Menu

Jak dobře vás ochrání bezpečnostní balíky?

NA DVD
Bezpečnostní balíky si můžete vyzkoušet i sami. Na Chip DVD najdete pod indexem Bezpečnostní balíky jejich demoverze.

Jak dobře vás ochrání bezpečnostní balíky?

Pomocí vylepšené technologie se bezpečnostní balíky snaží odrazit nový nápor malwaru. Náš test ukazuje, jak spolehlivou ochranu opravdu nabízí…
CLAUDIO MÜLLER

Výrobci antivirů bojují s malwarem asi stejně marně, jako kdysi bojoval Don Quijote s větrnými mlýny. Počet nových virů se každým rokem zvyšuje a roste i frekvence, s níž tvůrci malwaru produkují tento destruktivní software. V současné době se každý den objevuje asi 55 000 nových vzorků malwaru. Mnohem více znepokojující je ale skutečnost, že se rapidně zvyšuje také jeho kvalita. Předzvěstí budoucího nebezpečí by mohl být například červ Stuxnet, který byl zaměřen na průmyslová zařízení. Výrobců antivirových nástrojů uvádějí, že trojské koně, keyloggery a boty jsou stále častěji naprogramovány zcela profesionálně, a proto jsou stále nebezpečnější. Bez antivirové ochrany tedy není otázkou to, zda bude počítač infikován, ale spíše kdy se tak stane. Spolu s testovacími laboratořemi AV-Test jsme prověřili, jak dobře současná generace bezpečnostních balíků chrání před moderními útoky.
Od našeho posledního testu (viz Chip 02/2010) výrobci rozvíjeli zejména detekci na základě chování v reálném čase a služby v "cloudu", a to především proto, že konvenční virové signatury sice zůstávají základní zbraní antivirů, ovšem proti novým a prozatím neznámým malwarům jsou neúčinné. U takovýchto hrozeb musí program analyzovat, jak se neznámá aplikace (skrývající malware) chová – program obvykle buď sleduje změny v systému, nebo spustí aplikaci přímo v bezpečném prostředí (sandboxu). Navíc obvykle engine bezpečnostního balíku získá z databáze v "cloudu" informaci, zda již jiní uživatelé tuto aplikaci bezpečně využívají.

Reputace: Lepší ochrana v reálném čase

Technologie "reputace" je v tomto roce nejdůležitější novinkou v oblasti "cloud služeb". Funguje následujícím způsobem: Výrobce nástroje získává o podezřelém souboru data ze všech nainstalovaných bezpečnostních balíků (pokud s tím uživatel souhlasí). Tak lze u neznámých souborů spolehlivěji určit původ nebo vzory chování. Ty jsou poté odesílány do serveru (cloud) a tam analyzovány. Díky tomu je možné rozlišit důvěryhodné a potenciálně podezřelé soubory ještě dříve, než jsou k dispozici ve virové laboratoři, jak říká Stefan Wesche, technický expert společnosti Symantec. Analýza "reputace" je ve skutečnosti jen jednou z mnoha úrovní ochrany, přesto však podstatně pomáhá programu vypořádat se s neznámým soubory. Jak tento proces probíhá například u nástroje od firmy F-Secure, to můžete vidět v grafickém schématu na straně 60. Tato technika ale musí být nepřetržitě rozvíjena, protože tvůrci malwaru se ji snaží přelstít (zejména analýzu na základě kontroly chování).
Podle prohlášení společnosti Symantec k takové situaci dojde v průměru za jeden až dva týdny, poté na to výrobci bezpečnostních programů zareagují.
Nové technologie rozhodně nejsou nijak revoluční, došlo však ke zlepšení celé řady "detailů". To ostatně potvrzuje i náš test. Úroveň detekce neznámého malwaru je výrazně vyšší než v roce 2009, kdy činila nanejvýš 80 procent. Tentokrát dosáhly všechny programy alespoň 85 procent. Nástroj od firmy F-Secure v podstatě detekoval všechny neznámé škůdce, stejně jako balík od PC Tools. Výrazně se také zlepšily skenery, které nejsou založeny na signatuře viru – ovšem zdaleka ne natolik, aby optimálně chránily uživatele. Dalo by se tedy říci, že výrobci již vědí, že hlavní technologií pro tento rok je detekce na základě chování…

Lov na viry: Ne vždy dobré skóre

Kromě skutečných virů museli účastníci testu také rozpoznat malware naprogramovaný v laboratoři, který simuloval potenciální nové útoky.
Při skenu "na vyžádání" se bezpečnostním balíkům nepodařilo tento "zoomalware" identifikovat jen na základě signatury. Zde byla klíčová heuristika, která škodlivý kód analyzovala a hledala podobnost se známým malwarem. Zatímco většina produktů zde dosahovala vcelku dobrých výsledků (u trojských koní, backdoorů a falešných antivirů byla úroveň detekce mezi 97 a 100 procenty), překvapivě velké problémy zde měl balík od firmy Kaspersky. Jeho úspěšnost byla výrazně podprůměrná, a to zejména v případě trojských koní a falešných antivirů (z 180 027 trojských koní jich přehlédl 9 235!). Jak má tato technologie fungovat, to naopak předvedl bezpečnostní balík od Pandy, který z 270 000 vzorků "přehlédl" jen 646. Povinnou zkouškou – detekcí všech známých malwarů – nicméně všechny programy prošly se 100 %.
Na přijatelné úrovni také byly falešné poplachy na neškodné soubory. Skenovací "motor" u nástrojů od firem F-Secure a G data nevyvolal při kontrole souborů (11 604 systémových, 135 712 jiných) žádný falešný poplach a i ostatní nástroje uživatele nijak neobtěžovaly. Jedinou výjimkou byl bezpečnostní balík od firmy Avira. Ten nejen ohlásil nejvíce falešných poplachů, ale především zmatkoval při instalaci (a spouštění) známých a oblíbených programů. Například u programu Winzip a nástroje pro defragmentaci disku uživatele otravoval chybnými varováními, aplikaci Google Earth dokonce při spuštění zcela zablokoval.

Odstranění malwaru: Špatné výsledky

Na základě výsledků testu tedy můžeme zodpovědně říci, že ve srovnání s loňským rokem výrobci podstatně vylepšili své skenovací motory, takže nabízejí dobrou úroveň detekce a minimální míru falešných poplachů. Přesto lze najít oblast, kterou všichni výrobci bezpečnostních systémů zanedbali: vyčištění zamořeného systému. Žádnému nástroji se totiž nepodařilo zbavit všech nebezpečných malwarů. Nejvyšších hodnot v testu tak dosáhly nástroje BitDefender a PC Tools, které odstranily aktivní prvky virů v devíti z deseti případů.
Nástroj od PC Tools navíc opravil všechny změny v systému pro osm z nich. Jako nejhorší se v testu ukázaly nástroje od firem McAfee a eScan. První z nich nedokázal odstranit ani aktivní prvky u 40 % škůdců, druhý dokázal obnovit nastavení systému jen ve třech případech z deseti. Andrea Marx, generální ředitel společnosti AV-Test, tuto situaci kritizoval: "Někteří výrobci bezpečnostního softwaru stále ještě nedokážou ukončit procesy malwaru nebo odstranit jejich položky z registru." Zde tedy musí autoři programů ještě hodně zapracovat…
Vzhledem k ceně (okolo 1 000 Kč za rok) by měla být uživateli nabídnuta i pomoc při napadení systému. Pokud je útok malwaru tak agresivní, že zcela deaktivuje ochranu systému, nebo dokonce vůbec nelze spustit počítač, pomůže pouze záchranné CD. Obvyklým doplňkem bezpečnostního balíku by tedy měl být záchranný disk, který po nabootování sám zaktualizuje signatury a vyčistí systém. Bohužel do krabice s instalačním diskem ho zatím přidává pouze několik výrobců, obvyklou praxí je jen nabídka jeho dodatečného vytvoření. V této oblasti opět negativně "vynikla" společnost McAfee, která u svého nástroje nenabízí ani dodatečné vytvoření záchranného disku. Nejdůležitějším kritériem testu je nepochybně ochrana proti malwaru, pokud ale bezpečnostní balík příliš zatěžuje systém, pak uživatele nepotěší ani nejbezpečnější počítač.
Proto jsme vyzkoušeli, který nástroj je k systémovým zdrojům nejšetrnější. Měření potvrdila náš subjektivní dojem z velkých rozdílů mezi jednotlivými programy. Dobrých výsledků dosáhl balík od BitDefenderu – velmi rychle dokončil sken systémového disku a nezklamal ani v ostatních testech. Norton Internet Security, který byl kdysi odsuzován jako brzda systému, tentokrát v této oblasti dosáhl druhého místa, především díky "dobrému startu" a rychlému skenu systému. To mu spolu s velmi dobrou ochranou před malwarem zajistilo celkové vítězství.

Start systému: Sprinteři a šneci

V oblasti rychlosti nepříjemně "překvapil" bezpečnostní balík od firmy Kaspersky: o více než minutu posunul dobu startu Windows. Na počítači s tímto nástrojem jsme museli čekat více než dvakrát tak dlouho, než jsou do Windows nahrány komponenty nástroje a je možné pracovat s ochranou v reálném čase. Stejně jako dříve se největší rozdíly ukázaly při kontrole souborů na systémovém disku. V ideálním případě by si měl skener pamatovat analyzované soubory a testovat pouze nové nebo pozměněné soubory.
Nástroje Panda, G Data a PC Tools tuto taktiku zřejmě nepoužívají a jejich kontrola byla úmorně dlouhá v obou případech. Druhý BitDefender překvapil dokonce i rychlou první kontrolou. Nástroj od Symantecu se při prvním testu umístil až na třetím místě, při druhém ale svou rychlostí doslova šokoval a jednoznačně zvítězil. Podle vyjádření, které jsme obdrželi od firmy G Data, by se měl čas potřebný na sken snižovat až po několika kontrolách – jejích šest konkurentů však dokáže rapidně zkrátit čas skenu již po druhé kontrole. Mnohem menší rozdíly jsme zjistili při kontrole rozbalování souboru a při kopírování mezi počítačem a USB flash diskem. Vzhledem k tomu, že se malware stále častěji šíří přes externí nosiče dat, je logickou součástí bezpečnostního programu kontrola procesu kopírování.
Zde nezklamal ani jeden bezpečnostní balík – všechny dokázaly prověřit proces kopírování jen o několik sekund pomaleji než při absenci kontroly.

Rozhraní: Přehledné a účelné

Jedním z klíčových problémů bezpečnostních balíků bývalo ovládání a rozhraní. Snaha o ovládnutí stovky funkcí měla za následek pro uživatele chaotické příkazové nabídky, vyskakovací okna se zbytečnými zprávami a složité konfigurační dialogy. Testované nástroje jsou už na tom mnohem lépe – uživatele prakticky ničím neruší a dominantními prvky jsou symboly ukazující, zda je počítač chráněn, nebo zda je nutné vyřešit nějaký problém. K ovládání balíku však každý výrobce přistupuje "po svém". Zajímavé řešení nabízí například BitDefender se svými třemi volitelnými rozhraními (pro začátečníky, běžné uživatele a profesionály). Pochválit musíme také nástroj od firmy G Data, který jednoznačně chápe požadavky uživatele, se kterým navíc komunikuje prostřednictvím elegantního designu. Řešení od F-Secure nás přesvědčilo srozumitelností informací, stejně jako dobře promyšlenou strukturou menu, která zabraňuje dlouhému hledání. O trochu více problémů budou mít nezkušení uživatelé při hledání potřebných informací u vítěze testu od Symantecu. U něj totiž v neprospěch uživatelů vyhrál vzhled nad funkčností. Balík "eScan Internet Security" může uživatelům trochu pocuchat nervy výchozím nastavením kontroly přenosných médií. Jakmile je totiž připojíte, provede jejich důkladný test. To je sice teoreticky z hlediska bezpečnosti přínosné, v praxi ale mimořádně otravné. V tomto případě pomůže rychlý přesun do konfigurace programu a deaktivace příslušné volby. Žádný z testovaných programů ale vyloženě nezklamal a alespoň průměrně zkušený uživatel nebude mít problémy s ovládáním žádného z nich.

Bonusy: Rozdíly jen v detailech

Ukazuje se, že bezpečnostní balíky se už vzájemně podobají nejen z hlediska designu, ale také v oblasti nastavení a ovládání. Každý výrobce se navíc učí od ostatních a napodobuje jejich dobré funkce. Rozdíly mezi jednotlivými nástroji – ať už pozitivní, nebo negativní – najdete jen v detailech. Například ochrana e-mailu, webu a spamový filtr patří již delší dobu mezi standardní funkce, uživatel balíku eScan si však tyto funkce musí aktivovat až po instalaci. Na druhou stranu například nástroje od firem Kaspersky a BitDefender nabízejí uživateli možnost vyhledávání slabých míst v systému (např. chybějící aktualizace Windows).
Na velké rozdíly lze ale narazit při instalaci programu. Zatímco některé programy se instalovaly desítky minut a vyžadovaly "odklikání" celé řady dialogů, vítěz testu Norton byl připraven k práci po méně než minutě. Paradoxně zbytečnou aktivitu vyvíjel program eScan, který začal kontrolu systému automaticky po instalaci. To je sice na první pohled rozumné, problém je ale v tom, že poslední aktualizace proběhla před šesti týdny…
Společně s kolegy z laboratoří AV-Test jsme narazili na další nepříjemný problém – u balíku od McAfee nefungovala aktivace, protože připojení k serveru McAfee se zhroutilo. Podle McAfee se však tento problém nedotkl všech uživatelů. Podle nás je mimořádně otravné nutit uživatele nejprve se zaregistrovat, aby mohl být program aktualizován. Ať už si ale zvolíte jakýkoliv z testovaných nástrojů, bude váš počítač mnohem bezpečnější.
AUTOR@CHIP.CZ

ZÁVĚR

Většina nových bezpečnostních balíků udělala v oblasti ochrany před neznámým malwarem velký krok vpřed. Vítěz testu Norton v celé řadě oblastí exceluje a nemá žádné závažné slabiny. Jde tedy jednoznačně o nejlepší bezpečnostní soupravu. Přesvědčivé jsou ale také nástroje BitDefender (výborný výkon) a F-Secure (velmi dobrá ochrana v reálném čase). Všechny programy nicméně částečně zklamaly v případě dezinfekce zamořených systémů. Tady by výrobci měli ještě zapracovat…


Nové bezpečnostní balíky nabízí:
LEPŠÍ OCHRANU V REÁLNÉM ČASE
Efektivnější analýza na základě chování nabízí lepší obranu před neznámým malwarem.
BEZPEČNĚJŠÍ SURFOVÁNÍ
Propracovanější ochrana prohlížeče chrání surfaře před hrozbami z WWW stránek.
VÍCE "INTELIGENTNÍCH CLOUD SLUŽEB"
Pomocí technologie "reputace" dokáží bezpečnostní balíky odlišit nebezpečné aplikace.
JEDNODUŠŠÍ OVLÁDÁNÍ
Přehlednější nabídky u většiny programů přispívají k pohodlnějšímu ovládání.

Foto: Jednoduché: S tímto rozhraním zvládne ovládat bezpečnostní balík i nezkušený uživatel…


Rychlejší ochrana díky vylepšeným službám "cloudu"
Nové "cloud" technologie, například od F-Secure, spoléhají na rozsáhlé databáze a jsou závislé na připojení k internetu.

Neaktualizované
OMEZENÁ DATA
- Servery v cloudu mají jen informace o známém malwaru.
- Virový skener musí poslat dotaz do cloudu na všechny neznámé soubory.

Optimalizované
RYCHLEJŠÍ ROZPOZNÁNÍ
- Informace o neškodných, již zkontrolovaných souborech jsou uloženy v databázi.
- Virový skener už nepotřebuje připojení k internetu, díky lokální "cloud databázi".

Virový skener
Ochrana prohlížeče
Skenovací motor
Analýza chování
Dezinfekce

Lokální obraz "cloud databáze" obsahuje:
Signatury známého malwaru
Hodnotu kontrolního součtu neškodných souborů
Informaci o původu souborů


Nová nebezpečí
Profesionální malware se dokáže lépe skrývat a špehovat uživatele.

Autoři virů neustále vymýšlejí nové metody útoku, techniky počítačových zločinců jsou čím dál tím propracovanější. Antiviroví výrobci poukazují na stále hrozivější trendy.
ŠPIONÁŽ CHOVÁNÍ
Stále více lidí žije "silně digitálně", na internetu o nich najdete více informací z jejich osobního života. Izraelští vědci varují, že tyto informace může brzy začít využívat nový malware. Útočníci by při využití těchto dat mohli snadno proniknout do systému, zveřejnit je, nebo dokonce uživatele vydírat.
SPECIÁLNÍ VIRY
Podobně jako Stuxnet pro průmyslová zařízení by se mohl také brzy objevit malwarepro útoky na konkrétní uživatele. Tato hrozba je nebezpečná, protože vir zaútočí jen na několik počítačů, kde ho mohou antiviroví výrobci objevit jen stěží. Tyto útoky se objeví, jakmile se nástroje na vytvoření malwaru stanou ekonomicky výhodnějšími.
PROFESIONALITA
Počítačoví zloději se spojují do profesionálních skupin pro lepší využití vlastních zdrojů. Díky tomu mohou rozvíjet nové trojské koně, které oklamou bezpečnostní balíky.


Foto: Hledání malwaru: Nástroj BitDefender zkontroloval systém rychle a měl nízké nároky na systémové zdroje.
Foto: Webový filtr: Skenery blokují nebezpečné stránky před jejich navštívením…
Foto: Vítěz testu: Nástroj Norton nabídl nejlepší celkovou ochranu a dobrý výkon.
Foto: Dezinfekce: Nejlépe systém vyčistil balík PC Tools Internet Security.