Anti-virus testing website

Tuesday, March 09, 2010 Long Nguyễn Hoàng 0 Comments

Bạn muốn cài đặt một phần mềm bảo vệ hệ thống, và bạn muốn chọn một sản phẩm hoàn hảo, đây là mong muốn chung của mọi người. Với những người mới sử dụng máy tính, và thậm chí cả những người đã sử dụng máy tính đã lâu, có lẽ sẽ dễ bị lúng túng trước sự đa dạng của thị trường phần mềm an ninh hiện nay. Và thật dễ hiểu nếu bạn tìm kiếm một bài viết đánh giá nào đó làm cơ sở cho sự lựa chọn của mình. Tuy vậy, hãy đọc qua bài viết dưới đây để tránh trở thành nạn nhân của những trang web lừa đảo trên mạng.

Hy vọng bài viết sẽ cung cấp cho bạn những thông tin cần thiết về những tổ chức kiểm nghiệm phần mềm an ninh có uy tín và các chứng nhận kiểm nghiệm đáng tin cậy.


1. Tầm quan trọng của các trang web thử nghiệm độc lập

Nếu không có các trang web thử nghiệm độc lập, người tiêu dùng sẽ không thể biết đâu là giải pháp tốt hơn để bảo vệ hệ thống của họ, khi mà trên thị trường phần mềm hiện nay có tới hàng trăm phần mềm bảo vệ hệ thống khác nhau. Nhiều tổ chức thử nghiệm đặt mục tiêu công bố các kết quả thử nghiệm độc lập của họ rộng rãi tới những người dùng, đầu tư nhiều thời gian và tiền bạc, cũng như trau dồi các kiến thức chuyên môn theo từng năm, để có thể đạt được khả năng thực hiện những thử nghiệm phức tạp.

2. Các tổ chức thử nghiệm đáng tin cậy

Hiện nay có không nhiều các tổ chức thử nghiệm độc lập và các chứng chỉ đáng tin cậy, một số cái tên dưới đây đã được xác nhận là đáng tin cậy, và có thể bạn cũng đã từng nghe tới chúng:
  • AV-Comparatives.org (www.av-comparatives.org)
  • AV-Test GmbH (www.av-test.de)
  • CheckVir (www.checkvir.com)
  • ICSA Labs (www.icsalabs.com)
  • VirusBulletin (www.virusbtn.com)
  • West Coast Labs (www.westcoastlabs.com)
Các tổ chức này khác nhau đôi chút về phương pháp thử nghiệm và các bộ thử nghiệm sử dụng, nhưng các kết quả thử nghiệm của họ thì khá là giống nhau. Thường thì bạn có thể so sánh kết quả thử nghiệm của các nhóm thử nghiệm sau với nhau:
  • Thử nghiệm với các bộ thử nghiệm lớn: AV-Comparatives <--------> AV-Test GmbH
  • Thử nghiệm dựa trên các mẫu thử của ITW: VirusBulletin <--------> CheckVir
  • Chứng nhận: ICSA Labs <--------> West Coast Labs


Nhóm thử nghiệm độc lập với các bộ thử nghiệm toàn diện

AV-Test GmbH và AV-Comparatives đều sử dụng các bộ thử nghiệm lớn, với khoảng một triệu mẫu thử. Họ không giới hạn mẫu thử của mình và thêm mọi loại mã độc (malware) có thể gặp phải trong thế giới thực. Để hiệu quả, thử nghiệm phát hiện phải đạt được tính toàn vẹn và không chỉ bao gồm các mẫu thử có trong danh sách WildList. Mặt khác, việc phát hiện trước các mẫu virus mới là rất quan trọng, vì thế các thử nghiệm phải được kết hợp, ví dụ như việc đo khả năng phát hiện đón đầu các mẫu mới chưa có trong cơ sở dữ liệu.

AV-Comparatives.org (http://av-comparatives.org)
Những thử nghiệm được tiến hành bởi Andreas Clementi và nhóm của ông. AV-Comparatives đã tiến hành các thử nghiệm trong nhiều năm, và bắt đầu công bố rộng rãi kết quả thử nghiệm của họ từ năm 2004. Họ có quy tắc thử nghiệm rất nghiêm ngặt và tiến hành thử nghiệm định kỳ (mỗi 3 tháng) và sử dụng từ 16-18 sản phẩm tốt nhất dành cho người sử dụng trong gia đình với tỷ lệ phát hiện trên 85%, chạy trên hệ điều hành phổ biến nhất hiện nay. Phương pháp thử nghiệm và các báo cáo, kết quả thử nghiệm được công bố rộng rãi, miễn phí trên trang web của họ. Họ thực hiện những thử nghiệm rất toàn diện, bao gồm (nhưng không giới hạn): thử nghiệm phát hiện theo yêu cầu (on-demand detection test) trên một lượng lớn các mẫu thử, thử nghiệm phát hiện và chống lại các mã độc mới chưa có trong cơ sở dữ liệu, hay gọi tắt là khả năng quét đón đầu (retrospective/proactive), thử nghiệm phát hiện các virus đa hình, thử nghiệm các cảnh báo sai (False Alarm test), thử nghiệm tốc độ quét (Scanning speed test), thử nghiệm hiệu năng hoạt động (Performance test), thử nghiệm khả năng loại bỏ các mã độc bị phát hiện (Removal test),... Ngoài ra còn có nhiều cuộc thử nghiệm đặc biệt khác nữa, ví dụ như: khả năng nhận diện và gỡ bỏ các ứng dụng tiềm ẩn nguy cơ không mong muốn (PUA Test), thử nghiệm động (Dynamic test).
Các kết quả thử nghiệm được công bố ngay sau khi thử nghiệm được hoàn thành. AV-Comparatives xếp hạng các phần mềm theo 3 giải: Standard, Advanced và Advanced+


AV-Test GmbH (http://www.av-test.org)
Các thử nghiệm được tiến hành bởi Adreas Marx và các cộng sự. AV-Test GmbH đã tiến hành nhiều cuộc thử nghiệm về khả năng diệt virus (và cả những sản phẩm an ninh khác như tường lửa,...) trong nhiều năm, theo định kỳ, và công bố rộng rãi các kết quả thử nghiệm của họ trên nhiều nguồn trực tuyến và báo giấy đại diện của các nhà sản xuất phần mềm và các tạp chí khác. AV-Test GmbH là trung tâm thử nghiệm diệt virus lớn nhất thế giới và tiến hành các thử nghiệm rất toàn diện trên nhiều nền khác nhau, bao gồm (nhưng không giới hạn): outbreak test, thử nghiệm lưu trữ/đóng gói, thử nghiệm quét theo yêu cầu (on-demand test) và quét hê thống khi đang thực hiện các ứng dụng khác (on-access test) trên một lượng lớn mẫu thử, thử nghiệm ITW, tốc độ quét, sử dụng tài nguyên hệ thống,... Phương pháp thử nghiệm của họ được công bố, nhưng không miễn phí. Các kết quả có thể tìm đọc trên các tạp chí nổi tiếng và phổ biến nhất, nhưng không có trên trang web của họ.


Các thử nghiệm độc lập dựa chủ yếu trên WildList
WildList (http://www.wildlist.org) bao gồm các virus lây lan rộng rãi nhất trên thế giới WildList được phát hành hàng tháng, nhưng thường thì nó có độ trễ khoảng vài tháng. Điều đó có nghĩa là các nhà phát triển phần mềm diệt virus có vài tháng để phát hiện các virus được báo cáo trên WildList. WildList chứa chủ yếu các virus và sâu máy tính, cho dù đó không phải là các mối nguy hại chính hiện nay, khi mà Trojan và các mã độc tương tự khác trở nên phổ biến hơn. Còn có một chú ý quan trọng nữa là một số tổ chức sử dụng bộ tập hợp mã độc WildCore trong khi các tổ chức khác (như AV-Comparatives) thì không, điều đó dẫn đến việc thử nghiệm trên các mẫu sao chép được sử dụng đôi khi khác nhau. Bất kỳ một sản phẩm đáng giá nào đều cần phải vượt qua thử nghiệm ITW.


VirusBulletin
Các thử nghiệm VB100 được thực hiện bởi John Hawes mỗi tháng một lần, trên các nền tảng khác nhau. Các sản phẩm diệt virus được thử nghiệm trên các bộ thử nghiệm VB, chủ yếu trong đó là bộ mẫu các virus đã được liệt kê tại WildList.  Còn các bộ thử nghiệm khác, ví dụ như thử nghiệm đa hình, cũng được sử dụng trong thử nghiệm, nhưng chỉ cho sản phẩm đã vượt qua được thử nghiệm, và giành giải VB100 cao nhất. Sản phẩm đó không những phải phát hiện được tất cả các virus ITW, đối với thử nghiệm on-demand và on-access, mà còn không được làm tăng bất kỳ một báo động nhầm nào đối với các gói mẫu sạch được sử dụng bởi Virus Bulletin. Kết quả chi tiết, bao gồm thử nghiệm đo tốc độ, được công bố hàng tháng trên tạp chí Virus Bulletin (phí đăng ký hàng năm là $175). Tạp chí còn bao gồm nhiều tin tức, các phân tích và các bài viết hay trong lĩnh vực diệt virus. Các kết quả thô của các thử nghiệm VB100 (vượt qua hay trượt) được công bố trên trang web của VB100. Các kết quả và đánh giá chi tiết của các năm trước cũng được công bố miễn phí trên trang web.


CheckVir
Những thử nghiệm này được tiến hành bởi Ferenc Leitold và cộng sự. CheckVir thực hiện các thử nghiệm quét on-demand và on-access chống lại các mối hại trên WildList (khoảng 80% các virus được liệt kê trên 3 WildList mới nhất và tối đa 20% virus trên các WildList ngẫu nhiên khác). Để nhận được mức Standard, sản phẩm phải phát hiện được toàn bộ các virus có trong mẫu thử được sử dụng. Để nhận được mức Advanced, sản phẩm còn phải sửa được các file đã bị nhiễm virus.


Các cơ quan chứng nhận

Các chứng nhận rất quan trọng, chúng đặt ra một tiêu chuẩn mà các sản phẩm phải đạt được để có thể được sử dụng trên một vài vùng nào đó. Việc có được chứng nhận là rất quan trọng đối với các nhà phát triển phần mềm, nhưng không có nhiều ý nghĩa với người sử dụng. Có nhiều chứng nhận giải thưởng cụ thể (như Spyware, Trojan, Cleaning, Firewall,...) của các cơ quan chứng nhận sau, nhưng ở đây chúng ta chỉ chú ý đến  các chứng nhận anti-virus. Cả ICSA Labs và West Coast Labs cũng đều cung cấp các thử nghiệm WildList.

ICSA Labs
Để vượt qua chương trình Chứng nhận sản phẩm diệt virus của ICSA Labs, các sản phẩm phải phát hiện được 100% các mã độc liệt kê trên WildList và 90% các mẫu "Zoo" khác. Tuy nhiên, không thể biết được có bao nhiêu mẫu "Zoo" trong bộ thử nghiệm "Zoo" được sử dụng. ICSA Labs chỉ cho biết những sản phẩm đã vượt qua được thử nghiệm, trang web không cho biết những sản phẩm đã bị loại khỏi thử nghiệm.


West Coast Labs Checkmark
Việc chứng nhận được tiến hành bởi Chris Thomas và nhóm của ông. Cũng giống như ICSA Labs, West Coast Labs là một tổ chức chứng nhận độc lập các sản phẩm diệt virus. Để một sản phẩm diệt virus có thể được chứng nhận mức Checkmark Level 1, sản phẩm đó phải phát hiện được tất cả các virus có trên WildList. Tất cả các sản phẩm được đăng ký cho Checkmark Level 1 sẽ được thử nghiệm chống lại toàn bộ các virus có trong danh sách "In the Wild", được công bố không dưới 2 tháng trước ngày phát hành sản phẩm. Trong lần thử nghiệm đầu tiên, West Coast Labs sẽ tiến hành miễn phí, và sau đó sẽ là các thử nghiệm có tính phí, kể cả việc thử nghiệm lại các phần mềm không vượt qua ở lần thử nghiệm trước. Để đạt được mức chứng nhận Checkmark Level 2, sản phẩm không những cần vượt qua mức Level 1, mà còn phải loại bỏ được các virus trong danh sách "In the Wild" có thể bị loại bỏ. Chỉ có khoảng một chục virus trong danh sách "In the Wild" là có thể bị loại bỏ. West Coast Labs chỉ cho biết những sản phẩm đã vượt qua được thử nghiệm, không công bố những sản phẩm đã bị loại khỏi thử nghiệm.


Các tạp chí thử nghiệm
Tôi không chắc là mình có nên liệt kê danh sách thử nghiệm của các tạp chí theo kiểu "thử nghiệm đáng tin cậy" hay không, bởi vì cái có thể tin tưởng được, theo ý kiến cá nhân tôi, thì chỉ là các kết quả thử nghiệm. Nó phụ thuộc vào dữ liệu đã được chuyển giao bởi các cơ quan kiểm nghiệm độc lập (thường là AV-Test GmbH và AV-Comparatives), hoặc dựa trên các thử nghiệm nội bộ của tạp chỉ đó. Các tạp chí thường xem xét cả các khía cạnh khác như giá cả, màu sắc giao diện, độ ổn định, mức độ sử dụng tài nguyên hệ thống,...và đưa ra kết quả cuối cùng bằng việc trộn lẫn nhiều kết quả so sánh khả năng diệt virus từ các dữ liệu chủ quan. Vì vậy, bạn có thể thấy nhiều tạp chí với nhiều kết quả thử nghiệm giống nhau, nhưng cuối cùng lại xếp hạng rất khác nhau. Nhìn chung, các tạp chí phải có cái mới để có thể bán được báo của họ, nhưng điều tệ hại là khi các tạp chí giấy được in ra, thì kết quả đã trở thành quá khứ từ 3 tháng trước rồi. Trường hợp tệ nhất trong đánh giá của các tạp chí là khi thử nghiệm được tiến hành với bộ thử nghiệm đáng vứt đi của chính người thực hiện thử nghiệm, các bộ thử nghiệm thường quá nhỏ, bị chọn sai và không được bảo dưỡng tốt (thường chứa rất nhiều file hỏng).


Thử nghiệm của các học viện/đại học
Thử nghiệm tiến hành bởi các học viện/đại học hiện nay rất hiếm, dưới đây là danh sách các cuộc thử nghiệm như vậy, mặc dù hiện không có thử nghiệm nào còn được tiến hành nữa:
  • antiVirus Testing Center (aVTC) University of Hamburg: được tiến hành bởi Klaus Brunnstein và các sinh viên của ông trong 10 năm (1994-2004), nhưng sau đó đã ngừng lại do GS. Brunnstein quá bận với các dự án khác của mình. Phương pháp thử nghiệm rất chi tiết và rất hay, nhưng mục tiêu chính là giúp sinh viên biết cách thực hiện thử nghiệm và sử dụng phương pháp thử nghiệm hợp lý, chứ không sử dụng các kết quả thử nghiệm để đánh giá các phần mềm diệt virus. Các phần mềm diệt virus không được cập nhật, và bộ thử nghiệm chứa nhiều file hỏng (thường thấy với các bộ thử nghiệm lớn), vì vậy, kết quả thử nghiệm không nên dùng để đánh giá các phần mềm diệt virus. aVTC hiện vẫn là mốc đầu tiên của thử nghiệm đánh giá toàn diện phần mềm diệt virus với phương pháp rất tốt.
  • Đơn vị nghiên cứu virus của trường đại học Tampere: Những thử nghiệm được tiến hành bởi Marko Helenius. Đơn vị nghiên cứu virus gần đây không còn đánh giá các sản phẩm diệt virus nữa, nhưng họ thông báo sẽ tiếp tục công việc trong tương lai nếu nguồn tài chính cho phép.
  • Phòng thí nghiệm của đại học Bang Moscow: Phòng thử nghiệm tại Moscow State University tiến hành những thử nghiệm trong một phạm vi rộng rãi của các tình huống thực. Các kết quả thử nghiệm của họ chưa bao giờ được công bố rộng rãi trên mạng. Không may là hình như hiện nay dự án đã bị ngừng lại.
  • Đại học Magdeburg: được tiến hành bởi công ty AV-Test GmbH vài năm trước đây.
  • Đại học Innsbruck: được tiến hành bởi công ty AV-Comparatives vài năm trước đây.


3. Các thử nghiệm không đáng tin cậy và không hoàn thiện

Không may là có nhiều thử nghiệm không hoàn thiện vẫn còn trôi nổi trên mạng, một vài thử nghiệm kiểu này được thực hiện là có mục đích riêng, một số khác thì do sơ suất. Dưới đây là một số thử nghiệm phổ biến nhất:
  • Thử nghiệm thực hiện bởi các VXers: Một VXer thường là những người thu gom virus bằng cách trao đổi với những người khác với mục đích tăng kho lưu trữ virus của anh ta. Hầu hết những VXers không có kinh nghiệm trong việc phân tích các mã độc.
  • Thử nghiệm bị ảnh hưởng bởi tiền bạc/sự móc nối giữa các công ty: toptenreviews.com, starreviews.com, no1reviews.com. Một nhà phát triển phần mềm diệt virus đã giải thích khá tốt cách làm việc của những trang "đánh giá" kiểu này như sau: "[...] đây là cách mà một số người kiếm tiền. Nếu bạn để ý kỹ liên kết ở nút "Buy Now" bên cạnh các sản phẩm được xếp ở top 5, bạn sẽ thấy chúng có một ID quảng cáo (Affiliate ID). Điều đó có nghĩa là tác giả bài đánh giá sẽ nhận được 20% mỗi khi một giao dịch được thực hiện thông qua liên kết đó. [...] Tác giả bài đánh giá gửi 15 thư điện tử tới cho các công ty sản xuất phần mềm, và mời họ làm đối tác quảng cáo. Một số trả lời, một số thì không. Và sau đó, anh ta sẽ thêm bớt vào bài viết của mình những thông tin tạp nham [...] So sánh các sản phẩm khác nhau trên thị trường, nhưng chú ý đặc biệt tới những sản phẩm mà anh ta đã nhận tiền quảng cáo và để chúng ở các vị trí trên". Vì thế, mỗi năm bạn thấy cùng một kết quả đánh giá, tác giả chỉ việc đổi ngày tháng của bài viết, và quan tâm đến việc làm cho các sản phẩm quảng cáo của anh ta luôn ở vị trí đứng đầu. Ngoài ra, bảng so sánh luôn chứa các thông tin sai lệch và không cập nhật. Bạn không nên tin vào chúng, và thậm chí không nên ghé thăm các trang web này.
  • Các thử nghiệm thực hiện bởi người dùng và những người không có kinh nghiệm: trên các diễn đàn, chúng ta có thể thấy nhiều bài đánh giá của những người sử dụng. Không may là những thử nghiệm kiểu này thường có kích thước mẫu thử nhỏ, không được phân tích (bộ mẫu chứa nhiều mẫu hỏng), và bạn không biết ai là người tiến hành cuộc thử nghiệm (đó có thể là một nhân viên làm cho một công ty phát triển phần mềm diệt virus). Các thử nghiệm kiểu này có thể liệt kê gồm: Malware-Test, Comsumer Reports,...
Tóm lại, chúng ta không nên dựa trên một kết quả đánh giá thử nghiệm, mà phải kiểm tra nhiều trang thử nghiệm độc lập, đưa ra kết luận về khả năng phát hiện, và sau đó kết hợp chúng với những kinh nghiệm bản thân trong việc sử dụng các phiên bản dùng thử, xem xét đến cách sử dụng, giao diện, tương thích,...Thêm vào đó, khi bạn đọc một bài đánh giá, hãy tự hỏi bản thân rằng: 
  • Kích thước mẫu lớn ra sao? Nhóm mẫu đại diện cho thứ gì?
  • Ai là người thực hiện thử nghiệm? Họ/Người ấy có đủ kinh nghiệm/chuyên môn/tài chính để thực hiện thử nghiệm đó hay không?
  • Bộ thử nghiệm có chứa các mẫu hỏng và các thứ khác như các công cụ,...hay không? Các nhà thử nghiệm đã kiểm tra mẫu thử hay chưa?
  • Kết quả thử nghiệm có lặp lại hay không? Có được chứng nhận chưa? Các nhà phát triển phần mềm có nhận được mẫu mà phần mềm của họ đã bỏ sót để chứng thực kết quả hay không?
  • Những thiết đặt nào đã được sử dụng? Có phải tất cả các phần mềm được sử dụng chung một chế độ cấu hình hay không?
  • Thử nghiệm được tiến hành khi nào? Kết quả thử nghiệm đã cũ hay chưa?
  • Các phần mềm tham gia thử nghiệm trong những điều kiện như nhau hay không? Và chúng có được cập nhật tới cùng một thời điểm hay không?
  • Các sản phẩm được thử nghiệm ra sao? Phương pháp thử nghiệm có được biết tới hay công bố, và nói chung là có được các nhà nghiên cứu virus và các hãng phát triển phần mềm chấp nhận hay không?
  • Người thử nghiệm có được lợi gì về tài chính nhờ kết quả đánh giá của cuộc thử nghiệm hay không?
  • Mục đích của cuộc thử nghiệm là gì? Cái gì đã được thử nghiệm? Kết quả cho biết điều gì?

0 comments: