączeniu komputera, aby zapewnić systemowi odpowiednią ochronę. To może mieć wpływ na czas, w jakim uruchamia się cały system. Prawdziwe wyzwanie, co podkreślają autorzy, to zmierzenie czasów uruchamiania systemu, określenie, kiedy system jest w pełni uruchomiony oraz kiedy program antywirusowy zaczyna aktywnie chronić komputer. Niektóre programy antywirusowe uruchamiają się przecież później (nawet do kilku minut) niż podczas rozruchu systemu, więc wygląda to tak, jakby system uruchamiał się szybko. To naraża komputer na szkody.

AV-Comparatives podzielili się też inną obserwacją. Użytkownicy wyłączają, odinstalowują kilka elementów niezbędnych do działania antywirusów albo zaczynają korzystać z takich programów antywirusowych, które mają mniejszy wpływ na wydajność systemu wtedy, gdy używany program antywirusowy działając w tle skanuje zbyt wiele źródeł naraz i komputer działa wolniej. Na tej podstawie autorzy raportu wyciągnęli wniosek, że dla użytkowników ważne jest nie tylko to, czy oprogramowanie antywirusowe zapewnia ochronę ich systemowi, ale także to, czy nie spowalnia działania systemu.

W raporcie zamieszczono listę innych czynników, które również mogą mieć wpływ na pracę systemu. Są to: używanie przestarzałego sprzętu i antywirusa, zapchany dysk twardy, nieregularne wykonywanie defragmentacji dysku, brak regularności w skanowaniu całego systemu oraz brak cierpliwości.
Autorzy podkreślili też, że odczytując wyniki testów należy wziąć pod uwagę to, że mogą one zawierać błędy pomiarowe, na który wpływ mógł mieć czynnik ludzki.Testy przeprowadzone były na podłączonych do sieci komputerach, z twardymi dyskami SATAII, procesorem Intel Core i5 750 z pamięcią 4 GB i zaktualizowaną 64-bitową wersją Windows 7 Professional. 

Z pełną wersją raportu można zapoznać się na stronie www.av-comparatives.org.