Sygnatury do lamusa

Testy programów antywirusowych są nieodłącznie związane z historią tych ostatnich. Ogromna ilość i zróżnicowanie dostępnych na rynku rozwiązań wywołują naturalną potrzebę poznania i porównania możliwości każdego z nich - bez tego wybór odpowiedniej dla nas aplikacji byłby niezmiernie trudny.

Obraz
Źródło zdjęć: © Kaspersky Lab

Oczywiście pierwszoplanową rolę gra tu reklama producenta, liczą się również opinie znajomych i użytkowników Internetu o danym produkcie, jednak profesjonalnie wyglądające testy zamieszczane na renomowanych portalach i w dobrze sprzedających się magazynach komputerowych nierzadko stanowią w tej kwestii wyrocznię. Niewielu ludzi ma czas i możliwości, aby wykonać podobne testy we własnym zakresie, zawierzamy więc grupie wyspecjalizowanych testerów, których opinie traktujemy z tym większym zaufaniem, im mniejszą wiedzą sami dysponujemy w danej dziedzinie.

Obraz
© (fot. Kaspersky Lab)

Wszystko byłoby w najlepszym porządku, gdyby testy były zawsze wykonywane zgodnie z pewnymi regułami i standardami, dostosowanymi do zmieniających się potrzeb użytkowników i rozwijających się technologii. Niestety większość testerów stwarza swoje własne kryteria, biorąc pod uwagę zróżnicowane aspekty i stosując niejednolite metody. Na dodatek często owe aspekty nie są dość jasno sprecyzowane, a metody zdarzają się być niedoskonałe bądź nieadekwatne.

Najczęściej testowaną funkcją antywirusów, jest tzw. „skanowanie na żądanie”, czyli statyczne skanowanie plików na podstawie sygnatur zagrożeń. Jest to metoda prosta, szybka, niewymagająca rozległej wiedzy i wielkiego wysiłku ze strony testera, a jednocześnie pozwalająca tworzyć przejrzyste nieskomplikowane rankingi, na podstawie których nawet najmniej zorientowany użytkownik potrafi wyciągnąć jednoznaczne wnioski. Tutaj wszystko jest czarne lub białe - nie ma miejsca na żadne niuanse, niepewności i światłocienie. Program, który wykrył 100. wirusów jest dobry, program, który wykrył "zaledwie" 90% jest zły – koniec, kropka.

Jeśli jednak zastanowić się głębiej nad przydatnością takich testów, okazuje się, że w dzisiejszych czasach jest ona zbliżona zeru. Miały one sens powiedzmy 10 lat temu, kiedy zagrożeń było stosunkowo niewiele, a rekordy w bazach nie przekraczały liczby kilku czy kilkunastu tysięcy. Wtedy większość szkodliwych programów mogła zostać wykryta dzięki sygnaturom, a nowe zagrożenia natomiast pojawiały się na tyle rzadko, że ryzyko infekcji komputera czymś wcześniej nieznanym było znikome. Wyzwania, jakie stały przed producentami programów antywirusowych były niewygórowane, ochrona komputera polegała głównie na regularnym skanowaniu plików, a leczenie systemu - pomijając przypadki bardziej skomplikowanych wirusów infekujących – często sprowadzało się po prostu do usunięcia szkodliwych obiektów. Dzisiaj sytuacja wygląda zupełnie inaczej. Wraz z rozwojem technologii i upowszechnieniem się Internetu pojawiły się nowe możliwości, a pisanie szkodliwego oprogramowania stało się równoznaczne z zarabianiem dużych
pieniędzy. Współcześni cyberprzestępcy to świetnie zorganizowani, doświadczeni profesjonaliści, których pomysłowość jest stymulowana przez rozpościerającą się przed nimi wizję „góry złota”. Codziennie powstają dziesiątki tysięcy nowych zagrożeń, a niebezpieczeństwo czai się w Internecie niemal na każdym kroku. Program antywirusowy w dzisiejszych czasach nie tylko musi sobie radzić z wykrywaniem i leczeniem coraz bardziej skomplikowanych infekcji, ale także zapewniać codzienną ochronę przed tym, co jeszcze nieznane. Cóż więc z tego, że baza sygnatur zawiera miliony starych wpisów, jeśli program nie jest w stanie wykryć żadnej nowej modyfikacji danego trojana? Cóż z tego, że w bazach sygnatur znajdują się informacje o danym wirusie, jeśli program antywirusowy nie potrafi go wyleczyć ani usunąć szkód, które wyrządził? Wreszcie, jaki pożytek z programu, który zna sygnatury zagrożeń, ale nie potrafi zapobiec ich instalacji w systemie?

