Vysvetlenie vysledkov

[Tatry03]

Trochu som pozeral vysledky Real world testov na AV-comparative
Tu su sumarne vysledky po rokoch
2010:

AVc2010n.jpg (54.93 KiB) Zobrazeno 6615 x

[Tatry03]

2011:

AVc2011n.jpg (59.36 KiB) Zobrazeno 6615 x

[Tatry03]

No a zatial aj
2012:

AVc2012n.jpg (65.21 KiB) Zobrazeno 6614 x

Bitdefender, F-Secure, Kaspersky, Norton a ESET su podla toho top 5ka.
Aj Gdata, ale ten zatazuje viac komp, tak asi nie je velmi rozsireny.

[KEO]

Preco nejde spoznat hned, ze ide o "zly" kus softwaru? Vsak nakoniec to aj tak niekto zisti. Ako?


Co znamena v praxi ochrana bez AV?

Jednoducho. Antivirovy program je len jedna zo zloziek ochrany. Pokial su ostatne zlozky vhodne pouzivane, moze sluzit k nim len ako informativny doplnok.

Podstata infekcie malware je, ze niekde sa nieco musi nakazit, napr. operacny system, nejaky subor, atd.

Proaktivna ochrana moze spustat subory napr. v nejakej karantene, alebo read-only systeme, ci v systeme automatickych oprav.

Existuje viac variant. Napr. vsetko je zakazane a moze sa robit iba to, co je dovolene. Ochrana je zavisla od toho, co clovek potrebuje robit, ako ma nastaveny system, firewall. Ina vec je, mat napr. read only system spustajuci sa z CD/DVD ci USB FLASH disku a po restarte sa zavadza vzdy novy, cisty system. Alebo je nastaveny system tak, ze sa replikuje podla nejakeho vzoru a automaticky vrati spat to, co sa zmenilo. Pripadne vzdy napr. po restarte sa spusti obnova z cistej zalohy /alebo vzdy novy virtualny stroj/. Potom, aj keby doslo k infekcii, staci restart alebo znovuspustenie a je po probleme. Pre vela ludi je vsak dost tazke nastavit si nieco take a tak im pomaha antivirovy program. Ten ma vsak tu nevyhodu, ze vo vacsine pripadov najskor musi mat vzorku, potom moze nieco najst. Pred par tyzdnami som napr. narazil u jedneho znameho na malware, ktory nedetekoval ZIADNY zo 41 antivirakov na virustotal.com... System bol infikovany a musel som ho manualne liecit. Ked AV spolocnosti dostali vzorky, zacali to detekovat, ale aj tak ho par vyznamnych antivirakov dodnes nedetekuje /napr. Kaspersky, ani Microsoft.../. Vid tema.... http://forum.viry.cz/viewtopic.php?f=28&t=123280

[Tatry03]

Tak je toho dost.
Stale nerozumiem tomu, ze ked sa da z logov (napr. tu na fore) vycitat, ze nieco je malware, preco to napriklad z tych istych logov nevie "vycitat" AV?

Na druhej strane. Ako sa pri takom systeme, ktory by sa spustal z CDcka riesili aktualizacie? A ako vytvorit "ciste" instalacne CD v home prostredi, o ktorom by sa dalo urcite tvrdit, ze je v poriadku?
No a k detekcii roznymi AV produktami. Napr. aj v ESET sekcii som si vsimol sa riesi nejaky web, ktory niektory oznacuju ako infikovany, a ine AV nie. To sa neda jednoznacne urcit, alebo to len nestoji konkretnym spolocnostiam za namahu? Maju malo ludi na detekciu, alebo v com je problem?

[KEO]

Tak je toho dost.
Stale nerozumiem tomu, ze ked sa da z logov (napr. tu na fore) vycitat, ze nieco je malware, preco to napriklad z tych istych logov nevie "vycitat" AV?

AV urcuje na zaklade vzoriek z databaz, kde je presne identifikovane, ze toto a toto je malware.
Poviem to na priklade:

povedzme, ze AV system je policajt a dostal zoznam hladanych osob. Ma ich fotografie, odtlacky prstov, zoznam mien.Tak hlada podla vyzoru, odtlackov, ci v zozname mien. Ak sa niekto podoba na recidivistu, ide po nom. Ak ma rovnake odtlacky prstov, rovno ho zatkne. Ak ma rovnake meno, patra dalej a vsima si ho. Taktiez u neho funguje intuiciia, cize ak vidi, ze niekde je chlapik s kuklou na tvari, ohana sa zbranami, alebo vidi, ze kradne niekomu nieco z vrecka, tak sa snazi zakrocit.

Lenze je tu problem. Co ked recidivista nebol trestany, ma cisty zaznam trestov, nikto ho nikdy nevidel, nepozna ho a na svoju nekalu cinnost chodi obleceny v peknom saku a snazi sa tvarit, ako muzikant ? Vtedy moze stat policajtovi pred nosom a pre neho je to ctihodny obcan.

Teraz prirovnam analytikov na fore, alebo mimo neho - k takym pokrocilejsim policajtom, skor skolenym bezpecnostnym agentom, alebo sukromna ochranka. Takyto agent sa nezaobera beznymi kriminalnikmi, ktorych chyta policajt. On si vsimne napr., ze pekny panko v sacku stoji niekde na podozrivom mieste, pripadne robi nieco, co by nemal. Sice neporusuje ziadny zakon, ale je podozrivy. Agent zacne patrat a vsimat si daneho jedinca a zistuje, ze ten podozrivy clovek nieco robi, ale tam kde to robi, NEMA ROBIT NIC, a vobec TAM NEMA BYT. Sice nic neporusil, nic sa mu neda casto dokazat... A tu nastupuje skusene oko agenta analytika, ktory rozozna, ze tu nieco smrdi, aj ked podla predpisov je vsetko koser. No a co urobi, mileho panka vypoklonkuje pekne prec, nech robi, co robi....

U policajta by to bol problem, lebo by porusil zakon a obmedzoval jeho slobodu. Ale ochranke je to jedno, dany panko tam nema co hladat, tak ho vyprevadia von.

Spat k systemu - keby sa takto spraval AV v systeme, tak by sa mu mohlo zdat po zlom usudku, ze trebars system deravy ako reseto je nebezpecny a mohol by povedat, ze toto sa tu robit nebude a toto tiez nie a nakoniec by prestalo fungovat vsetko, lebo by nevedel rozoznat, co spravne a co nie.

Na druhej strane. Ako sa pri takom systeme, ktory by sa spustal z CDcka riesili aktualizacie?

V tom je ta krasa, ze aktualizacie nepotrebujes. Staci restart a je po probleme. Eventuelne by sa dalo urobit, ze po restarte sa dotaha nejaka aktualizacia a zapise sa na RAMDISK kde bude ulozena. Po restarte vsak vsetko zmizne a je ciste.

A ako vytvorit "ciste" instalacne CD v home prostredi, o ktorom by sa dalo urcite tvrdit, ze je v poriadku?

To treba vytvorit v cistom prostredi, ci to urobi niekto iny. A napalit by sa to dalo aj na uzivatelskom systeme z image suboru a vypalit trebars na CD,DVD...

No a k detekcii roznymi AV produktami. Napr. aj v ESET sekcii som si vsimol sa riesi nejaky web, ktory niektory oznacuju ako infikovany, a ine AV nie. To sa neda jednoznacne urcit, alebo to len nestoji konkretnym spolocnostiam za namahu? Maju malo ludi na detekciu, alebo v com je problem?

Infekcia webu ako celku, nie infikovanej stranky, je funkcia, ktoru nema kazdy AV. Preto niektore mozu web blokovat, ine nie. Okrem toho, vzorka sa musi pridat do zoznamu blokovanych webov. Co ked ma niekto v nejakej podstranke ulozene nieco, co heuristika vyhodnoti ako virus, alebo tam ma len neskodny testovaci subor EICAR, ktory kazdy AV oznacuje ako virus ? Zablokuje mu tam pristup ? Moze ist o uplne korektnu stranku. Webov na internete su miliony, webovych stranok su miliardy, malwaru su statisice. Neni mozne chytat vsetko. Aj testy AV, ktore sa robia su robene na vzorkach, ktore su zname... Staci, ze je nejaky novy malware, ktory neni rozsireny a nechyta sa ziadny AV. Vid moja tema
http://forum.viry.cz/viewtopic.php?f=28&t=123280

A ano. Vacsinou na to nemaju ludi, lebo sa sustredia na marketing. Vi nom pripade su aj ine skutocnosti, ako som uvadzal v linkovanej teme, niektore aj vzorku dostanu a inokedy vedia reagovat do par hodin z nejakeho dovodu, niektore druhy niektore AV uplne ignoruju. Bud schvalne, alebo su v nejakych volitelnych databazach.

[Tatry03]

Aha, takze otazka detekcie je vlastne o nastaveni urovne citlivosti.
Ono by sa dalo asi vsetko skodlive zachytit, ale kontrola Av by potom bola taka prisna, ze bezny PC by mozno ani nenastartoval, pretoze ma plno nevhodnych nastaveni, neaktulizovanych doplnkov atd. O tomto je informacia o FP falosne pozitivnych hlaseniach? Teda ze AV oznaci nieco za skodlive, aj ked to nieje.

Ale ak sa system stale spusta do povodneho stavu, tak postupom doby je v nom stale viac a viac neopravenych dier. Teda aj pri beznom surfovani je mozne "chytit" nejaku haved. Ta sice po restarte zmizne, ale co ak napacha skody dovtedy?

Ak maju AV malo ludi na lustenie malwaru, preco nepridaju v tejto oblasti? Ved ak by boli vo vsetkych testoch najlepsi, tak to je predsa najlepsi marketing, nie?

[KEO]

Je to aj o citlivosti, ale nie celkom. Vela malware je nedetekovaneho antivirakmi. Utok je vzdy efektivnejsi, ako obrana.

Je pravda, ak sa system neaktualizuje, tak je v nom rozpoznatelnych coraz viac dier. Ale ak sa spravne vie system nastavit, pripadne sa pouzivaju ine metody na ochranu, tak je to jedno.

Priklad. Bude nezabezpeceny, deravy system bez firewallu. Ale bude na NEVEREJNEJ IP adrese, pripadne pripojeny este cez filtrovany proxy server. Na verejnej IP adrese bude firewall poskytovatela internetu. System bude read only, alebo nebude mat pripojeny vobec HDD. Prehliadac deravy ako reseto.

Co sa stane na takom systeme ? Maximalne sa infikuje OS v RAMDISKu, po restarte je to znova prec. Data tam nie su a na surfovani - aj keby sa malo nieco stat, ziadna skoda nebude. Keby to bolo zavirene, staci restart a je to ciste a moze clovek ist napr. na internetbanking - ktory ma jednorazove kody. Cize kludne by mohol byt v systeme aj keylogger, sniffer, bolo by to nanic.

Okrem toho sa da kombinovat situacia:
- zavedie sa system z cistej zalohy a v systeme je nastavena po spusteni automaticka aktualizacia. Do par sekund, alebo minut je system aktualizovany. AV systemy nemusia bezat na PC, ale povedzme na urovni siete, internetu.

Ako hovorim, neni zle mat na PC antivirak, ale da sa to komplet aj bez neho, ak je okolo zvolena vhodna uroven bezpecnosti. Pokial clovek vie, co chce chranit a vie, ako na to, moze to chranit aj bez pouzitia AV.

Priklad - nezabezpeceny pocitac na neverejnej IP, nastaveny na moznost kompletnej obnovy, alebo virtualizovany. Praca s dokumentami online trebars cez google docs, tak isto email. Clovek si tam moze robit cokolvek a potom, ak ma podozrenie, alebo ide pracovat s dokumentami, urobi obnovu. Pokracuje zase v cistej instalacii, kde bude pracovat na doveryhodnom systeme bez moznosti zavirenia. Takze vhodne nastavenie + vhodne spravanie a neni treba ani ten antivirak.

[Tatry03]

Ako to tak cele citam, tak to nie je velmi pre beznych uzivatelov. V nejakej firme mozno ano, ale kto by si tieto veci vedel "zmajstrovat" doma?
Skusme nieco, co by na zabezpecenie zvladol obycajny uzivatel, keby chcel.

[KEO]

Ako to tak cele citam, tak to nie je velmi pre beznych uzivatelov. V nejakej firme mozno ano, ale kto by si tieto veci vedel "zmajstrovat" doma?
Skusme nieco, co by na zabezpecenie zvladol obycajny uzivatel, keby chcel.

Na to staci napr. nejake LiveCD linuxu, ktore obsahuje internetovy prehliadac, pristup na siet. Tusim Knoppix, alebo ine distribucie. Plus pripojenie cez LAN kartu, cize doma mat routerik s firewallom a DHCP, co stoji par euro dnes.

Alebo si stiahnut na to do operacneho systemu tuto distribuciu, nastavit inak siet, aby sa nepripojil na net cez router, ale nastavit siet na virutalizovanu masinu. Napr. MS Virtual PC je zdarma...

Alebo pouzivat nejaky software na klonovanie diskov, ktory umoznuje ukladanie do image suborov. Tych je tiez vela... Ghost, Acronis, Partition Saving, atd.... Napr. vraj Seagate ma program na klonovanie HDD pre Seagate disky, co je nejake odlahcena verzia Acronisu...
http://www.seagate.com/support/downloads/discwizard/

Alebo home-freeware ako EasyUS Disk copy
http://www.easeus.com/disk-copy/

Ci maly sikovny opensource ODIN pod Windows
http://odin-win.sourceforge.net/

Ci kopec dalsich....
http://www.thefreecountry.com/utilities ... mage.shtml

[Tatry03]

Vo Win8 nebude nieco na virtualizaciu (na spustenie prehliadaca v sandboxe)?

[Tatry03]

Aktualne vysledky AV-Comparative Real world test.

[Tatry03]

Zatial posledne vysledky AV-Comparative Real world test.

[Tatry03]

A je tu opat AV-Comparative Real world test.
Aktualne poradie: http://chart.av-comparatives.org/chart1.php
Zaujimave je porovnavanie voci "zakladnej zabudovanej ochrane" v podobe Windows Defendera resp. Security Essentials

[Tatry03]

Aprilovy Real-World test AV-Comparative.