Przetestuj swój program anty-malware
#1
Rzeczy nie są nowe, ale warte przypomnienia. Wielu z Was zapewne nie ma pewności czy zainstalowany na komputerze program AV dobrze spełnia swoją rolę czyli czy wystarczająco dobrze chroni system i nasze dane. Na przeciw jakiś czas temu wyszła organizacja pod nazwą Anti-Malware Testing Standards Organization (AMTSO), która zrzesza firmy i laboratoria związane z rozwijaniem aplikacji i usług "security". Na swoich stronach opublikowała kilka testów, które mają gwarancję, że są bezpieczne, zachęcając do sprawdzenia jakości zainstalowanych zabezpieczeń na maszynach indywidualnych użytkowników...link poniżej
https://www.amtso.org/security-features-check/

Jeśli ktoś ma zainstalowany Windows Defender, może go również przetestować na specjalnie do tego stworzonej przez MS stronie
https://demo.wd.microsoft.com/?ocid=cx-w...testground
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#2
Nie radziłbym użytkownikom, aby sugerowali się takimi "potwierdzeniami". To nie są prawdziwe wirusy ani strony phishingowe. W związku z tym producenci wcale nie muszą tego wykrywać. Ba, mogą świadomie nie reagować i często tak jest. Wtedy pojawiają się komentarze w stylu,
"dlaczego mój AV tego nie wykrywa? Co to za AV, który pliku EICAR nie wykrywa?"

Nie każdy producent należy do organizacji AMTSO, już pomijam celowo wady i zalety przynależności. Np. na stronie https://www.amtso.org/feature-settings-c...hing-page/ jest poniżej lista producentów, którzy "respektują" te "demo-zagrożenia".
Odpowiedz
#3
Dla mnie w ogolę to też takie dziwna sprawa z testami jakimikolwiek bo haker nie bedzie informował i dostarczał próbek do firmy AV tylko wręcz przeciwnie będzie liczył i testował w swoim zapleczu czy da rade obejść to a to oprogramowanie jeśli będzie miał możliwość pozyskanie takich informacji wywiadowczych jak stan ochronny obecnego celu..

I jak chodzi o pełnienie roli antywirusa w moim zdaniu to pełni role niechlujnego sprzątania po fakcie....
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#4
Rozumiem i podzielam zastrzeżenia, a temat AMTSO był u nas w pewnym sensie dyskutowany przy innej okazji. Niemniej chcąc pewne sprawy standaryzować...mowa o testach AV m.in....nie można narazić się na uproszczenia i uogólnienia, co zapewne krytykom daje do ręki argumenty. Podane linki dają jednak przeciętnemu "Kowalskiemu" szansę na to, żeby mógł samodzielnie i bez szkody sprawdzić swoje zainstalowane zabezpieczenia...są nieprawdziwe, ale z prawdziwymi sobie by nie poradził i chyba nie ma co do tego wątpliwości. To raczej głos w dyskusji, niż jednoznaczna odpowiedź.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#5
Dla mnie sens współpracy i rekomendowanie softu jest już zwykle z góry podejrzane.... tester czy korporacja/firma testująca nie powinna sie spoufalać i być przychylna jakiejkolwiek firmie antywirusowej i podchodzić do takich testów jak kontrola sanepidu w mięsny nagle wyrywkowo i bez zapowiedzi...

Bo jak nie... to potem wyniki wyglądają jak wyglądają np na av compatives ze wszystkie firmy mają niezmierne 95%++ a na youtube huczy od amatorskich poszukiwawczy/testerów co wyniki wahają się nawet do 15% skuteczności całkowitej wykrywalności.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#6
(28.02.2019, 22:06)Quassar napisał(a): ... youtube huczy od amatorskich poszukiwawczy/testerów co wyniki wahają się nawet do 15% skuteczności całkowitej wykrywalności.

Podrzucisz linki do jakichś świeżych testów na yt? Bo z tego, co patrzę to straszna lipa jest z testami.
Odpowiedz
#7
Na @MT masz po kilka testów dziennie.
https://malwaretips.com/forums/malware-samples.104/

Tutaj możesz próbki pobrać
https://virusshare.com/
https://malshare.com/
https://urlhaus.abuse.ch/browse/
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#8
Zrzeszanie się producentów tego czy tamtego nie jest niczym złym i na pewno nie można od razu doszukiwać się ukrytych intencji czy chęci zrobienia klienta w konia. To często właśnie ci, którzy nie przestrzegają pewnych norm i nie zrzeszają się w podobnych organizacjach stoją za przekrętami i sporymi stratami klientów/nabywców. Ileż to kiepskich i robionych zupełnie bez pomysłu testów można znaleźć na forach czy takim YT?...nie mając wiedzy o programie, nie mając pomysłu na metodologię...czyli również możliwość powtórzenia eksperymentu...nie bardzo wiedząc co che się testować, wykonuje się jakieś dziwne manewry, których wyniki często mają potwierdzić z góry założoną tezę.
Pewnie, że niektórzy nie chcą się godzić na pewne testy, bo np. wiadomo z góry, że założona metodologia nie odzwierciedli możliwości aplikacji - tak było lata temu w przypadku np. Online Armor i testów Matouska czy choćby SpySheltera i testów MRG Effitas. Nie oznacza to jednak, że standaryzacja pewnych przedsięwzięć/metod jest czymś złym.
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#9
(02.03.2019, 16:01)ichito napisał(a): Zrzeszanie się producentów tego czy tamtego nie jest niczym złym i na pewno nie można od razu doszukiwać się ukrytych intencji czy chęci zrobienia klienta w konia. To często właśnie ci, którzy nie przestrzegają pewnych norm i nie zrzeszają się w podobnych organizacjach stoją za przekrętami i sporymi stratami klientów/nabywców. Ileż to kiepskich i robionych zupełnie bez pomysłu testów można znaleźć na forach czy takim YT?...nie mając wiedzy o programie, nie mając pomysłu na metodologię...czyli również możliwość powtórzenia eksperymentu...nie bardzo wiedząc co che się testować, wykonuje się jakieś dziwne manewry, których wyniki często mają potwierdzić z góry założoną tezę.
Pewnie, że niektórzy nie chcą się godzić na pewne testy, bo np. wiadomo z góry, że założona metodologia nie odzwierciedli możliwości aplikacji - tak było lata temu w przypadku np. Online Armor i testów Matouska czy choćby SpySheltera i testów MRG Effitas. Nie oznacza to jednak, że standaryzacja pewnych przedsięwzięć/metod jest czymś złym.


Standaryzacja jest dobra pod warunkiem, że jest... dobra. W tym naszym konkretnym przykładzie jest tyle różnych, nieskończonych sposobów na testowanie, że dlaczego producent należący do AMTSO ma dyskredytować inne testy? Ano dlatego, że AMTSO zrzesza nie tylko producentów, ale i niektóre firmy testujące. Metodologia AMTSO nie jest neutralna, ponieważ zapobiega niezależnym i autorskim testom. Niektórzy producenci otwarcie bojkotują inne laboratoria testujące, które nie spełniają standardów AMTSO — przyczyniają się do blokowania niezależnych testów, które są przeprowadzane w oparciu o inną metodologię niż ta, na którą producenci nie są przygotowani. AMTSO niemalże wymusza na firmach testujących w ramach metodologii, że powinny korzystać z malware w ramach bazy AMTSO - malware do tej bazy dostarczają m.in. sami producenci przynależni do organizacji, a więc do kitu takie testy na malware, które są znane, prawda?
 
Podzielam w tej materii zdanie NSS Labs: https://www.nsslabs.com/blog/av-testing-...ependence/
 
Standardy AMTSO nie są dostosowane do specjalistycznych testów jak np. NSS Labs. Przypomnę, że to amerykańskie laboratorium posiada własną sieć honeypotów do zbierania malware i automatyzacji ataków: https://www.nsslabs.com/cloud-platform/overview-demo/ Dostęp do tej bazy jest płatny i nie sądzę, aby się nią dzielili z AMTSO. Część producentów nie bierze udziału w innych testach niż tych opartych na metodologii AMTSO, ponieważ wiedzą, że mogą uzyskać zły wynik. Podkreślam, że chodzi tylko o nielicznych producentów.
 
