Kompletní obrana

Snaha o bezpečnější počítač: Pomocí celé řady nejnovějších technologií nabízejí aktuální bezpečnostní balíky dokonalou a komplexní ochranu proti malwaru. Chip otestoval osm nejznámějších nástrojů a prozradí vám, co od nich můžete očekávat.
MARKUS MANDAU, MARCO RINNE

"Trochu doleva, trochu doprava…" – dobrý brankář si "zeď" postaví tak, že je pro útočníka vstřelení gólu téměř nemožné. Na počítači plní podobný účel bezpečnostní balík s firewallem a antivirem – při dobrém výběru pak mají viry i hackeři smůlu…
Fakt je, že v oblasti bezpečnostních balíků došlo k obrovskému zlepšení. Výsledky testu ukazují, že mezi jednotlivými účastníky jsou jen nepatrné rozdíly. Další novinkou pro rok 2010 je široká kompatibilita: všechny testované nástroje dobře fungují jak ve Windows XP, tak ve Windows Vista nebo Windows 7. Dalším trendem je zmenšování objemu celého balíku – doba, kdy se balík stěží vešel na DVD a instalace zabrala několik desítek minut, je dávno pryč. S tím souvisí i objem zabrané paměti – bezpečnostní balíky pro rok 2010 se spokojí jen s několika málo megabajty a rozhodně nebudou brzdou provozu vašeho počítače. Poslední příjemnou změnou je pokrok v oblasti instalace a konfigurace – zatímco dříve bylo nutné zdlouhavě ladit funkce bezpečnostního balíku, nyní už nemusíte po instalaci a rychlé aktualizaci ani hnout prstem.
Výrobci antivirových nástrojů také museli vstoupit "do oblak" – bez "cloud" technologie je boj proti virům takřka nemožný. Například v posledních třech měsících se objevilo více než pět milionů nových virů, což je množství, se kterým si klasická technologie rozpoznávání na základě signatur už nedokáže poradit (o rozpoznávání na základě chování ani nemluvě).
Využívání "cloud" technologie má i další výhodu: výrazně redukuje dobu čekání uživatelů na signaturu škůdce – v optimálním případě může být doba mezi objevením viru a rozšířením signatury jen několik minut.
To je pro programátory virů špatná zpráva – u všech bezpečnostních balíků byla například detekce "in the wild" virů téměř na úrovni sta procent. Někteří výrobci, jako je Panda a Norton, využívají architekturu "cloud" více způsoby. Třeba díky zapojení jednotlivých uživatelů může být rapidně zlepšena ochrana proti malwaru (viz str. 48). Zdá se, že to je způsob, jak v budoucnu čelit rychle rostoucí hrozbě ze strany agresivního malwaru.

Detekce: Nikdo není dokonalý

Ale zpět do současnosti. Chtěli jsme vědět, který bezpečnostní balík dokáže spolehlivě detekovat a odstranit všechny nebezpečné útočníky. V našem testu jsme nejprve použili "zooviry", které byly připraveny v laboratořích a rozděleny do následujících kategorií: trojské koně, boty, backdoors a spyware. Výhodou "zoovirů" je fakt, že jsou potenciálními předchůdci budoucího napadení viry. Sken je totiž nemůže detekovat pouze na základě jejich signatury, naopak důležitou roli zde hraje detektor využívající heuristické analýzy, případně rozpoznávání na základě analýzy chování. Posledně zmiňovaná technika bude mít významné místo v druhé části našeho testu, kdy se nástroje budou muset vypořádat s neznámým virem.
Jen málo programů dokáže vyniknout v obou oblastech a čtenáře Chipu asi nepřekvapí, že jedničkou je zde Norton Internet Security. Naopak Panda má téměř dokonalou detekci "zoovirů", bezpečnostní balík však obsahuje do očí bijící chyby v systému detekce na základě chování.
Kromě Pandy vyniká v detekci "zoovirů" i nástroj od firmy G Data a (s o něco horší úrovní) i vítěz testu Norton. Žádný z ostatních balíků nedosahuje ve všech kategoriích v oblasti detekce škůdců hranice 99 procent. Na první pohled nemusí znít jedno procento nerozpoznaných virů jako velké číslo, ale z balíku téměř 500 000 vzorků "projde" nerozpoznáno skenováním přibližně 5 000 virů. Téměř všechny nástroje dosáhly v nejhorším případě detekce nejméně 98 procent, pouze v případě Aviry se objevil problém u detekce spywaru. Tento software rozpoznal pouze 96,7 procenta všech vzorků, což je poměrně velký problém. Ve všech ostatních ohledech dosáhly bezpečnostní balíky velmi vysoké úrovně detekce (v porovnání s naší poslední zkouškou v Chipu 12/2008).
Na druhé straně, výsledky detekce na základě chování se lišily mnohem výrazněji. Nejlepší je opět Norton s nástrojem AntiBot, který je o krok před ostatními. To ostatně ukázal už náš první test nástrojů detekujících malware na základě chování (Chip 06/2008). I proto nás nepřekvapilo, že nejnovější Security Suite 2010 odhalí čtyři z pěti virů. Mezi nejlepší se dostaly i nástroje od firem BitDefender, Kaspersky a Avira, které dosahují stejné úrovně detekce, ale nejsou tak účinné při blokování virů.
Pro všechny kandidáty bylo v této zkoušce největším problémem zastavení viru. Například nástroj od McAfee zjistí pouze dva z pěti virů, zablokovat a odstranit však nedokáže nic.
Nepříjemnou, i když neškodnou vlastností bezpečnostních nástrojů bývaly falešné poplachy, v nové generaci testovaných balíků jde však už jen o minoritní problém. U klasické detekce "zoovirů" se zviditelnil jen nástroj od McAfee (16 falešných poplachů z 50 000 souborů), u detekce na základě chování propadly jen Avira a G Data (oba se 40 % falešných poplachů). Ostatní nástroje nabídly téměř bezchybnou detekci.
Perlička z testování: Zmiňované bezpečnostní balíky od firem G Data a Avira označily při hledání malwaru na základě chování instalace iTunes a Winamp jako nebezpečné, nicméně instalaci nepřerušily a nástroje nezablokovaly.

Rychlejší než dříve

Rychlost počítače ohrožuje celý proces ochrany dat, protože bezpečnostní nástroj kontroluje téměř vše: od každého stahování informací z internetu až po rozbalování dat z archivních souborů. Většina nástrojů zpomaluje ve Windows dokonce i otevření nabídky Start. Extrémem je balík Panda, který prodlužuje bootování systému o 27 sekund (systém tak byl "v provozu" až po 74 sekundách). Uživatelé také musí být velmi trpěliví při kontrole systémového oddílu. Zde se objevily znatelné rozdíly: nejrychlejší byl Kapersky, který provedl rutinní prohlídku za 90 sekund, zatímco nástrojům G Data a Bit Defender trvalo to samé téměř sedm minut. Optimálně by měl každý z nástrojů při další kontrole zkontrolovat pouze nová nebo změněná data a tato kontrola by neměla trvat déle než několik sekund. Naneštěstí balíky od Pandy, Aviry a McAfee tak chytré nejsou – druhé skenování jim zabere skoro stejné množství času jako první. Ať už ale o výkonech testovaných programů říkáme cokoliv, faktem zůstává, že jejich výkony jsou ve srovnání s posledním testem o dost lepší.
Jednou z mála výjimek je chování při stahování většího objemu dat z internetu nebo při kopírování na síti. Při našem testu musely balíky prověřit téměř 2,8 GB dat, což byl pro většinu z nich úkol přibližně na pět minut. U balíku od společnosti Kaspersky to trvalo přibližně o minutu déle, a pokud byla data "zabalena" v archivu (zip), potřebný čas se ještě zdvojnásobil (prý data zkoumá důkladněji). Fakt ale je, že většina ostatních nástrojů tato data zkontrolovala během několika sekund, a to při stejné úrovni bezpečnosti. Každý, kdo používá bezpečnostní balík, očekává kompletní ochranu dostupnou bez jediného kliknutí. To je důvod, proč tyto nástroje spolu s antivirem nabízejí také ochranu e-mailu, antispamové filtry, firewall nebo bootovací médium, které obvykle obsahuje i speciální nástroj na ochranu proti rootkitům. Všechny testované balíky také mají integrovanou správu hesel (obvykle označovanou jako "Password Safe"). Je to pochopitelné, protože mnoho virů pátrá po číslech kreditních karet nebo přístupových údajích k internetovému bankovnictví. Tato citlivá data by měla být zabezpečena.
Celkově lze ale říci, že je patrný trend zaměření se na ochranu aplikací a prohlížeče – bezpečnostní balíky se snaží minimalizovat rizika při používání problematických programů a surfování na nebezpečných stránkách. Některé bezpečnostní nástroje dokáží analyzovat chyby u nainstalovaných aplikací a také dokáží varovat při chybějících aktualizacích systému Windows. Jako bonus lze označit detekci zastaralých verzí standardních programů (jako Adobe Reader nebo Apple Quick Time), což je velmi důležité, protože zranitelnosti u starších verzí mohou fungovat jako brána pro malware.
Součástí všech testovaných nástrojů je také phishingový filtr, aplikace Norton, F-Secure a McAfee navíc dokáží automaticky zkontrolovat nalezené výsledky při vyhledávání.
Při testování kvality antiphishingového filtru jsme využili stránky www.phishtank.com, kde se v databázi pravidelně objevují nové phishingové stránky. Z tohoto zdroje jsme tedy pro testovací účely připravili patnáct stránek – výsledek testu nás ale šokoval. Většina bezpečnostních balíků si totiž na tomto (na první pohled jednoduchém) úkolu vylámala zuby – nástroje Kaspersky, F-Secure a Panda nám neoznámily ani jeden pokus o phishing. Pouze bezpečnostní soupravy od McAfee a BitDefenderu dosáhly úrovně, která byla lepší než u antiphishingového filtru zabudovaného v Internet Exploreru (který označil deset stránek jako riskantních). I to je důvod, proč byste ve svém prohlížeči neměli deaktivovat antiphishingový filtr.
AUTOR@CHIP.CZ

