Dajme tomu že chlapík ktorý sa vo voľnom čase venuje testom internetových security balíkov formou akéhosi virtualizovaného inkubátora v ktorom sa pustí do boja security riešenie proti užívateľovi typu prasa, vypustí do sveta video v ktorom sa môže zosobniť nočná mora každého developera. Možno súhra zvláštnych náhôd, možno nedokončený produkt ktorý mal ešte chvíľu ostať v šuplíku, v každom prípade tento security test bol z tých najmenej nudných ktoré som na Youtube stačil vidieť a šťastie pre jeden nemenovaný produkt ktorý uvidíte vo videu, že má nálepku
beta.
Dôsledkom dostupnej virtualizácie v dnešnej dobe pribúda na Youtube podobných videí každým dňom. Výber je pestrý, čomu vďačíme prístupnosti internetu rôznym osobnostiam každého veku od batoľaťa. Od videí typu aj ja si pár spravím keď je to také jednoduché, sú aj tie kde je aj vidieť snaha niektorých autorov pristupovať k hobby profesionálnejšie čo je na úhľadnosti testu vidieť. V každom prípade minimálne každému testu sa dá vytknúť
používanie virtualizovaného prostredia, keďže existuje malware ktorý v prípade detekcie virtualizácie ostáva nečinný a trend keď sa väčšina autorov kopíruje v metodike je značný. To už ale zachádzam ďaleko a cieľ týchto testov je naplnený, užívateľ si môže urobiť stručný prehľad trhu a schopností rôznych all-in-one riešení.
Tento chlapík na Youtube pod prezývkou "languy99" spojil do jedného rozsiahlejšieho
videa test balíkov patriacich veľkým rivalom na tomto poli, od Kasperskeho a Nortona. Trend keď sa zväčša testujú preventívne schopnosti balíkov simuláciou bežného užívateľa na internete je jasný, ale on sa rozhodol, že bude testovať schopnosti on-demand skenerov a urobil dobre. Prejdem k samotnej metodike ktorú zvolil a
video rozoberiem podrobnejšie + komentáre pod ním. Na koniec pridám pár vlastných postrehov.
languy99 si pripravil mix aktuálneho malware ktorý zhustil do jedného priečinka. Jeho cieľ bol jasný. Otestovať skenovacie jadro balíkov už v prípade kompromitovaného systému. Tento mix mal pripravený v zipe ktorý rozzipoval na plochu pri vypnutej realtime ochrane u oboch security balíkov. Po aktualizovaní definícií security balíka a následnom skenovaní nechal všetky pozitívne nálezy antivírom odstrániť a číselným rozdielom stavu počtu vírusov na začiatku a po dezinfekcii vypočítal percentuálnu úspešnosť ktorá bola u Kasperskeho zhruba
74%. Následne nato pospúšťal pár vírusov a v rôznom poradí zo zbytku ktoré antivír nechali chladným, čo mi prišlo sympatické. A pozor pri proaktívnej ochrane balíka ktorá bola signalizovaná fajkou v gadgete Kasperskeho vo videu vpravo hore. Pretože už nejaký piatok to nie je len o signatúrach ale napríklad aj o behaviorálnom štíte ktorý má ochrániť napríklad aj od zero day útokov, je to najzaujímavejšia časť testu. Ale to najlepšie ešte len príde preto odporúčam pozrieť si
video ak ste to ešte neurobili z horných dvoch odkazov aspoň od 12-tej minúty pretože ako som sľúbil zhrniem čo sa vlastne udialo, takže by bola škoda prísť o prekvapenie. Kasperskeho balík prežil tento assault v podstate dobre.
Nortonov test prebiehal do 16-tej minúty štandardne ako u Kasperskeho. V podstate až od vtedy začal mať languy99 problémy najprv s otvorením priečinka so vzorkami a ako sa v taskmanageri ukázalo zostrelenie explorera ktorému bolo 99% CPU času málo, bolo na spadnutie. Pravdepodobne bol už OS napadnutý. Po úspešnom otvorení priečinka s počtom 160 vzoriek, čistil Norton ešte na pozadí takže konečný výsledok sa zastavil na čísle 147. Úspešnosť?
66%. Otázka je kde sa stala chyba keďže už pri poslednej procedúre - spúšťania zbytkových vírusov mu tam evidentne už dlhšiu dobu nejaký pobehoval. Auto-protect a Sonar statočne bojovali až do 0:19:40, kedy mu jeho slovami, niečo reštartovalo OS. Po reštarte pribudla od "Nortona" celkom zaujímavá hláška, problém je že tá už ale nebola od Nortona, pretože ten bol v priamom prenose popravený. Pravdu povediac, na to som došiel až neskôr, takže sociálny inžiniering má niečo do seba, Fake Antivirus 1:0. 0:21:20 by sme mohli nazvať, hľadá sa Norton. Pravda je že systém bol ťažko infikovaný, ale až po odstavení Nortona, skôr by som sa zamýšľal nad minútami od skenu až po reštart. Na začiatku skenu vzoriek bol gadget v červenom "At Risk", po 14-tej minúte bol v zelenom "Secure", časť ako languy99 mení nastavenia do pôvodnej polohy chýba. Kľudne mohla byť vypnutá funkcia "Tamper Protection" ak tam bola. Problém môže byť aj ako Norton nakladá so súbormi, v prípade skenu došlo pravdepodobne k spusteniu kódu, pretečeniu zásobníka alebo využitia iného exploitu o to viac že Norton skenoval pri vypnutej funkcii Autoprotect. Vírusom sa darilo celkom dobre, ako inak hodnotiť číslo 93 infekcií od MBAM. Veď bodaj by aj nie keď mali "rozšírenú ochranu od Fake Nortona s efektným rádioaktívnym symbolom na pozadí"
Perlička na záver, úspešnosť Comoda
89% a Avastu
83% (z diskusie). V porovnaní s Comodom bola rýchlosť výmazu vírusov u NIS a KIS podstatne nižšia. Pravdepodobne to súvisí s vnútornou modularitou security balíka ako je Kaspersky a Norton, kde jeden z modulov je akýsi neplnokrvný sandbox v ktorom sa simulujú všetky možné dopady na systém a okolité súbory, tým pádom je malware odstránený síce pomalšie ale bezpečne, inak si to neviem vysvetliť a ako je vidieť na videu v 14-tej minúte, tabuľka Insight poukazovala na aktivity súboru, napríklad v spodnom riadku o súbore ktorý vykonal 6 akcií, pričom súbor nebol nikým spustený iba ak Nortonom.
Komentáre:
1) V komentároch bolo podotknuté, že nebolo fér postaviť betu proti plnohodnotnému produktu. Na druhej strane, Norton je produkt ktorý aj keby bol alfa má v náplni práce zostreľovať, nie byť zostrelený. Takže otázka je, koľko malware sa špecializuje na zostreľovanie beta verzií?
2) Že sa test špecializoval iba na on-demand sken a nie proaktívnu ochranu. Ako si zachvíľu budete môcť pozrieť, ukazuje sa, že s motorom od Nortona sa skôr vyhneme zbieraniu exotických zvieratiek a s vypnutým "Norton Community Watch" doporučuje hľadať "grátis" riešenia svojich softvérových kolekcií 10 z 9 notorických obhajovateľov práva na softvér zadarmo za každú cenu, pretože na internete zvláda Norton svoj job na jednotku. Ale nemôže sa stať že s pomocou USB kľúča na ktorom je špica výber free softvéru a fotiek od známeho sa nechtiac stane z PC čulé ZOO pestrej hávede z crackov o ktorých samozrejme nikto nevie, hlavne že je to "zadarmo".
3) Že languy99 nemal zapnutý internet pre dostupnosť updatov (mal) a Auto-protect (tiež mal) a trošku ma zaráža namyslenosť minimálne jedného člena Norton grupy:
http://community.norton.com/t5/Norton-Internet-Security-Norton...