Uzupełnieniem jest kolejny artykuł dotyczący NSS Labs, kilku producentów i AMTSO, które zostały pozwane do sądu: https://avlab.pl/crowdstrike-symantec-es...z-nss-labs Trochę to wygląda tak jak zabetonowana scena polityczna w Gdańsku i nie tylko. Niektórzy są nie do ruszenia i trudno im cokolwiek zrobić.
Odpowiedz
#10
Nie wypowiadam się na temat sceny politycznej w Gdańsku Wink Nie zamierzam też rozstrzygać, która organizacja testująca jest ta lepsza, a która gorsza, bo za mało mam wiedzy...ale na pewno warto sięgnąć do historii i zajrzeć np. do linkowanego wątku, żeby zobaczyć, co było asumptem...zapewne jednym z kilku...do założenia tej organizacji
https://safegroup.pl/thread-1818-post-42...l#pid42759
Dodatkowo istotna może być w tej argumentacji również informacja, że jednym z wymogów nowej, wprowadzonej w 2016, polityki Virus Total wobec współpracujących firm jest konieczność posiadania certyfikatu AMTSO...i zapewne to kolejny argument przeciwników tej organizacji, ale dający też pojęcie o ewidentnym konflikcie interesów. O ile pamiętam wiele firm przesiadło się wtedy na inne multiskanery jak np. Virus Scan Jotti
https://safegroup.pl/thread-10369-post-2...#pid207631
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#11
(03.03.2019, 12:46)ichito napisał(a): Nie wypowiadam się na temat sceny politycznej w Gdańsku Wink Nie zamierzam też rozstrzygać, która organizacja testująca jest ta lepsza, a która gorsza, bo za mało mam wiedzy...ale na pewno warto sięgnąć do historii i zajrzeć np. do linkowanego wątku, żeby zobaczyć, co było asumptem...zapewne jednym z kilku...do założenia tej organizacji
https://safegroup.pl/thread-1818-post-42...l#pid42759
Dodatkowo istotna może być w tej argumentacji również informacja, że jednym z wymogów nowej, wprowadzonej w 2016, polityki Virus Total wobec współpracujących firm jest konieczność posiadania certyfikatu AMTSO...i zapewne to kolejny argument przeciwników tej organizacji, ale dający też pojęcie o ewidentnym konflikcie interesów. O ile pamiętam wiele firm przesiadło się wtedy na inne multiskanery jak np. Virus Scan Jotti
https://safegroup.pl/thread-10369-post-2...#pid207631

No właśnie. I co z tego, że powstało AMTSO, skoro AMTSO współpracuje z VT? Każdy, kto tam ma silnik, otrzymuje informacje o zagrożeniach w liczbie milionów każdego dnia. Gdyby ktoś chciał, mógłby zrobić silnik bazujący wyłącznie na VT.

Przeczytałem podany wątek, jeden i drugi. Nie dziwni mnie wynik podrzucenia czystego pliku oznaczonego jako malware. Jak napisałem wcześniej - producenci z VT mają dostęp do tej bazy zagrożeń. Nikt nie jest w stanie weryfikować ręcznie każdego pliku, który tam jest wrzucany. Zawsze podkreślam, że VT to bardzo kiepskie źródło sprawdzania skuteczności, ponieważ są tam silniki konsolowe, często bez dodatkowych modułów jak piaskownica, HIPS, firewall, IDS, itp.

Dlatego użytkownik, chcąc przetestować samemu swój program, powinien posiłkować się prawdziwym malware. Źródeł jest pełno w sieci. Jest to znacznie lepsze niż plik EICAR, który - jak podesłałeś - kojarzy się z tym czystym plikiem - "umownym".

To jak powstało AMTSO, jest przeszłością. W obecnym czasie oni nie nadarzają, w dodatku każą płacić za przynależność. Rocznie jest to chyba kilka tys. dolarów od każdego członka. Czy warto? To zależy od punktu widzenia i nie powinien martwić się tym normalny internauta.
Odpowiedz