W tym świetle skanowanie na podstawie sygnatur –. choć nadal powszechnie stosowane przez wszystkie rozwiązania antywirusowe – jest tylko kroplą w morzu i samo z siebie nie jest w stanie zapewnić odpowiedniej ochrony. Powoli również staje się jasne, że jeśli nowych zagrożeń będzie wciąż przybywać w podobnym tempie, bazy sygnatur szybko urosną do monstrualnych rozmiarów, a dodawanie nowego rekordu dla każdego z nich stanie się niemal niewykonalne. Już teraz można zauważyć, że środek ciężkości powoli przesuwa się w stronę mechanizmów heurystycznych i ochrony proaktywnej, wchodzą też w życie zupełnie nowe, alternatywne metody protekcji, takie jak na przykład sandboxing, czyli uruchamianie aplikacji w bezpiecznym środowisku.

Inną dyskusyjną kwestią jest metodologia wykonywania testów skanowania na żądanie. Bazy antywirusów zawierają obecnie miliony sygnatur, które chronią przed setkami milionów zagrożeń. Aby test można było nazwać rzetelnym, konieczne byłoby przeprowadzenie go na odpowiednio dużej, „reprezentatywnej”. kolekcji wirusów. Powinna ona zawierać zagrożenia aktualne, z różnych rejonów świata, różnorodne ale o podobnym stopniu szkodliwości. Każdy plik powinien zostać zweryfikowany pod względem funkcjonalności – niedziałające próbki w ogóle nie powinny być brane pod uwagę. Jednak przygotowanie takiej kolekcji byłoby niezmiernie czasochłonne, więc w kolekcjach wirusów używanych przez testerów często można znaleźć duży odsetek plików uszkodzonych, tekstowych, bądź fałszywych alarmów – słowem: niegroźnych śmieci. Ponadto nawet w przypadku najbardziej starannej kolekcji i najbardziej profesjonalnej metodyki trzeba się liczyć z wystąpieniem „błędu statystycznego”, nie można też zapominać o fakcie, że skanowanie na podstawie
sygnatur jest jedną z wielu składowych kompleksowej ochrony.

Współczesny Internet obfituje w różnego rodzaju zagrożenia. Od współczesnych rozwiązań antywirusowych oczekuje się więc dużo więcej, niż prostego zabezpieczenia przed wirusami. Kompleksowa ochrona komputera powinna być wyposażona w moduł heurystyczny i proaktywny, obejmować takie elementy, jak zapora sieciowa, filtr antyspamowy, kontrola rodzicielska czy ochrona tożsamości, a także posiadać inne przydatne funkcje, np. przywracania systemu i danych bądź, uruchamiania aplikacji w bezpiecznym środowisku. Wszystkie te elementy, a także wiele innych –. mniej ważnych (interfejs, dokumentacja, pomoc techniczna), powinny być brane pod uwagę przy testowaniu tego rodzaju oprogramowania.

_ Źródło: Kaspersky Lab _

Wybrane dla Ciebie
Dziesiątki czołgów i pojazdów w Niemczech. Kolejny przystanek to Ukraina
Dziesiątki czołgów i pojazdów w Niemczech. Kolejny przystanek to Ukraina
Holandia się zbroi. Kupuje kluczowe systemy za setki mln euro
Holandia się zbroi. Kupuje kluczowe systemy za setki mln euro
W Polsce są od lat. Amerykanie dostaną je dopiero teraz
W Polsce są od lat. Amerykanie dostaną je dopiero teraz
Ostatni Kormoran II na wodzie. Co dalej z niszczycielami min?
Ostatni Kormoran II na wodzie. Co dalej z niszczycielami min?
Myśliwce z Polski dla Ukrainy? Kijów jest w stanie spełnić warunek
Myśliwce z Polski dla Ukrainy? Kijów jest w stanie spełnić warunek
Rozstrzygnięcia w programie FCAS. Przyszłość europejskiego myśliwca nowej generacji
Rozstrzygnięcia w programie FCAS. Przyszłość europejskiego myśliwca nowej generacji
Mars wpływa na klimat Ziemi. Nowe symulacje pokazują skalę
Mars wpływa na klimat Ziemi. Nowe symulacje pokazują skalę
Ukraińcy zmieniają taktykę. Tak teraz używają dronów
Ukraińcy zmieniają taktykę. Tak teraz używają dronów
US Navy kupuje broń za 1,7 mld dolarów. Posłuży do polowania na drony
US Navy kupuje broń za 1,7 mld dolarów. Posłuży do polowania na drony
Egzotyczne PzH 2000 w Ukrainie. Nie oddali ich za darmo
Egzotyczne PzH 2000 w Ukrainie. Nie oddali ich za darmo
Rosyjski zakład tonie w długach. Problemy z remontami samolotów
Rosyjski zakład tonie w długach. Problemy z remontami samolotów
Ziemska atmosfera na Księżycu. Jak to w ogóle możliwe?
Ziemska atmosfera na Księżycu. Jak to w ogóle możliwe?
ZANIM WYJDZIESZ... NIE PRZEGAP TEGO, CO CZYTAJĄ INNI! 👇