W ubiegłym miesiącu opublikowaliśmy test ochrony przed zagrożeniami typu ransomware. Jeżeli jeszcze ktoś z Was nie miał okazji zapoznać się z opracowanym materiałem i artykułem do testu, to gorąco do tego zachęcamy – nie tylko ze względu na porównawcze wyniki programów antywirusowych, gdzie udowodniliśmy, że kilku producentów zawodzi pod tym względem i oferuje oprogramowanie stricte do ochrony przed ransomware (np. Malwarebytes Anti-Ransomware, który wypadł bardzo kiepsko), ale co najważniejsze, postaraliśmy się wyjaśnić, w jaki sposób działają te wirusy, dlaczego sprawiają tyle trudności aplikacjom bezpieczeństwa oraz, co jest powodem, że sprawiają tyle problemów zarówno użytkownikom indywidualnym, jak i korporacyjnym.
W tym artykule postaramy się skonfrontować najnowszy stabilny pakiet Comodo Internet Security 10 w wersji bezpłatnej z również darmowym Comodo Cloud Antivirus, którego udoskonalona wersja miała niedawno premierę. Ale zanim to zrobimy, rzućcie okiem na tabelkę z naszego testu:
Skąd taka rozbieżność w wynikach, które na pierwszy rzut oka dotyczą programów korzystających z identycznych technologii zabezpieczających, a jedyne różnice pomiędzy produktami Comodo wynikają z zaimplementowanych funkcjonalności?
Comodo Cloud Antivirus, jak i Comodo Internet Security w wersji 8 oraz 10 BETA, na czas testu (listopad 2016) charakteryzowały się:
– automatyczną piaskownicą,
– reputacją plików w chmurze,
– skanerem w czasie rzeczywistym,
– wyłączonym modułem HIPS (testowaliśmy wszystkie programy na ustawieniach domyślnych),
– moduł Viruscope, który monitoruje uruchomione procesy i umożliwia przywrócenie ustawień systemowych, w przypadku, gdy antywirus Comodo wykryje modyfikację istotnych elementów systemu,
– Comodo Cloud Antivirus nie posiada modułu Viruscope, ale jest wyposażony w dodatkową automatyczną piaskownicę w chmurze: autorski sandbox firmy Comodo o nazwie Valkyrie (jego nazwa pochodzi od imienia mitologicznej córki Odyna, boga wikingów). Valkyrie w pewnym sensie przypomina znany serwis VirusTotal i znajduje się pod tym adresem WWW: https://valkyrie.comodo.com. Po zalogowaniu się użytkownik ma możliwość wysyłania plików do analizy. W przypadku antywirusa Comodo Cloud Antivius, osoba korzystająca z tego rozwiązania otrzymuje pełny dostęp do funkcji systemu Valkyrie – chociaż analiza przebiega automatycznie bez ingerencji człowieka. System Valkyrie dostępny jest także w produkcie biznesowym firmy Comodo: IT and Security Management (ITSM), gdzie występuje w dwóch subskrypcjach:
- bezpłatnej z podstawową analizą
- oraz płatnej, która oddaje w ręce informatyków bardziej szczegółowe raportowanie oraz opiekę techniczną producenta w przypadku poważnych infekcji.
Problem jednak w tym, że z niewiadomych na czas testów przyczyn, Comodo w wersji BETA 10 nie uwzględniał ustawień automatycznej piaskownicy. Normalnie, nierozpoznany plik przez sygnatury oraz po wymianie informacji z chmurą Comodo (na podstawie której jeśli plik nadal jest traktowany jako nierozpoznany), aplikacja powinna zostać uruchomiona w bezpiecznym środowisku sandbox. Tak się jednak nie stało. Nie uzyskaliśmy odpowiedzi od producenta, co mogło być tego powodem. Natomiast jedno jest pewne – jest to dobry argument przemawiający za nie testowaniem wersji niestabilnych. W przypadku naszego testu mieliśmy świadomość, że stabilna wersja Comodo w wersji 10 zostanie wydane lada dzień, więc mimo wszystko postanowiliśmy dołączyć program do badań. Niestety, na wersję stabilną przyszło nam czekać aż do 22 grudnia.
Porównując wyniki z testu na ochronę przed ransomware warto zwrócić uwagę na fakt, że w tej rodziny wirusów, Comodo 10 w wersji testowej (BETA) mógł nie być przygotowany w wystarczającym stopniu do oficjalnych, porównawczych testów. Na prośbę producenta powtórzyliśmy ten sam test i specjalnie na potrzeby tego artykułu śpieszymy z informacją, że wszystkie zagrożenia, które brały udział w teście, tym razem zostały bezbłędnie wykryte ochroną heurystyczną: część sygnaturami, jednak znaczna część została poprawnie uruchomiona w sandboxie.
