Czy Microsoft Defender może konkurować z oprogramowaniem wiodących producentów rozwiązań antywirusowych? Jak wypada w testach niezależnych laboratoriów? Czy istnieje antywirus, który nie zaliczył żadnej wpadki? Dowiecie się poniżej.
Zacznijmy od końca, czyli od wpadek. Uważni czytelnicy Weekendowej Lektury mogą pamiętać, że w połowie stycznia linkowaliśmy do artykułu informującego o naprawieniu luki 0-day w Defenderze. Luki nie byle jakiej, bo umożliwiającej wykonanie kodu na komputerze ofiary – prawdopodobnie podczas skanowania otwartego przez nią złośliwego załącznika do e-maila (Microsoft nie podał zbyt wielu szczegółów, wiadomo tylko, że błąd występował w silniku antywirusowym mpengine.dll). Zaobserwowano już pierwsze próby ataków z wykorzystaniem tej luki, nie warto więc zwlekać z łataniem, zwłaszcza jeśli Defenderem posługujemy się na co dzień. Poniżej zamieszczamy wykresy pochodzące ze strony CVE Details, żebyście się mogli przekonać, że nie jest to jedyna podatność znaleziona w tym oprogramowaniu.
Korzystając z wyszukiwarki, możemy prześwietlić także inne rozwiązania antywirusowe, np. stworzone przez firmę Kaspersky. Zanim zaczniecie bić brawo Defenderowi, w którym wykryto dwukrotnie mniej luk, weźcie pod uwagę, że poniższe wykresy uwzględniają błędy w 15 produktach Kaspersky’ego, nie jednym (choć w niektórych przypadkach będziemy mieć pewnie do czynienia z tymi samymi aplikacjami pod różnymi nazwami).
Raczej nie znajdziecie programu antywirusowego całkowicie pozbawionego błędów, a jeśli nawet, to przypomnijcie sobie starą zasadę, sformułowaną przez jednego z pionierów informatyki: Testing shows the presence, not the absence of bug – co w wolnym tłumaczeniu oznacza, że testowanie może ujawnić luki, nie jest jednak w stanie zagwarantować ich braku. Zamiast więc szukać aplikacji bez luk, należy zwrócić uwagę na to, jak szybko ujawniane podatności są naprawiane.
Do wpadek – oprócz błędów w oprogramowaniu – można zaliczyć także włamania na serwery tworzących je firm. Pod koniec ubiegłego roku zrobiło się głośno o atakach wykorzystujących aktualizacje platformy SolarWinds Orion, które nieznani sprawcy – według ekspertów sponsorowani przez Rosję – wyposażyli w tylną furtkę. Jak wynika z danych, które producent przedstawił Amerykańskiej Komisji Papierów Wartościowych i Giełd, zainfekowane pliki trafiły do 18 tys. jego klientów (spośród 33 tys., którzy Oriona używają). Ataki były kontynuowane w sieciach tylko części z nich, analitykom Microsoftu udało się zidentyfikować ponad 40 poszkodowanych, ale – jak to się mówi – sprawa jest rozwojowa. Co istotne, 44% zaatakowanych stanowiły firmy technologiczne, wśród których znalazł się zarówno sam Microsoft, jak i paru twórców rozwiązań zabezpieczających, m.in. FireEye, który jako pierwszy wykrył i przeanalizował incydent, Check Point, Palo Alto Networks czy Malwarebytes (chociaż tu przestępcy posłużyli się innym wektorem ataku). Czy z tego wynika, że firmom, do których ktoś się włamał, nie można więcej ufać? Prawidłowa odpowiedź brzmi: to zależy. Ataki na producentów antywirusów nie są niczym nowym. Pierwszy artykuł w historii z3s dotyczył kradzieży kodu źródłowego Symanteca, pisaliśmy też o spektakularnym włamaniu do firmy Bit9. Kaspersky w 2015 r. został zhakowany (prawdopodobnie) przez służby wywiadowcze Izraela. Warto też wspomnieć o atakach, którym uległy Avast i Sophos. Przykłady można zresztą mnożyć, najbardziej istotna jest jednak reakcja danego przedsiębiorcy na incydent – jak sprawnie z nim sobie poradził, czy nie próbował go zataić, co zrobił, by nie dopuścić do podobnej sytuacji w przyszłości itd.
Osobną kategorię stanowią wpadki związane z niewłaściwym dysponowaniem danymi użytkowników. Na przykład rok temu okazało się, że Avast – za pośrednictwem spółki zależnej Jumpshot – sprzedawał reklamodawcom informacje o dokładnych ruchach swoich klientów na odwiedzanych przez nich stronach. Dane te były oczywiście zanonimizowane, ale – według badaczy – odpowiednio skorelowane rekordy i tak mogłyby ujawnić tożsamość części osób korzystających z darmowego antywirusa. Teoretycznie Avast handlował danymi tylko tych użytkowników, którzy wyrazili na to zgodę, ale informował o swoich praktykach na tyle mętnie, że wiele osób mogło się na nie zgodzić nieświadomie. Wyniki dziennikarskiego śledztwa skłoniły firmę do rezygnacji z gromadzenia wspomnianych danych i zamknięcia sprzedającej je spółki. Czy można Avastowi po takim incydencie ufać – niech każdy podejmie decyzję samodzielnie. Niestety większość dostępnych na rynku rozwiązań zabezpieczających zbiera jakieś informacje o użytkownikach, ten proceder można jednak ograniczyć, zaznaczając odpowiednie opcje podczas instalacji lub zmieniając je w ustawieniach (przykład pokażemy w dalszej części artykułu).
O czym warto pamiętać, instalując antywirusa
Microsoft – będąc zarówno twórcą systemu operacyjnego, jak i antywirusa, który ma w nim działać – może sobie pozwolić na rozdrobnienie funkcji między różne programy (co pokazywaliśmy w poprzednim artykule z cyklu Podstawy Bezpieczeństwa). Inni producenci rozwiązań zabezpieczających muszą upakować wszystko w jednym miejscu, co z perspektywy użytkowników jest zdecydowanie lepszym wyborem – poniżej możecie np. zobaczyć, co oferuje Avast Premium Security. Nazwa „avast” dla wielu stała się synonimem darmowego programu antywirusowego, AV-TEST i inne laboratoria z reguły w badaniach uwzględniają tylko ją, tymczasem wywodząca się z Czech firma od lat oferuje kilka komercyjnych, bardziej rozbudowanych wersji swego produktu.
I odwrotnie – korporacje znane głównie z płatnych pakietów typu internet security mają często w zanadrzu uproszczone wersje swoich antywirusów, które udostępniają za darmo. Poniżej możecie np. porównać funkcje wdrożone w bezpłatnym i komercyjnym wydaniu oprogramowania firmy Kaspersky.
Jak widać na zrzutach ekranu, Kaspersky Free dysponuje nie tylko mniejszą liczbą narzędzi, ale też nie pozwala użytkownikom skonfigurować ich według własnego uznania, większość działa z ustawieniami domyślnymi. Podobne taktyki stosują również inni producenci antywirusów – wszystko po to, by skłonić użytkowników do sięgnięcia po wersje komercyjne.
Instalując którąkolwiek z wersji, warto uważnie przeglądać zawartość kolejno wyskakujących okien, by nie przegapić tych, których zadaniem jest wymuszenie zgody na przetwarzanie naszych danych i przesyłanie ich na serwery producenta. Nie łudźcie się, że w przypadku wydań komercyjnych producent z takich działań zrezygnuje – czasem może się tak zdarzyć, ale np. Kaspersky wszystkich swoich użytkowników traktuje tak samo. Prześledźmy to krok po kroku. Jedno z pierwszych okien, które zobaczymy podczas instalacji, będzie dotyczyło umowy licencyjnej. Jeśli klikniemy „Nie akceptuję”, instalator się wyłączy. Nie mamy wyjścia – musimy zaznaczyć obie dostępne opcje i kliknąć „Akceptuję”.
Kolejne okno będzie zawierać oświadczenie w sprawie usługi chmurowej Kaspersky Security Network. Mogłoby się wydawać, że na zasadzie analogii tu też trzeba kliknąć „Akceptuję”, by przejść dalej. Nic bardziej mylnego – jak by powiedział pewien znany youtuber. Jeśli nie chcemy korzystać z chmury, spokojnie możemy wybrać „Nie akceptuję”, instalacja będzie kontynuowana.
W następnym kroku wyświetli się nam okno z oświadczeniem dotyczącym przetwarzania danych w celach marketingowych – tu też możemy (a nawet powinniśmy) kliknąć „Nie akceptuję”.
Na końcu czeka nas jeszcze jedna pułapka – propozycja połączenia się z portalem internetowym My Kaspersky. W przypadku wersji komercyjnej ma to sens, bo inaczej z części dostępnych usług nie skorzystamy. W wydaniu darmowym przyda się nam to, tylko jeśli chcemy zarządzać kilkoma urządzeniami z zainstalowanym antywirusem Kaspersky’ego – w przeciwnym razie możemy bez skrupułów propozycję odrzucić.
Co zrobić, jeśli podczas instalacji zaznaczyliśmy nie to, co trzeba? Wystarczy odwiedzić ustawienia (zębate kółko u dołu głównego okna programu) i w sekcji „Ochrona” poszukać opcji „Oświadczenie o przekazywaniu danych”, gdzie można udzielone wcześniej zgody cofnąć. Łatwo też odłączymy się od usługi My Kaspersky, choć usunięcie utworzonego w portalu konta będzie wymagało dodatkowych działań, czyli zalogowania się na nie w przeglądarce i znalezienia odpowiedniej opcji – musimy jednak przyznać, czy firma tej procedury nie utrudnia.
Instalacja większości antywirusów przebiega w bardzo podobny sposób – za każdym razem trzeba uważać, w co klikamy, bo twórcy oprogramowania (jak w powyższym przykładzie) mogą stwarzać pozory, że opcje nieobowiązkowe są obligatoryjne. Powstaje pytanie, czy warto sięgać po rozwiązania innych producentów, skoro Windows 10 jest dostarczany z wbudowanym antywirusem.
Z perspektywy eksperta
O to, czy Microsoft Defender może dziś konkurować z oprogramowaniem znanych marek i stanowi wystarczające zabezpieczenie przed zagrożeniami w przypadku mniej i bardziej zaawansowanych użytkowników, zapytaliśmy Adriana Ścibora, redaktora prowadzącego serwisów AVLab.pl i CheckLab.pl, specjalizujących się m.in. w testowaniu rozwiązań antywirusowych. Otrzymaną odpowiedź publikujemy w całości:
Jak zawsze w tego rodzaju złożonych kwestiach bezpieczeństwa prawidłową odpowiedzią jest „to zależy”. Zacznijmy od opinii na temat antywirusa Microsoft Defender w systemie Windows 10. Otóż po przeanalizowaniu testów z lat 2018-2020 różnych laboratoriów, a także testów przeprowadzanych przez AVLab.pl, widać, że oprogramowanie Microsoft Defender ma problemy z ochroną przed zagrożeniami i atakami na sesję bankowości internetowej. To najważniejsza cecha, która ma odwzorowanie w mojej rekomendacji. Nie wyobrażam sobie, aby nietechniczny użytkownik musiał aktywować ukryte funkcje ochrony, ponieważ w domyślnej konfiguracji systemu Microsoft tego nie zapewnia.
Obecne technologie domowego antywirusa dla Windowsa są w tyle za firmami, które specjalizują się w dostarczaniu produktów bezpieczeństwa od lat. Według firmy Trend Micro trojan bankowy Emotet do niedawna był największą zmorą nie tylko użytkowników indywidualnych, ale także małych i średnich firm. Ochrona finansów, wykonywanie przelewów w sposób bezpieczny – to powinno być priorytetem. Pod tym względem Microsoft Defender nie jest w czołówce na rynku zabezpieczeń.
Co do użytkowników zaawansowanych – jestem przekonany, że oni poradzą sobie z każdym produktem bezpieczeństwa. To, czy postawią na natywne zabezpieczenia, czy komercyjny produkt, zależy od indywidualnych czynników. Na przykład ktoś, kto ceni sobie automatyzację, wygodę, nieprzeszkadzanie w pracy, oczekuje najwyższej jakości ochrony dla wielu urządzeń w jednym gospodarstwie domowym, potrzebuje kontroli rodzicielskiej, zdalnego zarządzania, dobrego zabezpieczenia przed ransomware, może postawić na produkt komercyjny, który wspiera najpopularniejsze systemy operacyjne (Microsoft Defender w wersji dla użytkowników domowych jest tylko dla Windowsa, przynajmniej na razie). Z drugiej strony całkowicie rozumiem technicznych użytkowników, którzy nie chcą wydawać ani grosza na dodatkowe zabezpieczenia. To też kwestia tego, jak cenne dane przechowujemy na dyskach komputerów i z jakich krytycznych aplikacji korzystamy na urządzeniach mobilnych.
