Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Ondrej Sevecek's Blog > Posts > Je Microsoft antimalware opravdu tak strašný
prosinec 04
Je Microsoft antimalware opravdu tak strašný

V přůběhu minulého týdne jsem byl upozorněn a zaznamenal jsem i sám množství článků na téma hrůzné neschopnosti Microsoft Security Essentials (například tady a tady) a tím pádem celého Microsoftího antimalware portfólia. Oni totiž všichni sdílejí stejné signatury a endžín.

Tady najdete oficiální AV Test výsledky. Vypadá to jako pěkný průser.

Pokud se chcete podívat na historické výsledky podobného produktu - Forefront Endpoint Protection - od poloviny roku 2011, tak jednotlivé výsledky je možné najít zde:

srpen 2011: http://www.av-test.org/en/tests/corporate-user/windows-7/julaug-2011/
prosinec 2011: http://www.av-test.org/en/tests/corporate-user/windows-7/novdec-2011/
duben 2012: http://www.av-test.org/en/tests/corporate-user/windows-7/marapr-2012/
červen 2012: http://www.av-test.org/en/tests/corporate-user/windows-7/mayjun-2012/
říjen 2012: http://www.av-test.org/en/tests/corporate-user/windows-7/sepoct-2012/

Opět tragédie.

Jenže když se podíváte na hodnocení jiného nezávislého tělesa, tedy poslední proaktivní detekci Virus Bulletinu, tak to vůbec nekoreluje s tou hrůzou, kterou zhodnotil AV Test.

Mám tu k tomu i historický přehled výsledků z virus buletin.

Co to tedy znamená?

Je to divné. Takové rozdílné výsledky jsou podezřelé. To spíš vypadá, že ty dva testy testují něco úplně jiného. Nevěřím, že by na tom byl Microsoft tak špatně. Vyrábí antivirus od dob MS-DOS, mají na to normální oddělení, stejně jako jiní renomovaní výrobci. Dokonce na to mají vlastní oddělení, ne jako mnoho různých antivirů (speciálně F-Secure), které signatury jenom kupují.

Popis jejich testovací procedury je zde. Je to dost obecné a není tam bohužel napsáno, jestli testují útoky jen proti čísté instalaci Windows, nebo mají na tom počítači různé další programy. Jestli je tam Office, jestli je tam Firefox a Open Office, Adobe, nebo iTunes?

Ochrana proti zero-day útokům?

Když se podíváte na tu charakteristiku, všimněte si, že detekce je 90/90 a 100/100 pro existující a známé nákazy. Zatímco ten špatný výsledek je zřejmě dlouhodobě dán detekcí zero-day útoků, který má jen 69/64.

Co to je za blbost? Vysvětlí mě někdo, jak se dá detekovat zero-day exploit? Zero-day znamená, že někdo objeví díru a rovnou na to udělá exploit. Tak já teda garantuju, a může sem dojít nějakej antivirista a přesvědčit mě, že kecám. Ale já garantuju, že skutečné zero-day exploity nedetekuje nikdo. NIKDO! Jak by proboha mohli?

Exploit je něco, co využije nějaké chyby v programu. Tedy v tom, jak ten program zpracovává data, dokumenty, protokoly apod. Jak by tohle mohl někdo detekovat?

Takže co tím zero-day autor vlastně chce říct? Nejspíš se jedná jen o nový exáč, nebo makro, který si někdo stáhne z internetu a spustí. Tím se tedy nemyslí exploit. Ale prostě zero-day zlý program. Takový program nevyužívá chybu v implementaci software. Tahle zero-day nákaza využívá chybu v implementaci mozků různých jedinců, kteří jsou ochotni si z internetu něco stáhnout a spustit.

Jsou to taky zřejmě různé mailové přílohy typu .DOC, které obsahují makra.

Spoléhat na heuristiku je cesta do pekla

Jakto, že je na tom Microsoft tak špatně? To je zřejmě tím, že oni se spoléhají výrazně jen na detekci známých signatur. Nesnaží se dělat heuristiku a odhadovat, co by asi tak mohlo být, nebo nemohlo být virem.

A to je sakra dobře!

Zaručeně se vám tak nestane, že by vám antivirus smazal svchost.exe, nebo kernel32.exe, jako je běžné u ostatních kamarádů.

Cítíte se ohroženi? To se ale musíte cítit i s ostatními antiviry. Žádný z nich nemá 100% detekci zero-day. Takže i s jinými antiviry vás něco napadne. Statisticky!

Robustní ochrana bez falešných poplachů a kurvení výkonu

Ochrana podnikové sítě ani domácích počítačů nemůže stát na ŽÁDNÉM antimalware. Antimalware má vždy jen procentuální úspěšnost bez ohledu na zero-day, nebo známé signatury. Exáče a dokumenty s makry si nemám co vůbec stahovat. A když už si to někde stáhnu, tak musím pracovat pod omezeným účtem, pod kterým to způsobí jen minimální škody.

Osobně preferuju spolehlivou ochranu před známými signaturami 90/90 a 100/100, než aby mě antivirus dojebával výkon a shazoval servery:

  • Outlook má zakázány spustitelné přílohy
  • stahování EXE blokuju na firewallu
  • Office blokuje makra automaticky
  • pracuju pod omezeným uživatelem
  • nezadávám hesla citlivých účtů na nebezpečných počítačích

Takže nevěřte rychlým číslům

Je potřeba si uvědomit, že heuristika, domněnky a detekce zero-day exáčů a maker prostě není v popisu práce antimalware od Microsftu. A já chci, aby to tak i zůstalo!

Comments

komentar

Pokud se nepletu, tak MS nedelal antivir v dobe MS-DOSu, ale jen prejmenoval licencovanej od Nortona.

Proc vlastne antiviry nekontrolujou digitalni podpis EXE, aby nesmazaly nejakej systemovej soubor, o kterym si spatne mysli, ze je tam vir?
Borek on 5.12.2012 8:42

Anti-antivirista

Ondrej, Ondrej :) Ty si anti-antivirista :-)

Osobne pouzivam M$ Essential uz dlho a nic ine by som ani nechcel. A uz vobec nie rozsireny "slovensky kurvic vykonu" = ESET :)
Ondrej Zilinec on 5.12.2012 9:11

ESET

Jo, až nám začátkem roku skončí licence na ESET, tak asi přejdem taky k MS. 100+ stanic. Loni jsem se od nich ještě nechal přemluvit, když nám dali půl roku zdarma navíc (a taky zvítězila lenost něco měnit :), ale letos už to asi neprodloužíme.
Borek on 5.12.2012 9:24

eset

Moje práce je starat se o stanice a musim říct že eset je koncentrovaný zlo. Statisticky se da rict že za 50 procent nevysvetlitelných problémů na stanici může eset. Pri antiviru 5 na XP se da mluvit o 90 procentech a to mam potvrzeno z více zdrojů. Jejich řešení ve stylu nic stim neuděláme ale vrátíme vám peníze je genialní a mohu ho jen doporučit:D
rejpal on 5.12.2012 10:08

Eset

Ahojte,

pracoval som v Esete ako vyvojar, osobne odporucujem pouzivat len  EAV a len verziu  4. Vsetko ostatne je ako pisete onicom a nove verzie prinasaju  zbytocny ballast ktory  system len spomaluje. O ESS uz ani nebudem radsej pisat .
Drzte sa.
Jaro on 7.12.2012 11:41

inf

Dano on 18.1.2013 22:31

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments