Firmowi antyszpiedzy

Przetestowaliśmy dziesięć programów antyszpiegowskich w wersjach przeznaczonych do firm. Sprawdzaliśmy, jak radzą sobie z hordą podejrzanych programów szpiegowskich i modułów reklamowych.

Przetestowaliśmy dziesięć programów antyszpiegowskich w wersjach przeznaczonych do firm. Sprawdzaliśmy, jak radzą sobie z hordą podejrzanych programów szpiegowskich i modułów reklamowych.

Co potrafią najpopularniejsze adware i spyware

Co potrafią najpopularniejsze adware i spyware

Programy szpiegowskie (tzw. spyware) przestają być jedynie frustrującą przyczyną zmniejszania wydajności, a stają się poważnym zagrożeniem. Zaczyna się od tego, że jakiś beztroski pracownik zainstaluje sobie program do bezpośredniej wymiany plików, żeby ściągnąć ulubione nagrania w formacie MP3. Takie programy często zawierają szpiegowskie dodatki - trojany czy keyloggery. Następnie wydarzy się to, co łatwo przewidzieć, np. firmowa strona WWW zostanie zamieniona na serwer FTP do nielegalnej wymiany plików.

Niezależnie od nazwy - adware, malware lub spyware - aplikacje te mogą nie tylko śledzić, jakie strony odwiedzasz w Internecie, ale także przechwytywać poufne informacje, jak nazwy użytkowników, hasła i dane klientów, np. numery kart kredytowych.

Na szczęście producenci oprogramowania pracują nad coraz lepszymi i inteligentniejszymi narzędziami, które chronią przed skrytymi cyfrowymi atakami. Teraz do naszego laboratorium trafiło dziesięć programów antyszpiegowskich w wersjach do firm. Poddaliśmy je serii testów odwzorowujących realne zagrożenia, żeby sprawdzić, jak radzą sobie z przechwytywaniem złośliwych aplikacji i jak chronią komputer użytkownika oraz poufne firmowe informacje. Programy dostarczyły nam firmy: Computer Associates, Eset, F-Secure, LANDesk, McAfee, Sunbelt, SurfControl, Tenebril, Trend Micro oraz Webroot.

Wystarczająco dobre dla firm?

Porównanie możliwości programów antyszpiegowskich instalowanych w komputerach użytkowników

Porównanie możliwości programów antyszpiegowskich instalowanych w komputerach użytkowników

Jeszcze w zeszłym roku były tylko dwa programy antyszpiegowskie przeznaczone do firm, Tenebril SpyCatcher 3.0 Enterprise oraz CA eTrust PestPatrol Corporate Edition 5.0, oba o możliwościach daleko odbiegających od potrzeb odbiorców. Ich najnowsze wersje trafiły do naszego obecnego testu i jak się okazało, znacznie lepiej nadają się do zastosowania w firmach. Również w pozostałych testowanych programach funkcje instalowania, zarządzania i raportowania są łatwo dostępne w centralnej konsoli, ponadto wszystkie aplikacje łatwo dopasować do różnej wielkości sieci, które mogą liczyć nawet tysiące komputerów.

Wszystkie programy z wyjątkiem jednego łatwo zintegrowały się z usługą Active Directory, jak również z prostymi grupami roboczymi. Dzięki podpięciu do Active Directory administratorzy mogą bezpośrednio łączyć się z komputerami zalogowanymi do domeny i łatwiej instalować oraz aktualizować klienty antyszpiegowskie. Wszystkie testowane aplikacje oferują funkcje centralnego raportowania o sytuacji w sieci i stanie poszczególnych komputerów, choć niektóre wypadają pod tym względem lepiej od innych. Program firmy Trend Micro generuje bardzo ładne, choć statyczne raporty w postaci plików HTML, z kolei LANDesk Security Suite ma jeden z najbardziej elastycznych i rozbudowanych systemów raportowania.

Do instalowania programów klienckich wszyscy producenci wykorzystali metodę push, poza tym wszystkie aplikacje umożliwiają dystrybucję plików EXE lub MSI za pomocą skryptów lub narzędzi programowych. Z kolei różny jest sposób interakcji centralnego menedżera z zainstalowanymi klientami. Firma F-Secure wykonała solidną robotę, umożliwiając administratorowi podgląd chronionych komputerów oraz zarządzanie regułami i definicjami, jednak nie wprowadziła funkcji skanowania na żądanie komputera klienckiego.

Czas rzeczywisty rzeczywiście robi różnicę

Producenci różnie podeszli także do funkcji monitora rezydentnego (ochrona przed zagrożeniami w czasie rzeczywistym). Programy McAfee, Trend Micro oraz Tenebril pozwalają podejrzanym aplikacjom na zainstalowanie, ale zapobiegają ich uruchomieniu, pozostawiając na dysku do najbliższego skanowania usuwającego wykryte zagrożenia. Z kolei aplikacja firmy Sunbelt blokuje instalację większości podejrzanych programów. Te, których nie zablokuje, usunie przy najbliższym skanowaniu. Najlepiej wypada program firmy F-Secure, który zapobiega instalacji, a także blokuje wszelkie ataki aplikacji typu malware i spyware.

Trzeba przyznać, że monitor rezydentny we wszystkich testowanych programach jest na przyzwoitym poziomie - to ogromna poprawa w porównaniu z sytuacją sprzed roku. Taka ochrona powinna osiągnąć poziom skuteczności, jakiego oczekujemy od programów antywirusowych. Instalacja wszelkiego rodzaju zagrożeń musi być blokowana. Proste monitorowanie procesów nie wystarcza, trzeba je wyeliminować podczas instalacji lub najlepiej już podczas pobierania do komputera.

Wszystkie programy oferują skanowanie i usuwanie zagrożeń z poziomu konsoli administratora - na żądanie (z wyjątkiem F-Secure) lub według zaplanowanego harmonogramu. Nie wszystkie pozwalają użytkownikowi na inicjowanie skanowania lub usuwania. Aplikacje Computer Associates, SurfControl, Tenebril i Trend Micro nie pokazują nawet ikony w zasobniku systemowym lub metody dotarcia do swoich funkcji. Skanowanie i usuwanie z reguły odbywa się automatycznie, według harmonogramu ustawionego przez administratora, ale warto, żeby użytkownik mógł samodzielnie uruchamiać te zadania.

Wszystkie testowane programy oferują ulepszone, centralne zarządzanie aktualizacją definicji zagrożeń i działają jako centrum dystrybucji aktualizacji. LANDesk Security Suite 8.6 jest jeszcze lepszy, bo umożliwia klientom w tej samej podsieci lub grupie roboczej pobieranie aktualizacji na zasadzie P2P jeszcze przed połączeniem się z centralnym serwerem. Z kolei Spy Sweeper instaluje specjalne klienty, które stają się dystrybutorami aktualizacji, co pozostałym ułatwia dotarcie do nowych definicji zagrożeń.

Każdy z programów antyszpiegowskich testowaliśmy w ten sam sposób. Użyliśmy dziewięciu stron WWW i adresów URL, które są źródłami wszelkiego rodzaju programów spyware, malware i wirusów. Dwie pokazywały krok po kroku, jak zainstalować kontrolkę ActiveX, którą próbowały dostarczyć do komputera ofiary. Przygotowaliśmy za pomocą programu Macro Schedule 7.3 skrypt wykonujący automatycznie czynności związane z odwiedzaniem stron z naszej testowej listy. Jeśli testowany program nie zawierał modułu antywirusowego, instalowaliśmy dodatkowo Norton AntiVirus Corporate Edition 7.6 z najnowszymi definicjami wirusów.

Nasze testowe komputer i serwery pracowały pod kontrolą różnych systemów operacyjnych: Windows 2000 Server, Windows XP Pro oraz Windows Server 2003 Standard.

Computer Associates eTrust PestPatrol Anti-Spyware Corporate Edition r5

PestPatrol identyfikuje zagrożenia po sygnaturach CRC (cyclic redundancy check). Test CRC jest bardzo szybki, co umożliwia programowi zwiększenie wydajności skanowania.

