Com posem a prova el programari antivirus i de seguretat

Cada producte antivirus o suite de seguretat promet protegir-vos de multitud de riscos i molèsties per a la seguretat. Però, realment, compleixen les seves promeses? A l’hora d’avaluar aquests productes per a la seva revisió, posem a prova les seves reclamacions de moltes maneres diferents. Cada revisió informa dels resultats de les nostres proves, així com de l’experiència pràctica amb el producte. Aquest article excavarà més a fons i explica exactament com funcionen aquestes proves.

Per descomptat, no totes les proves són adequades per a cada producte. Moltes utilitats antivirus inclouen protecció contra phishing, però algunes no. La majoria de les suites inclouen el filtratge de correu brossa, però algunes ometeixen aquesta característica i alguns productes antivirus ho afegeixen com a bonus. Totes les característiques que ofereix un producte determinat, les posem a prova.

Prova Antivirus en temps real

Totes les eines antivirus de potència completa inclou un escàner a demanda per cercar i destruir infestacions de programari maliciós existents i un monitor en temps real per combatre els nous atacs. En el passat, realment hem mantingut una col·lecció de màquines virtuals infestades per programari maliciós per provar la capacitat de cada producte per eliminar el programari maliciós existent. Els avenços en la codificació de programari maliciós feien que la prova amb programari maliciós en viu fos massa perillosa, però encara podem exercir la protecció en temps real de cada producte.

Cada any a principis de primavera, quan la majoria de venedors de seguretat han finalitzat el seu cicle d’actualització anual, reunim una nova col·lecció de mostres de programari maliciós per a aquesta prova. Comencem amb un canal d’informació dels darrers URL d’allotjament de programari maliciós, descarreguem centenars d’exemples i els anotem fins a un nombre manejable.

Analitzem cada mostra amb diverses eines codificades a mà. Algunes de les mostres detecten quan s’estan executant en una màquina virtual i s’abstenen d’activitats malicioses; simplement no les utilitzem. Cerquem diferents tipus i per a mostres que facin canvis al sistema d’arxius i al registre. Amb una mica de esforç, redireccionem la col·lecció amb un nombre manejable i registrem exactament quins canvis fa el sistema.

Per provar les capacitats de bloqueig de programari maliciós d’un producte, baixem una carpeta de mostres d’emmagatzematge al núvol. La protecció en temps real d’alguns productes s’inicia de manera immediata, eliminant programari maliciós conegut. Si és necessari per activar la protecció en temps real, fem un sol clic sobre cada mostra o copiem la col·lecció a una carpeta nova. Prenem nota de quantes mostres elimina l’antivirus a la vista.

A continuació, llançem cada mostra restant i observem si l’antivirus el va detectar. Es registra el percentatge total detectat, independentment de quan hagi estat la detecció.

No és suficient detectar un atac de programari maliciós; l'antivirus ha d'evitar l'atac. Un petit programa intern comprova el sistema per determinar si el programari maliciós va aconseguir fer canvis al Registre o instal·lar algun dels seus fitxers. En el cas dels fitxers executables, també comprova si algun d'aquests processos està en funcionament. I tan aviat com s'hagi completat la mesura, tanquem la màquina virtual.

Si un producte impedeix la instal·lació de totes les traces executables mitjançant una mostra de programari maliciós, guanya 8, 9 o 10 punts, depenent del bé que hagi impedit obstruir el sistema amb traces no executables. Detectar programari maliciós però no poder evitar la instal·lació de components executables obtindrà mig crèdit en 5 punts. Finalment, si malgrat l’intent de protecció de l’antivirus, en realitat s’executa un o més processos de programari maliciós, val la pena només 3 punts. La mitjana de totes aquestes puntuacions es converteix en la puntuació final de bloqueig de programari maliciós del producte.

Prova del bloqueig d’URL maliciós

El millor moment per destruir programari maliciós és abans que arribi al vostre ordinador. Molts productes antivirus s’integren amb els vostres navegadors i els allunyen dels URL coneguts d’allotjament de programari maliciós. Si la protecció no s’atansa a aquest nivell, sempre hi ha l’oportunitat d’esborrar la càrrega útil del programari maliciós durant o després de la descàrrega.

