Nejrychlejší antiviry
Bezpečné a rychlé: antivirové nástroje by měly teoreticky splňovat obě podmínky, ale ve většině případů je to jen tajný sen. My vám ukážeme, jak urychlit váš antivirový nástroj a stále zůstat v bezpečí…
CLAUDIO MÜLLER, PETR KRATOCHVÍL
Bezpečnostní programy v počítači by měly pracovat a chránit uživatele téměř nepozorovaně na pozadí. Realita je ale obvykle trochu jiná – antiviry obvykle zpomalují ostatní aplikace a "otravují" uživatele. Podle celé řady studií je toto "brždění počítače" jednou z nejčastějších příčin vypnutí antiviru. To je ale stejně rozumná taktika, jako rozepnutí bezpečnostních pásů pro sportovnější jízdu…
Lepší řešení: Pomocí několika kliknutí můžete antivirový program optimalizovat – ukážeme vám rychlost jednotlivých nástrojů a prozradíme vám ty nejlepší tipy pro jejich zrychlení. Otestovali jsme 20 nejnovějších bezpečnostních balíků a vypočítali, které nabízí nejlepší poměr ochrany a zatížení systému. Naše redakce ve spolupráci s laboratoří AV-Test určila u každého produktu dvě hodnoty: schopnost rozpoznávání malwaru pomocí detekce na základě chování (metoda vhodná pro detekci moderního malwaru) a časové zpoždění, které způsobí ochrana při běžné provozní činnosti. Mezi ně lze zahrnout například kontrolu stahování, prověření instalace nebo spuštění programu. Poměr obou hodnot je zahrnut v Chip Indexu, který tedy vystihuje vztah mezi detekčními schopnostmi a zpomalováním počítače.
Finální výsledky se od našeho posledního testu poněkud liší, protože některé bezpečnostní soupravy si z hlediska zatížení systému vedly podstatně lépe (například Eset) nebo poněkud hůře (například BitDefender). To je dáno především odlišným měřením zpomalení systému – tentokrát jsme se zaměřili především na zatížení v rámci ochrany v reálném čase, protože nejvíce odpovídá každodennímu použití. Z hlediska úrovně detekce k téměř žádným změnám nedošlo – například nástroje od firem F-Secure a Symantec potvrdily své kvality a zůstaly mezi nejlepšími.
Virové skenery v testu: Silná ochrana stojí čas a výpočetní výkon
Zpomalení systému je logickým důsledkem činnosti antivirové ochrany – otázkou pouze zůstává úroveň zpomalení. A ta je u většiny nástrojů značná: nejrychlejší bezpečnostní balík (McAfee) při testování zpomalil akci (která bez ochrany trvala 8 minut a 20 sekund) o celých 85 sekund. Typickými činnostmi, které bezpečnostní nástroj provádí je heuristická analýza, detekce na základě chování ve virtuálním prostředí, případně komunikace s "cloud serverem" výrobce programu. Mezi další obvykle činnosti patří například:
STAŽENÍ SOUBORU: antivir nejprve zkontroluje URL adresu webových stránek na kterých soubor leží. Pokud tato adresa není v databázi zaznamenána jako "web s nebezpečným obsahem", pak je soubor stažen a nejprve uložen ve vyrovnávací paměti (cache). Tam bezpečnostní nástroj provede kontrolu souboru a teprve poté jsou data z internetu uložena v cílovém adresáři .
KOPÍROVÁNÍ SOUBORU: Bezpečnostní ochrana pracující "na pozadí" (také označovaná jako real-time) v rámci zabezpečení systému Windows sleduje celou řadu událostí – například čtení či zápis dat. Například pokud chcete zkopírovat soubor, nejprve se ve Windows aktivuje jeho načtení (a skener analyzuje data, která chcete číst). Při zápisu dat na nové místo proběhne další scan, nicméně bezpečnostní nástroj má analýzu těchto dat k dispozici již v cache, což při druhém testu snižuje zatížení systému.
INSTALACE APLIKACÍ: Během instalace softwaru musí antivirový skener kompletně zkontrolovat celý balík dat. Instalované soubory jsou kontrolovány v reálném čase, zároveň je sledováno, jaké změny v systému program provede. K podobnému procesu dochází při rozbalování archivu – při něm provede ve virtuálním prostředí antivir analýzu souboru ještě dříve, než dojde ke skutečnému "rozbalení" archivu.
SPOUŠTĚNÍ APLIKACÍ: Antivirová ochrana také monitoruje i jiné události v rámci systému Windows – například spuštění souboru a nahrání knihoven do paměti. Během spuštění aplikace navíc ochrana kontroluje všechny její komponenty, případně jí načtené soubory (například textový dokument ve Wordu). Zároveň ochrana v reálném čase může neustále monitorovat chování aplikace v rámci systému – například spolupráci s jiným softwarem nebo vytváření dalších položek v registru. Výsledky našich testů ukazují, že takovéto komplexní ochrany rozpoznají mnohem více škůdců, zároveň také ale výrazněji zpomalují systém. Typickou ukázkou jsou nástroje od firem Kaspersky, PC Tools nebo BullGuard, které jsou v detekci naprostou špičkou, zároveň ale také vytvářejí vysokou zátěž systému. Pravým opakem jsou bezpečností programy od McAfee, Esetu nebo Sunbeltu. Bezpečnost tedy vždy stojí výpočetní výkon. Je tedy jen na uživatelích, zda zvolí co nejvyšší detekční schopnosti a zaplatí za to vysokými systémovými nároky. Našim tipem je však nástroj od F-Secure, který podle našeho názoru nabízí nejlepší kombinaci mezi detekcí malwaru a zátěží systému.
Praktické tipy: optimalizace a vypínání
Ve výchozím nastavení bezpečnostních balíků bývají obvykle aktivní často všechny ochranné funkce. Častokrát jde ale o zbytečně "opatrné" nastavení – jako kdybyste měli v automobilu tři bezpečnostní pásy. My vám ukážeme, jak se zbavit virů a zabezpečit počítač, aniž byste museli obětovat zbytečně velké procento systémových zdrojů. Obvykle stačí jen zavítat do sekce "Možnosti" nebo "Nastavení" a bezpečnostní nástroj správně nakonfigurovat. Poradíme vám jak na to.
VYPNĚTE DOPLŇKOVÉ MODULY: V internetových diskuzích patří mezi nejdrsnější témata (hned za debatou Linux vs. Windows) zásadní bezpečnostní otázka – samostatný firewall – ano či ne? Ať už se přikloníte ke kterékoliv názorové skupině, jisté je, že dva firewally jsou zcela zbytečné. A vzhledem k tomu, že firewal ve Windows (od verze Vista) je zcela "konkurenceschopný", můžete ten z bezpečnostního balíku bez výčitek vypnout. Další zbytečnou brzdou může být webový filtr, který blokuje přístup k známým stránkám s malwarem (na základě blacklistu), případně filtrování na základě klíčových slov (zamezí přístup například na erotické nebo "extrémistické" stránky, nebo weby s vulgárním obsahem).
"Firewally v antivirových programech jsou zcela nadbytečné"
Nejmenovaný bezpečnostní expert výrobce antivirů
Stejně tak je možné deaktivovat phishingový filtr – tuto funkci nabízejí už všechny významné prohlížeče a je proto zbytečně mít tuto funkci aktivní i v bezpečnostním balíku. V obou předchozích případech je ale nutné používat nejnovější verze prohlížečů, které budou bez potenciálních slabin a zároveň nabídnou aktuální databázi phishingových webů. Zároveň je také nutné přistupovat na důležité weby (banky, aukční servery…) přímo pomocí záložek – nikdy pomocí odkazů v e-mailech nebo na neznámých webech.
Pokud nepoužíváte poštovního klienta jakým je například Outlook nebo Thunderbird, ale kontrolujete si poštu přímo na webu (freemail), poté je zbytečná i antivirová kontrola e-mailů a aktivní spamový filtr. Spamový filtr je integrován přímo ve freemailu a kontrola stahovaných dat z e-mailu probíhá v rámci rezidentní antivirové kontroly. Dalšími službami, které jsou častokrát aktivovány zbytečně jsou monitorování instant messagingu a funkce ochrany dětí. Pokud nepoužíváte programy typu ICQ a vaše děti tento počítač nepoužívají, zmiňované služby vás zbytečně brzdí a ukusují místo z vaší RAM.
Některé bezpečnostní nástroje (například od G Data Software) používají více paralelních antivirových motorů. To sice přináší o něco vyšší bezpečí, ale také podstatně vyšší zátěž systému. V případě potřeby tedy lze jeden z nich deaktivovat bez zásadnějšího vlivu na úroveň bezpečnosti. Například u zmiňovaného softwaru od G Data najdete tuto možnost pod nabídkou "Možnosti | Virus check", kde u položky "Use engines" změňte implicitní volbu "Both engines".
OPTIMALIZUJTE OCHRANU V REÁLNÉM ČASE: Kromě dodatečných modulů je vždy největší "brzdou" bezpečnostního programu aktivní monitoring počítače – někdy také nazývaný jako "ochrana v reálném čase". Ale i u takovéto klíčové bezpečnostní komponenty lze nalézt způsoby, jak zrychlit počítač bez velkých kompromisů v oblasti bezpečnosti. U některých programů (jako například Avira) lze omezit bezpečnostní kontrolu pouze na operace čtení (tedy nikoliv už na zápis) dat, některé produkty (například od Symantecu) to dělají automaticky. Tímto způsobem lze ušetřit téměř polovinu "času" nutného ke kontrole dat při kopírování. Potenciální riziko: neaktivní malware může být nepozorovaně uložen na disk. Z ochrany v reálném čase lze také vyloučit archivy – i potencionálně škodlivá data v nich nemůžou počítač ohrozit a při pokusu o dekomprimaci archivu dojde k jejich odhalení. Navíc je skenování komprimovaných archivů poměrně náročné (jak časově, tak výkonově).
Potenciální riziko: I v těchto archivech se může skrývat škůdce, který čeká na aktivaci pomocí dalšího malwaru. Proto je nutné provádět alespoň jednou týdně komplexní kontrolu počítače (na vyžádání) a to včetně zmiňovaných archivů. Vypnutí této ochrany je tedy spíše vhodné při nahrávání dat z důvěryhodného zdroje (například firemní sítě), nebo již zkontrolovaných dat (například záloh). Celkové vypnutí ochrany v reálném čase ale za žádných okolností nedoporučujeme – i obyčejné surfování se totiž může stát rizikovou činností.
DEFINICE VÝJIMEK: Na malware lze narazit především v systémových adresářích. Proto by teoreticky mělo stačit nastavit sledování pouze systémových složek. Ale pozor: Pokud se na váš disk pravidelně dostává velké množství dat z internetu (například z P2P služeb nebo sdílení souborů v síti), měla by být ochrana rozšířena i na tyto složky. Naopak zbytečné bývá zařazování důvěryhodných programů na tzv. whitelist. K datům renomovaných výrobců (například Microsoftu) přistupují i tak bezpečnostní soupravy důvěryhodněji. I přesto některé bezpečnostní balíky nabízí možnost nastavit "razítko důvěryhodnosti" – u Symantecu je to volba "high faith" a částečně data z těchto programů vyloučit z kontroly. Soubory typu exe nebo dll by ale z kontroly neměly být vyloučeny nikdy, protože je příliš velká pravděpodobnost, že se v nich může skrývat malware.
KOMPLEXNÍ KONFIGURACE: Dalším tipem, který vám může ušetřit spoustu času a nervů je volba automatického komplexního skenu. Většinou k němu dochází "na pozadí" když není počítač příliš zatěžován, ale ne vždy je takováto volba pro uživatele optimální. Doporučujeme spouštět sken manuálně – buď v době kdy s počítačem nepracujete, nebo manuálně nastavit maximální zátěž procesoru. U většiny bezpečnostních nástrojů lze tuto hodnotu nastavit v rozmezí 10 až 100 procent, přičemž hodnota do 30 procent obvykle zaručí bezproblémovou práci se skenem na pozadí.
Není dobré vylučovat z komplexní kontroly vybrané typy souborů – s jedinou výjimkou. Tyto obrovské balíky instalačních dat od Microsoftu jsou digitálně podepsané, malware prakticky nikdy neobsahují, ale skenování dokáží podstatně zpomalit…
Tento princip ale platí u téměř všech tipů: s každým omezením funkce bezpečnostního nástroje (mírně) stoupá riziko infekce. Především uživatelé používající počítač k důležitým činnostem (například internet bankingu) by měli spíše (než k omezování bezpečnosti) přistoupit ke zvýšení výkonu počítače.
AUTOR@CHIP.CZ
NEJÚČINNĚJŠÍ VIROVÝ SCANNER
Rychlý a plný děr - nebo bezpečný a pomalý? Několik bezpečnostních balíků nabízí dobrý kompromis mezi bezpečností a rychlostí. Více vám ukáží výsledky našich testů shrnuté do Chip Indexu.
Modrá část grafu představuje dobu provedení testu bez bezpečnostního balíku (499 sekund), oranžová část graficky ukazuje naměřené zpoždění.
Chip index je vypočítán jako poměr mezi výkonnosti antiviru a času dosaženého v testech.
Graf ukazuje, s jakou úspěšností programy detekovaly neznámý malware. Výsledky pochází z laboratoří AV-Test.
Foto: Přehled: Většina antivirových řešení nabízí informace o celkové zátěži systému…
Foto: Dvojitá ochrana: Použití více antivirových motorů sice částečně zvyšuje bezpečnost, vyžaduje ale také podstatně více systémových zdrojů.
Foto: Rychlejší: Pokud deaktivujete firewall v bezpečnostním balíku, získáte o něco více výkonu…