ZÁVĚR

Lepší ochrana, menší nároky na systémové zdroje a využívání "cloud" technologie – jak se zdá, bezpečnostní balíky jsou na správné cestě. Tempo tentokrát udává Norton, protože výrobek z dílen Symantecu nabízí vyrovnané vlastnosti ve všech testovaných oblastech. Jeho vítězství je ale jen velmi těsné. Kvalitní ochranu vám poskytnou i účastníci testu, kteří se umístili na dalších místech, jako například Panda, Bit Defender nebo balík od G Data. V jejich případě však musíte počítat s tím, že detekce virů na základě chování je stále v plenkách a může být použita pouze jako doplněk. Na čem by ale ještě měli zapracovat všichni výrobci, to je ochrana aplikací a prohlížečů, která je v současnosti největší slabinou testovaných bezpečnostních balíků. Ve všech případech však platí, že jakýkoliv z testovaných nástrojů nabídne lepší ochranu než standardní nástroje Windows…

Foto: G Data: Falešné poplachy jsou zvláště nepříjemné, když se nástroj při vyhledávání virů snaží blokovat známé programy.


Stálá ochrana pomocí "cloud" technologie
Prostřednictvím on-line databází mohou výrobci reagovat na nová nebezpečí rychleji a tím zajistit větší bezpečnost.
1 Honeypot objeví nový virus a odešle data výrobci antivirového řešení, kde je vytvořena a do databáze odeslána signatura viru (spolu s jeho kontrolním součtem).
2 Pokud virový skener na počítači uživatele zjistí potenciálně škodlivý software, vytvoří jeho kontrolní součet a odešle ho do databáze. Ta pak sdělí, zda je nalezený software skutečně škodlivý


Hledání méně obvyklého malwaru
Pokud jde o běžně rozšířený škodlivý malware (i v různých modifikacích), antivirové nástroje odvádějí dobrou práci. Mnohem složitější je to v "šedé zóně", když musí bezpečnostní programy rozlišovat mezi malwarem a neznámými programy, které jsou nainstalovány jen na několika počítačích. První krok k řešení tohoto problému učinil Norton, který se pokouší utěsnit mezery v detekci škodlivého softwaru. Jeho unikátní projekt Quorum, který analyzuje software na počítači uživatele a srovnává ho s nainstalovanými programy ostatních uživatelů, je také součástí nového bezpečnostního balíku. V rámci projektu jsou hodnoceny i informace typu "zdroj stahování" nebo "stáří produktu". V současnosti se v rámci projektu Quorum vyhodnocuje bezpečnost více než milionu nových programů za týden.

Foto: Statistika: Quorum hodnotí software na všech počítačích zapojených v projektu

Foto: F-Secure: Firewall spolehlivě blokuje útoky zvenčí.
Foto: Kaspersky: Nástroj kontroluje a analyzuje všechny procesy v systému.