Si bé la prova bàsica de bloqueig de programari maliciós utilitza el mateix conjunt de mostres durant una temporada, els URL que allotgen programari maliciós que fem servir per provar la protecció basada en web són diferents cada vegada. Obtenim un feed dels URL més maliciosos més nous provinents de MRG-Effitas basats a Londres i normalment utilitzem URL que no tenen més d’un dia.

Utilitzant una petita utilitat basada en propòsits, anem a la llista, llançant al seu torn cada URL. Descartem qualsevol cosa que realment no indiqui cap descàrrega de programari maliciós o qualsevol missatge d'error que torni. Per a la resta, observem si l’antivirus impedeix l’accés a l’URL, esborra la descàrrega o no fa res. Després d’haver enregistrat el resultat, l’utilitat salta al següent URL de la llista que no es troba al mateix domini. Saltem tots els fitxers superiors a 5 MB i també saltem els fitxers que ja han aparegut a la mateixa prova. Es conserven fins que hàgim acumulat dades d’almenys 100 URL d’allotjament de programari maliciós verificats.

La puntuació d’aquesta prova és simplement el percentatge d’URL per als quals l’antivirus impedia descarregar programari maliciós, ja sigui tallant l’accés a l’URL completament o esborrant el fitxer descarregat. Les puntuacions varien àmpliament, però les millors eines de seguretat gestionen el 90 per cent o més.

Prova de detecció de phishing

Per què recórrer a troians elaborats que robin dades, quan només podeu enganyar la gent per deixar les seves contrasenyes? Aquesta és la mentalitat dels malfactors que creen i gestionen llocs web de pesca. Aquests llocs fraudulents imiten els bancs i altres llocs delicats. Si introduïu les vostres credencials d’inici de sessió, heu lliurat les claus del regne. I el phishing és independent de la plataforma; funciona en qualsevol sistema operatiu que admeti la navegació pel web.

Aquests llocs web falsos solen obtenir-se a la llista negra poc després de la seva creació, per la qual cosa per fer proves només utilitzem els URL de phishing més nous. Les recollim a partir de llocs web orientats al phishing, afavorint els que han estat denunciats com a fraus, però encara no verificats. Això obliga els programes de seguretat a utilitzar anàlisis en temps real en lloc de confiar en llistes llistes de ment simple.

Utilitzem quatre màquines virtuals per a aquesta prova, una pel producte que s’està provant i una amb la protecció antivirus integrada a Chrome, Firefox i Microsoft Edge. Un petit programa d’utilitat llança cada URL als quatre navegadors. Si algun d’ells retorna un missatge d’error, descartem l’URL. Si la pàgina resultant no intenta activament imitar un altre lloc o no intenta captar dades del nom d’usuari i de la contrasenya, la rebutgem. Per a la resta, registrem si cada producte ha detectat o no el frau.

En molts casos, el producte que s’està provant ni tan sols pot fer-ho, així com la protecció integrada en un o més navegadors.

Prova del filtratge de correu brossa

En aquests dies, els comptes de correu electrònic de la majoria dels consumidors tenen el correu brossa eliminat per ells per part del proveïdor de correu electrònic o per una utilitat que s'executa al servidor de correu electrònic. De fet, la necessitat de filtrar el correu brossa està disminuint constantment. El laboratori de proves austríac AV-Comparatives va provar la funcionalitat antispam fa uns anys, i va trobar que fins i tot Microsoft Outlook només bloquejava gairebé el 90 per cent de l'spam i que la majoria de les suites ho feien millor, algunes de molt millor. El laboratori ni tan sols es compromet a continuar provant filtres de correu brossa orientats al consumidor, assenyalant que "diversos venedors estan pensant a eliminar la funció antispam dels seus productes de seguretat per al consumidor".

En el passat, fèiem les nostres pròpies proves antispam amb un compte del món real que obté correu brossa i correu vàlid. El procés de descàrrega de milers de missatges i l'anàlisi manual del contingut de la carpeta Inbox i de correu brossa requereix més temps i esforç que qualsevol de les altres proves pràctiques. El fet d’esforçar el màxim esforç en una característica d’importància mínima ja no té sentit.

