Nuovo test proattivo da AV-Comparatives: i falsi positivi sono davvero così importanti?

29 Novembre 2009 · Archiviato in Approfondimenti, Sicurezza 

Approfondimenti - Una lente impietosa puntata sui temi caldi, retrospettive appassionate e dettagliate, riflessioni oltre le apparenze I labs austriaci di AV-Comparatives hanno appena rilasciato il test antivirale di novembre. Seguendo la consolidata pratica di alternare (nel corso dell’anno) l’analisi delle percentuali di riconoscimento su malware noti e quella sulle capacità proattive degli antivirus, il rapporto n.24 segue quello precedente riferito al test-bed di malware raccolti tra gennaio e agosto 2009 ma, al contrario di quest’ultimo, mette al confronto gli stessi prodotti di allora con più di 23.000 nuovi sample collezionati nella settimana seguente l’update alle firme antivirali.

I software testati sono gli stessi del rapporto n.23 con l’unica, trascurabile differenza che ora Live OneCare 2.5 di Microsoft si chiama Security Essentials 1.0 ottenendo esattamente gli stessi risultati. Ricapitolando, l’elenco completo dei prodotti esaminati da AV-Comparatives include: avast! Professional Edition 4.8, AVG Anti-Virus 8.5, AVIRA AntiVir Premium 9.0, BitDefender Antivirus 13, eScan Anti-Virus 10, ESET NOD32 Anti-Virus 4.0, F-Secure Anti-Virus 10, G DATA AntiVirus 20, Kaspersky Anti-Virus 9, Kingsoft Antivirus 2009, McAfee VirusScan Plus 13, Microsoft Security Essentials 1.0, Norman Antivirus & Anti-Spyware 7.10, Sophos Anti-Virus 7.6.10, Symantec Norton Anti-Virus 17, TrustPort Antivirus 2.8.

Il test proattivo di AV-Comparatives prende in considerazione le capacità di riconoscimento dei software di sicurezza durante la scansione on-demand, capacità quindi passive che escludono quelle caratteristiche attive come componenti HIPS, decodifica e sandboxing al volo del codice malevolo, behavioural blocker, aggiornamento in tempo reale per mezzo di tecnologie di tipo cloud computing (cioè costantemente connesse a un server remoto) e altri layer di protezione aggiuntiva.

Confrontata al precedente test proattivo (rapporto n.22), la nuova comparativa presenta svariate differenze e un paio di certezze: gli antivirus salgono (F-Secure +7, Kaspersky e McAfee +1) e soprattutto scendono (Microsoft e Sophos -3, AVG, eScan e BitDefender -2, NOD32, TrustPort, Symantec e Norman -1) nella classifica, ma al primo e al secondo posto rimangono i “soliti sospetti” Avira (74% dei sample individuati) e lo scanner multi-engine G DATA (66%).

Biohazard

Come già capita da un bel pezzo, però, al semplice dato delle percentuali di individuazione non corrisponde il livello di certificazione poi riconosciuto a un particolare software antivirale perché entra in gioco il numero di falsi positivi, una caratteristica che secondo gli esperti austriaci è capace di fare anche più danni di un’infezione reale. McAfee, TrustPort, Sophos, Norman, KingSoft e soprattutto Avira risultano dunque fortemente penalizzati dai falsi allarmi raggiungendo un “award” che altrimenti sarebbe stato superiore.

Per come l’ho sempre vista io, Andreas Clementi e colleghi tendono a dare un’importanza eccessiva ai summenzionati falsi allarmi arrivando a sottovalutare quello che dovrebbe continuare a essere il dato più importante nei test del software antivirale, vale a dire la capacità di difendere l’utente dai malware noti o sconosciuti. Parliamoci chiaro, un software legittimo riconosciuto da un AV come un programma malevolo può essere un fastidio, ma un antivirus con pochi falsi allarmi che lascia passare trojan bancari e rootkit da Master Boot Record non dovrebbe in alcun modo ricevere un riconoscimento superiore.

Se lo sforzo di Clementi è quello di rendere le sue comparative più accessibili agli utenti meno esperti, credo si tratti di uno sforzo abbastanza fallimentare: difficilmente un utente medio si sognerebbe di consultare in dettaglio un test antivirale per scegliere il prodotto che fa per lui. Dando un’occhiata all’elenco completo dei software erroneamente riconosciuti come minacce, poi, non mi pare ci sia una gran rappresentanza di software usati sulle macchine Windows di tutto il mondo. Il discorso sarebbe diverso se gli antivirus andassero usati in contesti corporate, ma considerando che i produttori presi in esame generalmente propongono un diverso tipo di sistema software per tali contesti non si può non giudicare la validità del lavoro di AV-Comparatives da un punto di vista prima di tutto consumer.

Intendiamoci, qui nessuno sta provando a “smontare” il lavoro e gli sforzi di studio analitico di AV-Comparatives, un lavoro notevole svolto nel sempre difficile e complicato ambito della sicurezza informatica. Ma a parere di chi scrive l’eccessiva importanza data ai falsi positivi rischia di vanificare i risultati di quel lavoro e produce classificazioni - queste si - falsate che non danno giustizia al reale valore di un prodotto. Per amor di verità devo confessare di essere utente di lungo corso di Avira AnviVir Premium, anche se credo che le mie argomentazioni siano valide indipendentemente da questo fatto.

Condividi questo articolo!
  • OKNOtizie
  • Facebook
  • Diggita
  • ZicZac
  • Wikio Italia
  • StumbleUpon
  • Technorati

Articoli correlati

Commenti

Lascia una risposta