< Jornal Estado de Minas >
19/06/2003
< Que tal seu programa Anti-vírus? >
|
< Jornal Estado de Minas >
|
|
|
|
19/06/2003
|
< Que tal seu programa Anti-vírus? > |
|
Eu nem vou me dar ao trabalho de perguntar se você usa anti-vírus. Parto do princípio que sim, naturalmente. Portanto posso ir direto à pergunta: seu programa anti-vírus é bom? Como é que você sabe? E, se tiver dúvidas, como testá-lo? Taí um problema e tanto. Seu navegador, seu editor de textos, sua planilha ou seu programa gráfico prediletos são fáceis de testar: carregue-os, use-os, experimente suas funções, veja se as interfaces são agradáveis e intuitivas, avalie se atendem às suas expectativas e se os preços são adequados. Em caso de resposta afirmativa, aprove-os. Do contrário, procure outros, experimente-os e avalie-os de acordo com seu gosto, suas necessidades e suas disponibilidades financeiras e escolha o melhor. Mas e o anti-vírus? Ele pode ter uma interface belíssima e intuitiva, pode ter um preço mais que adequado, pode ter todas as funções com que você sonhou. Mas se não for eficiente para detectar e eliminar vírus, de pouco irá lhe adiantar. Como saber? Tentando inocular em sua máquina arquivos sabidamente contaminados? Onde arranjá-los em número suficiente para fazer um teste conclusivo? E, pior: se o bicho falhar e a máquina for contaminada, o que fazer? Afinal, se falhou ao detectá-lo, dificilmente o anti-vírus conseguirá remover o invasor. Você não precisa se preocupar com isso. Tem gente que se preocupa por você. E gente muito boa. Na verdade, uma equipe encabeçada pelo Prof. Klaus Brunnstein e composta por um seleto grupo de especialistas em informática do departamento das ciências da computação da Universidade de Hamburgo, Alemanha. Eles são a força de trabalho do VTC (Virus Test Center), um centro dedicado exclusivamente à tarefa de testar programas anti-vírus integrado ao AGN ("Anwendungen der Informatik in Geistes und Naturwissenschaft", ou aplicações da informática nas artes e ciências), Visite o AGN em <http://agn-www.informatik.uni-hamburg.de/vtc/>. O sítio é bilíngüe, portanto se você não lê alemão mas se defende com o inglês, vá até lá que vale a pena. Além da página "Anti-virus links", com atalhos não apenas para os principais desenvolvedores de ferramentas anti-vírus como também para sítios com preciosas informações sobre o assunto, você encontrará dados sobre os projetos e corpos docente e discente do AGN e, o que provavelmente mais lhe interessará, a página do VTC com a lista de todos os vírus conhecidos e os relatórios detalhados dos testes de programas anti-vírus conduzidos pelo VTC desde 1994. Inclusive o mais recente, de abril de 2003, o primeiro a rodar no Windows XP. Você
pode consultar o relatório diretamente ou transferi-lo inteiro
para sua máquina em arquivo texto compactado no formato Zip,
diretamente de Testar programas anti-vírus dá um trabalho de cão e exige um bocado de informação e recursos. Começando por um profundo conhecimento de como agem os vírus, quais seus métodos de ataque e como evitá-los. Além disso, é preciso saber como funcionam os programas anti-vírus e ter acesso a uma coleção de vírus tão completa quanto possível e muito bem organizada. E, finalmente mas não menos importante, dispor de um razoável conjunto de máquinas exclusivamente para os testes e do tempo necessário para levá-los a termo. Como se vê, não é coisa pouca. O VTC dispõe de tudo isso: um imenso banco de dados de vírus, um enorme cabedal de conhecimento sobre o assunto e mão de obra especializada sob a forma de estudantes de ciências de computação. O ponto fraco são os recursos materiais: um único servidor e nove máquinas clientes onde são rodados os testes. Mas ainda assim, fizeram um belíssimo trabalho. Os testes foram conduzidos inoculando nas máquinas arquivos contendo diferentes tipos de "malware" ("malicious software", uma classificação