PestPatrol identyfikuje zagrożenia po sygnaturach CRC (cyclic redundancy check). Test CRC jest bardzo szybki, co umożliwia programowi zwiększenie wydajności skanowania.

Jedna z najbardziej znanych firm w branży, Computer Associates eTrust PestPatrol, oferuje zaktualizowany silnik wykrywający zagrożenia i mniejsze zapotrzebowanie na pamięć operacyjną. Funkcja Active Protection (monitor rezydentny) jest bardzo słaba, a raportowania niemal zła, za to program dobrze skanuje i usuwa zagrożenia, a interfejs użytkownika jest prosty.

Interfejs i sposób korzystania z programu niewiele się zmieniły. Instalacja jest intuicyjna i nie wymaga dużego udziału użytkownika, w komputerach klienckich można ją przeprowadzić bezpośrednio z konsoli administratora albo z wiersza poleceń. Tryb tekstowy przydaje się, gdy administrator nie ma uprawnień lokalnego administratora komputerów klienckich lub gdy firma stosuje własne rozwiązanie do centralnego instalowania aplikacji.

Silnik skanujący i wykrywający zagrożenia został zaktualizowany. Teraz skanowanie opiera się przede wszystkim na sygnaturach CRC (cyclic redundancy check) i jeśli zostanie wykryte prawdopodobne zagrożenie, sprawdzana jest dla pewności suma kontrolna MD5. Test CRC trwa krótko, co pozwala zwiększyć wydajność skanowania. Wygodnym rozwiązaniem jest możliwość wyboru wielu klientów i uruchomienie w nich skanowania jednym kliknięciem myszy. Można określić reakcję na wykryte zagrożenia oraz gdzie program ma ich szukać.

W naszym teście PestPatrol przegrywał z innymi programami z powodu swojego monitora rezydentnego. Funkcja Active Protection nie zapobiega dostawaniu się do komputera podejrzanych programów, natomiast monitoruje procesy w pamięci i operacje na plikach cookie. Jej zadaniem jest tylko zablokowanie uruchamiania zagrożeń pomiędzy zaplanowanymi skasowaniami. Z uwagi na rosnącą liczbę zagrożeń i coraz bardziej wyrafinowane metody ataków, Active Protection nie oferuje wystarczającej ochrony. CA twierdzi, że następna wersja PestPatrol będzie zawierać skuteczniejszy monitor rezydentny.

Raportowanie w PestPatrol również ma istotne braki. Raporty mogą zawierać informacje o wszystkich wykrytych zagrożeniach, o określonym szpiegu, z wybranych lub wszystkich stacji roboczych i z wybranego okresu. Są generowane w postaci pliku tekstowego opisującego każde zdarzenie. Inne formaty nie są obsługiwane, nie można tworzyć wykresów. Dzienniki aktywności i kwarantanny są prowadzone dla poszczególnych komputerów. Dzięki tym informacjom administrator może usuwać i lub pozostawiać zagrożenia poddane kwarantannie w komputerach użytkowników.

PestPatrol pozwala na wykluczanie na podstawie list znanych zagrożeń i kategorii, ale administratorzy mogą dołączać własne pliki i ścieżki dostępu do wykluczenia. Przydaje się to, gdy chcesz się upewnić, że jakaś aplikacja - jak narzędzia do zdalnej kontroli lub łamania haseł - nigdy nie zostanie przez przypadek poddana kwarantannie. Szkoda, że nie mogą dodawać własnych aplikacji do listy zagrożeń, które mają zostać usunięte.

Podsumowując, PestPatrol jest niezłym rozwiązaniem. Ma pewne słabości, z których większość producent obiecuje poprawić w następnej wersji. Jest jednym z najłatwiejszych w obsłudze. Silnik skanujący działa znakomicie przy usuwaniu zagrożeń z komputera, a program daje się łatwo i szybko instalować z jednego miejsca w komputerach wielu użytkowników.


Zobacz również