cada produto antivírus ou pacote de segurança promete protegê-lo de uma infinidade de riscos de segurança e aborrecimentos. Mas será que eles realmente cumprem as suas promessas? Ao avaliar estes produtos para revisão, colocamos suas reivindicações ao teste de muitas maneiras diferentes. Cada revisão relata os resultados dos nossos testes, bem como a experiência prática com o produto. Este artigo vai investigar mais a fundo, explicando como esses testes funcionam.é claro que nem todos os ensaios são adequados para cada produto., Muitos utilitários antivírus incluem proteção contra phishing, mas alguns não. a maioria das suites incluem filtragem de spam, mas alguns omitem este recurso, e alguns produtos antivírus adicioná-lo como um Bônus. Qualquer que seja a característica de um determinado produto oferece, nós os colocamos à prova.

testando antivírus em tempo Real

cada ferramenta antivírus de potência completa inclui um scanner on-demand para procurar e destruir infestações de malware existentes e um monitor em tempo real para evitar novos ataques., No passado, temos mantido uma coleção de máquinas virtuais infestadas por malware para testar a capacidade de cada produto para remover malware existente. Os avanços na codificação de malware tornaram os testes com malware ao vivo muito perigosos, mas ainda podemos exercer a proteção de cada produto em tempo real.

cada ano no início da primavera, quando a maioria dos vendedores de segurança terminou o seu ciclo anual de actualização, recolhemos uma nova colecção de amostras de malware para este teste. Começamos com uma alimentação dos mais recentes URLs de hospedagem de malware, baixar centenas de amostras, e guiá-los para um número gerenciável.,

analisamos cada amostra usando várias ferramentas manuais. Algumas das amostras detectam quando estão rodando em uma máquina virtual e se abstêm de atividades maliciosas; simplesmente não usamos essas. Procuramos uma variedade de diferentes tipos, e para amostras que fazem alterações no sistema de arquivos e registro. Com algum esforço, analisamos a coleção para um número gerenciável, e registramos exatamente o que o sistema muda cada amostra faz.

para testar as capacidades de bloqueio de malware de um produto, descarregamos uma pasta de amostras do armazenamento na nuvem., A proteção em tempo Real em alguns produtos entra imediatamente, eliminando malware conhecido. Se necessário para ativar proteção em tempo real, basta clicar em cada amostra, ou copiar a coleção para uma nova pasta. Tomamos nota de quantas amostras o Antivírus elimina à vista.a seguir, lançamos cada amostra restante e notamos se o Antivírus o detectou. Registramos a porcentagem total detectada, independentemente de quando a detecção ocorreu.

A Detecção de um ataque de malware não é suficiente; o Antivírus deve realmente prevenir o ataque., Um pequeno programa interno verifica o sistema para determinar se o malware conseguiu fazer quaisquer alterações de registro ou instalar qualquer um de seus arquivos. No caso de arquivos executáveis, ele também verifica se algum desses processos estão realmente em execução. E assim que a medição estiver completa, desligamos a máquina virtual.

Se um produto impedir a instalação de todos os traços executáveis por uma amostra de malware, ele ganha 8, 9, ou 10 pontos, dependendo de quão bem ele impediu a embreagem do sistema com traços não executáveis. Detectar malware, mas não impedir a instalação de componentes executáveis recebe meio crédito, 5 pontos. Finalmente, se, apesar da tentativa de proteção do Antivírus, um ou mais processos de malware está realmente funcionando, isso vale apenas 3 pontos. A média de todas estas pontuações torna-se a pontuação final de bloqueio de malware do produto.,

testar o bloqueio de URL malicioso

a melhor altura para aniquilar o malware é antes de chegar ao seu computador. Muitos produtos antivírus se integram com seus navegadores e orientá-los para longe de conhecidos Malware-hospedagem URLs. Se a proteção não fizer efeito nesse nível, há sempre uma oportunidade de eliminar a carga malware durante ou imediatamente após o download.

