Skip Ribbon Commands
Skip to main content

Ondrej Sevecek's Blog

:

Engineering and troubleshooting by Directory Master!
Microsoft Certified Master: Directory Services   RSS
RSS
Ondrej Sevecek's Blog > Posts > Je Microsoft antimalware opravdu tak strašný
prosinec 04
Je Microsoft antimalware opravdu tak strašný
by  Ondřej Ševeček  on 4.12.2012 8:09
Category: BezpečnostBlog

V přůběhu minulého týdne jsem byl upozorněn a zaznamenal jsem i sám množství článků na téma hrůzné neschopnosti Microsoft Security Essentials (například tady a tady) a tím pádem celého Microsoftího antimalware portfólia. Oni totiž všichni sdílejí stejné signatury a endžín.

Tady najdete oficiální AV Test výsledky. Vypadá to jako pěkný průser.

Pokud se chcete podívat na historické výsledky podobného produktu - Forefront Endpoint Protection - od poloviny roku 2011, tak jednotlivé výsledky je možné najít zde:

srpen 2011: http://www.av-test.org/en/tests/corporate-user/windows-7/julaug-2011/
prosinec 2011: http://www.av-test.org/en/tests/corporate-user/windows-7/novdec-2011/
duben 2012: http://www.av-test.org/en/tests/corporate-user/windows-7/marapr-2012/
červen 2012: http://www.av-test.org/en/tests/corporate-user/windows-7/mayjun-2012/
říjen 2012: http://www.av-test.org/en/tests/corporate-user/windows-7/sepoct-2012/

Opět tragédie.

Jenže když se podíváte na hodnocení jiného nezávislého tělesa, tedy poslední proaktivní detekci Virus Bulletinu, tak to vůbec nekoreluje s tou hrůzou, kterou zhodnotil AV Test.

Mám tu k tomu i historický přehled výsledků z virus buletin.

Co to tedy znamená?

Je to divné. Takové rozdílné výsledky jsou podezřelé. To spíš vypadá, že ty dva testy testují něco úplně jiného. Nevěřím, že by na tom byl Microsoft tak špatně. Vyrábí antivirus od dob MS-DOS, mají na to normální oddělení, stejně jako jiní renomovaní výrobci. Dokonce na to mají vlastní oddělení, ne jako mnoho různých antivirů (speciálně F-Secure), které signatury jenom kupují.

Popis jejich testovací procedury je zde. Je to dost obecné a není tam bohužel napsáno, jestli testují útoky jen proti čísté instalaci Windows, nebo mají na tom počítači různé další programy. Jestli je tam Office, jestli je tam Firefox a Open Office, Adobe, nebo iTunes?

Ochrana proti zero-day útokům?

Když se podíváte na tu charakteristiku, všimněte si, že detekce je 90/90 a 100/100 pro existující a známé nákazy. Zatímco ten špatný výsledek je zřejmě dlouhodobě dán detekcí zero-day útoků, který má jen 69/64.

Co to je za blbost? Vysvětlí mě někdo, jak se dá detekovat zero-day exploit? Zero-day znamená, že někdo objeví díru a rovnou na to udělá exploit. Tak já teda garantuju, a může sem dojít nějakej antivirista a přesvědčit mě, že kecám. Ale já garantuju, že skutečné zero-day exploity nedetekuje nikdo. NIKDO! Jak by proboha mohli?

Exploit je něco, co využije nějaké chyby v programu. Tedy v tom, jak ten program zpracovává data, dokumenty, protokoly apod. Jak by tohle mohl někdo detekovat?

Takže co tím zero-day autor vlastně chce říct? Nejspíš se jedná jen o nový exáč, nebo makro, který si někdo stáhne z internetu a spustí. Tím se tedy nemyslí exploit. Ale prostě zero-day zlý program. Takový program nevyužívá chybu v implementaci software. Tahle zero-day nákaza využívá chybu v implementaci mozků různých jedinců, kteří jsou ochotni si z internetu něco stáhnout a spustit.

Jsou to taky zřejmě různé mailové přílohy typu .DOC, které obsahují makra.

Spoléhat na heuristiku je cesta do pekla

Jakto, že je na tom Microsoft tak špatně? To je zřejmě tím, že oni se spoléhají výrazně jen na detekci známých signatur. Nesnaží se dělat heuristiku a odhadovat, co by asi tak mohlo být, nebo nemohlo být virem.

A to je sakra dobře!

Zaručeně se vám tak nestane, že by vám antivirus smazal svchost.exe, nebo kernel32.exe, jako je běžné u ostatních kamarádů.

Cítíte se ohroženi? To se ale musíte cítit i s ostatními antiviry. Žádný z nich nemá 100% detekci zero-day. Takže i s jinými antiviry vás něco napadne. Statisticky!

Robustní ochrana bez falešných poplachů a kurvení výkonu

Ochrana podnikové sítě ani domácích počítačů nemůže stát na ŽÁDNÉM antimalware. Antimalware má vždy jen procentuální úspěšnost bez ohledu na zero-day, nebo známé signatury. Exáče a dokumenty s makry si nemám co vůbec stahovat. A když už si to někde stáhnu, tak musím pracovat pod omezeným účtem, pod kterým to způsobí jen minimální škody.

Osobně preferuju spolehlivou ochranu před známými signaturami 90/90 a 100/100, než aby mě antivirus dojebával výkon a shazoval servery:

  • Outlook má zakázány spustitelné přílohy
  • stahování EXE blokuju na firewallu
  • Office blokuje makra automaticky
  • pracuju pod omezeným uživatelem
  • nezadávám hesla citlivých účtů na nebezpečných počítačích

Takže nevěřte rychlým číslům

Je potřeba si uvědomit, že heuristika, domněnky a detekce zero-day exáčů a maker prostě není v popisu práce antimalware od Microsftu. A já chci, aby to tak i zůstalo!

Permanent Link to Post | Email Post Link | Number of Comments 24 Comment(s)

Comments

komentar

Pokud se nepletu, tak MS nedelal antivir v dobe MS-DOSu, ale jen prejmenoval licencovanej od Nortona.

Proc vlastne antiviry nekontrolujou digitalni podpis EXE, aby nesmazaly nejakej systemovej soubor, o kterym si spatne mysli, ze je tam vir?
Borek on 5.12.2012 8:42

Anti-antivirista

Ondrej, Ondrej :) Ty si anti-antivirista :-)

Osobne pouzivam M$ Essential uz dlho a nic ine by som ani nechcel. A uz vobec nie rozsireny "slovensky kurvic vykonu" = ESET :)
Ondrej Zilinec on 5.12.2012 9:11

ESET

Jo, až nám začátkem roku skončí licence na ESET, tak asi přejdem taky k MS. 100+ stanic. Loni jsem se od nich ještě nechal přemluvit, když nám dali půl roku zdarma navíc (a taky zvítězila lenost něco měnit :), ale letos už to asi neprodloužíme.
Borek on 5.12.2012 9:24

eset

Moje práce je starat se o stanice a musim říct že eset je koncentrovaný zlo. Statisticky se da rict že za 50 procent nevysvetlitelných problémů na stanici může eset. Pri antiviru 5 na XP se da mluvit o 90 procentech a to mam potvrzeno z více zdrojů. Jejich řešení ve stylu nic stim neuděláme ale vrátíme vám peníze je genialní a mohu ho jen doporučit:D
rejpal on 5.12.2012 10:08

Eset

Ahojte,

pracoval som v Esete ako vyvojar, osobne odporucujem pouzivat len  EAV a len verziu  4. Vsetko ostatne je ako pisete onicom a nove verzie prinasaju  zbytocny ballast ktory  system len spomaluje. O ESS uz ani nebudem radsej pisat .
Drzte sa.
Jaro on 7.12.2012 11:41

inf

Dano on 18.1.2013 22:31

Thanks for sharing, nice post!

Thanks for sharing, nice post! Post really provice useful information! http://anthaison.vn/sp/may-dua-vong-tu-dong-ts/
mayduavonfts on 18.12.2018 5:42

Hello

 Zero-day útoky se často snaží obejít ochranná opatření antivirových programů, protože antivirové programy neznají útočný kód a nejsou schopny jej detekovat. Z tohoto důvodu jsou zero-day útoky často velmi úspěšné. https://rankdle.io/
Emma Orabelle on 6.5.2023 10:07

Re: Je Microsoft antimalware opravdu tak strašný

že žádný antivirový program není stoprocentně účinný proti všem hrozbám. Je důležité mít komplexní přístup k zabezpečení svého počítače, včetně pravidelné aktualizace operačního systému, používání silných hesel, obezřetného stahování a otevírání souborů z internetu a e-mailů a dalších bezpečnostních opatření https://blossomwordgame.io/ 
Jeffree Star on 20.5.2023 10:03

Good

I am really impressed with your article. The information you share will be an important document for me to learn more about this topic. https://retrobowlmod.com
Linda on 26.6.2023 4:37

Re: Je Microsoft antimalware opravdu tak strašný

Good job posting, I appreciate it. This post is packed with helpful data. https://coreball.co
loombrush on 13.7.2023 6:50

Re: Je Microsoft antimalware opravdu tak strašný

Episode 227 reinforces the notion https://paperio2.io that photography is more than just capturing images; it's about encapsulating moments, emotions, and stories.
hydfjasfdk on 11.8.2023 7:00

