Warning: Missing argument 2 for wpdb::prepare(), called in /home/stromber/public_html/kryptoblog/wp-content/plugins/wp-super-edit/wp-super-edit.core.class.php on line 109 and defined in /home/stromber/public_html/kryptoblog/wp-includes/wp-db.php on line 1222
Hur bra fungerar antivirus-programmen egentligen » Kryptoblog

Hur bra fungerar antivirus-programmen egentligen

October 31st, 2006 by Joachim Strömbergson Leave a reply »

En artikel på bloggen Security Absurdity tar upp att dagens antivirusprogram inte hänger med i utvecklingen, och att vi därför är mindre skyddade än vi tror.

Utgångspunkten för artikeln är den analys av AV-program som Eugene Kaspersky skrev i slutet av förra året. I den visade Kaspersky att även de bästa AV-programmen bara fångar upp 90% av alla virus, och att trenden är att AV-programmen ger sämre och sämre skydd.

Tittar man på elak kod mer generellt finns det ny statistik från Malware-test.com som inte är en rolig läsning:

‧Trend Micro Anti-Spyware: 71.17%
‧Sunbelt CounterSpy: 68.47%
‧Webroot Spy Sweeper: 65.77%
‧ewido anti-spyware: 62.16%
‧McAfee antispyware: 62.16%
‧PC Tools Spyware Doctor: 59.46%
‧Norton Internet Security: 54.05%
‧Computer Associate Anti-Spyware: 49.55%
‧BitDefender Internet Security: 48.65%
‧Microsoft Windows Defender: 44.14%
‧F-Secure Internet Security: 44.14%
‧a-squared Anti-Malware: 43.24%
‧SpywareTerminator: 41.44%
‧ZeroSpyware: 41.44%
‧Lavasoft Ad-Aware: 39.64%
‧Panda Platinum Internet Security: 38.74%
‧ZoneAlarm Anti-spyware: 38.74%
‧Spybot S&D: 38.74%
‧SUPERAntispyware: 36.94%
‧Arovax AntiSpyware: 35.14%
‧Ashampoo AntiSpyWare: 33.33%
‧Kaspersky Internet Security: 32.43%
‧NOD32: 30.63%
‧Agnitum Outpost Firewall Pro: 22.52%
‧Comodo AntiVirus: 18.02%
‧Aluria Anti-Spyware: 9.00%

(Notera att Kasperskys produkter bara fångar en tredjedel av all elak kod.)

Vad beror nu detta på? Jag tror att det finns flera orsaker. Ett skäl är den snabbt ökade automatiseringsgraden vid virusframtagning och den därför snabbt ökande mängden nya virus. Ett annat skäl är att dom som tar fram elak kod i dag testar sina produkter mot AV-programmen innan dom släpps ut – ett slags kvalitetskontroll innan produktsläpp.

Men i grunden tror jag att AV-programmen arbetar på fel sätt. Signaturbaserad AV-detektering verkar inte längre fungera då AV-företagen inte hänger med att ta fram signaturer för alla varianter.

Jag var och talade om kryptotrender på konferensen SUSEC 2006 i Umeå för en dryg vecka sedan. Där var även Joakim von Braun (JvB) och talade. Han hade en del skrämmande statistik med sig, bland annat:

  • 70%-80% av alla användare som använder AV-program blir ändå smittade varje år.

  • Masken SpyBot som exempel finns i 16000 olika versioner.

JvB berättade att han för några år sedan uppdaterade sitt AV-program en gång varannan vecka, men att han i dag gör det var fjärde timme, och ansåg att det egentligen var för sällan. Dock ansåg inte JvB att AV-programmen i grunden arbetar på fel sätt, utan att dom används på fel sätt.

