סימנטק מצהיר כי בדיקות אנטי-וירוס על פי דרישה מטעות

בשבוע שעבר פרסמה מעבדת האנטי-וירוס העצמאית AV-Comparatives את תוצאות בדיקת גילוי האנטי-וירוס על פי דרישה. העובדה שמיקרוסופט הגיעה לקרקעית התחתונה לא היו חדשות גדולות; העובדה שסימנטק רשם אפילו נמוך יותר מפתיעה אכן. בפוסט בבלוג שפורסם היום, סימנטק החליט על כל הנוהג של ביצוע בדיקות סריקה של תוכנות זדוניות לפי דרישה, וכינה זאת "מטעה".

בשנים הראשונות של בדיקת אנטי-וירוס, כל בדיקה הייתה בדיקת סריקה על פי דרישה. החוקרים ירכיבו אוסף של תוכנות זדוניות ידועות, יבצעו סריקה מלאה ותיעדו את אחוז הדגימות שהתגלו. מעבדות מודרניות עובדות קשה על מנת לתכנן בדיקות המשקפות מקרוב את חווית העולם האמיתית של המשתמש, תוך התחשבות בעובדה שהרוב המכריע של הזיהומים נכנסים למחשב מהאינטרנט. סימנטק טוען שרק המבחן בעולם האמיתי תקף; אני לא מסכים לגמרי.

הגנה נכה?

אלחנדרו בורגיה, מנהל בכיר בניהול מוצרים בחברת סימנטק, הצהיר בקטגוריה בבלוג שלו כי "שיעורי הגילוי שהובאו מטעים ואינם מייצגים את יעילות המוצר האמיתי." בורג'יה אמרה, "סוגים אלה של בדיקות סריקת קבצים מנוהלות בסביבות מלאכותיות הנכות את כל תכונות ההגנה המודרניות."

נכון ש- AV-Comparatives דאגו למערכות הבדיקה גישה לאינטרנט, ובכך נתנו להתקנת Symantec גישה למערכת המוניטין החזקה מבוססת ענן Norton Insight. כששאלתי את אנשי הקשר שלי ב- Symantec בנושא זה, הם הסבירו שלעצמת מלוא העוצמה Norton Insight מסתמכת על מידע מלא, "כיצד התקבל הקובץ, מתי הוא הושג או מאיפה הוא הושג (למשל כתובת URL וכתובת IP)." בדיקת סורק קבצים לפי דרישה על קבצים שהאנטי-וירוס של סימנטק לא צפה בהם אינו דומה לזה בו המשתמש באמת מוריד קבצים. זה נכון, אבל זה אותו דבר כמו שמשתמש מתקין אנטי-וירוס כדי לנקות בעיית תוכנה זדונית קיימת.

רכיבי מניעת חדירת הרשת גם לא קיבלו שום סיכוי לעזור, מאחר ודגימות הקבצים הורדו לפני התקנת תוכנת אנטי-וירוס. שוב היית במצב דומה בעת התקנת אנטי-וירוס לראשונה במערכת שורצת. וכמובן שהזיהוי מבוסס התנהגות לעולם אינו מתחיל להיכנס לתוכנית למעשה מתחילה לבצע.

בתגובה לשאלה על הגנה מבוססת התנהגות בפעולה רק לאחר השקת קובץ זדוני, אנשי הקשר שלי ב- Symantec הצביעו על כך ש"התנהגות "כוללת יותר מפעולות שננקטו על ידי התוכנית. "הטכנולוגיה ההתנהגותית שלנו לוקחת בחשבון את המיקום של התוכנית, את האופן שהיא רשומה במערכת (למשל, אילו מפתחות רישום מתייחסים אליה), וגורמים רבים אחרים", הם הסבירו. "ברוב המקרים התוכנית תיפסק לפני שהיא תגרום נזק כלשהו."

האם זה מטעה?

באשר לטענה כי הבדיקה מטעה, AV-Comparatives אינו מסכים. המבוא לדוח עצמו כי "קצב איתור הקבצים של מוצר הוא רק היבט אחד", ומצביע על "דוחות בדיקה אחרים המכסים היבטים שונים."

פיטר סטלשהאמר, מייסד AV-Comparatives, אמר כי "ברור כי רק מאפיין אחד של המוצר נבדק." "אם סימנטק חושבת שמאפיין זיהוי הקבצים אינו שווה כלום, מדוע הוא עדיין כלול במוצר?" Stelzhammer ציין כי יש צורך בזיהוי קבצים לצורך ניקוי ראשוני, וכי למחשבים האישיים לא תמיד יש חיבור לאינטרנט. עם זאת, "הבדיקה נערכה עם חיבור אינטרנט מלא ותכונות הענן של Symantec קיבלו גישה לענן שלהם."

בורדיה מדמה לבחון גילוי קבצים בלבד לבדיקת מערכות הבטיחות של מכונית בכך שהיא משביתת תחילה את הכל מלבד חגורת הברכיים, וקובעת כי בדיקה כזו "פגומה לחלוטין." ובכל זאת, מבחן כזה עשוי בהחלט לזהות בעיות עם חגורת הברכיים החלשה, כך ש"פגום לחלוטין "נראה יתר על המידה.

מבחני עולם אמיתי בלבד?

בורגיה מציינת כי סימנטק תומכת בתוקף בבדיקות בעולם האמיתי, בדיקות "המייצגות באופן הדוק את סביבת האיום ומשתמשות בכל הטכנולוגיות הפרואקטיביות המסופקות עם מוצר." אני בקושי מסכים לא להסכים, אבל בדיקות כאלה דורשות כמות עצומה של זמן ומאמץ. פוסט הבלוג ממשיך את הבדיקות שביצעו על ידי דניס מעבדות כדוגמה אחת מאירה. מעבדות דניס מתעדות את תהליך ההדבקה מכתובות אתרים בעולם האמיתי ואז משתמשת במערכת הפעלה חוזרת באינטרנט כדי לחזור על אותו תהליך בדיוק תחת הגנת כל מוצר אנטי-וירוס. אכן ראוי להערכה, אבל זה לוקח הרבה זמן ומאמץ.

AV-Comparatives עצמה מבצעת בדיקות בעולם האמיתי מדי יום, ומאתגרת אוסף של מוצרי אנטי-וירוס המותקנים במערכות בדיקה זהות כדי להגן מפני תוכנות זדוניות ממאות כתובות URL זדוניות מאוד בעולם האמיתי. מדי חודש הם מסכמים את הנתונים, ובכל רבעון הם מפרסמים דוח מלא להגנה על העולם האמיתי. התהליך מספיק אינטנסיבי בעבודה כדי שיסמכו על עזרה מאוניברסיטת אינסברוק ועל מימון חלקי של הממשלה האוסטרית.

הייתם מצפים שסימנטק תבריק במבחן זה בעולם האמיתי של AV-Comparatives. "לרוע המזל", ציין סטלשהאמר, "סימנטק לא רצה להצטרף לסדרת המבחנים העיקרית שלנו." סימנטק בחרה שלא להשתתף, לדבריהם, מכיוון ש- AV-Comparatives אינו מציע לספקים מנוי המתמקד אך ורק בבדיקות בעולם האמיתי, תוך ביטול הסכמה לבדיקת סריקת הקבצים. " עם זאת, נראה כי אסטרטגיה זו חזרה לאחור. למרות שהחברה לא נרשמה, AV-Comparatives העמידו את סימנטק במבחן לפי דרישה "מכיוון שהתוצאות נדרשו מאוד על ידי הקוראים שלנו והתקשורת."

יש ערך רב לבדיקות

פוסט הבלוג של סימנטק מסכם, "אנו מצפים ליום בו כל הבדיקות שפורסמו הן מבחנים בעולם האמיתי. בינתיים, הקוראים צריכים להיזהר מבדיקות מלאכותיות המראות השוואות מוצרים מטעות." גם אני אהיה לראות בדיקות נוספות התואמות את חווית העולם האמיתית של המשתמש, אבל אני לא חושב שאנחנו יכולים למחוק בדיקות לזיהוי קבצים.

שקול זאת. אם אתה רוכש תוכנת אנטי-וירוס למערכת שמעולם לא הייתה לה הגנה, אתה תצפה שהיא תנקה את כל התוכנות הזדוניות ואת כל התוכנות, מבלי שתפס שלא ניתנה לה הזדמנות להשתמש במניעת חדירות רשת שלה. במקרה כזה אתה בטח תחפש ציונים גבוהים במבחן כמו מבחן ה- AV-Comparatives on-demand, מבחן התואם למדי את מצבך.

להגנה מתמדת, כן, תרצו מוצר שמרוויח ציונים מובילים גם במבחני העולם האמיתי. אז בחר מוצר שמבקיע ציון גבוה בשני התחומים, ובבדיקות ממעבדות מרובות. כך תקבלו הגנה שיכולה לטפל בכל בעיה הקיימת בהתקנה וגם להגן על התקפות תוכנות זדוניות בעתיד.