Laby pod lupą

Uważaj na portfel! Hakerów i twórców wirusów opanowała żądza pieniędzy. Na listę najbardziej upragnionych celów trafiło twoje konto. Czy zastanawiałeś się, jak skutecznie producenci oprogramowania antywirusowego dbają o twoje bezpieczeństwo i pieniądze?

Uważaj na portfel! Hakerów i twórców wirusów opanowała żądza pieniędzy. Na listę najbardziej upragnionych celów trafiło twoje konto. Czy zastanawiałeś się, jak skutecznie producenci oprogramowania antywirusowego dbają o twoje bezpieczeństwo i pieniądze?

Nowe wirusy i programy typu backdoor wykorzystują luki w zabezpieczeniach systemu, aby niepostrzeżenie zakraść się do twojego komputera i zdobyć dla swego zleceniodawcy numer twej karty kredytowej, dane kontaktowe banku i hasła dostępu. Częstość phishingu i pharmingu w 2004 roku podwajała się co 2 miesiące! Warto zatroszczyć się nie tylko o ochronę swojego peceta, lecz również zastanowić się, jak starannie producenci narzędzi antywirusowych walczą z coraz nowymi intruzami.

Ochrona z opóźnieniem

Czas reakcji na zagrożenie

Czas reakcji na zagrożenie

Obecnie trudno sobie wyobrazić korzystanie z Internetu i elektronicznej korespondencji bez oprogramowania antywirusowego. Jednak należy pamiętać, że jego wartość zależy od aktualności baz z sygnaturami antywirusowymi i skuteczności mechanizmów do ich zwalczania. W dalszej części materiału przedstawiamy wyniki badań dotyczących czasu reagowania producentów na nowe zagrożenia. Rezultaty pozbawią cię iluzji - żadna z firm poddanych badaniu nie działa błyskawicznie. Niemniej jednak obaj liderzy testu - Kaspersky i Bitdefender - dostarczają sygnatury średnio w ciągu czterech godzin od momentu dostrzeżenia intruza w Sieci. Pozostali producenci udostępniają szczepionki z dość znacznym opóźnieniem.

Aby twój program antywirusowy zaopatrywał się w bazy sygnatur natychmiast po ich opublikowaniu, musisz go odpowiednio skonfigurować. Dobre rozwiązanie to bez wątpienia automatyczne pobieranie szczepionek w momencie nawiązania połączenia internetowego, jednak tylko nieliczne aplikacje dysponują taką możliwością. Funkcję tę zapewnia m.in. Norton AntiVirus - jak na ironię, bo według testów akurat Symantec wydawał stosunkowo mało aktualizacji i ze sporym opóźnieniem.

Użytkownicy, którzy długo przebywają w trybie online bądź mają stałe łącze internetowe, powinni tak skonfigurować oprogramowanie antywirusowe, aby co godzinę zgłaszało się do laboratorium producenta w celu pobrania najnowszej szczepionki.

Obu rozwiązaniom bez wątpienia brakuje nieco do doskonałości. Najszybszą profilaktykę zapewniałoby samodzielne wgrywanie aktualizacji przez producenta bezpośrednio do komputerów użytkowników. Jednak technologia ta nie jest pozbawiona problemów. Po zaktualizowaniu baz sygnatur konieczne byłoby sprawdzenie, czy nie wpłynęło negatywnie na działanie programu antywirusowego. Producenci musieliby tworzyć specjalne oprogramowanie monitorujące pracę antywirusa i w razie nieudanej aktualizacji przywracające poprzedni stan systemu. To za duża ingerencja producentów w komputery ich klientów, więc trudno ocenić, czy zostałaby zaakceptowana. Mogłyby wziąć górę obawy przed działalnością szpiegowską, a także przed zawieszeniami systemu, spowodowanymi automatycznym uaktualnianiem sygnatur.

Jak wspomnieliśmy, komputer jest zabezpieczony tylko wtedy, gdy dysponuje szczepionkami na wszystkich intruzów grasujących w Sieci, zatem podstawowe kryterium oceny jakości programów antywirusowych stanowi szybkość reagowania laboratoriów na nowe zagrożenia. Oprócz czasu reakcji zbadaliśmy częstotliwość wydawania plików aktualizacyjnych, a także stopień bezpieczeństwa zapewniany przez mechanizmy heurystyczne.

Myśliwi pod lupą

Oprogramowanie antywirusowe - częstotliwość aktualizowania baz sygnatur

Oprogramowanie antywirusowe - częstotliwość aktualizowania baz sygnatur

Laboratorium AV-Test ( http://www.av-test.de ), zajmujące się technologiami zabezpieczeń, kontroluje od stycznia ubiegłego roku, w jakich odstępach czasu producenci wypuszczają nowe pliki aktualizacyjne. Co minutę sprawdza ich serwery w poszukiwaniu szczepionek uzupełnionych o najnowsze sygnatury, a następnie pobiera je. W ten sposób w ciągu pierwszych dziewięciu miesięcy 2004 roku uzbierało się aż 37 tysięcy plików. Mając do dyspozycji tak obszerną bazę danych, można pokusić się o ocenę, jak często producenci wyposażają użytkowników w aktualizacje i z jaką szybkością potrafią odpowiadać na mnożące się zagrożenia.

Przeprowadzając badania, o których mowa, brano pod uwagę wyłącznie produkty dla osób prywatnych, a celowo pominięto klientów korporacyjnych.

Aby stwierdzić, jak szybko laboratoria reagują na najświeższe zagrożenia z Internetu, AV-Test ustalił, ile czasu zajęło im przygotowanie skutecznych szczepionek na 45 niebezpiecznych intruzów. Jak się okazało, ilość nie zawsze idzie w parze z jakością - nawet w przypadku częstych aktualizacji nie ma pewności, że antidotum trafi na czas do użytkownika.

Wielu producentów reklamuje swoje antywirusy, zachwalając wyrafinowane mechanizmy heurystyczne, które mają wykrywać potencjalne szkodniki jeszcze przed dokonaniem aktualizacji. AV-Test przebadał również skuteczność tych technologii.

Należy zaznaczyć, że uczestnictwo w teście było dobrowolne i nie wszyscy producenci zdecydowali się do niego przystąpić.

Strategie aktualizowania

Jeśli chodzi o strategię dostarczania plików aktualizacyjnych, producenci oprogramowania antywirusowego dzielą się na dwa obozy. Pierwsza grupa wydaje nowe bazy sygnatur w regularnych, lecz dłuższych odstępach czasu - np. raz na tydzień. Ponadto zapewnia dodatkowe aktualizacje w wypadku pojawienia się szczególnie groźnego egzemplarza. Taka strategia przynosi znaczące korzyści - minimalizuje ilość danych, które użytkownik musi pobierać z Internetu. Jeśli jednak producent popełni błąd w szacowaniu stopnia zagrożenia danego wirusa, jego klienci będą przez dłuższy czas poruszać się bez zabezpieczenia po Sieci, gdzie mogą paść ofiarą intruza.

Druga z wymienionych grup oferuje nowe wersje baz sygnatur w znacznie krótszych odstępach czasu - raz dziennie lub nawet co kilka godzin. Dzięki temu program użytkownika może być stale "na bieżąco", ale zwiększa się ilość pobieranych danych.

Wyniki testu częstotliwości

Wiadomości z robakiem Mydoom.A - mimo że szczepionki zostały udostępnione późnym wieczorem, większość użytkowników pobierała je dopiero około południa następnego dnia. Widać to po znacznym wzroście krzywej po godz. 13.00 Źródło: Messagelabs© 2004, http://www.messagelabs.com .

Wiadomości z robakiem Mydoom.A - mimo że szczepionki zostały udostępnione późnym wieczorem, większość użytkowników pobierała je dopiero około południa następnego dnia. Widać to po znacznym wzroście krzywej po godz. 13.00 Źródło: Messagelabs© 2004, http://www.messagelabs.com .

Najwięcej aktualizacji udostępnił Kaspersky, wydając średnio po 220 nowych baz na miesiąc. Należy oczekiwać, że w przyszłości będą oferowane jeszcze częściej - co godzinę, jak zamierza producent. Drugie miejsce przypadło Dr. Webowi, który zapewniał po 136 szczepionek miesięcznie. Sześć kolejnych pozycji zajęły laboratoria, które wprowadzały od 43 do 62 aktualizacji na miesiąc - czyli jedną do dwóch dziennie. Ostatnia grupa, składająca się z niespełna tuzina firm polujących na wirusy, oddawała do dyspozycji jedną do dwóch szczepionek tygodniowo. Najniższy wynik to średnio dziewięć baz z sygnaturami na miesiąc. Szczegółowe zestawienie wyników zamieszczamy w wykresie słupkowym.

Kto pierwszy, ten lepszy

Specjaliści instytucji AV-Test wybrali 45 wirusy siejące postrach w 2004 roku. Każdy z nich był rozpowszechniony na dużą skalę i został zaklasyfikowany przez większość naszych kandydatów do grupy o wysokim stopniu zagrożenia.

Pomiar czasu rozpoczynano w momencie, gdy pierwszy producent udostępniał szczepionkę unieszkodliwiającą danego wirusa. Zgodnie z tym założeniem, jego czas reakcji wynosił 0 minut. Jeśli następna aktualizacja pojawiła się np. po upływie pół godziny, czas reakcji tego producenta wynosi 30 minut. Po zbadaniu wszystkich opóźnień dzielono ich sumę przez liczbę intruzów. Otrzymany wynik stanowi średni czas reakcji danego producenta (szczegóły w tabeli). Warto zauważyć, że żaden z producentów biorących udział w teście nie uzyskał wyniku poniżej dwóch godzin - a więc nie zyskał rangi lidera, który za każdym razem wyprzedzał konkurentów.

W tej konkurencji najszybsi okazali się Bitdefender i Kaspersky. Obejmowali pecety swoich klientów skuteczną ochroną przed upływem średnio czterech godzin. Co ciekawe, Bitdefender uzyskał podobny czas reakcji, jak Kaspersky, przy dużo niższej liczbie aktualizacji (niespełna jedna czwarta puli wykorzystanej przez konkurenta).


Zobacz również