На недавнем конкурсе хакеров во Франции среди семи антивирусов не смогли взломать только один — российский Dr.Web. Правда, сами организаторы состязания отметили, что взлом единственного устоявшего антивируса был лишь делом времени — испытуемым не хватило отведенного на это часа.

Антивирус Dr.Web, разрабатываемый российской компанией «Доктор Веб», оказался единственным среди семи антивирусов, который не удалось взломать в рамках теста, проведенного участниками конгресса International Alternative Workshop on Aggressive Computing and Security. Это мероприятие прошло в конце октября под эгидой французской Высшей школы информатики, электроники и автоматики (ESIEA) в городе Лаваль.

На взлом системы самозащиты каждого из семи антивирусов — McAfee, Norton, G-Data, «Антивируса Касперского», DrWeb, AVG, Eset NOD32 — участникам был выделен один час. Тестирование проводилось на компьютерах под управлением операционной системы Windows с правами администратора. Неудачливее всех оказался антивирус McAfee — он «сдался» менее чем за 2 минуты. Чтобы обойти защиту Norton Antivirus, понадобилось 4 минуты. Также тест самозащиты не прошли AVG и G-Data. Антивирусы от «ЛК» и Eset удалось взломать за 40 и 33 минуты соответственно.

В «Доктор Веб» сегодня (10 ноября) решили поделиться результатами конкурса с общественностью, разослав пресс-релиз под названием «Dr.Web признан единственным невзламываемым антивирусом в мире». Впрочем, конкуренты оспаривают данное утверждение. Так, в пресс-службе «Лаборатории Касперского» CNews рассказали, что сам по себе конкурс не являлся тестом антивирусных программ и показывает только уровень участников состязания. "Поэтому мы считаем заявления о «невзламываемости» продуктов «Доктор Веб» не соответствующими действительности и излишне оптимистичными, — говорят представители «Лаборатории». — К сожалению, в мире нет ни одного невзламываемого программного продукта. В открытых источниках описан ряд уязвимостей продуктов Dr.Web (например, на ресурсе rootkit.com), однако они, вероятно, не были известны участникам состязания, которые, кроме всего прочего, были ограничены во времени одним часом. Кроме того, как отметили сами организаторы конкурса, «Dr.Web не блокирует загрузку драйвера ядра, поэтому его взлом был лишь делом времени».

«Насколько я знаю, Dr.Web уже довольно давно после целой серии провалов не принимает участия в сколь-нибудь авторитетных тестированиях антивирусов, таких, как AV-Comparatives, Virus Bulletin, Checkmark, - говорит Анна Александрова, директор по маркетингу Eset. - Неудивительно, что на этот раз они обратились к тесту „на коленке“, о котором антивирусная индустрия никогда не слышала. Полагаю, следующим шагом будет пресс-релиз „Доктор Веб“ о победе в турнире по перетягиванию каната или прыжкам в мешке. А нам всем придется искать связь мешков и канатов с защитой от вредоносных программ».

«К результатам каждого теста нужно относиться с определенной долей скепсиса: если обратить внимание на результаты похожего теста, который проводил в январе этого года Anti-Malware.Ru, то можно увидеть, что Dr. Web действительно показал хороший результат, но при этом и результаты около половины других производителей были также достаточно на высоком уровне, - комментирует Кирилл Керценбаум, руководитель группы технических специалистов Symantec в России и СНГ. - Поэтому здесь возникают вопросы и сомнения в качестве методики, ведь простой подход «Убей антивирус» не имеет ничего общего с реальной жизнью: продукт должен защищать от реальных угроз, а не от виртуальных. Также на результаты могли повлиять, возможно, неполные или неправильные настройки продуктов: например в продуктах Norton система защиты продукта (Tamper Protection) отключена по умолчанию».

«Только серьезное ограничение по времени — 1 час — позволило одному продукту продержаться, — подтверждает Михаил Кондрашин, руководитель центра компетенции Trend Micro. — При тестировании было выбрано только 7 антивирусов, но полагаю, что для остальных продуктов на рынке результат был бы сходным». Несомненно, что настоящие профессиональные разработчики вредоносного ПО не будут ограничивать себя одним часом, отмечает Михаил Кондрашин: «Для предотвращения описанной ситуации необходимо разрабатывать технологии, которые делают ставку на блокировку угроз „в облаке“ (подобные Smart Protection Network), то есть до попадания „заразы“ на компьютер потенциальной жертвы. Независимые тесты американской NSS Labs показали эффективность именно такого подхода. Недавние тесты российской тестовой лаборатории Anti-Malware подтверждают выводы американских коллег».

О том, что настоящие вирусописатели не ограничены во времени, говорит и основатель SoftSphere Technologies Илья Рабинович. «У зловредописателей есть не час, а недели и месяцы, чтобы раскапывать „дыры“ в реализации модели безопасности различных средств защиты, — подчеркивает он. — Кроме того, у меня есть некоторые сомнения в уровне подготовки людей, участвовавших в состязании — им не хватило часа на то, чтобы написать драйвер для обхода самозащиты DrWeb. А ведь шаблоны и средства разработки лежат в Сети в открытом доступе. Бери и делай».

«То, что преподносится нам как тест, на самом деле является обычным конкурсом или своего рода олимпиадой по поиску уязвимостей, — комментирует Илья Шабанов, руководитель проекта Anti-Malware.ru. — Результаты показывают лишь слабые места в самозащите, которые смогли найти участники конкурса». Были бы другие люди, были бы совсем иные результаты, уверен Шабанов.

"Еще один важный момент — психология участников, — продолжает Илья Шабанов. — Представьте, что искать уязвимости позвали бы вас. Какие программы вы бы стали исследовать наиболее тщательно? Естественно, более популярный софт, который все знают в Европе — это Norton, McAfee, «Касперский», Eset, AVG, G-Data. Это просто более престижно, вот и все. Что такое Dr.Web, в Европе почти никто не знает, поэтому тратить на него много сил у участников не было никакого стимула".

«Такие тесты необходимы, не только как олимпиады, но и чтобы указать на уязвимости, - полагает Михаил Орешин, директор по развитию системного интегратора «Амрита-Групп». - Кроме того, данный тест еще раз указал и конечному пользователю, и администраторам систем, что антивирус на рабочей станции - это не панацея, и требуется еще комплекс мер, плюс здравый смысл. Не зря в результатах конкурса указано, что все это можно сделать с помощью кода. То, что устоял Dr.Web, – действительно, вопрос времени».

Орешин также отмечает, что в последнее время новости антивирусной индустрии в целом пугают своей тенденциозностью, передергиванием фактов. «Сейчас это носит какой-то лавинообразный характер, - говорит он. - Это касается любых «пузомерок» – будь то тестирование, сравнение, анализ рынка или получение лицензий. За потоком информации не разобраться уже, что правдиво, а что нет. Единственное, что успокаивает, - что эти войны идут, в основном, в рядах поклонников той или иной веры (имеется в виду приверженность к антивирусу), а не в рядах пользователей, которые просто знают, что у них есть антивирус».