Ogni prodotto antivirus o security suite promette di proteggerti da una moltitudine di rischi e fastidi per la sicurezza. Ma in realtà vivono fino alle loro promesse? Quando valutiamo questi prodotti per la revisione, mettiamo alla prova le loro affermazioni in molti modi diversi. Ogni recensione riporta i risultati dei nostri test, così come l’esperienza pratica con il prodotto. Questo articolo scaverà più a fondo, spiegando come funzionano questi test.

Naturalmente, non tutti i test sono appropriati per ogni prodotto., Molte utility antivirus includono la protezione contro il phishing, ma alcuni non lo fanno. La maggior parte delle suite includono il filtraggio dello spam, ma alcuni omettono questa funzione, e alcuni prodotti antivirus aggiungere come bonus. Qualunque siano le caratteristiche offerte da un determinato prodotto, le abbiamo messe alla prova.

Test Antivirus in tempo reale

Ogni strumento antivirus completo include uno scanner on-demand per cercare e distruggere le infestazioni di malware esistenti e un monitor in tempo reale per respingere nuovi attacchi., In passato, abbiamo effettivamente mantenuto una raccolta di macchine virtuali infestate da malware per testare la capacità di ciascun prodotto di rimuovere il malware esistente. I progressi nella codifica del malware hanno reso i test con malware live troppo pericolosi, ma possiamo ancora esercitare la protezione in tempo reale di ogni prodotto.

Ogni anno all’inizio della primavera, quando la maggior parte dei fornitori di sicurezza hanno terminato il loro ciclo di aggiornamento annuale, raccogliamo una nuova collezione di campioni di malware per questo test. Iniziamo con un feed degli ultimi URL di hosting di malware, scarichiamo centinaia di campioni e li riduciamo a un numero gestibile.,

Analizziamo ogni campione utilizzando vari strumenti codificati a mano. Alcuni dei campioni rilevano quando sono in esecuzione in una macchina virtuale e si astengono da attività dannose; semplicemente non li usiamo. Cerchiamo una varietà di tipi diversi e campioni che apportano modifiche al file system e al Registro. Con un certo sforzo, abbiamo pare la raccolta verso il basso per un numero gestibile, e registrare esattamente ciò che il sistema cambia ogni campione fa.

Per testare le capacità di blocco del malware di un prodotto, scarichiamo una cartella di campioni dal cloud storage., La protezione in tempo reale in alcuni prodotti interviene immediatamente, eliminando il malware noto. Se necessario per attivare la protezione in tempo reale, facciamo clic su ciascun campione o copiamo la raccolta in una nuova cartella. Prendiamo nota di quanti campioni l’antivirus elimina a vista.

Successivamente, lanciamo ogni campione rimanente e notiamo se l’antivirus lo ha rilevato. Registriamo la percentuale totale rilevata, indipendentemente da quando è avvenuto il rilevamento.

Il rilevamento di un attacco malware non è sufficiente; l’antivirus deve effettivamente prevenire l’attacco., Un piccolo programma interno controlla il sistema per determinare se il malware è riuscito a apportare modifiche al Registro o installare uno qualsiasi dei suoi file. Nel caso di file eseguibili, controlla anche se uno di questi processi è effettivamente in esecuzione. E non appena la misurazione è completa, spegniamo la macchina virtuale.

Se un prodotto impedisce l’installazione di tutte le tracce eseguibili da un campione di malware, guadagna 8, 9 o 10 punti, a seconda di quanto bene ha impedito ingombrare il sistema con tracce non eseguibili. Rilevare malware ma non riuscendo a impedire l’installazione di componenti eseguibili ottiene mezzo credito, 5 punti. Infine, se, nonostante il tentativo di protezione dell’antivirus, uno o più processi malware sono effettivamente in esecuzione, vale solo 3 punti. La media di tutti questi punteggi diventa punteggio finale malware-blocking del prodotto.,

Testing Malicious URL Blocking

Il momento migliore per annientare il malware è prima che raggiunga il tuo computer. Molti prodotti antivirus si integrano con i tuoi browser e li allontanano dagli URL noti di hosting di malware. Se la protezione non entra in gioco a quel livello, c’è sempre l’opportunità di eliminare il payload del malware durante o immediatamente dopo il download.