Encara hi ha punts importants per informar sobre el filtre de correu brossa d'una suite. Quins clients de correu electrònic admet? Podeu utilitzar-lo amb un client no compatible? Es limita als comptes de correu electrònic POP3 o també gestiona el correu electrònic basat en IMAP, Exchange o fins i tot en la web? En endavant, considerarem acuradament les funcions antispam de cada suite, però ja no descarregarem i analitzarem milers de correus electrònics.

Prova del rendiment de la suite de seguretat

Quan la vostra suite de seguretat vetlla atentament per atacar programari maliciós, defensant-se de les intrusions de la xarxa, impedint que el vostre navegador visiteu llocs web perillosos, etc., és clar que utilitzeu la CPU del vostre sistema i altres recursos per fer la seva feina. Fa uns anys, les suites de seguretat van tenir la reputació de suprimir gran part dels recursos del sistema que es va veure afectat el vostre propi ordinador. Els dies estan molt millor, però encara tenim algunes proves senzilles per conèixer l'efecte de cada suite sobre el rendiment del sistema.

El programari de seguretat s'ha de carregar el més aviat possible en el procés d'arrencada, de manera que no trobeu programari maliciós ja controlat. Però els usuaris no volen esperar més del temps necessari per començar a utilitzar Windows després de reiniciar. El nostre script de prova s’executa immediatament després de l’arrencada i comença a demanar a Windows que informi del nivell d’ús de la CPU una vegada per segon. Després de 10 segons seguits, l'ús de la CPU no superior al 5 per cent, declara que el sistema està preparat per al seu ús. Restant l'inici del procés d'arrencada (segons informa Windows), sabem quant de temps va trigar el procés d'arrencada. Executem moltes repeticions d'aquesta prova i comparem la mitjana amb la de moltes repeticions quan no hi havia cap suite.

En veritat, probablement no heu de reiniciar més d'una vegada al dia. Una suite de seguretat que va retardar les operacions de fitxers cada dia pot tenir un impacte més significatiu en les vostres activitats. Per comprovar aquest tipus de desacceleració, tenim un guió que mou i copia una gran col·lecció de fitxers entre grans i grans. Mitjançant diverses rutes sense suite i diverses execucions amb la suite de seguretat activa, podem determinar fins a quin punt la suite va alentir aquestes activitats de fitxers. Un guió similar mesura l'efecte de la suite en un script que creï i descomprimeix la mateixa col·lecció de fitxers.

La desacceleració mitjana d’aquestes tres proves per part de les suites amb el toc més lleuger pot ser inferior a l’1 per cent. A l’altre extrem de l’espectre, molt poques suites fan un 25%, o fins i tot més. En realitat es pot notar l’impacte de les suites més pesades.

Prova de la protecció del tallafoc

No és tan fàcil quantificar l’èxit d’un tallafoc, perquè diferents proveïdors tenen idees diferents sobre el que hauria de fer un tallafoc. Tot i així, hi ha diverses proves que podem aplicar a la majoria d’elles.

Normalment, un tallafoc té dues feines, protegint l’ordinador dels atacs externs i garantint que els programes no facin mal ús de la connexió de xarxa. Per provar la protecció contra atac, utilitzem un ordinador físic que es connecta a través del port DMZ del router. Això dóna l'efecte d'un ordinador connectat directament a Internet. Això és important per a les proves, perquè un equip connectat a través d’un enrutador és efectivament invisible a Internet en general. Hem tocat el sistema de prova amb exploracions de ports i altres proves basades en la web. En la majoria dels casos, trobem que el tallafoc amaga completament el sistema de prova d’aquests atacs, posant tots els ports en mode furtiu.

El tallafoc integrat de Windows gestiona el furt de tots els ports, de manera que aquesta prova és només una línia de referència. Però fins i tot aquí hi ha opinions diferents. Els dissenyadors de Kaspersky no veuen cap valor als ports furtius sempre que es tanquin els ports i el tallafoc impedeixi atacar activament.

