V přůběhu minulého týdne jsem byl upozorněn a zaznamenal jsem i sám množství článků na téma hrůzné neschopnosti Microsoft Security Essentials (například tady a tady) a tím pádem celého Microsoftího antimalware portfólia. Oni totiž všichni sdílejí stejné signatury a endžín.
Tady najdete oficiální AV Test výsledky. Vypadá to jako pěkný průser.
Pokud se chcete podívat na historické výsledky podobného produktu - Forefront Endpoint Protection - od poloviny roku 2011, tak jednotlivé výsledky je možné najít zde:
srpen 2011: http://www.av-test.org/en/tests/corporate-user/windows-7/julaug-2011/
prosinec 2011: http://www.av-test.org/en/tests/corporate-user/windows-7/novdec-2011/
duben 2012: http://www.av-test.org/en/tests/corporate-user/windows-7/marapr-2012/
červen 2012: http://www.av-test.org/en/tests/corporate-user/windows-7/mayjun-2012/
říjen 2012: http://www.av-test.org/en/tests/corporate-user/windows-7/sepoct-2012/
Opět tragédie.
Jenže když se podíváte na hodnocení jiného nezávislého tělesa, tedy poslední proaktivní detekci Virus Bulletinu, tak to vůbec nekoreluje s tou hrůzou, kterou zhodnotil AV Test.
Mám tu k tomu i historický přehled výsledků z virus buletin.
Co to tedy znamená?
Je to divné. Takové rozdílné výsledky jsou podezřelé. To spíš vypadá, že ty dva testy testují něco úplně jiného. Nevěřím, že by na tom byl Microsoft tak špatně. Vyrábí antivirus od dob MS-DOS, mají na to normální oddělení, stejně jako jiní renomovaní výrobci. Dokonce na to mají vlastní oddělení, ne jako mnoho různých antivirů (speciálně F-Secure), které signatury jenom kupují.
Popis jejich testovací procedury je zde. Je to dost obecné a není tam bohužel napsáno, jestli testují útoky jen proti čísté instalaci Windows, nebo mají na tom počítači různé další programy. Jestli je tam Office, jestli je tam Firefox a Open Office, Adobe, nebo iTunes?
Ochrana proti zero-day útokům?
Když se podíváte na tu charakteristiku, všimněte si, že detekce je 90/90 a 100/100 pro existující a známé nákazy. Zatímco ten špatný výsledek je zřejmě dlouhodobě dán detekcí zero-day útoků, který má jen 69/64.
Co to je za blbost? Vysvětlí mě někdo, jak se dá detekovat zero-day exploit? Zero-day znamená, že někdo objeví díru a rovnou na to udělá exploit. Tak já teda garantuju, a může sem dojít nějakej antivirista a přesvědčit mě, že kecám. Ale já garantuju, že skutečné zero-day exploity nedetekuje nikdo. NIKDO! Jak by proboha mohli?
Exploit je něco, co využije nějaké chyby v programu. Tedy v tom, jak ten program zpracovává data, dokumenty, protokoly apod. Jak by tohle mohl někdo detekovat?
Takže co tím zero-day autor vlastně chce říct? Nejspíš se jedná jen o nový exáč, nebo makro, který si někdo stáhne z internetu a spustí. Tím se tedy nemyslí exploit. Ale prostě zero-day zlý program. Takový program nevyužívá chybu v implementaci software. Tahle zero-day nákaza využívá chybu v implementaci mozků různých jedinců, kteří jsou ochotni si z internetu něco stáhnout a spustit.
Jsou to taky zřejmě různé mailové přílohy typu .DOC, které obsahují makra.
Spoléhat na heuristiku je cesta do pekla
Jakto, že je na tom Microsoft tak špatně? To je zřejmě tím, že oni se spoléhají výrazně jen na detekci známých signatur. Nesnaží se dělat heuristiku a odhadovat, co by asi tak mohlo být, nebo nemohlo být virem.
A to je sakra dobře!
Zaručeně se vám tak nestane, že by vám antivirus smazal svchost.exe, nebo kernel32.exe, jako je běžné u ostatních kamarádů.
Cítíte se ohroženi? To se ale musíte cítit i s ostatními antiviry. Žádný z nich nemá 100% detekci zero-day. Takže i s jinými antiviry vás něco napadne. Statisticky!
Robustní ochrana bez falešných poplachů a kurvení výkonu
Ochrana podnikové sítě ani domácích počítačů nemůže stát na ŽÁDNÉM antimalware. Antimalware má vždy jen procentuální úspěšnost bez ohledu na zero-day, nebo známé signatury. Exáče a dokumenty s makry si nemám co vůbec stahovat. A když už si to někde stáhnu, tak musím pracovat pod omezeným účtem, pod kterým to způsobí jen minimální škody.
Osobně preferuju spolehlivou ochranu před známými signaturami 90/90 a 100/100, než aby mě antivirus dojebával výkon a shazoval servery:
- Outlook má zakázány spustitelné přílohy
- stahování EXE blokuju na firewallu
- Office blokuje makra automaticky
- pracuju pod omezeným uživatelem
- nezadávám hesla citlivých účtů na nebezpečných počítačích
Takže nevěřte rychlým číslům
Je potřeba si uvědomit, že heuristika, domněnky a detekce zero-day exáčů a maker prostě není v popisu práce antimalware od Microsftu. A já chci, aby to tak i zůstalo!