Mentre oue basic malware-blocking test utilizza lo stesso set di campioni per una stagione, gli URL di hosting di malware che usiamo per testare la protezione basata sul Web sono diversi ogni volta., Otteniamo un feed dei più recenti URL dannosi da MRG-Effitas con sede a Londra e in genere utilizziamo URL che non hanno più di un giorno.

Usando una piccola utility appositamente creata, scendiamo nell’elenco, lanciando ogni URL a turno. Scartiamo quelli che in realtà non puntano a un download di malware e quelli che restituiscono messaggi di errore. Per il resto, notiamo se l’antivirus impedisce l’accesso all’URL, cancella il download o non fa nulla. Dopo aver registrato il risultato, l’utilità passa all’URL successivo nell’elenco che non si trova nello stesso dominio., Saltiamo qualsiasi file più grande di 5 MB e saltiamo anche i file che sono già apparsi nello stesso test. Continuiamo a farlo fino a quando non abbiamo accumulato dati per almeno 100 URL di hosting malware verificati.

Il punteggio in questo test è semplicemente la percentuale di URL per i quali l’antivirus ha impedito il download di malware, sia tagliando completamente l’accesso all’URL o cancellando il file scaricato. I punteggi variano ampiamente, ma i migliori strumenti di sicurezza gestiscono il 90% o più.,

Testing Phishing Detection

Perché ricorrere a Trojan elaborati che rubano dati, quando puoi semplicemente ingannare le persone a rinunciare alle loro password? Questa è la mentalità dei malfattori che creano e gestiscono siti web di phishing. Questi siti fraudolenti imitano banche e altri siti sensibili. Se inserisci le tue credenziali di accesso, hai appena dato via le chiavi del regno. E il phishing è indipendente dalla piattaforma; funziona su qualsiasi sistema operativo che supporta la navigazione sul Web.,

Questi siti web falsi in genere vengono inseriti nella lista nera non molto tempo dopo la loro creazione, quindi per i test utilizziamo solo gli URL di phishing più recenti. Raccogliamo questi da siti Web orientati al phishing, favorendo quelli che sono stati segnalati come frodi ma non ancora verificati. Ciò costringe i programmi di sicurezza a utilizzare l’analisi in tempo reale piuttosto che affidarsi a liste nere semplici.

Utilizziamo quattro macchine virtuali per questo test, una per il prodotto in fase di test e una ciascuna utilizzando la protezione phishing integrata in Chrome, Firefox e Microsoft Edge., Un piccolo programma di utilità lancia ogni URL nei quattro browser. Se uno di essi restituisce un messaggio di errore, scartiamo quell’URL. Se la pagina risultante non tenta attivamente di imitare un altro sito o non tenta di acquisire dati di nome utente e password, la scartiamo. Per il resto, registriamo se ogni prodotto ha rilevato o meno la frode.

In molti casi, il prodotto in fase di test non può nemmeno fare così come la protezione integrata in uno o più browser.,

Test di filtraggio dello spam

In questi giorni gli account di posta elettronica per la maggior parte dei consumatori hanno lo spam aspirato da loro dal provider di posta elettronica, o da un programma di utilità in esecuzione sul server di posta elettronica. Infatti, la necessità di filtraggio dello spam è in costante diminuzione. Austrian test lab AV-Comparatives testato funzionalità antispam a pochi anni fa, trovando che anche Microsoft Outlook da solo bloccato quasi il 90 per cento dello spam, e la maggior parte delle suite ha fatto meglio, alcuni di loro molto meglio., Il laboratorio non promette nemmeno di continuare a testare i filtri antispam rivolti ai consumatori, osservando che ” diversi fornitori stanno pensando di rimuovere la funzione antispam dai loro prodotti per la sicurezza dei consumatori.”