El control del programa als primers tallafocs personals era extremadament senzill. Cada vegada que un programa desconegut intentava accedir a la xarxa, el tallafoc va aparèixer una consulta preguntant a l'usuari si permetia o no accedir-hi. Aquest enfocament no és molt efectiu, ja que l’usuari generalment no té ni idea de quina acció és correcta. La majoria només ho permetrà. D’altres faran clic a Bloquejar cada vegada, fins que es trenqui algun programa important; després d’això ho permeten tot. Realitzem una revisió pràctica d'aquesta funcionalitat mitjançant una petita utilitat del navegador codificada en hora, una que sempre serà qualificada com a programa desconegut.

Alguns programes malintencionats intenten aconseguir aquest tipus de control de programes senzill mitjançant la manipulació o la mascarament com a programes de confiança. Quan ens trobem amb un tallafoc de la vella escola, posem a prova les seves habilitats utilitzant utilitats anomenades proves de filtració. Aquests programes utilitzen les mateixes tècniques per evadir el control del programa, però sense cap càrrega útil maliciosa. Trobem cada vegada menys proves de filtració que encara funcionen amb versions modernes de Windows.

A l’altre extrem de l’espectre, els millors tallafocs configuren automàticament els permisos de xarxa per a programes bons coneguts, eliminen els programes dolents coneguts i augmenten la vigilància sobre incògnites. Si un programa desconegut intenta una connexió sospitosa, el tallafoc s’iniciarà en aquell punt per aturar-lo.

El programari no és perfecte i, per tant, els dolents treballen de valent per trobar forats de seguretat en sistemes operatius, navegadors i aplicacions més populars. Elaboren gestions per comprometre la seguretat del sistema mitjançant la vulnerabilitat que es trobin. Naturalment, el fabricant del producte explotat emet un pegat de seguretat tan aviat com sigui possible, però fins que no apliqueu aquest pegat, sou vulnerable.

Els tallafocs més intel·ligents intercepten aquests atacs d’explotació a nivell de xarxa, de manera que mai no arriben a l’ordinador. Fins i tot per a aquells que no escanegen a nivell de xarxa, en molts casos el component antivirus elimina la càrrega útil de programari maliciós de l'explotació. Utilitzem l’eina de penetració CORE Impact per assolir cada sistema de prova amb una trentena d’explotacions recents i registrar el grau de protecció del producte de seguretat.

Finalment, realitzem un control sanitari per comprovar si un codificador de programari maliciós pot desactivar fàcilment la protecció de seguretat. Busquem un interruptor d’encesa / apagat al Registre i comprovem si es pot utilitzar per desactivar la protecció (tot i que ja fa anys que vam trobar un producte vulnerable a aquest atac). Intentem acabar els processos de seguretat mitjançant el Task Manager. I comprovem si és possible aturar o desactivar els serveis essencials de Windows del producte.

Prova del control parental

El control i el control parental inclou una àmplia varietat de programes i funcions. La utilitat típica de control parental manté els nens allunyats dels llocs no desitjables, supervisa l’ús d’Internet i permet als pares determinar quan i durant el temps que els nens poden utilitzar Internet cada dia. Altres funcions van des de limitar els contactes de xat a patrullar publicacions de Facebook per temes de risc.

Sempre realitzem un control sanitari per assegurar-nos que el filtre de contingut funciona realment. Pel que resulta, trobar llocs web per fer proves per a la prova és un problema. Gairebé qualsevol URL composta per un adjectiu de mida i el nom d’una part del cos normalment coberta ja és un lloc porno. Molt pocs productes fallen aquesta prova.

Utilitzem una petita utilitat del navegador intern per verificar que el filtratge de contingut no sigui independent del navegador. Emetem una ordre de xarxa de tres paraules (no, no la publiquem aquí) que inhabilita alguns filtres de contingut senzills. I comprovem si podem defugir el filtre mitjançant un lloc web de servidor intermediari anònim segur.

