Ricerca in FOLBlog

Il miglior antivirus – agosto 2008

 Scritto da alle 00:15 del 25/09/2008  Aggiungi commenti
Set 252008
 
closeQuesto articolo è stato pubblicato 8 anni 11 mesi 25 giorni giorni fa quindi alcuni contenuti o informazioni presenti in esso potrebbero non essere più validi. Questo sito non è responsabile per eventuali errori causati da questo problema.

Qual'è ilmiglior antivirus?

Come fa con regolare cadenza trimestrale, AV-Comparative, società no-profit, ha di recente pubblicato l’ultimo report con i risultati dei test sugli antivirus più diffusi effettuato in agosto 2008.
Dal test risulta che i migliori antivirus sono Avira Premium e GDATA.
Questo report, disponibile anche per la consultazione online, porta con se alcune conferme ma anche qualche sorpresa.

La sorpresa maggiore, per me, è certamente il repentino declino di NOD32, mio antivirus preferito[1].
Inoltre si assiste, dopo un periodo di risultati non brillanti, ad un’ottima performances di Norton Antivirus 2009 che si classifica al 3° posto.

Le conferme arrivano da Avira Premium[2] e GDATA, che avevo già segnalato in passato.
GDATA risulta il migliore nel rilevamento di virus, macro virus, worms e script (GDATA 99,4%, AVIRA 99,2) mentre AVIRA risulta il migliore nello scovare backdoors, trojans ed altri malware (AVIRA 99,2%, GDATA 99,0%).

Il report di AV-Comparative è abbastanza dettagliato e consente di farsi un’idea ben precisa delle qualità dei vari antivirus testati. Occorre però spendere un po’ di tempo per capire i risultati ed apprezzarne il significato.

Innanzi tutto, nella modalità di testing on-demand (cioè utilizzando la funzione di scansione dei file memorizzati su hard disk) con cui si è svolto l’ultimo test, vengono utilizzati due set di file infetti:
– il Set B comprende malware recenti, presentatosi negli ultimi nove mesi (in questo caso da ottobre 2007 a luglio 2008);
– il Set A comprende invece malware datato, generato tra l’agosto 2005 al settembre 2007;

Suddividendo in questo modo i malware, si è in grado di valutare la capacità di un antivirus di individuare il malware più recente, oltre che quello noto.
L’indice più significativo nel determinare l’efficacia complessiva dell’antivirus, da questo punto di vista, è quello che tiene conto di entrambi i set di malware (Set A + B).

Un’altra considerazione va fatta sulla tipologia di malware riconosciuta.
Per un antivirus è molto importante essere in grado di riconoscere soprattutto una certa tipologia di malware (ad esempio Trojans e Backdoors), sia perchè sono potenzialmente vettori del rischio maggiore sia perchè sono nettamente più diffusi (su 1096202 malware utilizzati nel test, oltre 960000 –più dell’87%- erano di questo tipo).

Inoltre, occorre considerare anche l’efficienza dell’antivirus; occorre cioè valutare quante risorse di sistema utilizza per fare il proprio lavoro, la sua invasività e quanto “pesa” in generale sulle prestazioni di sistema.
Questo dato, purtroppo, non è indicato nel rapporto ed in certi casi può invece essere determinanante ai fini della scelta.
Molte risorse sono utilizzate dagli antivirus per la scansione in tempo reale dei file, cioè quella scansione effettuata durante l’accesso o l’esecuzione dei files, oppure durante il download dei messaggi i posta elettronica.
Se questo processo di analisi non è efficiente, le prestazioni di sistema ne risentono.

La velocità indicata nel report si riferisce alla rapidità con cui viene completata la scansione antivirus on-demand; il migliore da questo punto di vista è risultato Norton Antivirus con una velocità di scansione pari a 22,2 MB/sec. Per riferimento si noti che AVIRA ha registrato un dato pari a 14 MB/sec, Kaspersky 13,9 MB/sec, GDATA 10,8 MB/sec, e VBA32 (il peggiore nel test) 2,9 MB/sec.
Questo dato, a mio parere tra i meno rilevanti, è pesantemente influenzato dal tipo di metodologie di analisi adottate e dalla profondità del controllo eseguito; paradossalmente un antivirus che analizza i files in modo meno approfondito è in grado di ottenere performances superiori; da considerare, perciò, solo dopo altri fattori.

Un aspetto che ritengo fondamentale per determinare l’efficacia di un antivirus è la capacità di riconoscere varianti di malware noto, oppure nuove minacce, prima che il database che contiene le firme sia aggiornato.
In questo lasso di tempo, l’antivirus dotato dei meccanismi di analisi euristica utilizzati solitamenteper questo scopo, pur non riuscendo ad eliminare la minaccia dal file analizzato, è in grado di riconoscerlo come file sospetto e bloccarne l’accesso o ad isolarlo in un’apposita quarantena.
In questo report, questa qualità non è analizzata.
AV-Comparative prevede per questo un apposito test  che chiama Retrospective/ProActive Test, che tramite un analisi a posteriori è in grado di ottenere una valutazione anche di questa qualità.
L’ultimo report sul Retrospective Test disponibile ad oggi è quello del maggio 2008 (consultabile anche online)

Infine due parole sui falsi positivi, cioè sui file che vengono erroneamente individuati come infetti.
Sotto questo aspetto GDATA non brilla affatto (62 falsi positivi contro i 28 di Kaspersky, i 17 di AVIRA, i 12 di Norton, i 7 di NOD32, l’1 di McAfee e i 117 di Sophos).
Questo dato, che preso da solo dice poco, va inserito nel contesto generale.
Va da se che un antivirus incapace di rilevare malware avrà tendenzialmente anche un bassissimo numero di falsi positivi.
Ma un numero eccessivo (e 62 sono davvero tanti) rischia di disorientare l’utente, che sarà portato a “dar retta” all’antivirus nel timore di un rischio inesistente, rischiando di eliminare file inutilmente o rinunciare a software ritenuti erroneamente veicoli di infezione.
Nel report, AV-Comparative suddividei n categorie i risultati relativi ai falsi positivi ottenuti, in base alla seguente tabella:

Categoria Num. falsi positivi
Very few 0-3
few 4-15
many 16-100
very many 101-500
crazy many oltre 500

Per ulteriori dettagli e spiegazioni sulla metodologia di testing, è disponibile un documento esplicativo molto esaustivo.

Unica nota negativa: non vengono testati antivirus gratuiti[3]. Sarebbe interessante invece un confronto coi prodotti commerciali testati.
Inoltre non viene indicato il prezzo dell’antivirus, utile per avere un’idea del rapporto qualità/prezzo.

[ratings]

Technorati Tags: antivirus,comparazione,test,AV-Comparative,recensioni,confronto

[1]
C’è da dire che viene testata la nuova versione 3 e non la versione 2.70, attualmente l’unica disponibile in italiano. So che generalmente si è portati a pensare che una versione successiva sia certamente migliore di quella precedente, ma purtroppo non è sempre così, soprattutto quando il progetto viene stravolto totalmente o quasi come è accaduto per NOD32, che nella sua versione 3 ha ambizioni di essere una suite di protezione globale, includendo e potenziando funzioni di firewall ed antispyware.


[2]
N.B. Non si tratta, ahimè, della versione gratuita.


[3]
Dal 2008 AV-Comparative, pur essendo un’azienda no-profit, si fa pagare per svolgere i test, fino ad allora svolti gratuitamente. Probabilmente è questa la ragione dell’assenza di test su antivirus free.
La scelta di chiedere un compenso per il lavoro svolto (utile sia come feedback alle aziende produttrici di antivirus, sia come veicolo pubblicitario), assolutamente lecita, espone l’azienda alle solite critiche dietrologiche che sospettano il rischio che i risultati finali siano manipolati a seconda del compenso ricevuto.
A mio parere, ben ha fatto AV-Comparative a dichiarare apertamente la scelta fatta, assicurando trasparenza al suo comportamento. Roba rara. Speriamo che la fiducia sia ben riposta.

Articoli simili:

  • Facebook
  • Twitter
  • Delicious
  • StumbleUpon
  • Wikio
  • Reddit
  • Technorati
  • Segnalo
  • Live
  • Add to favorites
  • Email
  • RSS

 Lascia un commento

Puoi usare questi tag e attributi HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

(richiesto)

(richiesto)

Pinterest
EmailEmail
PrintPrint
%d blogger hanno fatto clic su Mi Piace per questo: