Bericht 1 van 2NL Computer Forum ~ Computerbeveiligin g | Van | : | Michel Uphoff (Sysop) | Datum | : | 09-03-2008 |
| Aan | : | Allen | MsgID | : | 3770.1 |
| Onderwerp | : | beveiligingssoftware | Forum | : | ws-nlcomputer |
Dag allemaal,
Tijd voor het periodieke overzicht van de kwaliteit van anti-malware software. De meeste moderne 'virusscanners' beschermen tegen veel meer dan alleen virussen, ook Trojans, backdoors, adware, spyware, dialers et cetera worden door de betere merken standaar geblokkeerd. Vandaar de naam malware bescherming (een samentrekking van Malicious Software).
Anyway hier de resultaten.
De eerste grafiek is een test van het reparerend vermogen van de software. Sedert begin 2005 wordt er maandelijks gekeken of de beveiliging in staat is om -naast het ontdekken van de malware- het geïnfecteerde bestand foutloos te herstellen, of als het om een bestand gaat dat alleen uit de malware zelf bestaat het netjes te verwijderen. Totaal zijn er in de loop van de jaren 33 tests uitgevoerd. Alleen als het herstel van
alle besmettingen volledig correct was kreeg de applicatie een punt in de test van die maand. Maximaal zijn er dus 33 punten te vergeven:
De tweede test meet de snelheid van de computer met en zonder de beveiligingssoftware. Omdat bestanden op de disk bij het schrijven of lezen 'door' de malware scanner gaan, vertraagt deze het openen, opslaan, zoeken en kopiëren van bestanden natuurlijk. Dit is nogal belangrijk, omdat er continue met de harddisk gewerkt wordt. Opvallend is de sterke verbetering in snelheid die Norton 2007 laat zien (Norton 2006 bungelde in vorige tests altijd helemaal onderaan). Dit neem niet weg, dat de disk I/O ook onder Norton 2007 nog maar met 40% van de oorspronkelijke snelheid gebeurt volgens deze testers.
VB test al jaren malwareproducten. Alleen als de software in staat is alle opgediende malware foutloos te herkennen en te blokkeren krijgt het een 'pass' (groen), bij een of meer fouten een 'fail' (rood). Geen (werkende) scanner ingeleverd in de testmaand is een 'no entry' (grijs). Dit geeft een fraai overzicht van het track record van veel malware producten:
In het volgende overzicht wordt het vermogen getoon van beveiligingssoftware om nieuwe, nog onbekende malware op te sporen. Dit is erg belangrijk omdat veel besmettingen razendsnel om zich heen grijpen, en er al miljoenen computers besmet kunnen zijn vóórdat de leverancier de juiste handtekeningen via een automatische update ter beschikking heeft gesteld. Wat hierbij tevens van belang is, is het aantal fouten (de false positives). Omdat er gekeken wordt naar het 'gedrag' van onbekende software is de precisie die bij een 'vingerafdruk' herkenning bereikt kan worden niet mogelijk. Maar je wilt natuurlijk niet, dat de beveiligingssoftware allerhande prima applicaties om zeep gaat helpen. Een mooi voorbeeld van hoe het niet moet is Fortinet. Het lijkt prima resultaten op te leveren, maar er worden hierbij zoveel false positives gegenereerd dat de remedie duidelijk erger dan de kwaal is. Fortinet kwam met duizenden foutieve meldingen van besmette bestanden aanzetten in de eerste test. In de tweede test waren er dat nog honderden (wat op zich een aardige tik minder is, maar nog steeds onacceptabel veel). Wel bleken de heuristische capaciteiten na deze 'verbetering' zo goed als nul te zijn.
Michel Uphoff (NLcomputer)
Homepage
Gewijzigd 9/03/2008 14:26 CET door
Michel Uphoff (Sysop) | Bijlagen : 
AV-CheckVir_03-08.jpg
104KB | 
AV-Speed_03-08.jpg
100KB | 
AV-VirBull_03-08.jpg
387KB | 
AV-Comp_03-08.jpg
258KB |
Bericht 2 van 2NL Computer Forum ~ Computerbeveiligin g | Van | : | Just Vecht | Datum | : | 12-03-2008 | | Aan | : | Michel Uphoff (Sysop) | MsgID | : | 3770.2 | | Onderwerp | : | beveiligingssoftware | Forum | : | ws-nlcomputer |
Hallo Michel, >> Tijd voor het periodieke overzicht van de kwaliteit van anti-malware software<< Buitengewoon interessant overzicht weer! Nod32 scoort als gebruikelijk heel erg goed. Mijn favoriete keus Antivir PE Premium doet het ook niet slecht, maar die false positives zijn bepaald niet fraai. Ik heb daar hier thuis nog niks van gemerkt. Interessant is ook om te zien dat het eTrust produkt van CA niet bepaald geweldig is. Dat wordt op de zaak gebruikt en dat snap ik nu dus niet erg goed. Hartelijk dank, Michel! groeten, Just Vecht
mijn Linux Blog |