Imposar límits de temps a l’ordinador o l’ús d’Internet dels nens només serà eficaç si els nens no poden interferir en l’horari de temps. Verifiquem que la funció de programació de temps funciona, i després intentem evadir-la restablint la data i l'hora del sistema. Els millors productes no confien en el rellotge del sistema per a la seva data i hora.

Després d'això, simplement es tracta de provar les funcions que el programa afirma tenir. Si promet la possibilitat de bloquejar l’ús de programes específics, comprometem aquesta funció i intentem trencar-la movent, copiant o rebatejant el programa. Si diu que elimina les paraules incorrectes del correu electrònic o de la missatgeria instantània, afegim una paraula aleatòria a la llista de blocs i comprovem que no s'enviï. Si afirma que pot limitar els contactes de missatgeria instantània, establim una conversa entre dos dels nostres comptes i, després, prohibim un. Qualsevol que sigui el control o el control de la potència del programa, fem el possible per posar-lo a prova.

Interpretació de proves de laboratori antivirus

No disposem de recursos per fer el tipus de proves antivirus exhaustives que realitzen laboratoris independents de tot el món, de manera que posem molta atenció en les seves troballes. Seguim dos laboratoris que emeten certificacions i quatre laboratoris que publiquen resultats de proves puntuats de forma regular, utilitzant els seus resultats per ajudar a informar les nostres ressenyes.

Els Laboratoris ICSA i West Coast Labs ofereixen una gran varietat de proves de certificació de seguretat. Seguim específicament les certificacions de detecció de programari maliciós i eliminació de programari maliciós. Els venedors de seguretat paguen per haver provat els seus productes i el procés inclou ajuda dels laboratoris per solucionar qualsevol problema que impedeixi la certificació. El que estem veient aquí és el fet que el laboratori va trobar el producte prou significatiu per provar-lo, i el venedor estava disposat a pagar per realitzar les proves.

Amb seu a Magdeburg, Alemanya, l’AV-Test Institute posa contínuament programes antivirus mitjançant diverses proves. La que ens centrem és una prova de tres parts que atorga fins a 6 punts en cadascuna de les tres categories: protecció, rendiment i usabilitat. Per assolir la certificació, un producte ha de guanyar un total de 10 punts sense zero. Els millors productes porten a casa 18 punts perfectes en aquesta prova.

Per provar la protecció, els investigadors exposen cada producte al conjunt de referència de AV-Test de més de 100.000 mostres i a diversos milers de mostres extremadament esteses. Els productes obtenen crèdit per evitar la infestació en qualsevol moment, ja sigui bloquejant l’accés a l’URL d’allotjament de programari maliciós, detectant el malware mitjançant signatures o impedint que es publiqui el malware. Els millors productes solen assolir el 100% d’èxit en aquesta prova.

El rendiment és important: si l’antivirus considera notablement la resistència del rendiment del sistema, alguns usuaris l’apagaran. Els investigadors d'AV-Test mesuren la diferència de temps requerida per realitzar 13 accions comunes del sistema amb o sense el producte de seguretat present. Entre aquestes accions es troba la descàrrega d’arxius d’Internet, la còpia de fitxers tant a nivell local com a través de la xarxa i executar programes habituals. Mitjançant múltiples tirades, poden identificar l'impacte que té cada producte.

El test d'usabilitat no és necessàriament el que pensareu. No té res a veure amb la facilitat d’ús ni el disseny de la interfície d’usuari. Més aviat, mesura els problemes d’usabilitat que es produeixen quan un programa antivirus marca de manera errònia un programa o lloc web legítims com a maliciosos o sospitosos. Els investigadors instal·len i executen activament una col·lecció de programes populars en constant transformació, assenyalant qualsevol comportament estrany per part dels antivirus. Una prova de verificació exclusiva només per comprovar que l'antivirus no identifica cap de més de 600.000 fitxers legítims com a programari maliciós.

Recopilem resultats de quatre (anteriorment cinc) de les nombroses proves publicades regularment per AV-Comparatives, amb seu a Àustria i que treballa estretament amb la Universitat d’Innsbruck. Les eines de seguretat que passen una prova reben una certificació estàndard; els que fracassen es designen com a merament provats. Si un programa supera el mínim necessari, pot obtenir la certificació Avançada o Avançada +.