Microsoft Defender od 2018 nie najlepiej zabezpieczał system przed próbkami in the wild. Oprogramowanie ma problemy z utrzymaniem się na najwyższym miejscu przez kilka miesięcy z rzędu. Obecnie jest znacznie lepiej, aczkolwiek bywa z tym różnie. Czasami uzyskuje wyniki maksymalne, a czasami przeciętne lub dobre. Również pod kątem wydajności. Testy i opinie użytkowników tłumaczą – i może to wydawać się dziwne – że natywny antywirus dla systemu Windows 10 bardziej spowalnia operacje na plikach i programach niż produkty innych firm z tej branży. To właśnie potwierdza październikowy test wydajnościowy od AV-Comparatives, gdzie najlżejszym antywirusem okazał się ten od F-Secure, dobrze wypadły nawet Kaspersky i ESET, a produkt Microsoftu znalazł się daleko w tyle, na samym końcu.
Podsumowując, Microsoft Defender lepiej sobie radzi w wykrywaniu zagrożeń pochodzących z internetu niż w testach z bardziej złożoną metodologią, gdzie przeprowadza się specyficzne scenariusze ataku, np. na wspomnianą bankowość internetową.
Rzut oka na testy niezależnych laboratoriów
W chwili pisania tego artykułu dostępne były wyniki sześciu testów przeprowadzonych w 2020 r. przez niemieckie laboratorium AV-TEST. Badania trwały po dwa miesiące i obejmowały ok. 20 różnych antywirusów dla użytkowników indywidualnych, które były oceniane pod kątem ochrony (protection), wydajności (performance) i użyteczności (usability). W sumie można było zdobyć 18 pkt. – po 6 w każdej z kategorii. W przypadku uzyskania co najmniej 17,5 pkt. przyznawano certyfikat Top Product. W testach uwzględniano najnowsze wersje wszystkich wziętych pod lupę programów – domyślnie skonfigurowanych, ale z możliwością aktualizacji w dowolnej chwili i wysyłania zapytań do usług w chmurze. Najlepiej sprawdził się F-Secure Safe, który jako jedyny we wszystkich testach otrzymał maksymalną liczbę punktów – zob. wykres poniżej. Na wyróżnienie zasługują też antywirusy takich firm jak Avira, BullGuard, Kaspersky, NortonLifeLock (dawniej Symantec) i Trend Micro, które mogą pochwalić się sześcioma certyfikatami Top Product.
Wyniki kilku programów oscylowały w granicach od przeciętnego na początku roku do najlepszego w ostatnich miesiącach. Znalazł się wśród nich także Microsoft Defender. Nie miał on żadnych problemów z wykrywaniem szeroko rozpowszechnionych szkodników, zidentyfikowanych przez AV-TEST w trakcie poszczególnych badań oraz w ciągu ostatnich dwóch tygodni przed ich rozpoczęciem (ok. 11–22 tys. próbek w każdym teście). W obecnych czasach jednak dobrze sobie z tym radzą praktycznie wszystkie antywirusy. Więcej kłopotów sprawiają świeżo powstałe złośliwe programy wykorzystujące nowe techniki bądź podatności 0-day (ok. 200–400 próbek). W lutym Defender zapobiegł atakom 96,7% z nich, a w marcu 96,3%, co nie wydaje się złym wynikiem, dopóki się nie wie, że w pierwszym przypadku średnia dla całej branży wynosiła 98%, a w drugim 98,4% – innymi słowy, antywirus Microsoftu uplasował się poniżej średniej. Dopiero w kolejnych miesiącach wysunął się na prowadzenie, uzyskując 100-proc. skuteczność (na równi z kilkoma innymi programami).
Nieco inaczej wyglądają wyniki badań wykonanych przez brytyjskie laboratorium SE Labs, które testowało antywirusy przeznaczone do użytku domowego w cyklach trzymiesięcznych. Aplikacje sprawdzano pod kątem wykrywania ataków ukierunkowanych i zagrożeń rozpowszechnianych za pośrednictwem stron internetowych, oceniając w ten sposób dokładność ochrony (protection accuracy ratings, na wykresie „ochrona”). Badano też, czy antywirusy poprawnie identyfikują legalne oprogramowanie (legitimate software accuracy ratings, na wykresie „obsługa”). Na podstawie sumarycznej oceny przyznawano odpowiednie odznaki – z najbardziej pożądaną AAA na czele za wynik oscylujący w granicach 95-100%.
Najlepiej wypadł pakiet Kaspersky Internet Security, który w każdym badaniu – choć wydaje się to nieprawdopodobne – uzyskał 100%. Warto też zwrócić uwagę na antywirusy takich firm jak Avast, AVG, Avira, McAfee, Microsoft i NortonLifeLock, które we wszystkich czterech testach otrzymały odznaki AAA. Tak, tutaj Defender wylądował w czołówce, choć w porównaniu z rozwiązaniem Kaspersky’ego prezentuje się raczej blado, zwłaszcza w okresie od lipca do września, kiedy to w zakresie ochrony zdobył tylko 91%. Na pocieszenie możemy dodać, że F-Secure Safe, czyli lider badań wykonanych przez AV-TEST, z perspektywy SE Labs sprawdził się zdecydowanie gorzej niż Defender.