Re: Je Microsoft antimalware opravdu tak strašný

Zdá se, že máte silný názor na Microsoft Security Essentials a celkově na přístup k antivirové ochraně. Je důležité si uvědomit, že hodnocení antivirových programů může být náročné a může záviset na různých faktorech, včetně testovacích metod a datových vzorců https://immaculategrid.io
Timothy Ferriss on 12.9.2023 3:20

Re: Je Microsoft antimalware opravdu tak strašný

I'm excited to see https://shellshockersio.io where this article takes us; the possibilities are endless.
andreen on 20.9.2023 10:31

Re: Je Microsoft antimalware opravdu tak strašný

I worked at Eset as a developer, I personally recommend using only EAV and only version 4. Everything else is as you write and new versions bring unnecessary ballast that only slows down the system. I won't even write about ESS anymore. https://doodlecricket.io
vocalsiste on 22.9.2023 4:25

Call Girls in Delhi

Our escorts in Delhi services are not like other cheap services and we are trying our best to give high-quality https://www.naughtydelhi.com services round the clock. Further, it is our responsibility to provide all sorts of girls to the clients so that they will never get disappointed with our place and fulfill their dreams with all happiness.
Rohan Rajput on 30.10.2023 9:14

Call Girls in Goa

Must Explore our Calangute, Baga, Anjuna, Candolim, Sinquerim, Morjim, Arambol, Vagator, and many more amazing https://www.julieoberoi.com. Whether you’re looking for companionship during your stay in North Goa or seeking adventure with someone new near north goa Beaches, the escort services here have got you covered in everything. From intimate dates at beachside resorts to wild parties on yachts, Our Escorts Service in Goa will make sure your trip is unforgettable.
Lisa Dsouza on 30.10.2023 11:21

Call Girls in Delhi

Our service is entirely Trustable. We give our clients a great experience. Tell us which lady you want to spend your night within Delhi. We are here for you we will recommend a girl according to your needs and requirements. So you can enjoy your whole night without any problem by choosing a beautiful https://www.russiandelhiescorts.in/ from our services.
Rohan Rajput on 3.11.2023 8:28

Service

incall appointments in luxury private residences or hotels, complete with 5-star amenities. Incall and https://www.delhibeauties.com/ Outcall locations are available.
Vansh Sharma on 13.11.2023 8:53

Service

You can hire our services anytime you wish to. We provide 24x7 service to our clients. Our agency provides you both in call and out call services. It means if you wish to hire a call girl to your particular location, it is referred to out call and if you came to our location for our services for enjoyment, it is referred to in call services.
Siya Koli on 13.11.2023 11:54

Service

You can hire our services anytime you wish to. We provide 24x7 service to our clients. Our agency provides you both in call and https://www.sanakhan.in/andheri-call-girl.html out call services. It means if you wish to hire a call girl to your particular location, it is referred to out call and if you came to our location for our services for enjoyment, it is referred to in call services.
Siya Koli on 13.11.2023 11:56

Call Girls in Aerocity

Escorts service in Aerocity is one of the fastest growing agencies in Delhi with a rich catalogue of some of the finest girls in the city. You will surely be spoilt for choices. https://www.nishakapoor.com/ is a hospitality complex, located very close to the Indira Gandhi International (IGI) Airport, New Delhi. It is a well-designed transit hub for tourists and travellers in the capital city of Delhi. In a short time has become the most happening place in the national capital city of Delhi.
Rohan Rajput on 23.11.2023 8:16

Goa Escorts Service

Our intention is very transparent and noble to provide desired enjoyment and satisfaction to customers who feel lonely and crave fun in moments of stress. We have been running this business Northern have been found in various locations in https://www.thegoaescorts.in for a long time and have maintained its excellence with continuous service standard upgrades and enhancements.
Ruby Rajput on 28.11.2023 6:59

Goa Call Girls

Call girls have ranked in Goa had expanded to most of the present-day state limits deals with this Aces Bill over its time which is finished, accurate, finished, and adequate blooming on top of the appropriate Tech Bill Tech casework. They would probably associate with enough American Indians besides foreigners. INCall https://www.jannatzubair.in/ was composed of two segments was originally a home service that promises free doorstep delivery You are requested to accept our invitation to be part of our adult entertainment world run by one of the most sought-after and incomparable entertainers in the country.
Shweta Roy on 28.11.2023 7:22

Add Comment

Title


Pole Title nemusíte vyplňovat, doplní se to samo na stejnou hodnotu jako je nadpis článku.

Author *


Pole Author nesmí být stejné jako pole Title! Mám to tu jako ochranu proti spamu. Roboti to nevyplní dobře :-)

Body *


Type number two as digit *


Semhle vyplňte číslici dvě. Předchozí antispemové pole nefunguje úplně dokonale, zdá se, že jsou i spamery, které pochopily, že je občas potřeba vyplnit autora :-)

Email


Emailová adresa, pokud na ni chcete ode mě dostat odpověď. Nikdo jiný než já vaši emailovou adresu neuvidí.

Attachments