4) Argument, že na on-demand sken máme Malwarebytes a Hitman Pro neobstojí keď som si za balík zaplatil...
languy99 sľúbil opakovať test plnohodnotného produktu keď bude na pulte, niekedy v septembri. Koho táto téma zaujala si môže pozrieť testy v prospech Nortona
NIS 2011 a
NIS 2012 beta.
Výsledky v percentách sú v texte tučným písmom len kvôli orientácii v texte, je to údaj ktorý hovorí veľmi málo.
---------------------------------------------------------------p-o-s-t-r-e-h-y---------------------------------------------------------------
Comodo naberá na popularite. Kvalita firewallu, proaktívnej ochrany a vírusovej databázy so stále sa znižujúcim počtom falošných poplachov robia z neho kvalitného súpera. Hĺbka a komplexnosť nastavení firewallu a Defense+ teda proaktívnej ochrany môže pôsobiť odstrašujúco, horšie je, že keď sa vám dostane do žíl ťažko odísť, pretože nikde inde som sa s takou komplexnosťou nestretol. Do budúcna bude problém u Comoda takzvaný Trust Vendors, teda zoznam komu Comodo verí ktorý je z veľkej časti postavený na digitálnych podpisoch. Bohužiaľ sa ale množstvo malware zneužívajúcich digitálne podpisy každým rokom zväčšuje. Sám som zvedavý aké ďalšie bezpečnostné prvky Comodo predstaví v nasledujúcej verzii.
ESET bol medzi prvými ktorý uviedol svoju cloudovú implementáciu zrýchlenia reakcie na nové hrozby pod názvom ThreatSense.Net a spolu s modulom IMON, ktorý už vtedy kontroloval súbory počas sťahovania a nie až po vytvorení na partícii, tvorili a tvoria základný pilier predvoja a napriek trendu presúvania ťažiska skenovacích mechanizmov do popredia si dokáže ustrážiť aj týl.
Aj tak som ale prešiel na Norton kvôli tomu že za tú cenu ponúkal viac, zaujíma ma váš názor aký je
ESS v súčasnosti hlavne s ohľadom na automatizáciu aj kvôli ktorej som vtedy ešte
NOD32 opustil.
NIS áno balík tohoto formátu by mal byť automatický a čo najmenej obťažovať, 2-roky som používal Norton Internet Security k plnej spokojnosti, od roku 2009 kedy bol uvedený na trh v podstate nový produkt oproti jeho predchodcom v pozitívnom slova zmysle. A stále ho pokladám za jeden z najlepších. Test na ktorý som dnes poukázal mi vôbec názor nezmenil. Minimálna interakcia balíka pri stále kvalitnej ochrane je dôležitá. Je mi sympatické aj rozširovanie do povedomia užívateľov ponúkaním 3-mesačných trial verzií, v porovnaní s marketingom ESETu ktorý ide hlavne cez reklamy.
MSE to je taká záhada sama. Tu sa názor že antivíry majú svoje amplitúdy uplatní na 100%. Jeden mesiac má výborné výsledky a druhý mesiac ho malware dokáže úplne zblbnúť. Stále ho doporučujem ale je mierne náročnejší čo do procesorového času aj operačnej pamäte.
Threatfire ďalšia vrstva zabezpečenia k antivírom. K security balíkom by som ho nedával pretože tie majú svoje behaviorálne riešenia. Ľahké na systémové požiadavky, prevádzkoval som bez problémov popri MSE.
No a budúcnosť ide cez sandboxy a virtualizácie, keď je snaha o čo najväčšiu intaktnosť systému. Už dnes sa nájdu užívatelia ktorý si zaplatia za realtime ochranu od Malwarebytes a popriňom majú nejaký druh sandboxu.
No a vypisovať ďalších X riešení je zbytočné, pretože všetko je to zhrnuté v jednom masívnom linku:
http://www.techsupportalert.com/content ... -world.htm