Nie omieszkaliśmy ponadto zajrzeć do świeżo opublikowanego raportu austriackiego laboratorium AV-Comparatives, które podobnie jak konkurencja w 2020 r. przetestowało ok. 20 rozwiązań antywirusowych dla użytkowników indywidualnych. Raport uwzględnia cztery różne badania: w marcu i wrześniu eksperci sprawdzali skuteczność ochrony przed znanymi zagrożeniami (malware protection), w okresach od lutego do maja i od lipca do października badali ochronę w czasie rzeczywistym (real-world protection), w kwietniu i październiku prowadzili testy wydajności (performance), a od września do listopada skupiali się na ochronie przed atakami ukierunkowanymi (advanced threat protection – w badaniu tym uczestniczyło niestety tylko 7 antywirusów). Rzut oka na przedstawione wyniki pozwala stwierdzić, że zwycięzcami całości testów są Bitdefender, ESET i Kaspersky, rzeczywistość jest jednak bardziej skomplikowana. Kierując się ustalonymi wcześniej zasadami, tytuł „produktu roku” badacze przyznali oprogramowaniu Kaspersky’ego, a Bitdefender i ESET otrzymały nagrody za „znakomite produkty” (outstanding products). Aplikacje Avasta i AVG zostały natomiast wyróżnione jako „najwyżej oceniane produkty” (top-rated products).
Nie zabrakło też nagród honorujących zwycięzców poszczególnych badań. W zakresie ochrony przed zagrożeniami na pierwszym miejscu uplasował się G Data, szczebelek niżej – Bitdefender i ESET, brązowy medal przypadł Kaspersky’emu, który jednocześnie został liderem testów ochrony w czasie rzeczywistym. Drugie miejsce w tej kategorii zajęły Avast i AVG, a trzecie – Microsoft (co kłóci się z cytowaną wcześniej opinią eksperta). W teście wydajności najlepiej sobie poradził antywirus firmy K7 Computing, srebro zgarnął McAfee, któremu nie bez trudu udało się wyprzedzić Kaspersky’ego. Microsoft Defender okazał się najbardziej zasobożerny. Warto też wspomnieć o aplikacjach generujących najmniej fałszywych alarmów, które wyłoniono w trakcie badania ochrony przed znanymi zagrożeniami. W tej dziedzinie najlepiej sprawdził się ESET, za nim ulokował się Kaspersky, na trzecim zaś miejscu wylądował Bitdefender.
Nie są to oczywiście wszystkie testy, które można wziąć pod uwagę, szukając rozwiązania najbardziej odpowiadającego naszym potrzebom. W połowie stycznia ukazało się np. podsumowanie badań wykonanych w ubiegłym roku przez polskie laboratorium AVLab. Uwzględnia ono nie tylko antywirusy do użytku domowego, ale i takie, które mogą się sprawdzić na firmowych komputerach. Wyniki przeprowadzonych testów różnią się od prezentowanych wcześniej, najlepiej w nich bowiem wypadło oprogramowanie takich producentów jak Avast, Comodo i SecureAPlus. To najlepszy dowód na to, że decyzji o wyborze antywirusa, który ma chronić nasz system, nie należy podejmować w oparciu o jedno źródło. Dajcie znać w komentarzach, jakich antywirusów używacie i jak dokonaliście ich wyboru. Czy zapoznanie się z wynikami zeszłorocznych testów upewniło was w przekonaniu, że dobrze wybraliście, czy może skłania do zmiany?
Dla zachowania pełnej przejrzystości: Patronem cyklu jest Aruba Cloud. Za opracowanie i opublikowanie tego artykułu pobieramy wynagrodzenie.
Komentarze
Trend Micro Antyvirus+ Security – dość tani, spisuje się na razie bardzo dobrze, brak malware przy dość znacznym użytkowaniu internetu i torrentów (sprawdzane różnymi skanerami). Samego Defendera bym nie polecał, zważając jak dużo użytkowników wyłącza lub opóźnia Windows Update, brak ochrony przeglądarki i średnią wykrywalność (lubi wysyłać dużo plików do chmury). Z darmowych lepiej wybrać Pandę, nie wybierałbym Kasperskiego i !avast – o ile ten pierwszy ma dobrą wykrywalność, a drugi jest pomyłką, to oba są zasobożerne.
Z płatnych wart polecenia jest jeszcze Emsisoft.
> jak dużo użytkowników wyłącza lub opóźnia Windows Update
No, ciekawe dlaczego :)
Ja wyłączyłem, bo w kółko instalował 20H2, a po dojściu do 92% cofał zmiany i tak w kółko z 10 razy o losowo wybranych porach, chociaż windows twierdził, że robi to w czasie kiedy normalnie nie użytkuje kompa.
Testuje właśnie TrendMicro Antivirus+, ciekawe ile nowych użytkowników uzyskał TrendMicro i inni producenci po tym artykule :)
Przy dobrym zabezpieczeniu przeglądarki nie jest zbytnio wymagany antywirus inny, niż Windows Defender. Najlepszy będzie Chrome, ze względu na szybkie aktualizacje i rozsądne podejście do bezpieczeństwa.
W samej przeglądarce podniósłbym stopień Google Safe Browsing ze standardowego na silny, doinstalować uBlocka, HTTPS Everywhere i Netcrafta. uBlocka uzupełnił o te trzy filtry dodatkowo:
https://raw.githubusercontent.com/PolishFiltersTeam/KAD/master/KAD.txt
https://hole.cert.pl/domains/domains_adblock.txt
https://raw.githubusercontent.com/hoshsadiq/adblock-nocoin-list/master/nocoin.txt
W ustawieniach Chrome zmienił również na własną konfiguracje nextDNS, a samą usługę ustawić dodatkowo mniej więcej tak:
W zakładce „Bezpieczeństwo”:
* Blokuj nowo zarejestrowane domeny (NRD)
* Blokuj domeny najwyższego poziomu (TLD)
TOP 10 TLD (Spamhaus): .email, .cf, .recipes, .ml, .gq, .fit, .cn, .ga, .rest, .work
TLD używane często przez polskich cyberprzestępców: .xyz, .icu, .top
W zakładce „Prywatność”:
* Usuń domyślną listę od nexDNS dla początkujących
* Dodaj listy: CertyficateIT, oisd
Czy da się korzystać z przeglądarki Google Chrome i oferowanych przez nią zabezpieczeń tak, żeby ani jeden bajt informacji na nasz temat nie trafił do firmy Google i innych zbieraczy danych? Pytanie jest na poważnie.
Istnieje coś takiego jak Ungoogled-Chromium, które tak właśnie działa, zob. https://zaufanatrzeciastrona.pl/post/podstawy-bezpieczenstwa-alternatywne-przegladarki-przeglad-i-konfiguracja/
Za niedługo Google usunie wsparcie dla swoich API z Chromium i wtedy wszystkie „klony Google Chrome” niebędące Google Chrome stracą dostęp do usług opartych na API Google’a. Nie wiem, czy dotyczy to też tego konkretnego API, ale warto to zweryfikować.