In passato, abbiamo eseguito i nostri test antispam utilizzando un account del mondo reale che ottiene sia spam che posta valida. Il processo di download di migliaia di messaggi e di analisi manuale del contenuto della cartella Posta in arrivo e spam ha richiesto più tempo e sforzi rispetto a qualsiasi altro test pratico. Spendere il massimo sforzo su una caratteristica di minima importanza non ha più senso.,

Ci sono ancora punti importanti da segnalare sul filtro antispam di una suite. Quali client di posta elettronica supporta? Puoi usarlo con un client non supportato? È limitato agli account di posta elettronica POP3 o gestisce anche IMAP, Exchange o persino e-mail basate sul Web? Andando avanti, considereremo attentamente le capacità antispam di ogni suite, ma non scaricheremo e analizzeremo più migliaia di email.,

Test delle prestazioni della Suite di sicurezza

Quando la suite di sicurezza è impegnata a guardare per gli attacchi malware, la difesa contro le intrusioni di rete, impedendo al browser di visitare siti Web pericolosi, e così via, è chiaramente utilizzando alcune delle CPU del sistema e altre risorse per fare il suo lavoro. Alcuni anni fa, suite di sicurezza ottenuto la reputazione di succhiare così tanto delle risorse di sistema che il proprio uso del computer è stato influenzato. Le cose vanno molto meglio in questi giorni, ma eseguiamo ancora alcuni semplici test per ottenere una panoramica dell’effetto di ogni suite sulle prestazioni del sistema.,

Il software di sicurezza deve essere caricato il prima possibile nel processo di avvio, per non trovare malware già in controllo. Ma gli utenti non vogliono aspettare più del necessario per iniziare a utilizzare Windows dopo un riavvio. Il nostro script di test viene eseguito immediatamente dopo l’avvio e inizia a chiedere a Windows di segnalare il livello di utilizzo della CPU una volta al secondo. Dopo 10 secondi consecutivi con un utilizzo della CPU non superiore al 5%, dichiara il sistema pronto per l’uso. Sottraendo l’avvio del processo di avvio (come riportato da Windows) sappiamo quanto tempo il processo di avvio ha preso., Eseguiamo molte ripetizioni di questo test e confrontiamo la media con quella di molte ripetizioni quando nessuna suite era presente.

In verità, probabilmente si riavvia non più di una volta al giorno. Una suite di sicurezza che ha rallentato le operazioni quotidiane sui file potrebbe avere un impatto più significativo sulle attività. Per verificare questo tipo di rallentamento, abbiamo tempo uno script che si muove e copia una grande collezione di file di grandi dimensioni-to-enorme tra le unità. Facendo una media di diverse esecuzioni senza suite e diverse esecuzioni con la suite di sicurezza attiva, possiamo determinare quanto la suite abbia rallentato queste attività sui file., Uno script simile misura l’effetto della suite su uno script che comprime e decomprime la stessa raccolta di file.

Il rallentamento medio in questi tre test da parte delle suite con il tocco molto leggero può essere inferiore all ‘ 1%. All’altra estremità dello spettro, pochissimi suite media 25 per cento, o anche di più. Si potrebbe effettivamente notare l’impatto delle suite più pesanti.

Test di protezione firewall

Non è così facile quantificare il successo di un firewall, perché diversi fornitori hanno idee diverse su ciò che un firewall dovrebbe fare., Anche così, ci sono una serie di test che possiamo applicare alla maggior parte di loro.

In genere un firewall ha due processi, proteggendo il computer da attacchi esterni e assicurando che i programmi non abusino della connessione di rete. Per testare la protezione contro gli attacchi, usiamo un computer fisico che si collega attraverso la porta DMZ del router. Questo dà l’effetto di un computer collegato direttamente a Internet. Questo è importante per i test, perché un computer collegato tramite un router è effettivamente invisibile a Internet in generale. Abbiamo colpito il sistema di test con scansioni delle porte e altri test basati sul Web., Nella maggior parte dei casi troviamo che il firewall nasconde completamente il sistema di test da questi attacchi, mettendo tutte le porte in modalità stealth.

Il firewall integrato di Windows gestisce stealthing tutte le porte, quindi questo test è solo una linea di base. Ma anche qui, ci sono opinioni diverse. I progettisti di Kaspersky non vedono alcun valore nelle porte stealthing finché le porte sono chiuse e il firewall impedisce attivamente l’attacco.

Il controllo del programma nei primi firewall personali era estremamente pratico., Ogni volta che un programma sconosciuto ha cercato di accedere alla rete, il firewall spuntato una query chiedendo all’utente se consentire o meno l’accesso. Questo approccio non è molto efficace, poiché l’utente generalmente non ha idea di quale azione sia corretta. La maggior parte permetterà solo tutto. Altri faranno clic su Blocca ogni volta, finché non rompono un programma importante; dopo di che permettono tutto. Eseguiamo un hands-on di controllo di questa funzionalità utilizzando un piccolo programma di utilità del browser codificato in ora, uno che sarà sempre qualificarsi come un programma sconosciuto.,

Alcuni programmi dannosi tentano di aggirare questo tipo di semplice controllo del programma manipolando o mascherandosi da programmi attendibili. Quando incontriamo un firewall della vecchia scuola, testiamo le sue abilità usando utility chiamate leak tests. Questi programmi utilizzano le stesse tecniche per eludere il controllo del programma, ma senza alcun payload dannoso. Troviamo sempre meno test di tenuta che funzionano ancora con le moderne versioni di Windows.,

All’altra estremità dello spettro, i migliori firewall configurano automaticamente le autorizzazioni di rete per i programmi buoni noti, eliminano i programmi cattivi noti e intensificano la sorveglianza sulle incognite. Se un programma sconosciuto tenta una connessione sospetta, il firewall interviene a quel punto per fermarlo.

Il software non è e non può essere perfetto, quindi i cattivi lavorano duramente per trovare buchi di sicurezza nei sistemi operativi, nei browser e nelle applicazioni più diffusi. Essi escogitano exploit per compromettere la sicurezza del sistema utilizzando eventuali vulnerabilità che trovano., Naturalmente il produttore del prodotto sfruttato emette una patch di sicurezza il prima possibile, ma fino a quando non si applica effettivamente quella patch, sei vulnerabile.

I firewall più intelligenti intercettano questi attacchi exploit a livello di rete, in modo che non hanno mai nemmeno raggiungere il computer. Anche per coloro che non eseguono la scansione a livello di rete, in molti casi il componente antivirus elimina il carico utile del malware dell’exploit. Usiamo lo strumento di penetrazione dell’impatto di base per colpire ogni sistema di test con circa 30 exploit recenti e registrare quanto bene il prodotto di sicurezza li ha respinti.,

Infine, eseguiamo un controllo di sanità mentale per vedere se un programmatore di malware potrebbe facilmente disabilitare la protezione di sicurezza. Cerchiamo un interruttore on / off nel Registro e verifichiamo se può essere utilizzato per disattivare la protezione (anche se sono passati anni da quando abbiamo trovato un prodotto vulnerabile a questo attacco). Tentiamo di terminare i processi di sicurezza utilizzando Task Manager. E controlliamo se è possibile interrompere o disabilitare i servizi essenziali di Windows del prodotto.

Test Parental Control

Parental control and monitoring copre un’ampia varietà di programmi e funzionalità., Il tipico programma di utilità di controllo parentale mantiene i bambini lontano da siti sgradevoli, monitora il loro utilizzo di Internet, e consente ai genitori di determinare quando e per quanto tempo i bambini sono autorizzati a utilizzare Internet ogni giorno. Altre caratteristiche vanno dalla limitazione dei contatti di chat al pattugliamento dei post di Facebook per argomenti rischiosi.

Eseguiamo sempre un controllo di integrità per assicurarci che il filtro dei contenuti funzioni effettivamente. A quanto pare, trovare siti porno per i test è un gioco da ragazzi. Praticamente qualsiasi URL composto da un aggettivo di dimensioni e il nome di una parte del corpo normalmente coperta è già un sito porno. Pochissimi prodotti falliscono questo test.,

Utilizziamo una piccola utility del browser interna per verificare che il filtraggio dei contenuti sia indipendente dal browser. Emettiamo un comando di rete di tre parole (no, non lo pubblichiamo qui) che disabilita alcuni filtri di contenuto semplici. E controlliamo se possiamo eludere il filtro utilizzando un sito web proxy anonimo sicuro.

Imporre limiti di tempo al computer o all’uso di Internet dei bambini è efficace solo se i bambini non possono interferire con il cronometraggio. Verifichiamo che la funzione di pianificazione temporale funzioni, quindi proviamo a evitarla reimpostando la data e l’ora del sistema., I migliori prodotti non si basano sull’orologio di sistema per la loro data e ora.

Dopo di ciò, si tratta semplicemente di testare le funzionalità che il programma afferma di avere. Se promette la possibilità di bloccare l’uso di programmi specifici, ci impegniamo quella funzione e cerchiamo di romperla spostando, copiando o rinominando il programma. Se dice che rimuove le parolacce dall’e-mail o dalla messaggistica istantanea, aggiungiamo una parola casuale all’elenco dei blocchi e verifichiamo che non venga inviata. Se afferma di poter limitare i contatti di messaggistica istantanea, impostiamo una conversazione tra due dei nostri account e quindi ne vietiamo uno., Qualunque sia il potere di controllo o di monitoraggio che il programma promette, facciamo del nostro meglio per metterlo alla prova.

Interpretazione dei test di laboratorio antivirus

Non abbiamo le risorse per eseguire il tipo di test antivirus esaustivi eseguiti da laboratori indipendenti in tutto il mondo, quindi prestiamo molta attenzione ai loro risultati. Seguiamo due laboratori che rilasciano certificazioni e quattro laboratori che rilasciano risultati dei test con punteggio su base regolare, utilizzando i loro risultati per aiutare a informare le nostre recensioni.

ICSA Labs e West Coast Labs offrono una vasta gamma di test di certificazione di sicurezza., Seguiamo specificamente le loro certificazioni per il rilevamento di malware e per la rimozione di malware. I fornitori di sicurezza pagano per testare i loro prodotti e il processo include l’aiuto dei laboratori per risolvere eventuali problemi che impediscono la certificazione. Quello che stiamo guardando qui è il fatto che il laboratorio ha trovato il prodotto abbastanza significativo da testare, e il venditore era disposto a pagare per il test.

Con sede a Magdeburgo, in Germania, l’AV-Test Institute sottopone continuamente i programmi antivirus a una serie di test., Quello su cui ci concentriamo è un test in tre parti che assegna fino a 6 punti in ciascuna delle tre categorie: Protezione, Prestazioni e usabilità. Per ottenere la certificazione, un prodotto deve guadagnare un totale di 10 punti senza zeri. I migliori prodotti portano a casa un perfetto 18 punti in questo test.

Per testare la protezione, i ricercatori espongono ogni prodotto al set di riferimento di AV-Test di oltre 100.000 campioni e a diverse migliaia di campioni estremamente diffusi., I prodotti ottengono credito per prevenire l’infestazione in qualsiasi fase, sia che si tratti di bloccare l’accesso all’URL di hosting del malware, rilevare il malware utilizzando le firme o impedire l’esecuzione del malware. I migliori prodotti spesso raggiungono il successo percentuale 100 in questo test.

Le prestazioni sono importanti: se l’antivirus riduce notevolmente le prestazioni del sistema, alcuni utenti lo spegneranno. I ricercatori di AV-Test misurano la differenza di tempo necessaria per eseguire 13 azioni comuni del sistema con e senza il prodotto di sicurezza presente., Tra queste azioni ci sono il download di file da Internet, la copia di file sia localmente che attraverso la rete e l’esecuzione di programmi comuni. Facendo una media di più esecuzioni, possono identificare quanto impatto ha ogni prodotto.

Il test di usabilità non è necessariamente quello che penseresti. Non ha nulla a che fare con la facilità d’uso o il design dell’interfaccia utente. Piuttosto, misura i problemi di usabilità che si verificano quando un programma antivirus segnala erroneamente un programma o un sito Web legittimo come dannoso o sospetto., I ricercatori installano ed eseguono attivamente una collezione in continua evoluzione di programmi popolari, notando qualsiasi comportamento strano da parte dell’antivirus. Un test separato di sola scansione controlla per assicurarsi che l’antivirus non identifichi nessuno degli oltre 600.000 file legittimi come malware.

Raccogliamo i risultati di quattro (precedentemente cinque) dei numerosi test regolarmente rilasciati da AV-Comparatives, che ha sede in Austria e lavora a stretto contatto con l’Università di Innsbruck. Gli strumenti di sicurezza che superano un test ricevono la certificazione standard; quelli che falliscono sono designati come semplicemente testati., Se un programma va al di là del minimo necessario, può guadagnare la certificazione Advanced o Advanced+.

Il test di rilevamento dei file di AV-Comparatives è un semplice test statico che controlla ogni antivirus rispetto a circa 100.000 campioni di malware, con un test di falsi positivi per garantire la precisione. E il test delle prestazioni, proprio come AV-Test, misura qualsiasi impatto sulle prestazioni del sistema. In precedenza, abbiamo incluso il test euristico / comportamentale; questo test è stato eliminato.

Consideriamo il test dinamico dell’intero prodotto di AV-Comparatives il più significativo., Questo test mira a simulare il più possibile l’esperienza di un utente reale, consentendo a tutti i componenti del prodotto di sicurezza di agire contro il malware. Infine, il test di correzione inizia con una raccolta di malware che tutti i prodotti testati sono noti per rilevare e sfida i prodotti di sicurezza per ripristinare un sistema infestato, rimuovendo completamente il malware.

Dove AV-Test e AV-Comparatives includono in genere da 20 a 24 prodotti nei test, SE Labs generalmente riporta su non più di 10. Questo è in gran parte a causa della natura del test di questo laboratorio., I ricercatori catturano i siti Web che ospitano malware nel mondo reale e utilizzano una tecnica di replay in modo che ogni prodotto incontri esattamente lo stesso download drive-by o altro attacco basato sul Web. È estremamente realistico, ma arduo.

Un programma che blocca totalmente uno di questi attacchi guadagna tre punti. Se ha agito dopo l’inizio dell’attacco ma è riuscito a rimuovere tutte le tracce eseguibili, vale due punti. E se ha semplicemente terminato l’attacco, senza una pulizia completa, ottiene ancora un punto., Nel malaugurato caso in cui il malware viene eseguito gratuitamente sul sistema di test, il prodotto in fase di test perde cinque punti. A causa di questo, alcuni prodotti hanno effettivamente segnato sotto zero.

In un test separato, i ricercatori valutano quanto bene ogni prodotto si astiene dall’identificare erroneamente il software valido come dannoso, ponderando i risultati in base alla prevalenza di ciascun programma valido e su quanto impatto avrebbe l’identificazione falsa positiva. Combinano i risultati di questi due test e certificano i prodotti a uno dei cinque livelli: AAA, AA, A, B e C.,

Per qualche tempo abbiamo utilizzato un feed di campioni forniti da MRG-Effitas nel nostro hands-on test di blocco URL dannoso. Questo laboratorio rilascia anche risultati trimestrali per due test particolari che seguiamo. Il test di certificazione 360 Assessment & simula la protezione del mondo reale contro il malware corrente, simile al test dinamico del mondo reale utilizzato da AV-Comparatives. Un prodotto che previene completamente qualsiasi infestazione da parte del set di campioni riceve la certificazione di livello 1., Livello 2 certificazione significa che almeno alcuni dei campioni di malware piantato file e altre tracce sul sistema di test, ma queste tracce sono stati eliminati al momento del riavvio successivo. La certificazione Online Banking test molto specificamente per la protezione contro il malware finanziario e botnet.

Trovare un riepilogo generale dei risultati di laboratorio non è facile, dal momento che i laboratori non testano tutti la stessa collezione di programmi. Abbiamo ideato un sistema che normalizza i punteggi di ogni laboratorio a un valore da 0 a 10., Il nostro grafico dei risultati di laboratorio aggregati riporta la media di questi punteggi, il numero di test di laboratorio e il numero di certificazioni ricevute. Se un solo laboratorio include un prodotto nei test, riteniamo che siano informazioni insufficienti per un punteggio aggregato.

Potresti aver notato che questo elenco di metodi di test non copre le reti private virtuali o le VPN. Testare una VPN è molto diverso dal testare qualsiasi altra parte di una suite di sicurezza, quindi abbiamo fornito una spiegazione separata per come testiamo i servizi VPN.