Testy dynamiczne antywirusów a ryzyko

Przeczytaj także: Zabezpieczenia F-Secure dla klientów Netii

Obecnie testy przeprowadzane są przy użyciu dziesiątek próbek. Zdaniem autora artykułu możemy się spodziewać, że w przyszłości - za sprawą lepszego sprzętu i zoptymalizowanych procesów - próbki wykorzystywane w takich testach będą liczone w setkach. Jednak ryzyko, na jakie narażona jest branża w związku z wprowadzeniem testów dynamicznych jest o wiele większe niż ryzyko związane z innymi popularnymi metodami testowania.

Spora część branży poświęca dużo czasu na edukację użytkowników z zakresu (nowych) technologii proaktywnych. Z kolei AMTSO wiele pracy włożyła w stworzenie dokumentu przedstawiającego najlepsze praktyki dotyczące testów dynamicznych. Wszyscy zgadzają się, że skoncentrowanie się testerów jedynie na współczynnikach wykrywalności jest podejściem przestarzałym i należy uwzględnić również mechanizmy bezpieczeństwa produktów.

Czasy zmieniają się

Jakieś pięć lat temu firma Symantec zaimplementowała w swoich produktach Norton funkcję ochrony o nazwie "anti-worm". Był to system behawioralny wykorzystywany do proaktywnego "łapania" robaków pocztowych. Symantec przewidywał, że nie będzie musiał aktualizować tej technologii częściej niż sześć miesięcy od czasu jej wprowadzenia, aby zapewnić jej skuteczność w zakresie zwalczania ewoluującego szkodliwego oprogramowania. W rzeczywistości nigdy nie zaszła konieczność aktualizacji tej technologii. Twórcy szkodliwego oprogramowania albo nie wiedzieli nic o tej technologii, albo nie zadali sobie trudu jej obejścia, albo nie byli w stanie.

W maju 2006 roku Kaspersky Lab wprowadził linię produktów w wersji 6, która zawierała mechanizm blokowania zachowań nowej generacji. Sześć miesięcy później konieczne było opublikowanie łaty dla tego mechanizmu, ponieważ nowe warianty rodziny trojanów LdPinch potrafiły obejść tą technologię.

Czym różniły się te dwa mechanizmy blokowania zachowań? Roel Schouwenberg wyjaśnia, że "Anti-worm" został wprowadzony w okresie dużych epidemii szkodliwego oprogramowania, w większości inicjowanych przez żądnych sławy autorów. Do 2006 roku większość szkodliwych programów, łącznie z trojanami LdPinch, była tworzona w celu uzyskania korzyści finansowych. Trzeba pamiętać, że Kaspersky Lab jest firmą rosyjską, podobnie jak rosyjskim tworem był LdPinch.

Istnieje również trzecie wyjaśnienie tej różnicy (trzeba jednak pamiętać, że autor tego artykułu z pewnością nie jest ekspertem w dziedzinie marketingu): wydaje się, że Kaspersky Lab włożył więcej wysiłku w marketing swojego mechanizmu blokowania zachowań niż Symantec podczas wprowadzania swojego "anti-worm", przez co twórcy szkodliwego oprogramowania mieli większą świadomość produktu firmy Kaspersky Lab i podjęli wysiłek obejścia go.

Multiskanery

Multiskanery to kolejny interesujący przykład wykorzystywania przez twórców szkodliwego oprogramowania legalnych serwisów w celu uzyskania informacji do własnych celów. Multiskanery online cieszą się obecnie ogromną popularnością, przy czym najpopularniejsze z nich to JottiScan i VirusTotal.