Graham Cluley, a Sophos vezető biztonsági tanácsadójának blogjából
Egy érdekes cikk jelent meg Mark Ward részéről a BBC News weboldalán, amelyben a Prevx biztonsági cég (a BBC Click botnet fiaskóval kapcsolatban emlékezhetünk meg róluk) egy teljesen új módszert javasol az antivírus szoftverek hatékonyságának felméréséhez.
A jelentés szerint a Prevx...
...létrehoz és terjeszteni fog egy olyan kis programocskát, amely arról gyűjt majd össze gyorsan statisztikákat, hogy a különböző biztonsági cégek milyen gyorsan találnak meg és távolítják el a rosszindulatú kódokat. Ezek az adatok fel fogják fedni, ha a felhasználókat védtelenül hagyják, ennek időtartamát és a cégek reakcióidejének rangsorolását is.
Tulajdonképpen az említett segédprogram „naplót készít, amikor fájlok települnek... (és) riasztani fogja a felhasználót, ha észleli, hogy javítást adtak ki a PC-n található egy bizonyos vírushoz vagy trójai programhoz."
Ha most figyelmen kívül hagyjuk egy kicsit a jelentés azon részét, hogy az antivírus cégeknek minden egyes új kártevő fenyegetésre reagálniuk kell (mi van a mi beépített proaktív észlelési technológiánkkal?), akkor számos probléma felmerül ezzel a biztonsági szoftverek hatékonyságát felmérő módszerrel.
Ezek csak úgy eszembe jutottak, mindenféle sorrend nélkül:
1. Magánélet - adatvédelem. Akik feltelepítik ezt a programot, boldogok lesznek, hogy egy külső szoftver minden egyes telepített programról adatokat rögzít? Mivel a kártevők számos különböző fájlformátumban terjedhetnek, ez azt jelenti, hogy a naplóállományokat Word dokumentumban, Excel táblázatban, PDF fájlokban, stb. kell tartani. Ezek a statisztikák tisztán csak a PC-n fognak tárolódni, vagy interneten keresztül is eljutnak valahova? Az emberek jogosan aggódhatnak, hogy mi fog történni ezekkel az adatokkal?
2. A dolgok jelen állása szerint a program csak akkor végez felmérést, amikor fertőzés történik és a későbbiekben javításra kerül egy antivírus frissítés által. Mi történik, ha a fertőzést azonnal megelőzik?
Például ha a felhasználó web vagy email átjárója elfogta a kártevőt, amint az megpróbált belépni a vállalat rendszerébe egy fertőzött weboldalon vagy emailen keresztül és még azelőtt blokkolja a fertőzést vagy teszi karanténbe, mielőtt az eljutna a számítógépre?
Ezekben az esetekben a felhasználó merevlemezén semmi sem fog változni, és a Prevx naplózó szoftvere semmit nem fog naplózni, mivel nem települt kártevő. Ennyit a felmérés hatékonyságáról.
3. Honnan fogja tudni a program, hogy egy fertőzés megfelelően lett eltávolítva? A Prevx szerint a programjuk egy „kis program" lesz (ami egy jó dolog), de képes lesz magáról meggyőzni minket, hogy meg fogja tudni állapítani egy fertőzés megfelelő eltávolítását vagy azokra az üzenetekre fog hagyatkozni, amelyeket a felhasználó antivírus szoftvere ad?
Ha viszont ez utóbbiról van szó, hogyan fogja tudni az a hatékonyságot valójában mérni? Mi történik, ha az antivírus szoftver tévesen azt mondja, hogy eltávolította a fertőzést, de rossz munkát végzett - azt hogyan méri fel?
4. Miért is telepíteni bárki egy ilyen programot? Mi előnyük származik belőle?
Igen, nagyszerű dolog lenne megbízható információkkal rendelkezni az antivírus szoftver sikerességéről - de nem látom, hogy egy tipikus felhasználónak ez mennyire hat ösztönzőleg, aki megpróbál minden egyes CPU erőt kisajtolni a szoftver futtatásához. Nem tisztázott, hogy milyen előnyöket jelent a felhasználóknak.
5. Miért telepítene egy vállalat egy ilyen programot?
Tapasztalatom szerint a legtöbb rendszergazda szoros ellenőrzést akar a hálózatában futó programok felett. Nem tudom elképzelni, hogy egy ehhez hasonló segédprogram osztatlan sikert okozna közöttük, mivel legtöbbjük próbálja fenntartani az üzemidőt és biztosítani azt, hogy az inkompatibilitást és a programok összeomlását a minimumon tartsák.
6. Honnan fogja tudni a program, hogy a fertőzés meg lett szűntetve? Mi már kiderítettük, hogy a program nem hagyatkozhat az adott antivírus termékre atekintetben, hogy sikeresen eltávolította a fertőzést vagy sem.
Képzeljük csak el azt a felállást, ahol Hilda néni PC-je megfertőződött a Plastic Pizza trójaival. Kipróbálja a SuperScan Anti-Virus programot és nem tud megszabadulni a fertőzéstől. Ezután letölti a MightyAntiMalware biztonsági termék próbaverzióját, amely viszont rendbeteszi a dolgokat. Honnan fogja tudni a Prevx segédprogramja, hogy melyik termék szűntette meg a fertőzést a PC-n?
7. Ki fogj fizetni a program mögött található infrastruktúráért? Valószínűleg arra tervezték, hogy számítógépek millióiról gyűjtsön adatokat - olyan adatokat, amelyeket biztonságban kell tartani. Továbbá gyakori frissítésekre is szükség van azért, hogy a fent említett és időközben felmerülő problémákra gyógyírt jelentsenek. És még képzeljük el azt is, hogy ingyen adják oda mindenkinek.
8. Mi történik, ha az ingyenes segédprogram rosszul működik? Mi történik, ha az antivírus cégek esküsznek arra, hogy a Plastic Pizza trójait már jó 3 hete észlelni képesek, viszont a Prevx programja helytelenül azt állítja, hogy a felhasználók védtelenek vele szemben? Vagy ha a Prevx programja esküszik, hogy a felhasználó megfertőződött, mikor valójában nem is?
A hagyományos tesztekkel lehetséges visszamenni és újratesztelni azért, hogy lássuk, ha hiba történt - de ez majdhogynem lehetetlen lesz ezzel a segédprogrammal.
Úgy gondolom, mi mindannyian látjuk, hogy van még továbbfejlődési lehetőség a biztonsági termékek esetében, és jobb módszerekre van szükségünk a piacon található különböző megoldások hatékonyságának méréséhez. Az Anti Malware Testing Standards Organisation (AMTSO) és a hasonló csoportok keményen dolgoznak azért, hogy a tesztelők számára olyan sztenderdeket állapítsanak meg, amelyek jobbá tehetik a dolgokat a termékeket megvásárlók számára.
A Prevx eszköze nemes célt szolgálhat - de számomra a PC-n található antivírus termékének hatákonyságát mérő ingyenes eszköz koncepciója csak félmegoldás egészen addig, amíg a fent említett problémákat megfelelően le nem kezelik.