TEST: Sikkerhetspakker - Funksjonalitet koster sekunder

TEST: Sikkerhetspakker - Funksjonalitet koster sekunder

Sikkerhet på pc-en skal ikke merkes. Sikkerhetssystemet skal arbeide med minimal påvirkning på pc-ens ytelse. Vi tester ti personlige sikkerhetspakker.

I årets test av personlige sikkerhetspakker har vi tatt med ti produkter. Fabrikantene som deltar i år er AVG, BitDefender, ESET, F-Secure, Kaspersky, McAfee, Norman, Symantec (Norton), Panda og Trend Micro.

Vi ba leverandørene om å gi oss sikkerhetspakker for personlig bruk, i motsetning til rene antivirusprodukter. Det vi fikk var integrerte pakker som skal ta seg av alle sikkerhetstiltak som en forventer å finne på en pc som skal ha fullgod beskyttelse. Pakken skal adressere alle trusler som normal bruk i dag medfører når vi tenker på at alle datamaskiner skal på internett, og skal kunne brukes slik uten fare for infisering og andre former for kompromittering av data og system.

Problemet med slik omfattende sikring er at funksjonene som implementerer alle sikkerhetstiltakene, krever ressurser av pc-en. Bred dekning og høy sikkerhet, samtidig som ytelsen til pc-en skal være så upåvirket som mulig, er motstridende krav til systemene. Her ligger den viktigste utfordringen for fabrikantene.

Det grunnleggende

Alle produktene i denne testen har de samme basisegenskapene. Disse er Antivirus, Brannmur, Antispionprogrammer og Antispam. Disse funksjonene går igjen i alle produktene, i litt forskjellig utforming og detaljkontroll på hvordan funksjonen arbeider. Virusskanneren og antispionprogrammet jobber på maskinens filsystem, der filer analyseres for å finne mulig destruktiv kode. Disse funksjonene kjører både i sanntid og som en dedikert jobb som enten er tidsinnstilt eller startes interaktivt av brukeren. Måten disse modulene identifiserer programvare som ikke har noe på systemet å gjøre, er todelt.

Den klassiske måten er å sammenligne bitmønstre i filene med utseendet til kjente virus. Denne teknikken kalles for signaturbasert skanning, og er en rask og effektiv metode. Ulempen er at den skadelige programvaren må være kjent og identifisert slik at signaturen finnes i skannerens database. Det er slike oppdateringer som regelmessig må lastes ned fra fabrikantenes nettsider, slik at skanneren er oppdatert. En alternativ teknikk som kommer mer og mer, er adferdsbasert skanning (også kalt «heuristisk skanning»). Dette er en måte å analysere hva programkode faktisk gjør, for å finne oppførsel som ikke er ønsket. Fordelen med denne metoden er åpenbar: en trenger ikke oppdaterte signaturer for å identifisere skadelig programvare. Problemet er at dette er en svært ressurskrevende teknikk, og det er vanskelig å garantere at teknikken finner alle typer destruktiv programvare. De aller fleste sikkerhetspakkene bruker derfor kombinasjoner av disse metodene, både i sanntidsskanningen og den manuelle skanningen.

Det er også antisøppelpost-funksjon i alle pakkene. Dette er også en skanner som søker å identifisere søppelpost i alle former. Dette er en langt enklere oppgave å løse rent ytelsesmessig, fordi e-post uansett ikke er en sanntids applikasjon.

I tillegg til disse skannerne er det en brannvegg i pakken. Denne beskytter nettverkstilkoblingen til pc-en, slik at all trafikk inn og ut av systemet overvåkes og reguleres. Dette er også kompleks programvare som krever ressurser fra systemet for å arbeide, i tillegg til at det kan være en utfordring å sette den opp på en slik måte at den implementerer det ønskete sikkerhetsnivået. For å ha detaljert styring på hva brannveggen tillater er det derfor en nødvendighet å ha svært god kunnskap om nettverk og protokoller. Dette er det ikke mulig å forutsette av brukere flest, slik at det er svært viktig at standardinnstillingene og veiviserne for brannveggoppsettet gjør en god jobb med å stille inn sikkerhetsnivået uten å plage brukeren med unødvendige detaljer.

Slik trusselbildet ser ut i dag for en pc som skal trafikkere internett, er disse grunnleggende funksjonene helt nødvendige for å holde et minstemål av sikkerhet på pc-en. I tillegg finnes det flere funksjoner som utvider og kompletterer disse modulene.

Tilleggsfunksjoner i pakkene

De aller fleste av sikkerhetspakkene vi har sett på i denne testen har funksjoner utover de grunnleggende. Det er dels skannere som er spesielt integrert i populære programmer og funksjoner på pc-en, og dels sikkerhetstillegg som har til oppgave å demme opp mot trusler som ikke grunnfunksjonaliteten håndterer like bra.

Å holde øye med innstillingene og konfigurasjonen til operativsystemet bidrar til høyere sikkerhet. Mange virus og annen destruktiv programvare endrer på oppsettet til pc-en når de etablerer seg på systemet. Dette kan være å legge seg til i listen over programmer som skal startes når maskinen starter opp, til å erstatte operativsystemfiler for å gjemme seg blant filer som skal være på systemet. I begge tilfeller lar slike angrep seg avverge ved å overvåke operativsystemet.

Falske nettsider er et økende problem på nettet, der svindlerne forsøker å gi sin nettside utseendet til en kjent side, for å få brukerne til å oppgi private data i god tro. Et typisk eksempel er å lage en falsk nettbank for å få brukerne til å oppgi konto- og passordinformasjon. Mange sikkerhetspakker tilbyr funksjoner for å motstå slike svindelforsøk. Disse funksjonene kalles ofte for «anti-phishing» eller liknende, der programvaren forsøker å identifisere slike trusler. Dette løses ofte ved hjelp av lister over tillatte og forbudte nettsteder. I tillegg kan programmene sjekke nettadresser mot lister av kjente adresser som gjør at en kan si noe om nettstedet er det som det gir seg ut for å være.

Det finnes også andre funksjoner som ikke direkte er sikkerhetsfunksjoner i enkelte av pakkene. Mange har for eksempel implementert foreldrekontroll av pc-en, slik at det er mulig å kontrollere hvilke nettsteder maskinen kan brukes mot når barna bruker pc-en. Noen har også lagd systemer for sikker lagring av nøkkeldata på pc-en, slik at de lar seg låse dersom maskinen blir stjålet. Dette er eksempler på slike litt mer perifere funksjoner som enkelte av fabrikantene har valgt å legge inn i sikkerhetspakkene sine. Vi har ikke lagt stor vekt på tilstedeværelsen av slike funksjoner i vår test.

Treffprosenten

Funksjonen til en sikkerhetspakke er å identifisere og uskadeliggjøre trusler på pc-en. Da er sikkerhetspakken nødt til å finne så mange trusler som overhodet mulig for å løse oppgaven sin tilfredsstillende. Treffprosenten blir dermed et måltall på hvor godt sikkerhetssystemet løser denne oppgaven.

Tidligere var treffprosenten til en skanner ett av de aller viktigste kriteriene for valg av produkt. Dette er i beste fall en omtrentlighet i dag, fordi trusselbildet endrer seg hele tiden. En oppgitt treffprosent blir derfor et øyeblikksbilde av ytelsen til skanneren på tidspunktet som testen ble utført. Da har det mer for seg å studere hvordan et produkt yter over tid, og sjekke hvordan fabrikanten har gjort det historisk over en serie med tester.

PC World Norge har i en årrekke benyttet det anerkjente nettstedet Virus Bulletin (www.virusbtn.com) som kilde for treffprosenten til skanneprogrammene. Dette laboratoriet har en pris som de kaller for «VB100 Award». Denne prisen tildeles produkter som har klart å identifisere alle virus som er i omløp på internett («Wild list») på tidspunktet for testen, både i sanntidsskanning og manuelt kjørt skanning. I tillegg må ikke produktet lage «falske positiver», altså alarmere om en trussel som ved nærmere ettersyn viser seg ikke å være tilstede. Denne prisen deles ut til alle produkter som klarer kriteriene over i en test som nettstedet gjennomfører med jevne mellomrom.

Alle produktene vi har sett på i vår test har fått tildelt en eller flere «VB100»-priser gjennom historien. Vi har forholdt oss til summen av alle VB100-tester som produkt og fabrikant har gjennomgått for å få et sammenlignbart tall for treffprosenten til produktene. Her er det verd å merke seg at ikke alle fabrikanter ønsker å bli testet for VB100.

Enkelte fabrikanter har ment at metodikken til laboratoriet ikke holder mål, med det resultat at fabrikantens produkt kommer dårligere ut enn det fabrikanten mener er riktig. Slike konflikter har to av deltakerne i vår test vært i, og derfor har vi dårligere datagrunnlag på disse enn på de andre. Vi har likevel valgt å forholde oss til de resultatene som foreligger, men vil minne om at det ikke er sikkert at verdien på disse resultatene er like pålitelig som for de som har vært testet et stort antall ganger.

Hva vi har vektlagt

I denne testen har vi lagt aller høyest vekt på ytelsen. Det er fordi at ytelsen til produktene påvirker direkte hvordan brukeropplevelsen av pc-en er. Det er meningsløst å ha svært høy sikkerhet dersom datamaskinen ikke klarer å utføre primæroppgavene sine på grunn av at sikkerhetssystemet tar alle ressursene til maskinen. Ytelsesforringelsen til pc-en må derfor være så liten som mulig når slike systemer er i bruk. Vår testmaskin var en normal konfigurasjon, slik at på en pc med svært høy ytelse vil forskjellene på produktene bli langt mindre. Ikke desto mindre er det viktig at sikkerhetspakken bruker så lite ressurser som mulig, og dette har vi vektlagt med 60 prosent i vår test.

Treffsikkerheten til sikkerhetspakken er viktig, og vi har vektlagt denne med 25 prosent av totalskåren. Måten vi har kvantifisert dette på, er ved hjelp av VB100-prisen som nettstedet virusbtn.com deler ut.

Prisen på sikkerhetspakken teller 10 prosent av skåren. Vi har funnet prisene på nettsidene eller nettbutikkene hos fabrikantene den 4. januar 2011. For de av fabrikantene som ikke har oppgitt pris i norske kroner, har vi regnet om prisen. Da baserte vi prisen på kursene til Aftenpostens valutakalkulator den 4. januar 2011. Prisene som vi har regnet ut er merket med «ca» i prisopplysningen i faktaboksene til produktene.

Til sist har vi vurdert tilleggsfunksjonene som følger med i pakken. Dette er en mer subjektiv vurdering av antall og nyttighet, og teller kun 5 prosent av totalskåren til produktet.

Les mer om sikkerhetspakkene på de følgende sidene:

Se grafene med våre testresultater, les mer om testmetodene og se hvilken sikkerhetspakke som går av med seieren på de neste sidene.

Les om: