Twórcy aplikacji antywirusowych wykazali zainteresowanie architekturą przetwarzania w chmurze (zobacz ramka “Stała ochrona w chmurze”). Trzeba przyznać, że producenci pakietów ochronnych nie mają innego wyboru, ponieważ standardowa metoda rozpoznawania wirusów na bazie sygnatur dobiega już kresu swoich możliwości. Zaledwie w ciągu ostatnich trzech miesięcy odkryto pięć milionów nowych zagrożeń. Nawet jeżeli jedna sygnatura umożliwia rozpoznanie kilku szkodników, przetwarzanie takiej ilości informacji na komputerach użytkowników wpływa na wydajność maszyn. Również rozpoznawanie wirusów na podstawie zachowania nie spełniło oczekiwań. Wykorzystanie chmury obliczeniowej skutkuje znacznym skróceniem czasu upływającego pomiędzy wykryciem złośliwego kodu a stworzeniem sygnatury. Mamy też złe wieści dla wszystkich twórców wirusów
– skuteczność antywirusów w zwalczaniu zagrożeń, które swobodnie rozprzestrzeniają się w Internecie, wynosi niemal 100 procent.
Rozpoznawanie: nikt nie jest idealny
Chcieliśmy przekonać się, który spośród pakietów ochronnych niezawodnie rozpoznaje i usuwa wszystkich intruzów. W teście główny nacisk został położony na sztuczne wirusy, opracowane specjalnie na potrzeby badań laboratoryjnych. Złośliwe oprogramowanie zostało podzielone na kategorie, takie jak konie trojańskie, boty, backdoory oraz spyware. Laboratoryjne (sztuczne) wirusy są potencjalnymi wzorcami przyszłych zagrożeń występujacych w Sieci. Skanery nie są w stanie rozpoznać takich zagrożeń wyłącznie na podstawie sygnatury, dlatego znaczenie ma również zintegrowany moduł heurystyczny, który stanowi pierwszy krok w kierunku analizy behawioralnej. Ta wchodzi w grę, gdy skanery muszą walczyć z dotychczas nieznanymi wirusami – ten element ochrony również sprawdzaliśmy w naszym teście.
W obydwu dyscyplinach jednocześnie błyszczą nieliczne aplikacje – najbardziej zbliżył się do ideału pakiet Norton Internet Security. Z kolei Pandę cechowała niemal idealna skuteczność rozpoznawania wirusów laboratoryjnych, jednak dostrzegliśmy, że wyraźnie nie radziła sobie w przypadku analizy bazującej na ich zachowaniu.
W wykrywaniu wirusów w środowisku laboratoryjnym Pandzie dorównują produkty G Daty oraz Symanteca. Reszta programów nie zdołała w niektórych kategoriach przekroczyć 99-procentowej skuteczności rozpoznawania. Zaledwie jeden procent nierozpoznanych szkodników wydaje się małą liczbą, jednak gdy weźmiemy pod uwagę niemal 500 000 wzorców, oznacza to, że ok. 5000 szkodników zdołało umknąć skanerom. Niemal wszystkie skanery oferują, nawet w najgorszym przypadku, skuteczność rozpoznawania na poziomie 98 proc. – jedynym wyjątkiem od reguły okazał się antywirus Aviry, którego skuteczność w trakcie rozpoznawania oprogramowania szpiegującego wyniosła zaledwie 96,7 proc. Mimo wszystko wynik testu pozytywnie nas zaskoczył.
Zgoła inna sytuacja występuje, gdy mowa o skuteczności rozpoznawania wirusów na bazie ich zachowania. Pod tym względem najskuteczniejsza okazała się aplikacja Norton – rozpoznaje cztery na pięć szkodników i potrafi je usunąć. Konkurencja zaczyna doganiać lidera – antywirusy BitDefender, Kaspersky oraz Avira zapewniają taką samą skuteczność rozpoznawania, jedynie blokowanie szkodników sprawia im problem. Powstrzymywanie wirusów nastręczyło niemal wszystkim testowanym antywirusom największych trudności. Aplikacja McAfee, rozpoznaje jedynie dwa na pięć wirusów, nie potrafi zahamować ich aktywności ani usunąć wykrytych zagrożeń.
Choć niegroźne, często podnoszone przez pakiety fałszywe alarmy są irytujące. Niepotrzebny alert oznacza (zależnie od ustawień), że skanery przenoszą niestanowiące najmniejszego zagrożenia aplikacje do kwarantanny i ostatecznie je usuwają.
W przypadku rozpoznawania bazującego na sygnaturach programy ochronne praktycznie się nie mylą. Dobre pakiety na
50 000 niegroźnych aplikacji najwyżej jedną z nich określiły jako zagrożenie bezpieczeństwa. Jedynie Kaspersky oraz McAfee wyróżniają się negatywnie, podnosząc odpowiednio sześć oraz 16 fałszywych alarmów. Zaskakujące okazały się działania silnika rozpoznającego wirusy na bazie zachowania w skanerach firm
G Data oraz Avira – aplikacje uznały za zagrożenie procesy instalacyjne programów iTunes oraz Winamp, jednocześnie nie przerywając ich dalszej instalacji.
Tempo: Szybciej niż dotychczas
Kompleksowa ochrona nie pozostaje bez wpływu na moc obliczeniową komputera. Wynika to ze sprawdzania praktycznie każdej operacji dotyczącej przetwarzania plików – od pobierania z Sieci do rozpakowywania archiwów. Do tego opóźniony zostaje start systemu operacyjnego. Panda na naszym testowym komputerze wydłużyła czas uruchamiania o 27 sekund. Dużą cierpliwością muszą się również wykazać użytkownicy podczas skanowania partycji systemowej.
W tym wypadku różnice były znaczne. Tę rutynową czynność najszybciej wykonał antywirus Kaspersky – 90 sekund. Programy ochronne BitDefender oraz G Data potrzebowały na to zadanie niemal siedem minut. W najlepszym przypadku każdy kolejny skan powinien ograniczyć się wyłącznie do nowych bądź zmodyfikowanych plików, a więc proces powinien trwać kilka sekund. Niestety, obserwując zachowanie pakietów firm Panda, Avira oraz McAfee, odnosimy wrażenie, że ta sprytna technika działania nie została zaimplementowana – drugie skanowanie zajmuje im niemal tyle samo czasu co pierwsze.
Pobieranie plików, podczas korzystania z pakietu Kaspersky, trwało wyjątkowo długo. W teście pobieraliśmy 2,8 gigabajta danych. Bez pakietów ochronnych pobranie danych zajmowało ponad pięć minut, Kaspersky wydłużył ten czas do ponad sześciu minut. Jeżeli pliki są ponadto spakowane, skaner firmy Kaspersky podwaja czas pobierania, ponieważ archiwa są szczegółowo sprawdzane. Dla porównania dodajmy, że większość pozostałych pakietów, pomimo że oferuje podobny poziom bezpieczeństwa, skanuje pobierane pliki w kilka sekund.
Wyposażenie: Bezpieczne przeglądanie stron internetowych
Obok skanera antywirusowego testowane aplikacje zostały wyposażone w narzędzia do ochrony kont pocztowych (z filtrem antyspamowym), zaporę przeciwogniową oraz płytę ratunkową, na której m.in. znajduje się aplikacja umożliwiająca usuwanie rootkitów. Za to nie wszystkie pakiety oferują sejf na hasła. A przecież takie rozwiązanie ma sens, ponieważ wiele szkodników poszukuje numerów PIN kart kredytowych oraz danych internetowych kont. W przypadku dodatkowych funkcji główny nacisk położono na ochronę przeglądarki oraz aplikacji. Na przykład filtr chroniący przed stronami wyłudzającymi dane to we wszystkich pakietach standardowe wyposażenie. Ponadto Norton, F-Secure oraz McAfee automatycznie oceniają wyniki wyszukiwania, informując, czy odnośniki prowadzą do niebezpiecznych WWW.
W celu przetestowania jakości filtrów przeprowadziliśmy test w serwisie www.phishtank.com. Dzięki stale aktualizowanej bazie danych adresów stron wyłudzających dane serwis ten stanowi idealny poligon testowy. Z listy wybraliśmy próbkę 15 stron internetowych. Wynik naszego testu w przypadku sprawdzonych aplikacji nie jest pozytywny. Pakiety Kaspersky, F-Secure oraz Panda nie poinformowały o ani jednej próbie wyłudzenia danych. Jedynie McAfee oraz BitDefender zdołały osiągnąć wartości świadczące o skuteczności większej niż oferowana przez wbudowaną w przeglądarkę IE ochronę przed stronami wyłudzającymi dane. Filtr rozpoznał i ostrzegł o dziesięciu niebezpiecznych stronach. Lepiej więc nie wyłączać mechanizmów chroniących przed stronami wyłudzającymi dane, w jakie wyposażona jest nasza przeglądarka internetowa. Niektóre
z pakietów ochronnych odnajdują słabe punkty w zainstalowanych aplikacjach. Ostrzegają o brakujących aktualizacjach zabezpieczeń Windows i przestarzałych wersjach popularnych programów (np. Adobe Reader i Apple QuickTime). Taka funkcjonalność jest ważna, jako że coraz częściej luki
w oprogramowaniu stają się wrotami dla złośliwego oprogramowania. Funkcje aktualizacji innych aplikacji w pakietach ochronnych, w porównaniu z rozwiązaniami darmowymi, są opracowane po amatorsku. Miejmy nadzieję, że to się zmieni.
Pozostałe pakiety
W naszych testach, głównie z powodu braku nowych wersji w momencie przeprowadzania procedury testowej, nie uwzględniliśmy wszystkich dostępnych rozwiązań oferujących kompleksową ochronę komputera. Większość wymienionych poniżej pakietów ochronnych zapewnia podobną skuteczność w wykrywaniu zagrożeń jak zwycięzcy naszego testu. Warto wypróbować polskie produkty: ArcaVir Internet Security 2010 (www.arcabit.pl; 180 zł) oraz mks_vir DOM PLUS 9 (mks.com.pl; 130 zł). Rozważyć można też stosowanie Aavast! 4 Professional (www.avast.com; 145 zł), AVG Internet Security 9.0 (www.avg.com), kosztującego 180 zł, oraz zyskującego coraz większą popularność PC Tools Internet Security 2010 (www.pctools.com; 205 zł). Zaawansowani użytkownicy powinni sięgnąć po aplikacje ESET Smart Security 4 (www.eset.pl; 195 zł), Outpost Security Suite Pro 2009 (www.agnitum.com; 135 zł), Trend Micro Internet Security 2010 (www.trendmicro.com; 205 zł) oraz ZoneAlarm Internet Security Suite 2010 (www.zonealarm.com; 100 zł).
Podsumowanie
Lepsza ochrona, mniejsze zużycie zasobów oraz przyszłościowa technologia przetwarzania w chmurze – kierunek rozwoju pakietów ochronnych jest właściwmy. Stawce przewodzi Norton – Symantec oferuje produkt, który prawie nie ma słabych punktów. Również zajmujący kolejne miejsca – Panda, BitDefender oraz G Data – gwarantują dobrą, kompleksową ochronę.
Za co płacimy?
Kupując pakiet ochronny, wykupujemy aktualizację baz zagrożeń i oprogramowania zazwyczaj na rok. Za co płacimy abonament?Juraj Malcho, szef laboratorium antywirusowego ESET:
Użytkownicy płacą za stałą pracę programistów oraz analityków, mającą na celu zapewnienie klientom maksymalnie wysokiego poziomu ochrony. To nie tylko nowe definicje wirusów umieszczane na serwerach z aktualizacjami, pobierane następnie przez naszych użytkowników, ale również prace nad ulepszeniem algorytmów i metod detekcji naszych programów, możliwości firewalla czy aktualizacji bazy antyspamowej. Bez tej nieustannej pracy naszych specjalistów, niezauważalnej dla klientów, nie moglibyśmy zapewnić użytkownikom należytej ochrony.