Niech antywirusy myślą za nas. Jakie będą skutki takiego podejścia?

Nie każdy test oprogramowania ochronnego powinniśmy brać na poważnie. W przypadku niektórych aplikacji testowanie z użyciem metodologii wykorzystywanej do sprawdzania antywirusów okazuje się błędne u samych podstaw. W ostatnim czasie przekonali się o tym autorzy polskiego SpySheltera, którzy postanowili przy okazji pokazać, jak nieskuteczne są nawet najlepsze programy antywirusowe.

Aplikacja SpyShelter Firewall, o której pisaliśmy już wielokrotnie, była w ostatnich dniach testowana na łamach portalu PCMag. Neil Rubenking postanowił sprawdzić, jak spisuje się program i skonfrontował ją z… antywirusami. Najpierw przetestowano otwieranie folderów zawierających wirusy i próby ich uruchamiania, następnie próby instalacji zaufanego oprogramowania. Tester najpierw zaznaczył, że antywirusy usunęły sporo wirusów już po otworzeniu katalogu z ich plikami (SpyShelter tego nie zrobił). Następnie był zdziwiony tym, że zaufane oprogramowanie nie działa jak powinno w sytuacji, gdy blokował akcje przez nie wykonywane przy pomocy antyloggera. Ostateczny wynik mówi o tym, że SpyShelter faktycznie chroni przed keyloggerami, ale jest nieprzydatny jako oprogramowanie wymagające uwagi.

Problem w tym, że obecnie nie da się zapewnić odpowiedniego poziomu bezpieczeństwa bez zwracania uwagi użytkownika i bez pozostawiania mu wyboru. Antywirusy się mylą, automaty wszczynają fałszywe alarmy i choć stanowią konieczną pierwszą linię obrony, nie są sposobem na pełne zabezpieczenie. Producent SpySheltera postanowił ustosunkować się do wyników testu i przeprowadzić eksperyment. Na jego potrzeby stworzono niewielką aplikację-keyloggera, następnie sprawdzono, jak zareagują na niego antywirusy wykorzystane w teście PCMag: lekkiego Webroot Secure Anywhere, popularnego Kaspersky Total Security, a także znanego ze swojego silnika Bitdefender Internet Security. Efekt? Żaden z antywirusów nie zainteresował się aplikacją, mogła ona swobodnie zbierać informacje o danych przez nas wpisywanych w innych programach. Nie pomogło nawet wcześniejsze przełączenie ustawień na najbardziej czułe, które przecież nie są domyślnym ustawieniem.

Druga część testu obejmowała wykorzystanie programu Comodo Leak Test, która sprawdza, jak pakiet zabezpieczający reaguje na próby włamania, wstrzykiwanie kodu i symulowanie działanie rootkitów. Na maksymalne 340 punktów wspomniane antywirusy zdobywały od 190 do 210 punktów. Jak w teście poradził sobie SpyShelter? Wyświetlał komunikaty, co pozwoliło zablokować zarówno keyloggera, jak i uzyskać komplet punktów w teście CTL. Choć eksperyment był bardzo prosty, oddaje realne zagrożenie, przed jakimi możemy stanąć. Stworzona przez producenta aplikacja do zbierania danych była antywirusom kompletnie nieznana, równie dobrze mógłby to być nowy szkodnik, który właśnie trafił do Internetu i powoli zbiera informacje od swoich ofiar. Dodajmy do tego jeszcze jeden problem: producenci antywirusów nie chcą się do tego przyznać, ale zdecydowanie przegrywają walkę z rosnącą ilością szkodników i nie są w stanie reagować dostatecznie szybko.

Oczywiście SpyShelter i inne tego typu programy wyposażone w moduły HIPS, jak chociażby Comodo Internet Security, nie są równie automatyczne, co wiele rozwiązań dostępnych na rynku. Rzecz w tym, że są to aplikacje inne i konfrontowanie ich z bezobsługowymi antywirusami jest z góry skazane na porażkę: oryginalny test niczego nie udowodnił, a ten przygotowany przez producenta pokazał, że antywirusy nie radzą sobie wtedy, gdy potrzebna jest uwaga użytkownika. W przypadku zagrożeń stworzonych do ataku na konkretne osoby lub firmy automat w niczym nam nie pomoże, konieczna będzie uwaga i ostrożność użytkownika. Oczywiście nie wszyscy potrzebują oprogramowania tego typu, warto jednak mieć na uwadze, że działa ono inaczej, ale nie znaczy to, że jest w jakiś sposób gorsze.

Podstawą jest ostrożność, a także pamiętanie o tym, że żadne oprogramowanie nie oferuje idealnej ochrony. Antywirus jest potrzebny, może nas bowiem uratować wtedy, gdy nawet nie zdajemy sobie sprawy z zagrożenia. Silnik skanujący to jednak w wielu przypadkach za mało, oddawanie myślenia w ręce producenta oprogramowania antywirusowego (jak również w pełni zautomatyzowanych zapór sieciowych) może się natomiast źle skończyć. Już i tak mamy do dyspozycji pewne ułatwienie, jakim są podpisy cyfrowe aplikacji. Nawet te da się jednak sfałszować.