Antispyware v testu tvrdosti
Testy antispyware produktů - Antispywarové programy by měly ochránit váš počítač před špiony i internetovou mafií. Náš test však ukázal, že žádný nástroj nesplňuje to, co slibuje. Přečtěte si vše o tomto skandálu. Chip vám prozradí, jaká ochrana je skutečně účinná.
Text: Valentin Pletzer, Vratislav Klega
Vetřelci ve vašem počítači jsou nebezpeční jako nikdy dříve. Hluboko v systému číhají, až zadáte heslo nebo číslo účtu nebo až otevřete soukromý dokument. Pečlivě zapisují každý pohyb myši, každé stisknutí klávesy. „Žádný problém,“ řeknete si.
„Nainstaluji si antispyware a můj systém bude zase čistý a bezpečný.“ To ale bohužel není pravda. Problematika internetové bezpečnosti je velice široká a ani nejnovější, nej-dražší a nejlepší nástroj na ochranu vám nedokáže vždy pomoci.
ZKLAMÁNÍ
Nejistá obrana
Spolu s virovými experty jsme otestovali nejznámější antispywarové programy a zkontrolovali jsme, jak účinně dokáží ochránit váš počítač. Výsledek byl otřesný - žádný nástroj nedokáže zcela ochránit váš počítač před spywarem! Důvod, proč se objevují stále nové a promyšlenější špionážní programy, je jen jeden - za data od tisíců uživatelů internetu získá internetová mafie obrovské peníze.
Dříve hackeři vytvořili program, který se snadno nainstaloval, ale bylo také velice snadné ho najít. Dnešní programy jsou ukryté daleko lépe. Prostřednictvím různých technologií se schovají až do jádra systému, kde jsou pro bezpečnostní programy zcela neviditelné.
Pokud je již zhoubný software aktivovaný, máte štěstí, jedná-li se „jen“ o adware. V 99 % případů postihuje jen Internet Explorer, protokoluje chování na internetu a zahlcuje počítač vyskakovacími okny. To je sice velice nepříjemné, ale není to tak nebezpečné jako druhá skupina - špionážní software. Ten vyhledává především hesla, čísla účtů a soukromé dokumenty. A zatímco přítomnost adwaru lze velice rychle odhalit, především díky vyskakovacím reklamním oknům, při napadení počítače spywarem neprojevuje systém žádné symptomy, a vy tedy vůbec netušíte, že někdo krade vaše důvěrné informace. Spyware odhalíte jedině díky pomalému připojení k internetu (stane se ještě pomalejším), nevysvětlitelným pádům aplikací a pádům operačního systému. Většina uživatelů však těmto symptomům nevěnuje zvláštní pozornost.
Záchranou „z nebes“ se zdají nová Windows Vista. Lze totiž očekávat, že nová Windows budou oproti současné verzi daleko odolnější proti spywaru. Podle vzoru současných antivirů by mělo být vyhledání a odstranění spywaru stejně jednouché, jako je tomu dnes v případě virů. Náš test ukazuje, že v současnosti je to jen vysněné přání.
ROZPOZNÁNÍ
Hledání a čištění -opravdová katastrofa
Aby byl výsledek co nejvěrohodnější, budou všechny nové nástroje testovány ve virové laboratoři. Zde budou podrobeny tvrdému testu. Po dobu dvou týdnů prováděli spywaroví experti pečlivé testování všech účastníků našeho testu. Prvním testem byl „on-demand“ test, ve kterém je spyware ještě neaktivní. Programy musely škodlivý software rozpoznat ještě předtím, než se stihne nainstalovat. Ani jeden z testovaných kandidátů neprošel tímto povinným testem s čistým štítem. Nejlépe si vedl McAfee AntiSpyware 2006. Dokázal však rozpoznat pouze 82 % spywaru -téměř 1/5 spywaru tedy projde sítí toho nejlepšího lovce zcela bez povšimnutí. Zbytek testovaných nástrojů dopadl ještě daleko hůř. Spybot Search & Destroy, AntiSpion od firmy Data Becker a ZoneAlarm skončily dokonce pod 10 %! Skutečná katastrofa. Přitom kdyby tato ochrana fungovala dokonale v reálném čase, byl by spyware odhalen už během stahování a nikdy by nemusel být aktivován.
O něco lépe dopadl „on-access“ test. Ten ukazuje, jak dobré jsou programy v hledání aktivního spywaru. Naši testeři používali k testu desítky nejrozšířenějších spywarových programů a desítky jiných škodlivých kódů. Na čele se i tentokrát drží McAfee. Jeho engine, který je známý jako výborný antivirus, našel jako jediný v testu všechny spywarové programy. Na konci testovaného pole skončily nástroje od firem ZoneLabs a Data Becker, které odchytily pouhých 55 % spywaru.
Bohužel ani uživatelé nástroje od firmy McAfee se nemohou cítit zcela bezpečně. Vysoké procento rozpoznaných škůdců ještě neznamená, že program dokáže odhalit vše. Prakticky stačí, když máte v počítači jednoho jediného špiona, a vaše data jsou v nebezpečí. Čištění také nepatří mezi jednoduché disciplíny. Program od firmy McAfee sice odstraní 70 % škodlivého kódu, ale jen polovinu záznamů v registrech, což je obzvláště málo, protože mnoho spywaru narušuje bezpečnost operačního systému právě přes registry. Program od firmy Webroot, který se na boj se spywarem přímo soustředí, je na tom o něco lépe. Odstraní 75 % souborů a 70 % záznamů z registrů. Poslední místa zaujímají SimonTools AntiSpyWare a AntiSpion, které odstraní 5, respektive 15 % spywaru.
V královské disciplíně - odhalování rootkitů - se objevil ještě další extrém. Ashampoo a SimonTools na nás udělaly skutečně dojem - rozpoznaly 100 % neaktivních rootkitů, zatímco programy od Microsoftu, Data Beckeru a Lavasoftu nenašly ani jeden neaktivní rootkit! Ještě horší byla situace u aktivních rootkitů. Ty dostaly do kolen všechny programy z našeho testovaného pole. Ashampoo jich sice našel 78 %, i to je však bohužel málo.
Jedna pozitivní zpráva - plané poplachy se objevují velice zřídka. Některé programy klopýtají během skenu o AOL-Toolbar pro Internet Explorer - ptají se na další postup.
Instalaci však neodepřel žádný.
VÝKON
Spywarová ochrana žere čas a operační paměť
Bezpečnost stojí peníze - v podobě spotřebovaných zdrojů. To platí pro antispyware stejně jako pro firewall nebo antivirový štít. Antispyware ale vytváří ochranu ve dvou vrstvách - respektive se o to snaží. První vrstvu celého mechanismu tvoří štít. Ten běží na pozadí, skenuje v reálném čase otevírané soubory, kontroluje nová data a změny provedené v systému. To samozřejmě významným způsobem ukrádá ze zdrojů systému, což je možné si ověřit v Taskmanageru ve Windows, kde jsou viditelné všechny procesy, které má antispyware spuštěné. Ten ovšem nenabízí takové možnosti sledování zákulisí, jaké bychom si představovali, a proto jsme sáhli po programu „Process Explorer“ od firmy Sysinternals (www.sysinternals.com), který dokáže podrobně zobrazit obsazení paměti a další detaily.
Velice zajímavý je pohled do položky, která udává, kolik místa zabírá rozpoznávací software v paměti. Spy Sweeper od společnosti Webroot si zabere 83 MB operační paměti. V případě systému, který má jen 512 MB operační paměti, to znamená, že jen antispyware si zabere jednu šestinu paměti. Také SimonTools a Ashampoo Anti-Spyware spolknou nezanedbatelných 69 MB. Skutečně spokojeni jsme byli jen s nástroji Spybot Search & Destroy a Windows Defender od Microsoftu: 7, respektive 12 MB v operační paměti je velice příjemná hodnota.
Druhá vrstva mechanismu odhaluje brzdy v systému. Při „on-demand“ testu, který ideálně probíhá každý den, je systém prohledáván na přítomnost spywaru, a to například během přestávky na oběd nebo před vypnutím počítače. Zde opět platí, že čím je test intenzivnější (lepší), tím více systémových zdrojů je spotřebováno.
Našemu vítězi testu, nástroji McAfee, trvalo skoro hodinu, než proběhl standardní test. Přitom optimalizaci prohledávání budete hledat marně. Detailní nastavení, které například dovolí vynechat vybrané adresáře či data, není bohužel k dispozici. U produktu společnosti McAfee chybí i volba pro rychlý test, který by zkontroloval jen systémové oblasti. Na druhou stranu - jiné programy sice mají i bohatší možnosti nastavení, přinášejí však mizerné výsledky.
FUNKCE
Záblesk naděje v oblasti podpory a informace o spywaru
Bezpečnostní nástroj by měl být velice jednoduše ovladatelný. Zrovna náš vítěz testu však dělá v této kategorii psí kusy. McAfee AntiSpyware působí jako nevlastní dítě balíku Security-suite. Engine a prostředí programu jsou stejné jako u antiviru. Při instalaci balíku se nainstaluje ikona do system tray, což je obvyklé, při poklepání na ikonu však paradoxně chybí možnost spustit antispyware. Ostatní součásti balíku odsud pochopitelně spouštět lze.
McAfee je naštěstí v tomto ohledu výjimkou. Všechny ostatní nástroje mají ovládání skutečně jednoduché. Kromě ovládání jsme se však zaměřili ještě na jednu část -na podporu ze strany výrobce. Hodnotili jsme e-mailovou podporu, hotline a podporu na webových stránkách. Pouze Zone Labs mírně propadá: firma totiž nabízí placenou hotline (1,5 eura za minutu). I zde však mají uživatelé bezplatnou alternativu - e-mail a informace o spywaru na stránkách výrobce.
Na druhou stranu musíme uznat, že nástroj Zone Labs je velice štědrý, co se týče výbavy. K antispywaru nabízí navíc firewall, který měl při našem posledním testování bezpečnostních suit nejlepší výsledek. Je to určitě lepší cesta než přídavné utility v podobě blokování vyskakovacích oken nebo skartovačky dat.
Na závěr ještě jeden důležitý detail. Mnoho uživatelů má sice nastavený administrátorský účet, nemálo uživatelů má však účet s omezenými právy. Zajímalo nás, zda je možné program používat, i když nemáte administrátorská práva. Je možné programy jen spouštět, nebo i nainstalovat?
Dobrou zprávou je, že u většiny programů jsme nenarazili na závažnější problém. Na skutečné problémy jsme narazili jen u antispywarů od firem Ashampoo a Data Becker. V těchto případech se jednalo o problém s omezenými konty u skenu zaměřeného na spyware. Důvodem je to, že oba programy je možné spouštět jen s administrátorskými právy. Nepomůže dokonce ani provedení druhé instalace pod omezeným účtem.
Tento nedostatek výrobci ovšem vykompenzovali v oblasti updatu. Téměř všechny programy se aktualizují automaticky. Jen u Ad-Awaru, Data Beckeru a Ashampoo musí uživatel aktualizaci povolit ručně.
Celková situace ovšem tak veselá není. Žádný antispywarový program nesplňuje to, co slibuje. Pokud to s ochranou svého počítače myslíte vážně, bude lepší investovat do kompletního zabezpečovacího balíku.
ZÁVĚRY TESTU
Nákup antispywaru se skutečně nevyplatí. Žádný z testovaných programů nedokázal spolehlivě odstranit veškerý spyware. Nejlepší produkt, AntiSpyware od McAfee, sice rozpoznal 100 % aktivního spywaru, odstranil ovšem pouze 70 %, freewarový Spybot Search & Destroy pak dokonce pouze 45 %. Jediným řešením je tak kombinace více antispywarových nástrojů. Jen tak bude váš počítač dostatečně zajištěný. Lepší tedy bude, vsadíte-li na prevenci pomocí různých bezpečnostních balíků. Ty stojí samozřejmě daleko více peněz, v boji proti nebezpečné internetové mafii jsou však maximálně účinné.
ROOTKIT SEM, ROOTKIT TAM
Neustále zde probíráme, zda program dokáže odhalit aktivní či neaktivní rootkit. Co to ale vlastně je? Zkráceně řečeno se jedná o program, který maskuje svoji přítomnost v systému, aby nebyl pokud možno vůbec odhalen.
V praxi narážíme na dva typy rootkitů, podle toho, jaký způsob maskování používají. Může to být buď modifikací cest, nebo modifikací struktur.
Při modifikaci cest dochází k zamaskování důležitých funkcí v systému rootkitem. Při volání běžné funkce (knihovny) dojde ve skutečnosti k zavolání škodlivého rootkitu. Ten sice poskytne stejná data, ale přitom vykonává i nekalou činnost.
Rootkity využívající modifikaci systémových struktur bývají zavrtané hluboko v systému. Mají takovou moc, že dokáží skrýt procesy před vybraným softwarem (antispywarem).
Pokud se o rootkitech chcete dozvědět více, doporučujeme navštívit server www.rootkit.cz, kde kromě informací naleznete také výborné diskusní fórum o této problematice.
NOVÉ CESTY V BOJI PROTI SPYWARU
Aby se schopnosti vašeho antispywaru ještě více zlepšily, bude nutné ho naučit nové triky. Problémem bezpečnostních nástrojů je to, že lze jen těžko definovat hranici mezi tím, co je spyware, trojský kůň, případně červ. Rozdíly mezi těmito škůdci se stírají. Jen sotva narazíte na nový spyware, který je bez rootkitu. Nový spyware se zavrtá tak hluboko do systému, že navenek lze najít maximálně vrchol ledovce -trojského koně.
Zcela jednoznačné rozlišení tedy není možné. Konvenční antispywarové skeny nemají žádnou šanci a výsledek našeho testování to jen potvrzuje. Firmy vyrábějící bezpečnostní software budou muset jít novou cestou, aby proti záludnému softwaru vymyslely účinnější ochranu.
V oblasti bezpečnostního softwaru můžeme v současnosti pozorovat tři velké trendy:
Intruzní detekce: místo běžného skenování a hledání spywaru v systému bude systém podrobně monitorován. V případě, že v síti bude zjištěna podivná aktivita, bude alarmován administrátor.
Proaktivní technika: - místo hledání charakteristik malwaru v programech bude monitorována celá činnost programu. Neobvyklé nebo nežádoucí procesy budou automaticky ukončeny.
Malware Task Force: - doposud byli hackeři vždy o krok napřed před výrobci bezpečnostního softwaru. Nyní hledají viroví specialisté a programátoři účinný protijed.
JAK NAJÍT JEŠTĚ VÍCE SPYWARU
LOVEC PROFESIONÁL
Freewarový „HijackThis“ pomáhá při ručním vyhledávání spywaru. Program vám vypíše všechny možnosti, kde se může spyware skrývat. Nezřídka se ovšem stává, že program mezi spyware zařadí i regulérní software. Než se tedy pustíte do úklidu, je lepší si ověřit, zda se jedná o škůdce, nebo o běžný software. Nejjednodušší je, prozkoumáte-li fóra o virech nebo zadáte-li název souboru do Googlu. Pak už snadno zjistíte, zda mazat, či nikoli.
JAK FUNGUJE INTERNETOVÁ MAFIE
Willie Sutton, známý bankovní lupič, dostal v roce 1952 dotaz, proč přepadal banky. Odpověděl: „Protože tam jsou peníze.“ Z téhož předpokladu vychází i kyberkriminalita. I na internetu se povalují miliardy. Stále více bankovních transakcí se provádí on-line. V tomto případě pochopitelně nikdo nečeká před bankou s nastartovaným motorem. Místo toho, aby lupiči nutili on-line obchodníky dávat ruce za hlavu a lehat si na zem, hackují servery a rozesílají phishingové maily.
Struktura internetové mafie je postavena velice podobně jako Cosa Nostra. Všechny akce řídí muži v pozadí, kteří ve většině případů sídlí ve státech východního bloku, takže „západoevropští“ úředníci jsou na ně krátcí. Odsud koordinují své hackerské skupiny a zde se také vyvíjí většina phishingových mailů či spywarů.
Na tato místa se dostávají nejen informace o vašich kontech, ale také kontakty, historie surfování, čísla platebních karet a prakticky vše, co do počítače zadáváte. Odsud míří do vašich schránek i nechvalně známé maily, oznamující, že vám někdo chce dát hromadu peněz, pokud pošlete na jeho účet drobný obnos. Doufáme, že mezi čtenáři Chipu už není nikdo, kdo by takovým zprávám věřil!
SOUHRNNÝ PŘEHLED: Antispyware
Rozpoznání versus výkon
Současné antispywarové produkty nesplnily to, co jsme od nich očekávali. Kromě toho skutečně kvalitní test trvá neúměrně dlouho. Antispyware s nejlepšími rozpoznávacími schopnostmi spotřebuje také nejvíce operační paměti. V grafu jsou znázorněny schopnosti „on-demand“ skenu rozpoznat neaktivní spyware a adware v porovnání s výkonem, tedy s časem, který program k otestování potřeboval.
JAK JSME TESTOVALI
Nejdůležitějším kritériem bylo rozpoznání a odstranění spywaru. Pro získání
vysokého počtu bodů musel nástroj rozpoznat a odstranit i rootkity. Měřili jsme i výkon jednotlivých nástrojů. Rychlý test a malá část zabrané paměti byly zárukou vyššího počtu bodů. Body programy získaly, pokud měly přehlednou ovládací plochu a málo chybových hlášek, pokud nabízely informace o spywaru a měly skvělou podporu a časté aktualizace. Přídavné utility celkové hodnocení neovlivnily.
výkon 30%
příkon 10%
výbava 20%
Security check
Na tomto místě se běžně dozvídáte, na která kritéria si máte dát při nákupu softwaru pozor. Tentokrát vám však nedoporučíme žádný konkrétní produkt. Místo toho vám nabídneme přehled důležitých ochranných opatření.
Firewall
Aby byl desktop neprůstřelný, je potřeba nainstalovat štít v podobě firewallu. Většinu běžných útoků dokáže firewall docela dobře odpálkovat.
Antivir
Dobré nástroje rozpoznají nejen viry, ale také spyware. Přesto buďte opatrní, rootkity dělají antivirům potíže.
Webový filtr
Browser bez webového filtru může být snadno napadnutelný a omylem se může do počítače dostat spyware.
Antispam
E-mail je také jednou z cest, jak se internetová mafie snaží dostat k vašim datům. Spamový filtr dokáže odstranit většinu takových mailů.
ODHAD VÝVOJE CEN
Doba samostatných produktů je pryč. Další růst cen je nepravděpodobný.
Soupeři
1 McAfee AntiSpyware 2006
Slabé první místo. Odstranil jen 70 % spywaru.
Cena: 880 Kč
2 SimonTools AntiSpyWare
I druhý program je propadák. Dokázal odstranit jen 5 % spywaru!
Cena: 18 eur
3 Spybot Search & Destroy
Neaktivní rootkity odstranil z 11 %, aktivní vůbec.
Cena: freeware
4 Ashampoo Anti-Spyware
Rozpoznal téměř vše, odstranil jen výjimečně.
Cena: 30 USD
5 ZoneAlarm Anti-Spyware
Jen rychlost a firewall jsou pozitivní stránkou tohoto nástroje.
Cena: 30 eur
6 Microsoft Windows Defender
Tato bezplatná beta verze nedokáže rozpoznat trojské koně.
Cena: freeware (beta)
7 Webroot Spy Sweeper 4.5
Má nejlepší čisticí schopnosti, i zde však chybí 25 %.
Cena: 1060 Kč
8 Data Becker AntiSpion 2006
Rozpoznání a odstranění prakticky nefunguje.
Cena: 20 eur
9 Ad-Aware SE Personal
Jednoduše katastrofa - sice nic nestojí, ale také nic nenabízí.
Cena: freeware
- Téma - Antispyware v testu tvrdosti (1.28 MB) - Staženo 1575x