Cosa sono e come funzionano i test dei programmi antivirus? Ti spiego come i migliori antivirus sono testati e valutati.
In rete è facile trovare consigli su qual’è l’antivirus migliore.
Ma invece di affidarti alle voci per scegliere un programma prezioso per il tuo computer e i tuoi dati, affidati a test autorevoli sui programmi antivirus.
Ci sono diversi test che testano e comparano i programmi antivirus in maniera neutra, scientifica e rigorosa. E i risultati di questi test sono pubblicati e disponibili.
In questa lezione ti spiego come funzionano i test dei programmi antivirus e cosa viene esaminato degli antivirus.
Vai invece alla prossima lezione se vuoi sapere subito quali sono i test più autorevoli, di cui ti puoi fidare per capire da te quali sono gli antivirus migliori.
Cosa Sono I Test Dei Programmi Antivirus
I test per i programmi antivirus (anche chiamati test antivirus o test AV) sono test che servono a capire se un programma antivirus è in grado di proteggere il computer.
Ci sono diversi tipi di test sui programmi antivirus. In genere, si distingue tra tests universitari, tests di laboratori interni dei produttori di software antivirus, tests di riviste specializzate e tests di laboratori indipendenti.
I test universitari infatti sono più a scopo di apprendimento e di ricerca. Grosse aziende (come ad esempio Microsoft) hanno laboratori interni, che però in genere non pubblicano i propri risultati e non sono sempre imparziali. I test delle riviste specializzate dipendono molto dalle competenze tecniche di chi effettua i tests e dalla metodologia adottata, non sempre rigorosa e scientifica.
I test dei laboratori indipendenti sono i test più utili per capire se il tuo antivirus è buono o meno o quale antivirus scegliere in sostituzione. Infatti, i laboratori indipendenti testano con regolarità i principali prodotti antivirus adottando criteri scientifici condivisi nel settore. Le loro comparazioni sono imparziali e affidabili. Nella prossima lezione ti indico i laboratori più importanti.
Cosa Guardano I Test Dei Programmi Antivirus
I test antivirus analizzano diversi aspetti degli antivirus:
- capacità di proteggere un sistema pulito contro malware conosciuto, non conosciuto (zero-day o in test retrospettivi) e live;
- capacità di isolare ed eliminare il malware in esecuzione in un sistema infetto;
- capacità di riparare un sistema infetto (riportando il sistema ad uno stato di funzionamento pre-infezione);
- quanti false positives individua (i “false positives” sono file o comportamenti del tuo sistema che l’antivirus ritiene minacce, quando in realtà non lo sono. Sono in pratica errori dell’antivirus);
- impatto sulle risorse del sistema e prestazioni (ad esempio spazio su disco, consumo di risorse, efficienza e velocità in fase di scansione e analisi etc)
- funzionalità e componenti aggiuntivi (ad esempio aggiornamenti automatici, possibilità di pianificare scansioni, protezione contro malware da web, da posta elettronica, da chat, da p2p, da unità esterne, presenza di antimalware, antispam, controllo parentale, backup, firewall, protezione cloud etc);
- usabilità (ad esempio facilità di installazione, interfaccia, configurazione di default, facilità della configurazione personalizzata, supporto etc).
Come Funziona Un Test Di Un Programma Antivirus
Nei test antivirus più seri si emula un attacco malware al computer di un utente per capire come e quanto l’antivirus riesca a proteggere il computer della vittima dall’attacco. I testers simulano condizioni reali in un ambiente protetto.
I test più completi saggiano la capacità dei vari software antivirus e antimalware nel rilevare attacchi da malware zero-day, malware recente (2-4 mesi) e malware noto e diffuso da tempo. I testers provano gli antivirus usando minacce create ad hoc, ma anche minacce reali già conosciute (a volte usano una lista speciale chiamata WildList) e perfino minacce live: minacce reali, in particolare web, usate nel test in genere entro 1-2 ore dalla scoperta.
I programmi sono testati anche su malware non conosciuto: oltre ad usare minacce live per questo tipo di test i testers a volte retrodatano il database filtro del programma e testano il programma contro malware escluso dalla lista filtro, che quindi rappresenta una minaccia ignota all’antivirus (questo test è definito anche retrospettivo).
Le metodologie dei test cambiano da test a test. Senza entrare nel dettaglio delle differenze tra test statici o dinamici, alcuni test si basano su verifiche statiche di liste malware mentre i test più articolati prevedono attacchi multimodali e multilivello.
Le Difficoltà Dei Test Sui Programmi Antivirus
Non è certo facile realizzare un test antivirus.
Ci sono difficoltà logistiche e tecniche che rendono estremamente difficile effettuare test sui programmi antivirus in situazioni non protette, dove i malware usati per il test potrebbero diffondersi facilmente nella rete del computer sotto test.
E’ anche difficile costruire, gestire ed aggiornare uno “zoo” (come viene chiamato) di malware. Per questo sono poche le aziende serie che operano in questo specifico settore.
Inoltre, per ogni elemento in gioco nel test ci sono numerosissime variabili che rischiano di inficiare o limitare la validità del test, per cui la scelta deve essere oculata e fatta da personale altamente qualificato. Tra queste variabili:
- finalità e metodologia del test: ad esempio scelta di testare l’efficacia dell’antivirus nel suo insieme (scelta che richiede test più complessi ma fornisce risultati più attendibili) vs scelta di testare aspetti singoli dell’antivirus in maniera indipendente, scelta di cosa testare (capacità di blocco, di protezione, di rimozione, di ripristino), scelta della metodologia etc
- modalità di attacco: ad esempio composizione del campione di malware usato (numero e tipi di malware scelti per l’attacco); strategia di attacco (semplice o composita? qui un interessante post dei laboratori Sophos su un esempio della complessità di un possibile attacco); durata temporale dell’attacco (questo serve anche per capire se la velocità di aggiornamento è sufficiente); scelta di ripetere lo stesso attacco (alcuni antivirus includono algoritmi di autoapprendimento);
- programma antivirus: ad esempio versione del programma; configurazione dell’antivirus (ad esempio in protezione in tempo reale o scansione su richiesta? modalità di protezione suggerita dal produttore o modalità personalizzate dall’utente?);
- sistema: ad esempio versione del sistema operativo (l’efficacia degli antivirus cambia a seconda del sistema operativo, ed anche i malware si comportano in modo differente in sistemi operativi diversi); configurazione del sistema (ci sono centinaia di impostazioni di sicurezza modificabili in un sistema operativo Windows); tipologia dei programmi installati nel computer;
- comportamenti dell’utente: ad esempio la risposta dell’utente alle notifiche dell’antivirus.
Vediamo ad esempio una delle variabili: la composizione del campione di malware da usare nel test.
Essendo il database dei malware enorme (ci sono milioni di varianti di malware), chi realizza i test è obbligato a scegliere un numero limitato di malware da testare. In genere i laboratori tendono a creare un campione statisticamente rappresentativo che includa minacce nuove (zero-day) e minacce conosciute (di cui alcune scelte tra le minacce più diffuse al momento del test, la maggioranza invece scelta tra l’enorme bacino delle minacce conosciute ed attive).
Ma i criteri di scelta e di peso interno delle varie categorie sono estremamente complessi.
Ad esempio, è meglio testare un antivirus contro un numero più alto di minacce, anche se in realtà sono poco diffuse e c’è quindi poca probabilità che l’utente reale possa venirne infettato? Oppure è meglio selezionare meno minacce, che però costituiscono la maggior parte delle cause di infezioni per gli utenti comuni? O quante minacce nuove includere rispetto alle minacce conosciute?
Anche semplicemente il capire quali sono le minacce potenzialmente più virali può cambiare a seconda di numerose variabili. Ad esempio, ci sono enormi differenze nella diffusione di infezioni semplicemente a livello geografico.
Come puoi immaginare dunque i test possono variare tantissimo a seconda dei parametri scelti da chi realizza il test, e di conseguenza anche i risultati possono cambiare quando si testa lo stesso antivirus in test diversi.
Capita di frequente infatti che un programma antivirus ottenga un risultato ottimo in un test, e mediocre in altri. Comunque, il fatto che un antivirus ottenga buoni risultati consistenti in diversi test è considerato un segno positivo.
Un antivirus che raggiunge buoni risultati in diversi test è in genere da preferire ad un altro che raggiunge ottimi risultati in un test ma mediocri in diversi altri.
Capita anche che un produttore di antivirus metta in discussione la validità di un test, anche se realizzato da un laboratorio autorevole.
Ad esempio, Microsoft ha criticato le scelte di AV-Test per difendere Microsoft Security Essentials, che ha ottenuto risultati tanto mediocri negli ultimi test da non riuscire ad ottenere la certificazione AV-Test, uno dei più autorevoli titoli per i prodotti antivirus.
Microsoft Security Essentials infatti ha individuato soltanto il 71% delle minacce nuove nel test AV-Test effettuato tra settembre ed ottobre 2012, salendo al 78% delle nuove minacce nel test di novembre-dicembre 2012. Un miglioramento, insufficiente però per permettere a Microsoft Security Essentials di raggiungere la soglia del punteggio minimo per la certificazione AV-Test.
In seguito alla pubblicazione dei risultati, Microsoft ha contestato la validità del campione scelto da AV-Test nella categoria zero-day, perchè (a parere di Microsoft) AV-Test avrebbe usato malware poco diffuso e quindi poco rappresentativo delle minacce reali.
Senza entrare nel merito di chi ha ragione o meno nella specifica discussione AV-Test-Microsoft, questo recente esempio ti aiuta a capire che il giudizio sulla qualità di un antivirus non è certo facile o assoluto.
CONSIGLIO: considerando le variabili, per capire se un antivirus è buono o meno è sempre meglio considerare più test invece che uno solo, e verificare se i buoni (o cattivi) risultati sono confermati da più test. Giusto come nota, nel caso di Microsoft Security Essentials i mediocri risultati sono stati poi confermati dai risultati del test di Dennis Technology Lab.
Non perdere le prossime lezioni! Segui il Corso via email, RSS, Facebook o Twitter e ricevi lezioni speciali!
Lascia un commento