Testy dynamiczne antywirusów a ryzyko

Przeczytaj także: Zabezpieczenia F-Secure dla klientów Netii

Testy czasu reakcji

Chociaż obecnie rzadko przeprowadza się testy oceniające czas reakcji, zdaniem autora warto im się przyjrzeć. Tego typu testy były najpopularniejsze w erze dużych epidemii robaków pocztowych - największymi bohaterami tego okresu są robaki NetSky, Bagle, Mydoom, Sober oraz Sobig.

W porównaniu z testami statycznymi, rozmiar zestawów próbek wykorzystywanych do przeprowadzania testów oceniających czas reakcji jest bardzo niewielki. Jeden rodzaj testów czasu reakcji mierzy ogólną skuteczność producentów rozwiązań antywirusowych na podstawie większego, jednak stosunkowo małego, zestawu testowego - test ten nie przedstawia wyników dla poszczególnych próbek. Drugi rodzaj testów mierzy wykrywanie dla poszczególnych próbek.

Takie szczegółowe wyniki dla poszczególnych próbek mogą być bardzo pomocne dla autorów szkodliwych programów. Można spekulować na temat tego, czy opublikowane wyniki testów czasu reakcji mogły przyczynić się do tego, że niektórzy twórcy szkodliwego oprogramowania zmienili stosowane podejście w celu utrudnienia wykrywania swoich szkodników. Przykładem może być W32/Sober.K, który dołączał losowe bezużyteczne dane na koniec swojego pliku podczas instalacji, co stanowiło celową próbę spowolnienia wykrywania przez rozwiązanie antywirusowe. Istnieje duże prawdopodobieństwo, że autor wprowadził tę funkcję, ponieważ nie był zadowolony z wyników testów na czas reakcji dotyczących wcześniejszych wariantów robaka Sober.

Obecnie wyniki testów na czas reakcji są publikowane w bardziej ogólnej postaci, z rzadkimi odniesieniami do konkretnych próbek. Dlatego ryzyko, że twórcy szkodliwego oprogramowania uzyskają zbyt wiele informacji, jest bardzo niskie.

Testy retrospektywne

Kaspersky Lab podaje, że tego rodzaju testy polegają na testowaniu nieuaktualnionych produktów przy użyciu aktualnych próbek szkodliwego oprogramowania. Oprócz celu (zbadanie możliwości produktu w zakresie wykrywania nieznanych próbek) oraz "wieku" uaktualnień, testy retrospektywne niczym nie różnią się od testów statycznych. Ryzyko związane z takimi testami jest zatem, podobnie jak w przypadku standardowych testów statycznych, bardzo niskie.

Testy dynamiczne

W testach dynamicznych próbki szkodliwego oprogramowania są wprowadzane do systemu testowego z zamiarem ich uruchomienia. W tego rodzaju testach można wykorzystać niewielką liczbą próbek, ponieważ proces wykonywania każdej próbki zajmuje dużo czasu. Organizacja AMTSO opublikowała dokument szczegółowo wyjaśniający koncepcję testów dynamicznych.

W idealnych warunkach, próbki są wprowadzane do systemu testowego we "właściwy" sposób - na przykład za pośrednictwem ataku "drive-by download". Nawet po zautomatyzowaniu zadanie to pochłania mnóstwo czasu, a całej sprawy nie ułatwia fakt, że w celu uzyskania rzetelnych wyników testów należy unikać wirtualnych maszyn.