Możesz usunąć filtr od CERT ponieważ KAD korzysta też z list od CERT Polska.
Niestety, KAD nie ma częstotliwości update takich jak lista CERT – co 5 minut, tylko 1-2 razy dziennie.
Moja odpowiedź to uzupełnienie dla „nowych”, którzy stwierdzą, że wtyczki wszystko zrobią. Rozszerzenia są przydatne i warto je mieć. Dodałem zdjęcia ze swojego programu, aby pokazać, ile tego jest i to nie wszystko. Jest tego bardzo dużo i program sam nie wystarczy, jak nie zaczniemy myśleć.
Wszystkie zdjęcia z odpowiedzi https://imgur.com/a/MbiBiIo
Nie zawierają nazwy programu.
Wtyczki są dobre i działają, ale nie zablokują „próby dostępu do procesora”, aby odczytać z niego informacje.
https://imgur.com/G3WQ0Wz
Nie zablokują ataku
https://imgur.com/3LqBKzJ
– Na protoków SSL typu „man-in-the-middle”
– Na pasek SSL.
– Związanych z manipulacja treści.
– Podszywanie się pod protoków ARP.
– Fałszowanie DNS.
– Nietypowe protokoły
Zapobieganie lukom
https://imgur.com/SWbiYq8
Reguły ruchu
https://imgur.com/WdIWi9x
Nie zapewnią ci
– Kontroli programów.
https://imgur.com/Jupktyc
Komputer
Ochrona SONAR
https://imgur.com/7ge9cXV
Sieć
Inteligentna zapora
Internet
Ochrona przeglądarki
https://imgur.com/4k7x9eM
Download Intelligence
https://imgur.com/JrSaZJB
Zaawansowana ochrona
https://imgur.com/2v2O7Q3
Ublock Origin z filtrami nie zabezpieczy wszystkiego.
https://imgur.com/2XcNskd
Czasami się kliknie pierwszy link z wyszukiwarki i dzieje się tak.
https://imgur.com/daHhIXf
Program, który używam od kilku lat, też nie zapewni mi bezpieczeństwa, jeśli sam nie zacznę myśleć. Przykład na zdjęciu wyżej, gdzie nie mam pojęcia, co się stało. Po prostu było gorąco, bylem zmęczony nie wiem. Mnie się wydawało, że klikam w popularny portal, a wyszło inaczej.
Ludzie bez antywirusa + firewall twierdzą, że go nie potrzebują, bo przecież ich komputer chodzi.
No tak chodzi, a później ktoś np pisze do ciebie na steam, jako znajomy, a gdy na discord pytasz „czemu piszesz, skoro rozmawiamy głosowo” twierdzi, że nie rozumie, o co mi chodzi. Dopiero udostępniłem ekran i zrozumiał. Znajomy nie dostawał powiadomień o rozmowach. Nawet jak był zalogowany na swojego steam i nie miał historii rozmów ani powiadomienia na steam guard i nigdy nic nie przepisywał z niego w tamtych godzinach.
Steam nie widział naruszenia, a on nie korzystał z zabezpieczeń, dodatków do przeglądarki, bo twierdzi, że po co i dalej nic nie zrobił, bo mu szkoda kilka stów rocznie na „zabezpieczenie”.
Dane do procesu, a nie dane do procesora :)
Komercyjne (ale i też darmowe nie-windows-defender) antywirusy mają też inną konkretną wadę – są absolutnie nieproporcjonalnie zasobożerne. Maszyna z 4GB ramu może uciągnąć Windowsa z Avastem i w zasadzie nic więcej. Poniekąd skuteczna ochrona, skoro nic innego nie da rady się odpalić ;-).
Avast to nie antywirus, a wirus.
Używam tylko Defendera od wielu lat, a przeszedłem przez sporo antywirusów płatnych i bezpłatnych. Nie stwierdziłem różnicy jako użytkownik domowy. Defender + systemowy firewall + update’y + własna głowa i podstawowa znajomość czego w sieci nie robić. Wszystko gra i buczy.
Zapewne firmy mają zupełnie inne wymagania i może wtedy warto płacić, o ile producent antywirusa w ogóle za coś odpowiada w przypadku wtopy w firmie.
O jakich „ukrytych funkcjach ochrony” które należy aktywować wspomina pan Adrian?
Część na pewno uwzględniliśmy w poprzednim artykule z cyklu: https://zaufanatrzeciastrona.pl/post/podstawy-bezpieczenstwa-microsoft-defender-jak-go-najlepiej-skonfigurowac/
Brak ClamAV w tym teście mi doskwiera.
ClamAV ma się bardzo dobrze, nadal często pracuje na serwerach, skanując w tle. Kiedyś intensywnie go używałem (na Windows był nawet dodatek czyniący zeń skaner rezydentny, co sprawiało że zachowywał się jak klasyczny AV). Teraz używam go sporadycznie. Ale mam do niego sentyment. Nawet jego nazwa „Clam” = „Małż” jest miła. Próbowałeś pracować na systemie plików ClamFS?
http://clamfs.sourceforge.net/
A mnie AhnLab V3. Kurcze, ja jednak koreańcom kibicuję. Samsung, Kia…
Tu ciekawe zestawienie:
https://beasthackerz.ru/pl/fleshka/antivirus-kotoryi-ne-nagruzhaet-sistemu-kakoi-antivirus-samyi-bystryi.html
Widzę w tym artykule pewien idiotyzm szanownej Autorki.
Mianowicie wyciek kodu źrodłowego jest uznawany za incydent?
Dlaczego przyjmuje się taki punkt widzenia?
Pracuję teraz na Linuxie, aktualna konfiguracja:
Kernel 5.10.14
Glibc 2.32-r6
Openssl 1.1.1i
wszystko budowane kompilatorem
gcc version 9.3.0
Wszystkie źródła programów które używam są „wyciekły do internetu”, są dostępne na Githubie, Gitlabie i w innych miejscach.
Nie mam ani jednego programu, które źródła nie byłyby dostępne w internecie.
Niestety, przez ostatnie 15 lat mojego Linuxa nie zaatakował skutecznie żaden wirus, malware, trojan ani backdoor.
Czy ktoś może mi wytłumaczyć, w jaki sposób utajnienie kodu źródłowego programów odpowedzialnych za bezpieczeństwo systemu operacyjnego zwiększa odporność tego systemu na ataki i wirusy pochodzące z internetu?
Przy okazji chciałbym zobaczyć jakieś skuteczne wirusy, które wreszcie skutecznie zaatakują mój komputer.
Wiele exploitów i wirusów na moim systemie testuję, i może przez całe 15 lat widziałem ze trzy, które zdawały się działać, po tym jak sam osobiście je pobrałem, skompilowałem i uruchomiłem.
Pozdro
xD
„idiotyzm szanownej Autorki”
Niepotrzebnie używasz określenia „idiotyzm” kierując go do Anny. To raniące określenie. Lepiej napisać „idiotyczne myślenie”, to mniej boli, bo nie jest osobowe. Szanujmy kobiety, szczególnie teraz, w trudnych dla nich czasach, gdy PiSowscy – niestety policyjni – siepacze czynią im wiele zła. Specjalnie dla naszych pań (8 gwiazdek): ***** ***
Pisząc o polityce, sam wykazałeś się idiotyzmem osobowym. Nikogo nie obchodzi którą partię polityczną lubisz, a której nie. Jak masz z tym problem to idź płacz w poduszkę.
Szanować trzeba również mężczyzn. Nieraz znieważałeś interlokutorów na tej stronie.
Szanować trzeba ludzi którzy na szacunek zasługują. Trolle, głupki i hejterzy się do tego nie kwalifikują. Nigdy nie znieważałem interlokutorów na tej stronie.
1) Napisałeś był wcześniej „szanujmy kobiety”. Teraz napisałeś, że nie każdy na szacunek zasługuje. Jest mnóstwo głupich i chamskich kobiet (oraz mężczyzn), ale to nieznaczy by przestać ich szanować.
2) Tyle razy rzucałeś obelgi, że lepiej byś już cicho siedział.
Najlepszy antywirus i firewall to twój mózg.
Nie przekonują mnie te programy. Sporadycznie używam tylko darmowego skanera od eseta na win 8.1 bo defender, windows update i inne gadające z centralą szpiegi poszły out. I nie zamierzam instalować gadającego w tle śmiecia, ktory co prawda wykrywa wirusy, ale też sam nim jest. Wystarczy mi ublock, ustawione pod siebie filtry i noscript. Odpowiednio ustawiony firewall. O właśnie. Cenił bym sobie rzetelny test firewalli na windowsa. Takich w starym stylu jak privatefirewall gdzie użytkownik ustawia wszystko pod siebie nie automat dla użyszkodników.Cięzkie jest życie windowsiarza, ale da się temat ogarnąć pod siebie.
Włamanie na czyjeś serwery i kradzież znajdujących się tam plików kwalifikuje się jako incydent bezpieczeństwa. Kropka. I nie ma to nic wspólnego z moim stosunkiem do oprogramowania otwartoźródłowego (jeśli, szanowny Obserwatorze, pofatygowałbyś się przeczytać inne artykuły z cyklu Podstawy Bezpieczeństwa, zauważyłbyś, że często polecam właśnie takie rozwiązania).
BitDefender rządzi
Co sądzicie o EndGame ?
W akapicie o teście laboratorium AV-Comparatives powinno być chyba „(advanced threat protection – w badaniu tym uczestniczyło niestety tylko 17 antywirusów).” – zjedliście „1” przed siódemką.
Pzdr
Nie, akurat w tym jednym badaniu faktycznie brało udział tylko 7 antywirusów (zob. tabelę).
McAfee tak mocno uzywany przez korporacje wypada …. slabo.
Bo
1. Korpo kieruje się innymi motywami jeżeli chodzi o AV niż Jan Kowalski
2. McAfee ma tę zaletę że można ustawić zrobić scan *on-demand* – compliance się kłania.
3. Możesz ustawić kiedy chcesz skanować. Dobre stosunki z biznesem (klient w korpo).
4. To co kupuję korpo nie do końca jest tym samym co kupuję Kowalski
5. AV w korpo to jedna z wielu warstw ochrony.a przynajmniej tak to powinno wyglądać. I zwykle jest to po prostu compliance a nie próba złapania czegoś.
U mnie esset Internet Security od 5 lat w firmie i zero incydentów. To co przychodzi wyłapywane od razu w @. Choć wiem, że celowanego ataku by pewnie powstrzymał.
Ciekawe zestawienie, ciekawe komentarze i wymienione różne narzędzia, producenci czy firmy testujące, których raporty nieraz brałem przy wyborze rozwiązania przez jakieś 25 lat od kiedy mam komputer. Swego czasu używałem wielu z tych wymienionych w artykule. I mulącego Avasta i darmowej Aviry i MksVira, który odrodził się jak feniks z popiołów ostatnimi czasy. Wise Anti Malware, 360Total Security, chiński, ale łączył się i korzystał z silnika rumuńskiego Bitdefendera. Kiedyś też z Nano, rosyjski, ale przez rok działał i chronił też dobrze. Korzystałem z niemieckiego Gdata, czy fińskiego f-Secure. Z rozwiązań command line, to clamAv, czy f-sceure, gdata… Jednego zabrakło w tym zestawieniu. VirusTotal. Ok, może powiecie, że działa na innych zasadach, ale jak przeprowadzicie samodzielnie testy plików (np. zainfekowane pliki po atakach na strony) w VirusTotal, to wyjdzie Wam, że dla większości sprawdzanych plików skuteczność Eset, Fortinet, Trend Micro, Sophos, czy Ahnlab będą miały nieco lepszą (i będą zwykle w czołówce) niż Gdata czy F-secure, comodo i innych. W Dr.Web dla win10 jest możliwość exportu wyników do txt, w Ahnlab Lite niestety nie. Avira poległa przy wiruskach z zainfekowanej strony. Różna wykrywalnośći skuteczność, różne interfejsy i możliwości tych wszystkich zabawek. Każdemu polecam przeprowadzenie własnych testów przed wyborem narzędzia i dopasowanie go do swoich potrzeb, bo jak to w naszej branży pewnie nie raz każdy słyszał „nie ma systemów idealnych”.
Dobrze napisane – poza standardową ochroną w kompie, jeszcze warto samemu przeprowadzić testy i nie wierzyć w każdy marketingowy bullshit. Kolega widzę, że rasowy bezpiecznik i pamięta czasy mks_vira… łezka się w oku kręci. Końcówka lat 90-tych. Demonstarcyjne wersje niektórych wirusków i ta muzyczka, to były czasy. Pewnie Zemanę, Rising, Hitmana, Tencent pc manager też testowałeś? :P
Nano… też go kojarzę. Z kumplem robiliśmy wiele testów, mieliśmy raz przypadek, że jedynie Nano wykrył szkodnika np.
https://www.virustotal.com/gui/file/7e6f73e45fd6fcdfdef522915f5f6586564fce8c04909544b64f38c5e1154200/detection
Z takich ciekawych obserwacji to był też przypadek, że w VirusTotal f-Secure w poniedziałek nie wykrył szkodnika, w środę w kolejnym teście już tak. To wszystko szybko eweoluuje.
Właściwie to brałbym przy wyborze te, które przechodzą te tysiące testów robionych przez kolegów z AvLab, czy VB100:
https://www.virusbulletin.com/testing/results/test_from/2020-12/vb100-antimalware
Nawet polski ArcaBit wypada w testach VB100 bardzo dobrze, z kolei
SecureAPlus korzysta z 12 różnych silników av, co też się wydaje ciekawym rozwiązaniem, więc na tym poletku ciężki orzech do zgryzienia :P
p.s. W mojej wcześniejszej firmie szef był bardzo dociekliwy. A co to za rozwiązanie od kogo (gdzie nasze dane potencjalnie wylądują), od ruskich, ze stanów, czy od Chińczyków? Koniec końców wybrał niemieckie jako mniejsze zło :P
Od 3 lat używamy Kaspersky Internet Security i jestem bardzo zadowolony – wcześniej w zasadzie używałem darmowe programy. Powyższy artykuł potwierdza, że dokonałem dobrego wyboru. Wybierając porównałem kilka rankingów/testów na przestrzeni kilku lat dla antywirusów, firewalli i pakietów Internet Security – Kaspersky zawsze był w czołówce. Nie było to dla mnie łatwe zadanie bo nie jestem związany z IT.
Program robi dobrze to do czego go potrzebuje – ochrona bankowości i zakupów online. W jednym z artykułów został nawet zaklasyfikowany jako najlepszy do zakupów online i bankowości:
10 najlepszych programów antywirusowych w [2021]: Windows, Android, iOS i Mac
https://pl.safetydetectives.com/#Avira
W tym zestawieniu podkreślają, że wybór programu powinien zależeć od potrzeb użytkownika.
o.o artykul potwierdza tylko jedna rzecz: że w danym rankingu wygrywa a za tydzien sytuacja moze sie odwrocic
Czy nie wydaje się Wam, że podstawą jest wspomniana już wcześniej głowa na karku i co najmniej bardzo dobra znajomość używanego softu AV ?
Leciwa prezka Pana Gynvaela Coldwinda. Wg. mnie swietnie wyczerpuje temat i sklania do przemyslen,
https://www.youtube.com/watch?v=I6yNRMcdXKE
Ja jakbym byl bezpiecznikiem czy innym takim to zrobilbym jakis tutorial o tym jak np. zablokowac wykonywanie plikow z katalogu „pobrane” z poziomu gpo i zablokowanie wszystkich rozszerzen ktorych i tak nikt nie uzywa. Gpo jest latwo konfigurowalne i moze podniesc poziom bezpieczenstwa o wiele wyzej niz jakis av. Na przykladzie nawet takiego mimikatza to po przekompilowaniu kodu ze zrodla bez zbednyhc bajerow wykrywalnosc wg. vt spada juz do kilku antywirusow. Nie mowie, ze av to zle rozwiazanie, ale nie wiem na jakiej zasadzie entuzjasci bezpiecznestwa w sieci instaluja na swoich komputerach oprogramowanie ktore na wyskoich uprawnieniach skanuje wszystko co sie w komputerze znajduje i „podejrzane probki” wysyla do c&c xD
+1
Obejrzałem – świetne.
Próbuję namówić kolegów z roboty do obejrzenia, bo oni uparcie twierdzą „mamy NGFW za wielką kasę, otwieramy SSL, jesteśmy bezpieczni”. Zdaje się, że się mylą.
Szanowni Państwo, czy zwróciliście Państwo na jedną bardzo ważną sprawę – czy można wierzyć firmom które testują programy – odpowiedź brzmi – nie można. W dzisiejszym świecie te testy nie są wiarygodne. Dlaczego – a no dlatego że w grę wchodzą ogromne pieniądze. Duże firmy przekupują dużymi kwotami firmy które robią testy antywirusowe tak, aby programy były w czołówce listy. Co to oznacza dla zwykłego użytkownika i firm które sprzedają programy antywirusowe – że taki człowiek pomyśli tak, przed kupnem: że jeden z programów znajduje się na czele kilku list i od razu jest najlepszy i trzeba go będzie kupić bo to najlepsza ochrona. To jest takie podświadome granie firm na umysłach użytkowników. Gdyby ktoś mi się spytał jaki jest najlepszy program antywirusowy – to bym odpowiedział – to taki który ja wybrałem i mam zaufanie do niego, bez żadnego oglądania testów programów antywirusowych w Internecie.
A jakiś jeden dowód na to, że producenci AV przekupują wymienione firmy testujące???
Był Trend Micro, był McAfee, był Esset, był Kasperski. Od 3 lat tylko Webroot. U siebie i u klientów.
Mam Kasperskiego i nie narzekam.Cisza i spokój. Zero infekcji. Jak miałem inne antywirusy to bez przerwy coś się działo. Trojany ,malware ,a raz nawet zaszyfrowali mi cały system ransomvare.. Możliwe że szpieguje (wszystkie szpiegują),ale za to dobrze chroni.
Słaba reklama. Za bardzo widać, że chcesz to wcisnąć ludziom.
Wzruszyłem się do łez. Nikt nie napisał nic o Nortonie- nie zapłacili?
Sponsorem artykułu był Microsoft 😂😂😂😂
Ależ ci dziennikarzyna ma parcie na kasę 😂😂😉
Nie, sponsorem była Aruba Cloud.
Bitdefender w domu, Crowdstrike w firmie
hej, dorzucę jeszcze małą cegiełkę, albo raczej kilka do tematu i małą analizę:
1. W tytule wpisu brakuje celu
– czy mowa o rozwiązaniu na użytek domowy (przeważnie proste, darmowa, nieco ograniczone rozwiązania)
– czy raczej na użytek komercyjny (większe kombajny, modułowe rozwiązania, bardziej EPP tj. Endpoint Protection Platforms)
Brakuje też uzupełnienia o jaki system chodzi. Czy windows czy android… a rynek antywirusów na smartfony nieco się różni.
Natomiast jak wczytamy się bardziej, chodzi bardziej o rozwiązanie domowe na desktopy, aczkolwiek wiedza zawarta we wpisie jest na tyle uniwersalna, więc można by próbować pokusić się o to, że opisywane rozwiązania można wybrać również do biura. To wszystko zależy jak duża firma, ile komputerów, oddziałów, pracowników.
To też ma odzwierciedlenie w wielu komentarzach, wielu bezpieczników, czy osób decyzyjnych kieruje się różnymi kryteriami wyboru rozwiązania i oddziela dwa światy – prywatny i służbowy – to co wybierze na własny komputer domowy, a co zastosuje w firmie, mogą to być zupełnie różne rozwiązania, ale wiadomo: budżet, potrzeby, skala.
Z3S czytają i admini, bezpiecznicy, ale też i mniej techniczne osoby, więc trzeba spojrzeć szerzej.
2. W komentarzach przewinęło się wiele rozwiązań, wiele firm/organizacji testujących.
Jakoś nikt nie wspomniał o Magicznym Kwadrcie Gartnera i raporcie sprzed 2 lat:
https://www.gartner.com/en/documents/3956420/magic-quadrant-for-endpoint-protection-platforms
o którym pisał też np. Esset: https://www.eset.com/pl/business/gartner-epp-mq-2019/
ale i inni dostawcy również.
O kwadracie można poczytać na wikipedii lub na wielu blogach, np. https://ewangelista.it/co-to-jest-magiczny-kwadrat-gartnera-gartner-magic-quadrant/
„Kwadraty są też dosyć często używane przez inwestorów jako dobry wskaźnik tego w jakie firmy warto inwestować pieniądze i na jakich opierać swoje portfele inwestycyjne.”
„Oś pionowa to „Ability to execute” – określa ona jak duże możliwości ma dana firma do wdrożenia swoich pomysłów i rozwiązań. Są to zarówno możliwości finansowe, biznesowe jak i organizacyjne.
Oś pozioma to „Completeness of vision” – określa ona jak dobrą i kompletną wizję danego segmentu rynku na firma oraz jak dobrze patrzy w przyszłość w tym segmencie.”
Spotkałem się z sytuacjami, że w SIWZ’ach pojawiały się zapisy typu:
„produkt musi znajdować się w kwadracie liderów Gartner Magic Quadrant”. Warto mieć to na uwadze przy wyborze rozwiązania dla firmy/organizacji.
Oczywiście zakupy w administracji to temat rzeka. Czy kasa jest adekwatnie wydawana przez administrację. Czy czasem kupowana jest armata na komary i czy ktoś porządnie przeprowadzał analizę ryzyka, ale w kontekście panoszujących się zagrożeń (phishing) ransomware (np. case w Kościerzynie) czy innych wydaje się, że lepiej jak zostanie wybrany wiodący, znany dostawca niż firma krzak.
3. Sporo fajnych komentarzy padło i różnych wycieczek. Odniosę się do kilku.
@bobi:
Fajnie, że napisałeś o Crowdstrike. Nie każdą firmę stać.
@dutek:
Dobre :D
Tak, mks_vir w latach 90-tych to było coś. „Wiruski” pisane dla beki. Pamiętam. Cysta.8045 (Rychu)
https://www.youtube.com/watch?v=EtIPD8amS-w
Pewnie znajdzie się tu jeszcze parę dinozaurów, którzy mieli z tego niezły fun.
@Krzystof:
Z jednej strony się zgodzę. Z drugiej coś podobnego kiedyś słyszałem o pisaniu własnego kodu. Działa… dopóki ktoś nie wykryje w tym kodzie jakichś błędów.
To wszystko zależy. Różne są zachowania ludzi.
Ja np. zanim coś kupię, to pobuszuję w sieci, poczytam, popytam znajomych, popytam adminów, prześledzę rankingi, opinie użytkowników, sam potestuję, żeby wyrobić sobie zdanie. Fakt, czasu stracę masę, ale przynajmniej będę mieć pewność, że nie podjąłem pochopnej decyzji. Ale to i tak będzie decyzja na daną chwilę. Świat się zmienia.
@specu:
Dokładnie, nie ma systemów idealnych. Nie ma też najlepszego AV.
Jeden ma to fajne, drugi tamto. Ten działa szybciej, ten skuteczniej niż inny.
To trochę jak z wyborem samochodu – marki, modelu. Z punktu A do B dojedziemy. Kwestia czasu, komfortu, wrażeń, postrzegania przez innych, kosztów utrzymania itd.
@hoek:
Też jestem ciekaw co wybierają inni admini, bo co przysłowiowi Kowalscy, to widać gołym okiem po liczbie pobrań np. choćby stąd:
https://www.instalki.pl/programy/Download/Windows/antywirusy.html?limitstart=0&limit=15&order=downloaded&dir=desc
A później ktoś mnie prosi, „weź mi poleć coś lepszego” bo ten a ten program obciąża za bardzo system i sypie jakieś dziwne komunikaty…
„Jak wybrać najlepszy program antywirusowy” – no właśnie.
Przeczytać ten wpis i komentarze. Przeczytać jeszce pół internetu. Zadzwonić do fachowca. Nikt jednoznacznej odpowiedzi nie udzieli, bo to wszystko zależy. Im głębiej w las, tym więcej drzew.
Pozdro!
Dobry ale taki jako dodatkowe zabezpieczenie do skanowania ręcznego jest emsisoft emergency kit https://totemat.pl/dobry-bezplatny-program-antywirusowy-emsisoft-emergency-kit-opinia/ bardzo dobrze się sprawdza a jest darmowy. Wyniki lepsze niż malwarebites.