Comodo 10 nowości
Comodo Internet Security 10 wnosi całkiem nowy moduł – Bezpieczne Zakupy. To unikalne rozwiązanie zapewnia bezpieczeństwo bankowości internetowej i zakupów online pozwalając łączyć się z Internetem z poziomu:
a. bezpiecznego środowiska wirtualnego – podczas próby odwiedzenia strony internetowej z listy stron w module Bezpieczne Zakupy, antywirus wyświetli komunikat, pytając użytkownika, czy chce otworzyć witrynę za pomocą bezpiecznej przeglądarki, zaproponuje też otworzenie wirtualnego środowiska, z którego możliwe jest dokonanie bezpiecznej transakcji.
b. wyłącznie przez przeglądarkę domyślną lub tę wskazaną przez użytkownika w zaawansowanych ustawieniach modułu Bezpieczne Zakupy:
Moduł Bezpiecznych Zakupów (angielska nazwa Secure Shopping) wbrew dotychczasowym doniesieniom producenta, jednak został uwzględniony w wersji bezpłatnej Comodo Internet Security Premium 10. Łączy w sobie ochronę przed keyloggerami, trojanami, robakami, screenloggerami, a także izoluje procesy uniemożliwiając wstrzykiwanie złośliwego kodu do przeglądarki w środowisku wirtualnym oraz sprawdza poprawność i datę ważności certyfikatu SSL. Co więcej, Bezpieczne Zakupy nie ogranicza się jedynie do internetowych zakupów lub przelewów. Tak jak i w poprzednich latach, Bezpieczne Zakupy to także ulepszone zwirtualizowane środowisko, znane z poprzednich wersji jako Wirtualny Kiosk, które może posłużyć do testowania nieznanego oprogramowania, czy bezpiecznego zdalnego połączenia.
- W nowej wersji odświeżono także interfejs graficzny dodając dwa nowe tematy: Arcadia i Lycia. I trzeba przyznać, że zmiany te są jak najbardziej uzasadnione.
- Dodano weryfikowanie poprawności certyfikatów SSL (Internet Security Essentials), co powinno zapobiegać atakom MITM.
- W przypadku wersji Comodo Internet Security Complete, ilość miejsca na backup danych zwiększono dwukrotnie: z 25GB do 50GB w chmurze Comodo.
- Oprócz powyższych zmian usprawniono działanie niektórych modułów, producent pozbył się mniejszych błędów i zoptymalizował system oceny plików w chmurze.
Test porównawczy Comodo Internet Security 10 i Comodo Cloud Antivirus
Do zweryfikowania skuteczności ochrony w czasie rzeczywistym programu Comodo Internet Security 10 w wersji 10.0.0 i Comodo Cloud Antivirus w wersji 1.8.4 wykorzystaliśmy najnowszy Windows 10 x64 ze wszystkimi aktualizacjami. W przypadku Comodo Internet Security 10, bazy sygnatur przed testem zostały zaktualizowane do najnowszej wersji. Przez cały okres badania antywirusy miał stały dostęp do sieci.
Ochrona w czasie rzeczywistym
Test został podzielony na trzy fazy, w którym każda następna była zależna od poprzedniej.
1. Pierwszy etap przewidywał zablokowanie szkodliwego oprogramowania już w przeglądarce. W ciągu 12 godzin automat sekwencyjnie uruchamiał nowy zestaw 40 złośliwych stron WWW, które były bezpośrednim odnośnikiem do szkodliwych plików, m.in.: trojanów, backdoorów, ransomware i downloaderów. Przy czym należy tutaj uwzględnić, że złośliwe adresy URL nie były starsze niż 3 dni, co oznacza, że do testu wykorzystano kolekcję wirusów nowych, których czas istnienia szacowano na co najwyżej 3 dni.
2. W drugiej fazie testu sprawdziliśmy skuteczność ochrony lokalnej przed zagrożeniami, które nie zostały wykryte w fazie pierwszej.
3. Trzecia faza odzwierciedlała ochronę heurystyczną – jeśli w fazie drugiej zagrożenie nie zostało automatycznie zablokowane.
Na podstawie zgromadzonych logów ustalono poziom ochrony.
| Dzień | 1 | 2 | 3 | 4 | 5 | 6 | 7 | Razem |
|---|---|---|---|---|---|---|---|---|
|
Comodo Cloud Antiviurs |
40/40 — 1: 0 2: 0 3: 40 |
40/40 — 1: 35 2: 2 3: 3 |
40/40 — 1: 0 2: 0 3: 40 |
40/40 — 1: 0 2: 0 3: 40 |
40/40 — 1: 0 2: 0 3: 40 |
40/40 — 1: 0 2: 0 3: 40 |
40/40 — 1: 0 2: 0 3: 40 |
280/280 |
|
Comodo Internet Security 10 |
40/40 — 1: 0 2: 3 3: 37 |
40/40 — 1: 0 2: 8 3: 32 |
40/40 — 1: 0 2: 16 3: 24 |
40/40 — 1: 0 2: 11 3: 29 |
40/40 — 1: 0 2: 27 3: 13 |
40/40 — 1: 0 2: 19 3: 21 |
40/40 — 1: 0 2: 12 3: 28 |
280/280 |
Kilka słów wyjaśnienia:
40/40: oznacza całkowity wynik detekcji szkodliwego oprogramowania dla konkretnego zestawu próbek.
1: [liczba] oznacza ilość zablokowanych zagrożeń w przeglądarce.
2: [liczba] oznacza ilość automatycznie zablokowanych zagrożeń po zapisaniu ich na dysku.
3: [liczba] oznacza ilość zablokowanych zagrożeń przez analizę heurystyczną. W tym przypadku, możemy jasno stwierdzić, ile próbek antywirus nie zdołał rozpoznać przez sprawdzanie reputacji plików w chmurze lub definicji sygnatur. Ale oznacza to także, czy ochrona antywirusowa radzi sobie wystarczająco z nieznanymi wirusami.
Do ochrony programów od Comodo w stabilnych wersjach nie mamy żadnych zastrzeżeń. Jeżeli potrzebujecie dodatkowej ochrony przed złośliwymi stronami WWW lub stronami phishingowymi, rekomendujemy instalację pluginu do przeglądarki Bitdefender TrafficLight.
Wydajność Comodo Internet Security 10 i Comodo Cloud Antivirus
Na stacji roboczej wyposażonej w nowoczesny 2-rdzeniowy procesor oraz 2 GB pamięci RAM na pokładzie, sprawdziliśmy wydajność Comodo Internet Security 10. Celem tego testu było zbadanie zapotrzebowania procesów antywirusa na CPU i RAM. Metoda ta pozwala odseparować zużycie procesora oraz wykorzystanie pamięci RAM przez zainstalowane aplikacje w systemie od programu antywirusowego.
W trybie jałowym, podczas 5 minutowego testu zbieraliśmy wyniki wykorzystania czasu procesora przez wszystkie procesy antywirusa oraz pamięci RAM. Wyniki uśredniono.
Jeżeli możemy skomentować w jakiś sposób tak małe zapotrzebowanie na zasoby sprzętowe komputera, to Comodo, jak i zresztą wszystkie antywirusy, do uzyskania lepszej wydajności wymagają przeprowadzenia pełnego skanowania. Jest to niezwykle istotna operacja dla wydajności całego systemu. W przypadku, kiedy wszystkie pliki zostaną przeskanowane, „narzut” procesów antywirusa na CPU i RAM będzie mniejszy.
Comodo Cloud Antivirus nie wykorzystuje do ochrony lokalnych sygnatur, dlatego zużycie zasobów tego antywirusa w chmurze będzie bardo porównywalne lub wyraźnie mniejsze.
Warto jeszcze pamiętać o jednej rzeczy – im mniej zbędnych pluginów w przeglądarkach, im mniej programów w autostarcie, im mniej zainstalowanego niepotrzebnego oprogramowania, tym lepiej dla waszego sprzętu. Zwiększycie dzięki temu wydajność. bezpieczeństwo oraz zmniejszą się temperatury poszczególnych podzespołów.
Podsumowanie
Chyba niewiele ponad to, co zostało udowodnione w powyższych testach można jeszcze dodać. Zarówno Comodo Internet Security 10, jak i wersja w „chmurze” nie chroni już na etapie przeglądarki (dla niektórych osób może to być ważne),ale za to Comodo nadrabia tym, do czego od pierwszych wersji zostało zaprogramowanie – skutecznością ochrony przed nieznanym, złośliwym oprogramowaniem.
Wyniki z wersji 10 BETA z naszego testu ochrony przed ransomware należałoby już puścić w niepamięć. Producent wydając stabilną wersję zdołał naprawić problemy, co zaowocowało poprawną detekcję tych samych zagrożeń ransomware oraz zestawu 280 próbek, z czego aż 184 zostało wykrytych analizą heurystyczną, na którą składają się m.in.: automatyczna piaskownica, analiza reputacji plików w chmurze oraz Virusscope.
Pamiętajcie, że ten krótki test uwzględniał domyślne ustawienia producenta. Włączenie dodatkowego składnika ochrony – modułu HIPS – jeszcze w większym stopniu może poprawić ochronę. A jeśli mowa o Comodo Cloud Antivirus – po raz kolejny Comodo pokazuje, jak skuteczny staje się ich system Valkyrie. Brawo Comodo.
Porównanie Comodo Internet Security 10 vs Comodo Cloud Antivirus:
| Cecha | Comodo Internet Security 10 | Comodo Cloud Antiviurs |
|---|---|---|
| Automatyczna piaskownica | TAK | TAK |
| Wirtualny pulpit | TAK | NIE |
| Kompatybilność z Windows XP, 7, 8, 10 | TAK | TAK |
| Ochrona oparta na chmurze | TAK | TAK |
| Ochrona oparta o lokalne sygnatury | TAK | NIE |
| Analiza plików w chmurze | TAK | TAK |
| HIPS | TAK | NIE |
| Viruscope | TAK | TAK |
| Firewall | TAK | NIE |
| Bezpieczne Zakupy | TAK | NIE |
| Wsparcie techniczne | TAK – tylko dla płatnych wersji | NIE |
| Gwarancja $500 | TAK – tylko dla płatnych wersji | NIE |
| 50GB na dane w chmurze | TAK – tylko płatne wersje | NIE |
| 10GB transferu TrustConnect | TAK – tylko płatne wersje | NIE |
