Chip
08/2005: antivirový koutek
Jaký antivirový program je nejlepší? Který chytne nejvíc virů? To jsou
samozřejmě legitimní otázky, které si klade spousta uživatelů. K porovnání
detekčních schopností antivirových programů slouží jejich srovnávací testy,
které mají za sebou (podobně jako samotné programy) dlouhou historii. Přesto
takové testy přinášejí obrovské množství problémů, jež si čtenáři často ani
neuvědomují. Především je nutné zajistit, aby byly testovány skutečné viry.
Každý vzorek, který bude součástí testu, musí být zvlášť namnožen, navíc se
musí ověřit, že je opravdu funkční, čili že je schopen se dál množit.
Zastoupené viry by měly být reprezentativní, tj. takové, které se skutečně šíří
mezi uživateli. Největším problémem je pak testování on-access částí
antivirových programů – tedy takových, které v reálném čase monitorují
činnost počítače a zabraňují spuštění škodlivého kódu. Ideální test znamená, že
každý vzorek viru bude na čistém počítači spuštěn, a rezidentní ochrana jej buď
zastaví nebo ne. Je jasné, že tímto způsobem bohužel nelze otestovat reakci
dvaceti antivirových programů na 300 různých virů. Proto si testeři situaci
zjednodušují například tím, že testují, zda rezidentní ochrana nalezne virus
třeba při kopírování napadených souborů. Některé antivirové programy však kvůli
rychlosti takovou činnost nekontrolují, nebo ji provádějí jen omezeně (virus je
stejně zastaven, pokud se jej někdo pokusí spustit), a tak mohou být výsledky
zkresleny.
Už v roce 1990 začala Patricia Hoffmanová pravidelně vydávat svůj
hypertextový VSUM, který kromě seznamu známých druhů virů obsahoval i porovnání
a certifikaci vybraných (převážně amerických) antivirových programů, jejichž
autoři za tyto testy platili. VSUM se i po nástupu Windows zaměřoval na viry
pro operační systém MS-DOS a koncem devadesátých let bez valného zájmu zanikl.
Testování antivirových programů začaly před dvanácti lety provádět i
některé univerzity. Snad nejznámější byla Univerzita v Hamburgu, kde se
testováním antivirových programů velice důkladně zabýval známý Vesselin Bončev.
Jeho přístup byl takřka vědecký a jeho práci se nedalo příliš věcí vytknout.
Problémem bylo pouze to, že celé testování trvalo příliš dlouho a v době
publikování byly výsledky poměrně zastaralé. Na univerzitě v Hamburgu probíhá
testování antivirových programů dodnes, nicméně jejich úroveň od Bončevových
dob značně poklesla, testování provádí řada studentů v rámci seminární
práce a jejich výsledky dnes takřka nikoho nezajímají. Další důkladné testy
prováděl Marko Helenius na univerzitě v Tampere, ale i jemu nadšení
vydrželo „pouhých“ pět let – poslední testy byly zveřejněny v roce 1999 a
další se už neobjeví. Novou krev přinesl Andreas Marx z univerzity
v Magdeburgu, který svoje testy ale brzy přeměnil v testy komerční a
v posledních letech provádí porovnání pro renomované německé časopisy.
Některé z testů jsou ale poněkud problematické a neprůhledné – není znám kompletní
seznam virů, některé vyžadované vlastnosti nejsou podle odborníků zcela
potřebné a podobně. I z tohoto důvodu se některé antivirové firmy těchto
testů odmítají zúčastnit.
Některé firmy neprovádí testování, ale takzvanou certifikaci – záruku, že
testovaný antivirus zachytí všechny viry ze seznamu ItW (In the Wild – viry,
které se volně šíří mezi uživateli). Tato služba je placená a velmi drahá,
nicméně většina firem si své produkty aspoň někde certifikovat nechá. Technicky
to totiž pro kvalitní antiviry není problém, je to jen otázka financí.
Certifikaci provádí například americká firma ICSA nebo anglická West Coast Labs.
Někteří uživatelé provádějí podobné testování „svépomocí“, ale úroveň
takových srovnání je velmi žalostná. Jako příklad si můžeme uvést jednoho
řeckého „nadšence“, který pravidelně zveřejňuje rozsáhlé výsledky svých testů.
Viry ovšem „sbírá“ po Internetu a sám se jimi dále nezabývá – virus je podle
něj program, který některý z pěti vybraných programů za virus označí.
Kvalita jeho sbírky je mizerná – obsahuje řadu falešných poplachů či zbytků
virů, které některý z těchto programů označí za virus, a chybí v ní
viry, které žádný z těchto programů nenajde.
Antivirové programy však začal v roce 1991 testovat i známý britský
časopis Virus Bulletin a jeho testy v trochu pozměněné podobě přežily až
dodnes. Virus Bulletin si sám vybírá produkty, které bude porovnávat, jeho
testy jsou neplacené, databáze virů je známá a důkladně prověřená. Nicméně i
zde se v posledních letech objevují problémy – testování se soustředí na
značku VB 100%, která znamená stoprocentní detekci ItW virů. To je
schopna získat naprostá většina programů bez problémů, a pokud jej nezíská,
jedná se většinou o technické problémy (často chybnou instalaci produktu) nebo
chybu v metodice – známý je příklad ruského antiviru, který toto
ohodnocení nezískal kvůli „falešnému poplachu“, kdy speciální program pro
formátování disku označil za „trojského koně, schopného zformátovat disk“.
Je zřejmé, že opravdu důkladné a kvalitní testy dnes není bohužel schopen
opakovaně provádět nikdo na světě. Podle mne to ale až tolik nevadí, dnešní
špičkové antivirové programy jsou natolik vyrovnané, že podobné testy nemají
valný smysl. Pro koncové uživatele jsou dnes daleko důležitější jiné věci:
rychlost aktualizace v případě výskytu nového viru, kvalita technické
podpory, způsob ovládání a integrace do systému a možnost dálkové správy ve
větších sítích. A i zde si uživatelé rozhodně mohou vybírat podle svých
požadavků a svého vkusu bez problémů.