Jag försökte argumentera att har vi gått från ett behov av uppdatering på ett par veckor till under fyra timmar på ett par år, borde vi inom bara några år kunna hamna på en nödvändig uppdateringsfrekvens (för att bibehålla säkerheten) på minut, ja till och med sekundnivå. Är det då rimligt att fortsätta på väsentligen samma sätt? Jag fick uppfattningen att JvB ansåg att det var rimligt och att han inte såg att den snabbt ökande uppdateringsfrekvensen är ett problem, eller ens ett tecken på ett problem. Vidare höll han inte med om att det ökade behovet av scanning av filer och inkommande data äter upp allt mer resurser, vilket leder till problem för användaren.

Vad tror du? Hur skall vi möta utvecklingen av elak kod? Är signaturbaserad detektering den rätta vägen även för framtiden? Det är hög tid att börja diskutera detta – skurkarna väntar iaf inte.

(Är det någon som har länkar till relevant AV-forskning skulle jag uppskatta att få en kopia – posta i kommentarerna.)

No related posts.

Related posts brought to you by Yet Another Related Posts Plugin.

Advertisement

6 comments

  1. steelneck says:

    En liten omskrivning.

    Jvb berättade att han för några år sedan släckte bränder en gång varannan vecka, men att han i dag gör det var fjärde timme, och ansåg att det egentligen var för sällan. Dock ansåg inte JvB att brandbekämpningen i grunden arbetar på fel sätt, utan att bränderna släcks på fel sätt.

    Jag försökte argumentera att har vi gått från ett behov av brandsläckning på ett par veckor till under fyra timmar på ett par år, borde vi inom bara några år kunna hamna på en nödvändig brandbekämpningsfrekvens på minut, ja till och med sekundnivå. Är det då rimligt att fortsätta på väsentligen samma sätt? Jag fick uppfattningen att JvB ansåg att det var rimligt och att han inte såg att den snabbt ökande brandbekämpningsfrekvensen är ett problem, eller ens ett tecken på ett problem. Vidare höll han inte med om att det ökade behovet av att se om det brinner äter upp allt mer resurser, vilket leder till problem.

    Tillåt mig gissa, JvB är en sådan person som tjänar pengar på AV-program.

  2. eloj says:

    Som jag ser det, fanns det i “begynnelsen” två huvudinriktningar för AV-motorer; en signaturbaserad, vilken representerades av “McAfee”, och en heuristic-baserad vilken representerades av “Thunderbyte AV”. Grovt förenklat då, båda metoderna används idag parallellt, men “McAfee” vann på marknaden…

    Så problemet är att fokus helt ligger på signaturer, för dessa är enkla och snabba att ta fram, kan kvantifieras enkelt (“vi hittar X hot”), etc, etc. Perfekt om man ser till enskilda hot som ska bemötas snabbt.

    Automatisk kodanalys däremot är svårt (som i “AI svårt”). Och som du säger, givetvis testar malwareskaparna sina alster mot senaste versionen, så du kan räkna med att alla riktiga “släpp” kommer att gå förbi ohindrade. Heuristics skapar ett större “selektionstryck” om vi ser det i evolutionära termer, vilken kan ge upphov till värre malware (sett ur detektionshänsyn)

    Trots detta anser jag att heuristics är vägen framåt. Det är åtm mer intressant än signaturer. 🙂

  3. Mattias says:

    Först vill jag tacka för en mycket bra och intressant blogg.

    Dock när jag läser detta inlägg blir jag lite skeptisk. Artikeln du refererar till är test av Spyware. Jag kan inte mentalt sätta likhetstecken mellan spyware och virus. Dock är det vedertaget att antivirusprogram idag anser att spyware är en form att virus. Kaspersky Internet Security är ett paket för personlig brandvägg + antivirus etc. som de flesta företag inom den branschen idag kan erbjuda och de brukar vara mediokra. Jag använder själv Kaspersky Anti-virus v6.0 (bara antivirusskyddet) och upplever att den är suverän på att hitta virus om jag jämför den med andra program så som Norton och F-Secure.

    Summa summarum är att t.ex. Trend Micro Anti-Spyware är dedicerad för att hitta spyware och kan av den anledningen få ett högre betyg än produkter som är fler funktioner.

    En annan sak jag tänkte på är orden ”elak kod”, borde det inte kallas ”skadlig kod”, jag trodde det var ett vedertaget uttryck i Sverige för virus, spywares, rootkits etc.?

    PS. Jag jobbar inte för Kaspersky eller något annat antivirus företag heller för den delen. DS.

    Mvh Mattias

  4. Joachim says:

    Mattias:

    Kul att du gillar bloggen och reagerar. Jag kan hålla med om att både jag i det här inlägget, malware.com och Kaspersky rör ihop begreppen en aning. Samtidigt har verkligheten blivit ganska komplex på iaf två sätt:

    (1) Det är i dag svårt att dela upp rena virus från trojaner, spyware, maskar etc. Konstruktörerna av denna typ av elak kod (kommer tillbaka till det) bryr sig inte om att göra någon uppdelning utan kombinerar friskt attackvektorer, spridningsmekanismer, sätt att dölja sig etc.

    (2) Precis som du säger gör leverantörer av olika skyddverktyg olika uppdelningar samt integrerar ihop verktygen till paket som täcker in olika mycket funktioner. Från rena brandväggar ocg AV-scanners till hela “Internet Security”-paket. Det senare sammanfaller tyvärr med trenden att köpa säkerhet i paketlösning från en leverantör och sedan leva i tron att alla problem är borta.

    Så visst skall man vara försiktig med statistik, speciellt när det är så svårt att mäta. Samtidigt tycker jag att man kan titta på siffrorna och iaf se några saker. En sådan sak är att produkterna från några av de största och marknadsmässigt mest framgångsrika företagen ger ett allt annat än 100%-igt skydd.

    Men jag tar till mig av din kritik. Jag lovar att vara mer stringent och så gott det går försöka separera äpplen från päron och ananasar.

    “Elak kod” som begrepp tror jag dock att jag kommer att hålla fast vid. Detta av flera skäl. Ett skäl är att jag till skillnad från dig upplever att “elak kod” inte bara är vedertaget utan dessutom är en term som allt fler använder.

    Ett annat skäl till att jag föredrar “elak kod” framför “skadlig kod” är för att “elak” enligt min mening betonar att det finns en avsikt bakom problemen. på engelska pratar man om “malware” som samling för alltifrån gamla problemkoder som virus etc till ransomware och nyare typer av “elak kod”. “Mal” i malware är samma som i “malicious”.

    Men jag kan ha fel, överbevisa mig gärna.

    Rock on!
    /Joachim S.

  5. Joachim says:

    Steelneck:

    JvB jobbade för Symantec, men gör inte det i dag.

    Skall man vara ärlig mot JvB var det enl min mening en mycket bra presentation han höll på SUSEC-konferensen med mycket spännande och relevant statistik. Jag skall kanske skriva ihop en bloggpostning om den presentationen senare. Om jag hinner.

    JvB har även rätt på ett sätt och det är att många köper en låda AV-skydd, installerar och sedan glömmer bort att den finns. Skydd är som “vi alla” vet en process, inte en produkt. Jag tror att JvB gör ett bra jobb på att utbilda folk att det är på detta viset.

    Men sedan tycker jag att han resonerar snett vad gäller hur AV-programmen arbetar.

  6. Nu förstår jag inte? Detta är ju ett test av spyware-detektion? Det är inte ett antivirustest? Dessutom talar man inte om vilken version av produkterna man testat?

    Det är heller inte ett test som visar hur mycket de olika produkterna detekterar, utan hur bra de är på att rensa bort installerad spyware? Vilket är märkligt, för om man har en produkt som kan rensa dem, borde de upptäckas och blockeras innan installation, vilket då ger att man inte behöver rensa?

    Jag kanske inte läser rätt på sidan, men inte verkar de särskilt professionella i sitt testande?

    Å en sista sak: de har en ännu senare testomgång uppe: http://www.malware-test.com/antispyware.html

Leave a Reply

You must be logged in to post a comment.