Новые правила тестирования антивирусных программ, которые будут опубликованы в начале будущего года, должны дать пользователям более полную информацию для сравнения качества различных программных продуктов.
На конференции, состоявшейся в конце декабря в Сеуле, группа организаций, занимающихся тестированием программного обеспечения, и компаний — разработчиков средств компьютерной безопасности сформировали рабочую группу по тестированию средств борьбы с вредоносными программами — Anti-Malware Testing Working Group.
Поведенческое тестирование
Задачей группы станет создание оптимальных методов поведенческого тестирования средств компьютерной безопасности. Об этом рассказал Андреас Маркс, сотрудник немецкой организации AV-Test.org, занимающейся тестированием антивирусных программ.
«Поведенческие тесты программ отнимают много времени, но их важность в том, что они воспроизводят реальные ситуации столкновения системы с вредоносными программами в Internet — например, троянскими вложениями в почтовых сообщениях или эксплуатацией уязвимостей браузеров», — пояснил Маркс.
Такие тесты превосходят по надежности тесты, основанные на сравнении сигнатур, когда система обнаружения вирусов ищет соответствия в базе из тысяч образцов вредоносных программ.Тесты сигнатур не включают в себя другие методики выявления угроз безопасности компьютера — например, обнаружение случаев, когда новая программа пытается установить связь через Internet с каким-нибудь сервером.
«Не учитывается очень большая часть возможных ситуаций, — считает Маркс. — Большинство продуктов тестируется на наборе устаревших вирусов. Как правило, такие тесты большинство антивирусных программ проходит».
«Водяное перемирие»
Примечателен уровень сотрудничества между компаниями — разработчиками средств компьютерной безопасности, особенно если учесть высокую конкуренцию в этой отрасли. В группу вошли компании Panda, F-Secure, Sunbelt Software и Symantec, а также AV-Test.org и Virus Bulletin — английская организация по тестированию программ.
Проект схемы поведенческого тестирования разработал Маркс. В начале будущего года усовершенствованный вариант этих правил группа Anti-Malware Testing Working Group представит различным тестирующим организациям, таким как AV-Test.org и Virus Bulletin. Впрочем, применение их будет добровольным.
Большинство компаний-разработчиков полагают, что новые поведенческие тесты будут полнее оценивать степень защиты, которую их продукты предоставляют компьютеру. Разработчики средств компьютерной безопасности часто спорили в печати о тестах на основе сигнатур. Основным вопросом обычно является возраст используемых в тестах образцов вирусов.
Компании, чьи продукты не прошли тест, часто заявляют, что образец, который они не опознали, был слишком старым и вообще, как правило, не встречается в Internet. Некоторые разработчики удаляют сигнатуры старых вредоносных программ из своей базы, чтобы ее размеры не отягощали компьютеры.
Беспристрастные дискуссии
Группа Anti-Malware Testing Working Group претендует на создание беспристрастного дискуссионного форума для подобных споров.
«В настоящее время, если продукт не прошел тест, а его создатель ставит под сомнение параметры теста, удовлетворения требований создателю ждать не приходится», — считает специалист из Symantec Марк Кеннеди.
Проблема в том, что проведение поведенческих тестов может затруднить работу тестирующих организаций, полагает Маркс. Создание реалистичных сценариев столкновения с вредоносными программами требует времени. Обычно, по его словам, поведенческий тест проводится не более чем с 50 образцами вредоносных программ. Однако тестирующие организации уже начали обсуждение этой проблемы, и, возможно, сотрудничество поможет облегчить ее решение.
Группа AV-Test.org недавно провела первую серию поведенческих тестов по заказу журнала PC World (лицензионный партнер журнала «Мир ПК». — Прим. ред.).
Ни один из восьми протестированных продуктов не показал в поведенческих тестах хороших результатов. Причиной этого стала постоянно растущая сложность вредоносных программ. Компании-разработчики средств компьютерной безопасности уже заявляли, что их специалисты с трудом успевают за невероятным ростом количества вредоносных программ, циркулирующих в Internet. Только одна лаборатория, где работает Маркс, получает, по его словам, 2-2,5 тыс. различных образцов вредоносных программ в час.