La prova de detecció d’arxius d’AV-Comparatives és una prova estàtica senzilla que comprova cada antivirus contra prop de 100.000 mostres de programari maliciós, amb una prova falsa positiva per assegurar la precisió. I el test de rendiment, com AV-Test, mesura qualsevol impacte sobre el rendiment del sistema. Anteriorment, incloàvem la prova heurística / conductual; aquesta prova ha estat abandonada.

Considerem que la prova de producte integral dinàmic de AV-Comparatives és la més significativa. Aquesta prova té com a objectiu simular el més amunt possible l'experiència d'un usuari real, permetent que tots els components del producte de seguretat prenguin mesures contra el programari maliciós. Finalment, el test de reparació comença amb una col·lecció de programari maliciós que tots els productes provats són coneguts per detectar i desafien els productes de seguretat per restaurar un sistema infestat, eliminant completament el malware.

Quan els AV-Test i els comparatius AV normalment inclouen entre 20 i 24 productes en proves, SE Labs generalment informa de no més de 10. Això és en bona part a causa de la naturalesa de la prova d'aquest laboratori. Els investigadors capturen llocs web que allotgen programari maliciós del món real i utilitzen una tècnica de reproducció de manera que cada producte trobi exactament la mateixa descàrrega en unitat o un altre atac basat en web. És extremadament realista, però difícil.

Un programa que bloqueja totalment un d'aquests atacs guanya tres punts. Si es va prendre l'acció després de l'atac, però es va aconseguir eliminar tots els rastres executables, val la pena dos punts. I si només es va acabar amb l’atac, sense neteja completa, encara obtindrà un punt. En el lamentable cas que el programari maliciós s’execute lliure al sistema de prova, el producte que s’està provant perd cinc punts. A causa d'això, alguns productes han arribat a un nivell inferior a zero.

En una prova separada, els investigadors avaluen el bé que cada producte s’absté d’identificar erròniament el programari vàlid com a maliciós, ponderar els resultats en funció de la prevalença de cada programa vàlid i quant d’impacte tindria la falsa identificació positiva. Combinen els resultats d’aquests dos assajos i certifiquen productes en un de cinc nivells: AAA, AA, A, B i C.

• Les millors suites de seguretat del 2019 Les millors suites de seguretat per al 2019
• La millor protecció antivirus del 2019 La millor protecció antivirus del 2019
• La millor protecció antivirus gratuïta per al 2019 La millor protecció antivirus gratuïta per al 2019

Fa temps que hem utilitzat un canal de mostres subministrat per MRG-Effitas a la nostra pràctica prova de bloqueig d’URL maliciosa. Aquest laboratori també publica resultats trimestrals de dues proves específiques que seguim. La prova d’avaluació i certificació 360 simula la protecció del món real contra programari maliciós actual, similar a la prova del món real dinàmic usada per AV-Comparatives. Un producte que evita completament qualsevol infestació pel conjunt de mostres rep una certificació de nivell 1. La certificació del nivell 2 significa que almenys algunes mostres de programari maliciós van plantar fitxers i altres rastres al sistema de prova, però aquests rastres van ser eliminats en el moment del següent reinici. La certificació bancària en línia prova molt específicament la protecció contra programari maliciós i botnets financers.

No és fàcil presentar un resum general dels resultats de laboratori, ja que tots els laboratoris no posen a prova la mateixa col·lecció de programes. Hem dissenyat un sistema que normalitzi les puntuacions de cada laboratori a un valor de 0 a 10. El nostre gràfic de resultats agregats de laboratori informa de la mitjana d’aquestes puntuacions, el nombre de proves de laboratori i el nombre de certificacions rebudes. Si només un laboratori inclou un producte en proves, considerem que és informació insuficient per a una puntuació total.

Potser haureu notat que aquesta llista de mètodes de prova no cobreix xarxes privades virtuals ni VPN. Provar una VPN és molt diferent de provar qualsevol altra part d’una suite de seguretat, per la qual cosa hem proporcionat una explicació independent sobre com testem els serveis VPN.