•  
     

Teste de antivírus é desafio para indústria de segurança

Colunista explica como reconhecer problemas em softwares de segurança.
Revista chegou a criar 5 mil vírus para testar capacidade de programas.


Até mesmo especialistas encontram dificuldades para responder uma das perguntas mais comuns de todos os usuários: qual o melhor antivírus? Desenvolver uma metodologia de testes eficaz é difícil, ainda mais se consideradas as mudanças no comportamento das pragas digitais.

Ainda assim, testes antivírus ruins continuam aparecendo e grande parte dos usuários não sabem o que diferencia um teste bom de um teste ruim. A coluna de hoje explica alguns dos grandes desafios em se testar programas antivírus e dá dicas sobre o que observar na metodologia de um teste.

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

O desafio de se avaliar softwares antivírus (e anti-qualquer outra praga digital) é reconhecido pela indústria de segurança. Já existe uma organização destinada a manter textos de referência para a realização dos testes, a AMTSO – Anti-Malware Testing Standars Organization (Organização para Padronização de Testes Antimalware).

A AMTSO publicou apenas alguns poucos documentos, divulgados em novembro de 2008, e tem participação das principais empresas antivírus, como Symantec, McAfee e AVG, e laboratórios de testes como ICSA, AV-Test e AV-Comparatives.

0,,18356663-FMM,00.jpg
Associação criada por empresas antivírus e laboratórios de teste discute a eficácia de métodos de avaliação de softwares de combate a pragas digitais. (Foto: Reprodução)


Ainda assim, também é preciso que os usuários fiquem de olho, pois a criação da AMTSO não tira de circulação os testes ruins que podem ser encontrados na web e outros lugares. Procure buscar, na metodologia, se existe algum dos problemas citados abaixo e, se houver, duvide do teste. Se nem mesmo conseguir achar essa informação, descarte-o por completo.

Uso de pacotes públicos de pragas digitais

De vez em quando, colecionadores de vírus, entusiastas e especialistas liberam para download grandes coleções de vírus contendo milhares de códigos maliciosos diferentes. Isso permite que um usuário que busca testar alguns antivírus e, em alguns casos, até mesmo publicações “especializadas”, baixem esse pacote e rodem exames antivírus para ver qual irá detectar mais pragas.

Essa abordagem tem dois erros graves. Um deles é que o pacote é geralmente pequeno. Atualmente, 10.000 pragas digitais não é mais um número representativo e pode acabar beneficiando alguns programas. Outro problema é que, se o pacote é público, é muito provável que os arquivos tenham sido adicionados ao antivírus, de modo que não será uma representação real da qualidade dos programas.

Dê preferência a testes que usam um conjunto de vírus obtido de forma independente.

Uso exclusivo de arquivos confirmados como maliciosos
Se você entra em contato com um arquivo malicioso que nenhum antivírus reconhece como tal, ele deixa de ser um vírus? A resposta é, claramente, não. Existem testes antivírus, no entanto, que não verificam de forma independente os arquivos.

Sendo assim, há dois problemas. O primeiro é que arquivos maliciosos não reconhecidos por nenhum antivírus serão descartados do teste. O segundo problema é que arquivos identificados como vírus por apenas um ou dois programas, e que podem perfeitamente serem falsos positivos (detecção incorreta) acabarão afetando negativamente aqueles programas que, corretamente, não os detectam.

O ideal, sempre que possível, é confirmar de forma independente a carga maliciosa do programa, sem depender dos softwares.

Falsos positivos
A questão dos falsos positivos vai mais longe do que citado acima. Um falso positivo, explicando melhor, é quando um antivírus identifica como vírus um programa legítimo.

Ainda existem testes que não fazem nenhum tipo de checagem por falsos positivos. Um programa simples que marca todos os arquivos como vírus, sendo eles realmente pragas ou não, conseguiria pontuação máxima em um teste assim. No entanto, tal software seria inutilizável como antivírus, porque acabaria apagando arquivos do Windows, por exemplo.

Procure saber qual a taxa de acerto de cada antivírus. Se o teste não informar isso (e como ela foi obtida), procure saber por meio de outro teste ou comentários de usuários.

Análise de comportamento
Um grande desafio dos testes mais recentes é lidar com os recursos de análise de comportamento. Ao contrário dos exames antivírus normais, essa análise precisa que a praga digital esteja em execução para ser identificada pelo programa antivírus.

Isso torna o teste muito trabalhoso de ser realizado, especialmente de uma forma que seja estatisticamente significativa, visto que testar algumas poucas pragas pode consumir muito tempo dos responsáveis pelo teste.

Aqui não há solução, mas procure analisar se o teste fundamenta de forma adequada a escolha dos exemplares que foram submetidos ao recurso de análise de comportamento.

O caso da 'Consumer Reports' e bons testes
Em 2006, a revista norte-americana 'Consumer Reports', especializada em avaliações dos mais variados produtos (de carros a eletrodomésticos), foi duramente criticada por fazer um teste antivírus diferente: 5.500 novos vírus foram criados por uma empresa contratada pela publicação. Os resultados não foram bons para os programas de segurança, cujo desempenho foi péssimo ao terem que lidar com pragas desconhecidas.

Houve quem defendesse a revista: o argumento de que a criação de novos vírus seria “perigoso” para o público seria apenas uma regra conveniente para as empresas antivírus, visto que tal ato colocaria a qualidade dos softwares em xeque. Não se tem notícia de que qualquer vírus criado para o teste da Consumer Reports tenha escapado do laboratório.

Mesmo assim, uma das regras da AMTSO é que nenhum código malicioso seja criado para a realização dos testes. Hoje, o que se tem de mais avançado em testes antivírus está nos laboratórios do AV-Comparatives e do AV-Test.

O AV-Comparatives divulga seus resultados no site, enquanto o AV-Test é geralmente contratado por publicações especializadas para realizar a avaliação da qualidade de detecção dos produtos de segurança. Sempre que possível, verifique esses testes antivírus antes de quaisquer outros.

Fonte: http://g1.globo.com/Noticias/Tecnologia ... O+BEM.html