While oue basic malware-blocking test uses the same set of samples for a season, the malware-hosting URLs we use to test Web-based protection are different every time., Nós temos uma alimentação dos URLs maliciosos mais recentes de Londres baseado em MRG-Effitas e normalmente usam URLs que não têm mais do que um dia de idade.

usando um pequeno utilitário construído para fins específicos, vamos para baixo da lista, lançando cada URL por sua vez. Descartamos qualquer que não aponte para um download de malware, e qualquer que retorne mensagens de erro. Para o resto, notamos se o Antivírus impede o acesso à URL, apaga o download, ou não faz nada. Depois de gravar o resultado, o utilitário salta para a URL seguinte na lista que não está no mesmo domínio., Nós saltamos qualquer arquivo maior que 5MB, e também pulamos arquivos que já apareceram no mesmo teste. Continuamos até Termos acumulado dados para pelo menos 100 URLs de hospedagem de malware verificados.

a pontuação neste teste é simplesmente a porcentagem de URLs para as quais o Antivírus impediu o download de malware, seja cortando o acesso ao URL completamente ou apagando o arquivo baixado. As pontuações variam muito, mas as melhores ferramentas de segurança gerem 90 por cento ou mais.,

testando a detecção de Phishing

Por que recorrer a elaborar troianos que roubam dados, quando você pode apenas enganar as pessoas para desistir de suas senhas? Essa é a mentalidade dos malfeitores que criam e gerem sites de phishing. Estes sites fraudulentos imitam bancos e outros sites sensíveis. Se você digitar suas credenciais de login, você acabou de dar as chaves para o Reino. E o phishing é independente da plataforma; ele funciona em qualquer sistema operacional que suporte a navegação na Web.,

estes sites falsos tipicamente ficam na lista negra pouco tempo após a sua criação, por isso para testar usamos apenas os mais recentes URLs de phishing. Reunimos estes de sites orientados para phishing, favorecendo aqueles que foram relatados como fraudes, mas ainda não verificados. Isso obriga os programas de segurança a usar a análise em tempo real, ao invés de confiar em simples listas negras.

Nós usamos quatro máquinas virtuais para este teste, Uma pelo produto em teste, e uma Cada usando a proteção de phishing construída em Chrome, Firefox, e Microsoft Edge., Um pequeno programa utilitário lança cada URL nos quatro navegadores. Se algum deles retorna uma mensagem de erro, nós descartamos esse URL. Se a página resultante não tentar imitar ativamente outro site, ou não tentar capturar dados de username e SENHA, nós descartamo-lo. Quanto ao resto, registamos se cada produto detectou ou não a fraude.

em muitos casos, o produto em teste não pode nem mesmo fazer bem como a proteção embutida em um ou mais navegadores.,

testar a filtragem de Spam

nestes dias, as contas de E-mail para a maioria dos consumidores têm o spam aspirado para fora deles pelo Provedor de E-mail, ou por um utilitário em execução no servidor de E-mail. Na verdade, a necessidade de Filtragem de spam está diminuindo constantemente. Austrian test lab AV-Comparatives tested antispam functionality a few years ago, finding that even Microsoft Outlook alone blocked almost 90 por cento of spam, and most suites did better, some of them much better., O laboratório nem sequer promete continuar testando filtros de spam voltados ao consumidor, observando que “vários fornecedores estão pensando em remover o recurso antispam de seus produtos de segurança ao consumidor.”

no passado, nós fizemos nossos próprios testes antispam usando uma conta do mundo real que recebe tanto spam quanto correio válido. O processo de baixar milhares de mensagens e analisar manualmente o conteúdo da caixa de entrada e pasta de spam levou mais tempo e esforço do que qualquer outro teste prático. Gastar o esforço máximo numa característica de importância mínima já não faz sentido.,

ainda existem pontos importantes a relatar sobre o filtro de spam de um suíte. Que clientes de E-mail Suporta? Pode usá-lo com um cliente não suportado? É limitado a contas de E-mail POP3, ou também lida com IMAP, Exchange, ou mesmo e-mail baseado na Web? Seguindo em frente, vamos considerar cuidadosamente as capacidades antispam de cada suíte, mas não vamos mais baixar e analisar milhares de E-mails.,

testar o desempenho do pacote de segurança

quando o seu pacote de segurança está ocupado a observar ataques de malware, defendendo contra intrusões de rede, impedindo o seu navegador de visitar sites perigosos, e assim por diante, está claramente a usar alguns dos CPU do seu sistema e outros recursos para fazer o seu trabalho. Há alguns anos, as suites de segurança tiveram a reputação de Sugar tanto dos recursos do seu sistema que o seu próprio uso de computador foi afetado. As coisas estão muito melhores hoje em dia, mas ainda fazemos alguns testes simples para obter uma visão sobre o efeito de cada suíte no desempenho do sistema.,

software de segurança precisa carregar o mais cedo possível no processo de inicialização, para que não encontre malware já no controle. Mas os usuários não querem esperar mais tempo do que o necessário para começar a usar o Windows depois de um reboot. O nosso Programa de teste é executado imediatamente após o arranque e começa a pedir ao Windows que comunique o nível de Utilização do CPU uma vez por segundo. Depois de 10 segundos seguidos com o uso de CPU não mais de 5%, ele declara o sistema pronto para uso. Subtraindo o início do processo de inicialização (como relatado pelo Windows) sabemos quanto tempo o processo de inicialização levou., Executamos muitas repetições deste teste e comparamos a média com a de muitas repetições quando nenhuma suíte estava presente.

na verdade, você provavelmente reiniciar não mais do que uma vez por dia. Uma suíte de segurança que abrandou as operações de arquivo diário pode ter um impacto mais significativo em suas atividades. Para verificar esse tipo de desaceleração, cronometramos um script que se move e copia uma grande coleção de arquivos grandes-a-enormes entre unidades. Fazendo uma média de várias corridas sem suite e várias com a suíte de segurança activa, podemos determinar o quanto a suíte atrasou estas actividades de ficheiros., Um script similar mede o efeito do pacote em um script que Zipa e abre a mesma coleção de arquivos.

a desaceleração média nestes três testes pelas suites com o toque mais leve pode ser inferior a 1%. No outro extremo do espectro, muito poucas suites têm uma média de 25%, ou mesmo mais. Você pode realmente notar o impacto das suites mais pesadas.

testar a protecção contra Firewall

não é tão fácil quantificar o sucesso de uma firewall, porque diferentes fornecedores têm ideias diferentes sobre o que uma firewall deve fazer., Mesmo assim, há uma série de testes que podemos aplicar à maioria deles.

tipicamente um firewall tem duas tarefas, protegendo o computador de ataques externos e garantindo que os programas não usam mal a conexão de rede. Para testar a protecção contra o ataque, usamos um computador físico que se liga através da porta DMZ do router. Isto dá o efeito de um computador conectado diretamente à Internet. Isso é importante para testes, porque um computador que está conectado através de um roteador é efetivamente invisível à Internet em geral. Atingimos o sistema de testes com varreduras de porta e outros testes baseados na Web., Na maioria dos casos, descobrimos que o firewall esconde completamente o sistema de teste destes ataques, colocando todas as portas em modo furtivo.

O firewall do Windows incorporado lida com a furtamento de todas as portas, de modo que este teste é apenas uma linha de base. Mas mesmo aqui, há opiniões diferentes. Os designers de Kaspersky não vêem qualquer valor em portos de furto, desde que os portos estejam fechados e a firewall impeça ativamente o ataque.o Controle do programa nas primeiras firewalls pessoais foi extremamente prático., Cada vez que um programa desconhecido tentou acessar a rede, o firewall apareceu uma consulta perguntando ao usuário se deve ou não permitir o acesso. Esta abordagem não é muito eficaz, uma vez que o usuário geralmente não tem idéia do que a ação é correta. A maioria vai permitir tudo. Outros clicam em Bloquear cada vez, até que eles quebrem algum programa importante; depois disso, eles permitem tudo. Realizamos uma verificação prática desta funcionalidade usando um pequeno utilitário de navegador codificado em hora, que sempre se qualificará como um programa desconhecido.,

Alguns programas maliciosos tentam contornar este tipo de controle de programa simples, manipulando ou disfarçando-se de programas confiáveis. Quando encontramos uma firewall antiga, testamos suas habilidades usando utilitários chamados testes de vazamento. Estes programas usam as mesmas técnicas para evitar o controle do programa, mas sem qualquer carga maliciosa. Encontramos cada vez menos testes de vazamento que ainda funcionam sob versões modernas do Windows.,

no outro extremo do espectro, as melhores firewalls configuram automaticamente as permissões de rede para bons programas conhecidos, eliminam os programas maus conhecidos e intensificam a vigilância sobre incógnitas. Se um programa desconhecido tentar uma ligação suspeita, o firewall entra em ação nesse ponto para pará-lo.

O Software não é e não pode ser perfeito, então os bandidos trabalham duro para encontrar falhas de segurança em sistemas operacionais populares, navegadores e aplicativos. Eles concebem façanhas para comprometer a segurança do sistema usando todas as vulnerabilidades que encontrarem., Naturalmente, o fabricante do produto explorado emite um adesivo de segurança o mais rápido possível, mas até que você realmente aplicar esse adesivo, você está vulnerável.os firewalls mais inteligentes interceptam estes ataques de exploração ao nível da rede, para que nunca cheguem ao seu computador. Mesmo para aqueles que não digitalizam ao nível da rede, em muitos casos o componente antivírus elimina a carga malware do exploit. Usamos a ferramenta de penetração de Impacto central para atingir cada sistema de teste com cerca de 30 façanhas recentes e gravar o quão bem o produto de segurança os afastou.,

finalmente, nós executamos uma verificação de sanidade para ver se um codificador de malware poderia facilmente desativar a proteção de segurança. Nós procuramos um interruptor on/off no registro e testar se ele pode ser usado para desligar a proteção (embora já faz anos desde que encontramos um produto vulnerável a este ataque). Tentamos terminar os processos de segurança usando o Gerenciador de Tarefas. E nós verificamos se é possível parar ou desativar os serviços essenciais de Windows do produto.

Testing Parental Control

Parental control and monitoring covers a wide variety of programs and features., O utilitário típico de controle parental mantém as crianças longe de sites desagradáveis, monitora seu uso da Internet, e permite que os pais determinem quando e por quanto tempo as crianças são autorizadas a usar a Internet todos os dias. Outras características vão desde a limitação de contatos de chat até o patrulhamento de posts no Facebook para tópicos de risco.

sempre realizamos uma verificação da sanidade para garantir que o filtro de conteúdo realmente funciona. Ao que parece, encontrar sites pornográficos para testes é fácil. Apenas sobre qualquer URL composto por um adjetivo de tamanho e o nome de uma parte do corpo normalmente coberto já é um site pornô. Muito poucos produtos falham neste teste.,

usamos um pequeno utilitário de navegador interno para verificar que a filtragem de conteúdo é independente do navegador. Emitimos um comando de rede de três palavras (Não, Não vamos publicá-lo aqui) que desactiva alguns filtros de conteúdo de mente simples. E nós verificamos se podemos evitar o filtro usando um site de proxy anonimamente seguro.a imposição de prazos no computador ou na Internet das crianças só é eficaz se as crianças não puderem interferir com a cronometragem. Verificamos que a funcionalidade de agendamento de tempo funciona, em seguida, tentar evitá-lo, redefinindo a data e hora do sistema., Os melhores produtos não dependem do relógio do sistema para a sua data e hora.

depois disso, é simplesmente uma questão de testar as características que o programa afirma ter. Se ele promete a capacidade de bloquear o uso de programas específicos, nós engajamos esse recurso e tentamos quebrá-lo, movendo, copiando ou renomeando o programa. Se ele diz que retira palavras ruins de E-mail ou mensagens instantâneas, nós adicionamos uma palavra aleatória para a lista de blocos e verificar que ele não é enviado. Se disser que pode limitar os contactos de mensagens instantâneas, iniciamos uma conversa entre duas das nossas contas e banimos uma delas., Qualquer que seja o controle ou o poder de monitoramento que o programa promete, nós fazemos o nosso melhor para colocá-lo à prova.

Interpretação de testes de laboratório antivírus

não temos os recursos para executar o tipo de testes antivírus exaustivos realizados por laboratórios independentes em todo o mundo, por isso prestamos muita atenção às suas descobertas. Seguimos dois laboratórios que emitem certificações e quatro laboratórios que lançam resultados de testes pontuados em uma base regular, usando seus resultados para ajudar a informar nossas opiniões.os laboratórios ICSA e West Coast Labs oferecem uma grande variedade de testes de certificação de segurança., Seguimos especificamente as suas certificações para detecção de malware e para remoção de malware. Os vendedores de segurança pagam para ter seus produtos testados, e o processo inclui a ajuda dos laboratórios para corrigir quaisquer problemas que impedem a certificação. O que estamos olhando aqui é o fato de que o laboratório encontrou o produto significativo o suficiente para testar, e o vendedor estava disposto a pagar para testar.

com base em Magdeburg, Alemanha, o AV-Test Institute continuamente coloca programas antivírus através de uma variedade de testes., O que focamos é um teste de três partes que atribui até 6 pontos em cada uma das três categorias: proteção, desempenho e usabilidade. Para chegar à certificação, um produto deve ganhar um total de 10 pontos sem zeros. Os melhores produtos levam para casa um perfeito 18 pontos neste teste.

para testar a proteção, os pesquisadores expõem cada produto ao conjunto de referência AV-Test de mais de 100.000 amostras, e a vários milhares de amostras extremamente difundidas., Os produtos recebem crédito por prevenir a infestação em qualquer fase, seja bloqueando o acesso à URL de hospedagem de malware, detectando o malware usando assinaturas, ou impedindo o malware de funcionar. Os melhores produtos muitas vezes chegar 100 por cento de sucesso neste teste.

desempenho é importante-se o Antivírus visivelmente coloca um arrasto no desempenho do sistema, alguns usuários irão desligá-lo. Os pesquisadores da AV-Test medem a diferença de tempo necessária para realizar 13 ações comuns do sistema com e sem o produto de segurança presente., Entre essas ações estão baixando arquivos da Internet, copiando arquivos tanto localmente quanto em toda a rede, e executando programas comuns. Fazendo uma média de várias corridas, eles podem identificar o impacto que cada produto tem.

O teste de usabilidade não é necessariamente o que você pensaria. Não tem nada a ver com facilidade de uso ou design de interface de usuário. Em vez disso, ele mede os problemas de usabilidade que ocorrem quando UM programa antivírus erroneamente flagra um programa legítimo ou site como malicioso, ou suspeito., Pesquisadores instalam e executam ativamente uma coleção em constante mudança de programas populares, observando qualquer comportamento estranho do antivírus. Um teste de verificação separado só para verificar se o Antivírus não identifica mais de 600.000 arquivos legítimos como malware.coletamos resultados de quatro (anteriormente cinco) dos muitos testes regularmente lançados pela AV-Comparatives, que está sediada na Áustria e trabalha em estreita colaboração com a Universidade de Innsbruck. As ferramentas de segurança que passam em um teste recebem certificação padrão; as que falham são designadas como meramente testadas., Se um programa vai acima e além do mínimo necessário, ele pode ganhar avançado ou avançado + certificação.

AV-Comparatives’s file detection test is a simple, static test that checks each antivirus against about 100,000 malware samples, with a false-positives test to ensure accuracy. E o teste de desempenho, muito parecido com o teste AV, mede qualquer impacto no desempenho do sistema. Anteriormente, incluímos o teste heurístico / comportamental; este teste foi descartado.consideramos o teste dinâmico de produto inteiro de AV-Comparatives o mais significativo., Este teste tem como objetivo simular o mais de perto possível a experiência de um usuário real, permitindo que todos os componentes do produto de segurança tomem medidas contra o malware. Finalmente, o teste de remediação começa com uma coleção de malware que todos os produtos testados são conhecidos para detectar e desafia os produtos de segurança para restaurar um sistema infestado, removendo completamente o malware.nos casos em que o teste AV e o teste AV-comparativo normalmente incluem 20 a 24 produtos no teste, o se Labs geralmente relata não mais de 10. Isso é em grande parte devido à natureza do teste deste laboratório., Os pesquisadores capturam sites de hospedagem de malware no mundo real e usam uma técnica de replay para que cada produto encontre precisamente o mesmo drive-by download ou outro ataque baseado na Web. É extremamente realista, mas árduo.um programa que bloqueia totalmente um destes ataques ganha três pontos. Se tomou medidas depois do ataque começar, mas conseguiu remover todos os vestígios executáveis, isso vale dois pontos. E se simplesmente terminou o ataque, sem limpeza total, ainda tem um ponto., No infeliz caso de o malware correr livre no sistema de teste, o produto sob teste perde cinco pontos. Por causa disso, alguns produtos realmente marcaram abaixo de zero.

em um teste separado, os pesquisadores avaliam quão bem cada produto se abstém de identificar erroneamente software válido como malicioso, ponderando os resultados com base na prevalência de cada programa válido, e em quanto impacto a identificação falsa positiva teria. Combinam os resultados destes dois ensaios e certificam os produtos a um dos cinco níveis: AAA, AA, A, B E C.,

há algum tempo usamos uma fonte de amostras fornecidas pelo MRG-Effitas em nosso teste de bloqueio malicioso URL. Este laboratório também publica resultados trimestrais para dois testes específicos que seguimos. The 360 Assessment & Certification test simulates real-world protection against current malware, similar to the dynamic real-world test used by AV-Comparatives. Um produto que impede completamente qualquer infestação pelo conjunto de amostras recebe certificação de Nível 1., A certificação de Nível 2 significa que pelo menos algumas das amostras de malware plantaram arquivos e outros vestígios no sistema de teste, mas esses vestígios foram eliminados até a próxima reinicialização. A certificação Bancária Online testa muito especificamente a proteção contra malware financeiro e botnets.

chegar a um resumo geral dos resultados do laboratório não é fácil, uma vez que os laboratórios não testam todos a mesma coleção de programas. Concebemos um sistema que normaliza as pontuações de cada laboratório para um valor de 0 a 10., Nosso gráfico de resultados do laboratório agregado relata a média dessas pontuações, O número de testes de laboratórios, e o número de certificações recebidas. Se apenas um laboratório inclui um produto em testes, consideramos que é informação insuficiente para uma pontuação agregada.

pode ter notado que esta lista de métodos de teste não abrange redes privadas virtuais, ou VPNs. Testar um VPN é muito diferente de testar qualquer outra porção de uma suíte de segurança, então nós fornecemos uma explicação separada para como testamos os serviços VPN.