que engloba todo tipo de programa nocivo) e nelas rodando os programas anti-vírus a serem testados. Os "malwares" foram divididos em dois grupos. O primeiro engloba os vírus do mundo real, ou "In-the-Wild virus". Para ser enquadrado nesse grupo o vírus tem que constar da "wild list", uma lista mantida e distribuída pela WildList Organization International (<http://www.wildlist.org/>), cujo único fim é arrolar os vírus "ativos", ou seja, que se disseminam no mundo real. Para testar programas anti-vírus contra vírus desse grupo foram usados 1.337 documentos contaminados com 124 diferentes vírus de macro, 443 arquivos infectados com 50 diferentes vírus de arquivos, 122 objetos infectados com 20 diferentes vírus de script e 149 imagens ou setores de disco infectados com 11 diferentes vírus de boot. O segundo grupo, muito mais amplo, engloba todo o banco de dados de vírus do VTC, que inclui vírus já desaparecidos ou criados em laboratório. Para os testes foi usado um impressionante conjunto de 158.747 arquivos infectados com 21.790 diferentes vírus de arquivos, 18.277 arquivos infectados com 8.001 diferentes tipos de "malware", 25.231 documentos infectados com 7.306 vírus de macro, 1.574 objetos infectados com 823 diferentes vírus de scripts além de quase mil arquivos e objetos "limpos" (não infectados) para verificar a presença de "falsos positivos" (arquivos erroneamente identificados como contaminados). Esse é o panorama dos testes. Mas falta um ponto importantíssimo: que programas foram testados. Como, evidentemente, os testes são realizados com o intuito de divulgar seus resultados e os desenvolvedores dos programas têm o direito de impedir que suas marcas registradas sejam citadas, só podem ser testados produtos cujos responsáveis concordem com sua inclusão no teste. E, dentre os mais conhecidos, três recusaram a autorização: Trend Micro, Panda e Sophos (as razões alegadas estão no "Executive Summary" do relatório). Mas toda a concorrência estava presente. Em ordem alfabética, com as versões testadas e os URLs dos sítios dos responsáveis: Bit Defender Professional (<www.bitdefender.com>), Command Software 4.62.4 (<www.commandcom.com>), DrWeb for Win32 4.26 (<http://www.dials.ru>), FSecure AntiVirus 1.00.1251 (<www.F-Secure.com>), Inoculan 6.0 (<www.cai.com>), Kaspersky AntiVirus 3.0 (<www.kasperskylab.ru>), NAI McAfee VirusScan 4.16.0 (<www.mcafee.com>), Norton AntiVirus Corporate Edition (<www.symantec.com>), Norman Virus Control 5.30.02 (<www.norman.com/de>) e Rumanian AntiVirus 8.02.001 (<www.ravantivirus.com>). Isto posto, vamos ao que interessa: os resultados. Segundo o VTC, um anti-vírus "perfeito" deve cumprir as seguintes condições: 1) detectar todas as amostras de vírus "do mundo real" e pelo menos 99,9% das de vírus de laboratório em todas as categorias (arquivo, boot, macro e script) sempre com alta precisão de identificação em todas as amostras infectadas; 2) detectar todas as amostras infectadas com vírus do mundo real em arquivos comprimidos pelos cinco mais populares programas de compressão de arquivos e; 3) jamais emitir um alarme falso-positivo em qualquer amostra não contaminada. E para ser um perfeito "anti-malware" deve, além das condições acima, detectar as formas principais de programas nocivos, pelo menos em arquivos não comprimidos e com um índice de confiabilidade superior a 90%. E como se comportaram os programas testados? Bem, nenhum deles conseguiu atingir a perfeição (embora o FSecure tenha chegado perto). Mas, de uma forma geral, os resultados não foram decepcionantes. O resultado global está mostrado na Tabela 1, onde estão listados as porcentagens de acertos (ou seja, de detecção de arquivos contaminados e identificação do agente contaminante) em vírus de arquivos, de macros e de script. A tabela está classificada em ordem decrescente da média das porcentagens de acertos nas três categorias.
Considerando a média das três categorias, o campeão foi o FSecure. Mas os três primeiros situaram-se acima dos 99%% e os quatro primeiros acima dos 98%, uma proeza considerável. O pior colocado foi o Bit Defender, antigo AVX, com menos de 85%. Porém, se me agrada saber que meu programa anti-vírus saiu-se bem no combate a vírus de laboratório, o que me interessa mesmo é saber como ele se comportou enfrentando os vírus do mundo real, a verdadeira ameaça à integridade de minha máquina. Esses resultados estão mostrados na Tabela 2, que exibe os totais e porcentagens de vírus e arquivos contaminados identificados (esse último é o parâmetro que verdadeiramente interessa e, por isso, foi usado para ordenar a tabela).
Agora as coisas melhoraram. Com a única exceção do Command, todos os demais conseguiram detectar a totalidade dos vírus. Os cinco primeiros, Kaspersky, Dr Web, FSecure, Norton e McAfee, identificaram todos os arquivos contaminados. O Inoculan, com seus 99,8%, também pode ser considerado satisfatório. Novamente o pior resultado foi obtido pelo Bit Defender, seguido de perto pelo Norman. Quando os vírus de laboratório entram na brincadeira, a coisa muda de figura. Os resultados são mostrados na Tabela 3, também classificada pela porcentagem de detecção de arquivos contaminados.
Agora, apenas os dois primeiros, Kaspersky e FSecure, lograram alcançar os 100%, seguidos de perto pelo McAfee e Command (que, curiosamente, comportou-se bastante mal no teste do mundo real). O Norton cai para um vergonhoso penúltimo lugar, detectando apenas 96,4% dos arquivos (embora tenha identificado corretamente 98,3% dos vírus). Mas, afinal, como interpretar esses números? Será que usando um anti-vírus, estamos efetivamente seguros? Na minha opinião, levando em conta os resultados obtidos com os testes realizados com vírus do mundo real, que são os que realmente interessam, usando qualquer dos anti-vírus conhecidos (Fsecure, McAfee, Norton e os surpreendentes Kaspersky e Dr Web), sim, podemos nos considerar protegidos. Mas convém não esquecer que a segurança somente será garantida se mantivermos escrupulosamente atualizadas as "definições de vírus", arquivos com as características dos vírus conhecidos usados pelos programas anti-vírus para tentar localizá-los quando efetuam a varredura dos arquivos armazenados. Quanto ao Panda, Trend Micro e Sophos, a recusa em participar dos testes não nos permite garantir sua eficiência. Quando ao teste, vale acrescentar que além dos dados aqui comentados, obtidos em máquinas rodando Windows XP, ele incluiu a comparação de seus resultados com os de testes anteriormente realizados em outras versões de Windows e a varredura de arquivos contaminados escondidos no interior de arquivos comprimidos com os principais aplicativos de compressão (como PKZip e WinZip). Todos os resultados, incluindo metodologia e detalhes das plataformas usadas, estão no relatório do teste de abril de 2003. Cuja conclusão vale a pena citar textualmente: "De um ponto de vista geral, não foi encontrado nenhum anti-vírus ou anti-malware que possa ser considerado "perfeito" em todas as categorias (vírus de arquivo, macro e script). Mas para categorias isoladas (arquivo, macro ou script) há vários produtos que podem ser considerados "perfeitos" ou "excelentes". Resumindo: no que toca a programas anti-vírus, o mundo não é perfeito. Mas também não está perdido.
B. Piropo |
