Vysvetlenie vysledkov

[Tatry03]

AV-comparatives Retrospective/Proactive test z 20.jula.

Skusi niekto zrozumitelne vysvetlit co znamenaju v praxi tieto vysledky?


Heuristic detection: 82% - Heuristic+Behavioral Protection Rate 91%

a v inom pripade zhodne:

Heuristic detection: 90% - Heuristic+Behavioral Protection Rate 90%

[Tempest]

První výsledek udává, kolik % malware z testovacího vzorku antivir chytil pouze heuristikou, a druhý výsledek udává, kolik % malware z testovacího vzorku antivir zachytil heuristikou + behaviour blockerem (tj. že se pokusíš spustit soubor, ale ten chce v OS provést takové změny, které AV vyhodnotí jako nebezpečné / škodlivé a tak jeho spuštění nepovolí, nebo tě na to upozorní).

[Tatry03]

Dakujem za vysvetlenie.
Cize vo vysledku je pre uzivatela lepsie konecne percento (91 je viac ako 90) a nezalezi ako bolo dosiahnute?
A zaroven, ze druhy AV nepouziva detekciu spravania?

[Tempest]

Cize vo vysledku je pre uzivatela lepsie konecne percento (91 je viac ako 90) a nezalezi ako bolo dosiahnute?

Na to jsou dva pohledy:

První pohled je, že je lepší ten antivir, který dosáhne lepšího výsledku jen z heuristiky a to proto, že behaviour blocker je narozdíl od heuristiky funkce antiviru používaná až po spuštění souboru, což je nebezpečné, neboť po spuštění viru antivir nemusí být schopen všechny jeho škodlivé akce v počítači vždy zablokovat.

Druhý pohled je, že je lepší ten antivir, který dosáhne lepšího výsledku z obou dohromady, protože jsou to komplementy celkové ochrany počítače antivirem, tj. když selže jeden, nahradí ho druhý.

Jde o dva různé způsoby uvažování, přičemž autor testu zastává první z nich.

A zaroven, ze druhy AV nepouziva detekciu spravania?

Ne, všechny antiviry, u kterých je k dispozici výsledek z obou dohromady, mají behaviour blocker a jejich společnosti daly souhlas k jeho otestování. Takže je-li výsledek stejný jako výsledek bez behaviour blockeru, znamená to, že použitím behaviour blockeru se ochrana počítače oproti heuristice daným antivirem nijak nezvýšila.

[Tatry03]

Natiska sa otazka, ako by potom malo vyzerat idealne testovanie.
Ked z roznych metodik vychadzaju rozne vysledky. Vid napr. dalsie testy AV-Comparative, ci AV-test.
Nikdy poradie v nich nieje rovnake, maximalne podobne.

[Tempest]

Před 5 lety se na tohle téma konala konference v Reykjavíku. Pokud tě to zajímá, tady jsou z ní slidy: http://www.f-prot.com/workshop2007/presentations.html

[Tatry03]

Fuu, tazke citanie.
Ale nejako sa cez to prehryziem.

Zatial co som pochopil, tak ak by sa malo nejak vyberat, tak najviac podobny skutocnosti je test
"Dynamic real world test" na AV-comparative?

Vsetky tie komplikacie laboratornych testov, problem s cistotou vzoriek, komplexnostou, testovacou metodikou atd...

[Tempest]

Zatial co som pochopil, tak ak by sa malo nejak vyberat, tak najviac podobny skutocnosti je test
"Dynamic real world test" na AV-comparative?

Ano, protože simuluje chování a podmínky normálních uživatelů, zaměřuje se na celkovou ochranu počítače antivirem a testování probíhá v průběhu delšího časového období.

Vsetky tie komplikacie laboratornych testov, problem s cistotou vzoriek, komplexnostou, testovacou metodikou atd...

Pochopil si to dobře

[Tatry03]

A co je pravdy na tom, ze "viry" mozu existovat z principu, pretoze samotne programovacie jazyky su nedokonale, a teda nech sa programuje cokolvek, akokolvek precizne, tak to moze mat chybu?
Samozrejme, to potom ospravedlnuje existenciu antivirov ako takych.

[Tempest]

Myslím, že než chyba programovacího jazyka nebo člověka, který s ním programuje, je to spíš fakt, že nic nemůže být dokonalé a všechno se dá obejít / zneužít.

Pravým důvodem existence virů a antivirů jsou nicméně peníze. V oboru počítačových virů se točí miliony dolarů a kolik lidí kdy bylo za jejich tvorbu a šíření třeba jen dopadeno? Z toho je potom logické, že se dá vydělávat na tom samém tím, že proti virům budeš nabízet ochranu - antiviry.

[Tatry03]

A v com je asi problem nepostihovania vinnikov? Ved samotne AV spolocnosti maju prostriedky a moznosti na vysledovanie utokov, tvorcov. Je to len v neschopnosti vlad a slabej legislativy?

[Tempest]

Ty důvody si v podstatě vyjmenoval, ale protože téma regulace internetu vyvolává ve veřejnosti značné rozhořčení a protože každý stát má své vlastní politické zájmy (např. červ Stuxnet, který měl napadat systémy íránských jaderných elektráren, nebo hackeři v Rusku, kteří útočili na protivládní internetové stránky během prezidentských voleb), nelze předpokládat, že by se na situaci něco změnilo.

[Tatry03]

No a skusme trochu filozoficky.

V com je vlastne najvacsi problem antivirov? Preco v podstate ani nemoze byt AV, ktory by "chytal" vsetko svinstvo?
Alebo moze?

[KEO]

Antivirak bojuje vacsinou uz s krizkom po funuse. K bezpecnosti sa da pristupovat dobre aj uplne bez pouzitia AV systemov v systeme, pokial clovek vie zaujat dobru bezpecnostnu politku pre svoj pocitac. T.j. vie, co chranit, ako chranit a co sa moze stat.

[Tatry03]

Preco nejde spoznat hned, ze ide o "zly" kus softwaru? Vsak nakoniec to aj tak niekto zisti. Ako?


Co znamena v praxi ochrana bez AV?