A HVG friss cikke totál kiverte nálam a biztosítékot. Nem azért, amit írt - na jó igazából azért is -, hanem azért, mert nem tette ki a Fizetett hirdetés jelzést. Ez pedig azt jelentené, hogy amit leír, az igaz. DE NEM.

Az ominózus cikk: Windows 10 van a gépén? Akkor talán jobb, ha nem telepít rá külsős vírusirtót

Először érdemes szemügyre venni a cikk linkjét, mert már ez is beszédes. Kiemelem vastagon a lényeget. https://hvg.hu/tudomany/20190813_
windows_10_defender_virusirto_teszt_melyik_a_legjobb_virusirto_most

A cikk szerint a Windows 10 beépített Antivírus terméke - a Defender - jobb védelmet nyújt, mint a piacon található fizetős termékek jó része. Azt sugallja – nyilván teljesen magától, minden nemű reklámot mellőzve – hogy hagyjuk a francba a vírusirtót: mert a Microsoft ingyen megvéd minket.

Ez egy brutális szakmai tévedés, ami abból adódhat, hogy a cikk írója nincs tisztában az aktuális kártékony kódokkal.

Inkább bemutatok 3+1 fontos dolgot, ami segít helyretenni a felhasználóknak az Antivírus kérdés.

1., „Az antivírusokat vizsgáló független AV-Test”

Ezzel a mondattal merészelte elkezdeni a cikket a szerző. Egy tesztlabor akkor független, ha … ja nem. Akkor sem.

Vagy a termékek gyártójától függ, vagy a vásárlóktól, vagy attól, aki eladja nekik. Pont.

Szeretném látni azt a tesztelési módszertant, azokat a vírus mintákat, amik alapján az adott termékek – pl. pont a Defender - olyan bitang jól lettek! Sajnos az https://www.av-test.org tesztelési módszertana még annyira sincs transzparensen dokumentálva, hogy azt tudjuk, milyen mintákkal dolgozik, azt viszont tudjuk, hogy kevéssel. Az viszont biztos, szignifikánsan eltér a többi tesztlabortól.

A másik két itthon is emlegetett tesztlabor a https://www.virusbulletin.com és az https://www.av-comparatives.org. Ha hagyatkoznom kell egy véleményre, akkor én bizony az utóbbit javaslom. Annak a módszertana sokkal átláthatóbb, ráadásul többféle megközelítésből is elkészítik a vizsgálatokat - pl. a 2019 májusi https://www.av-comparatives.org/tests/real-world-protection-test-february-may-2019/

A VirusBulletin VB100 tesztjén megbukni majdnem esélytelen – amelyik vírusírtó azt nem kapja meg, azt nem engedik érettségizni sem. Amúgy a VB100 is csak annyit jelent, hogy a vizsgált mintákban legalább 99,5% a felismerési arány, maximum 0,01% fals pozitív mellett.

A teszteket jellemzően a WildList International mindenkori listája alapján csinálják, amely itt érhető el: http://www.wildlist.org/CurrentList.txt Sajna ez a lista elég halovány, mivel egyszerre kb 1.500 kártékony kód található rajta. Ami - ha megnézzük az AV-Test által kiadott statisztikákat – még viccnek is rossz a  <KAPASZKODJANAK MEG!>  több mint 928 millió kártékony kód mellett.

2., Nincsenek is vírusok

Legalább is ma már a kártékony kódok nem vírusként viselkednek. Bár a köznyelvben erősen tartja magát a vírus kifejezés, igazából rosszindulatú programok (MALicious softWARE) = MALWARE a helyes kifejezés. A különbség annyi, hogy MALWARE-ből a mai elfogadott csoportosítás alapján 11 féle van, és annak az egyik csoportja a vírus.

Virus: Olyan fertőző program vagy kód, amely egy másik programhoz fűzi hozzá magát. Ha ezt a programot elfuttatja a számítógép, akkor képes reprodukálni magát (fertőzni). A romboló modul változatos késleltetéssel aktiválódik, nem feltétlen a fertőzéskor. Leggyakrabban a fájlok egymás közötti megosztásával (másolás, letöltés) terjed.

Ebből is látszik, hogy vírusok igazából régebben voltak, ma már nem így terjednek és támadnak a kártékony programok. Amiért pedig ez probléma, az pedig az, hogy:

            1., Nem lehet könnyen, egy feketelista alapján azonosítani a fertőzéseket. Ha az ember mind a 928 millió fertőzésre le akarja vizsgálni a fájlokat, a számítógép úgy le lenne vele terhelve, hogy semmit nem lehetne rajta dolgozni.

            2., A vírusirtó - mióta nem vírusok a támadókódok - igazából csak vírus (kártékony kód) keresők, nem tudja visszaadni a megfertőzött fájlt, csak törli a fertőzést. Tehát a megfertőzött adat itt bizony elveszik.

            3., A modern, valóban veszélyes programok több olyan megoldást is alkalmazhatnak, amely ilyen módon lehetetlenné teszi már a vizsgálatukat is. Az egyik, hogy titkosított formában tárolódnak a számítógépen – így az Antivírus nem képes elemezni a tartalmukat. A másik, hogy nem is hoznak létre a gépen fájlt, hanem csak a memóriában léteznek – viszont minden más fájlba bele tudnak nyúlni.

Következésképpen egy igazi komoly Antivírus termék az egy nagyon szofisztikált, több komponensből álló programcsomag, amely összedolgozva, a fertőzések típusától függően sok szempont alapján képes programokat biztonságosnak, vagy nem biztonságosnak nyilvánítani, és esetleg intézkedni ellene. Ez a több komponenses programcsomag természetesen tartalmaz vírusfelismerő modult is – de ezen kívül még sok mást IS, ami nélkül egy fabatkát sem érnének.

Ezért a csak Antivírus típusú termékek – mint pl. a Microsoft Defender – eleve alkalmatlan az igazán komoly fertőzések kivédésére.

3., Mission Impossible

Az ugye megvan, hogy egy Antivírus termék felismerési aránya sem 100%!? És akkor most hagyjuk ki a kamu méréseket, ahol a parasztvakítás miatt mindenki tud mindent.

Ha alapul vesszük a legnagyobb tesztlaborok által alkalmazott 99,5% találati pontosságot, valamint a havonta megjelenő kb. 10 millió új fertőzést, gyorsan ki lehet számolni, hogy mennyi a 100%-hoz a különbség. Matematikailag 50.000 fertőzés lenne.

De játszuk azt, hogy a legjobb Antivírus, ami 99,9999 pontossággal megfog mindent – ami ugye kamu, de legyen. Ekkor havonta maximum 10 fertőzés juthat be a védelmen. Viszont itt jön az igazi bökkenő!

Ez a 10 fertőzés az épp aktuális TOP10 legbrutálisabb, legtámadóbb, legkártékonyabb fertőzés az egész világon. Ha ebből 1 is bejut, akkor abban nem lesz köszönet, az tuti. Ezen TOP10 fertőzések prominens képviselője a Ransomware (magyarul zsarolóvírus) - kártékonyságát nem kell különösebben ecsetelni. 

Néhány elgondolkodtató adat a zsarolóvírusok kártékonyságáról

Ilyenkor egy dolog tud segíteni, az adatmentés – aminek a fontosságát nem lehet elégszer hangoztatni. Egy jó adatmentést pedig meg kell tudni tervezni, le kell tesztelni, a változásokat kell tudni benne vezetni. Szóval ahhoz kell valaki, aki ehhez ért. Segítek: nem a szomszéd Pistike lesz az.

+1 Akasztják a hóhért

A fent megnevezett biztonsági tesztelő cégek weboldala olyan mennyiségű hibával (u.n. sérülékenységgel) van tele, ami sokat elmond a cég biztonsághoz való hozzáállásáról. Az alábbi két cégnek még annyira sem volt – leginkább talán – kedve, hogy a nyilvánvaló, jól dokumentált hibákat kijavítsák, vagy legalább elrejtsék az emberek elől. Olyan weboldalt üzemeltetnek és/vagy használnak, amiről ordít a hozzá nem értés.

Kérdem én: hogy bízzak meg egy biztonsági szakmában dolgozó cég szakvéleményében akkor, ha a saját háza táján sincs rend!? Szerintem ez brutális égés.

Akinek van kedve kiböngészni a hibákat, itt egy gyors lista a szolgáltatók jól ismert sérülékenységeiről.

Érdekli a rosszindulatú programok típusai?

Cikkünket elolvashatja a témában a https://biza.blog.hu/ oldalon.

Ha Antivírus témában szakértőre van szüksége, keresse fel csapatunkat!

Biztosan tudunk segíteni.

Biztonság Akadémia Kft.
1032 Budapest, Kiscelli u. 76.
info@BiztonsagAkademia.hu
+36 70 3375-446 | +36 70 428-5643