sexta-feira, 11 de fevereiro de 2011

Qual o melhor antivírus para você?

Já fazia um bom tempo que queria fazer um teste destes. Afinal antivírus é algo que todos precisamos em todo momento. Eu precisava escolher um lote justo e correto de programas para serem avaliados. Os programas eleitos atenderam a critérios bem definidos: versão nova ou com não mais de 6 meses; programas comerciais (pagos), com exceção do Microsoft Security Essentials pois este foi usado como “balizador” do teste; ter presença relevante no mercado e comprovada qualidade técnica. Os produtos foram recebidos no final do ano passado e o teste aconteceu em seguida. Assim nove antivírus foram testados. Poderiam ser mais? Sem dúvida, mas estes foram os que atenderam aos critérios propostos e que estavam disponíveis nesta ocasião (fornecidos pelos fabricantes). Se for citado nos comentários o fato de um ou outro (justo aquele que você usa) não estar no teste não aceitarei como crítica e sim como sugestão para um próximo teste.

Cada um dos programas têm recursos “extras” (alguns mais, alguns menos) dos mais diversos. O foco deste teste não foi confrontar este amplo espectro de recursos de cada em um, mas sim sua função específica de proteção. Assim apenas a dimensão eficácia na proteção contra ameaças foi avaliada: detecção contra programas, intrusão, anexos e sites maliciosos. Outro aspecto muito importante também foi considerado: o “peso” da solução. Ou seja, o quanto o PC fica mais lento pelo fato de usar cada um dos programas.

Cabe ressaltar que resultados obtidos refletem uma “fotografia” dos produtos como eles se comportaram frente às ameaças no final de 2010 e começo de 2011. Isso tudo é muito dinâmico. Os produtos mudam. As ameaças mais ainda. Novas vacinas (definições de vírus) e atualizações dos próprios produtos podem mudar estes resultados. Por isso que avaliar soluções de segurança é tão complicado. Em relação às ameaças, ao longo do teste diversos sites escolhidos, com programas maliciosos saíram do ar e tantos outros surgiram. Por isso tive que refazer os testes confrontando programas contra ameaças diversas vezes até conseguir a mesma base estável de comparação para todos os produtos. Trabalhoso, mas divertido!

Também convém ressaltar e imensa qualidade de todos os produtos testados. Cada um deles traz soluções criativas e inovadoras. Algumas parecidas entre si, outras únicas de cada programa. Quisera pude explorar todos os recursos adicionais destes produtos e contar em detalhes... Mas o teste não ficaria pronto antes do meio do ano!!


Metodologia

O objetivo proposto exigia antes de tudo isonomia, ou seja, garantia de que todos os produtos fossem testados em situação absolutamente idêntica. Isto exigiria pelo menos 10 PCs de idêntica configuração. O caminho viável, embora um pouco heterodoxo, foi utilizar um sistema de máquinas virtuais. Foi utilizado um PC com processador de quatro núcleos (Intel Core 2 Quad Q9400 2.66 Ghz, 8 Gb de RAM), Windows Server 2008 R2 com Hyper-V R2 (gerenciador de máquinas virtuais) . Cada VM alocou 3 Gb de RAM e apenas dois processadores virtuais. Esta configuração pode ser considerada padrão entre os PCs adquiridos atualmente, sejam desktops ou notebooks. Foi utilizado o Windows 7 Professional 32 bits para o teste. Pretendíamos usar a versão Home Premium, talvez mais próxima do usuário doméstico. Mas não foi possível usá-la porque esta não suporta as otimizações do Hyper-V, que faz rodar melhor a máquina virtual com o Windows 7. Cada teste foi feito individualmente, ou seja, apena uma máquina virtual era ativada por vez.

O Hyper-V permite criar “snapshots” das VMs (como se fossem fotografias do PC virtual) . Assim após qualquer teste feito, o estado original do PC pode ser restaurado com grande simplicidade e agilidade. Isto é essencial para garantir a uniformidade do ambiente entre cada teste de produtos ou entre tentativas propositais de infecção ou violação de segurança. E isso foi muito usado durante o teste cada vez que um produto deixava escapar um vírus “goela abaixo” e o PC (virtual) tinha que retornar ao estado sadio anterior.

Foram criadas 10 máquinas virtuais, uma para cada um dos produtos, que foram testados separadamente (9 VMs) mais a máquina virtual “pura” (sem antivírus). Assim foi possível comparar o desempenho do Windows com ou sem proteção, aferindo o “peso” de cada solução.


Todas as VMs com os programas antivírus rodando de uma só vez (clique para ampliar)

Um conjunto de seis categorias de testes foram aplicadas em cada produto. Apenas o teste contra ameaças exigiu mais de 900 interações com os produtos (testados 100 sites ou programas maliciosos para cada solução). Todos os testes estão detalhados a seguir.

Finalmente, a configuração utilizada em cada produto foi a “original de fábrica”. Ou seja, aquela que o usuário obtém logo que tira o CD da caixa e instala no computador. Se cada produto fosse alterado em suas inúmeras possiblidades, haveria trilhões de combinações possíveis de testes. Assim a forma “padrão” de cada produto foi a utilizada, a despeito de haver mais ou menos parâmetros a serem ajustados, aliviando ou tornando mais rigorosos as formas de detecção de ameaças.


Relação e Breve Apresentação dos Produtos (em ordem alfabética)

BitDefender :  Versão Internet Security 2011, suíte completa, cheia de recursos como  “Controle de Pais” (limitar e monitorar uso do PC pelos filhos), “Criptografia” (de chat como MSN e Yahoo Messenger) e “Modo Jogo/Laptop” (mais leve). Tem uma interface do tipo “clássica” onde todas as opções e informações estão à mão. Algumas pessoas podem achá-la carregada, mas todos os recursos são facilmente encontrados. Curiosamente não desativou o Windows Defender (nativo do Windows 7), assim ficou trabalhando em paralelo com ele.




ESET : Versão usada Smart Security 4, não carrega o nome 2011. Isso se deve à forma como a empresa faz a atualização de seus produtos. Como fora atualizado no perto do meio do ano, estava habilitado ao nosso teste. Inclui o renomado antivírus ESET NOD 32 que é conhecido por sua “leveza”, causando muito pouco impacto no desempenho do PC. Incluí Firewall, Antispam e controle de mídias removíveis. Sua interface é muito simples, escondendo a sofisticação da ferramenta dos usuários menos entendidos.




F-Secure :  Versão usada F-Secure Internet Security 2011.
Sua instalação chama a atenção por ser muito simples e amigável. Interface simplificada que reúne as principais funções. Dispõe de Antispam, Antispyware e proteção à navegação. Embora simples, sua instalação é muito demorada, pois no final realiza um longo processo de atualização. Auto denomina-se como “protegendo o insubstituível”. É dos mais rápidos na varredura de arquivos e muito eficaz na proteção contra ameaças.





Kaspersky: Versão utilizada Internet Security 2011. Instalação rápida e interface simples, do estilo tradicional. Além de Antispam, Antispyware e Controle de Pais, é o único a dispor de recursos como “Modo Execução Seguros” para uso de programas ou navegação potencialmente inseguros, também modo especial para uso com bancos e teclado virtual. Realiza atualizações incrementais e muito rápidas.





McAfee :  Versão Total Protection 2011. É uma suite de segurança bem completa que conta com Antispam,  Antispyware, Backup Online, Controle de Pais, Firewall, Destruidor de Arquivos, etc. Tem um otimizador do PC que elimina programas e arquivos desnecessários para tornar o computador mais leve. Conta também com o Site Advisor que informa o grau de risco que existe em cada site visitado bloqueando aqueles já classificados como perigosos pela comunidade e pela empresa. Sua interface é diferenciada, pois lembra um site onde as informações são “abertas” na medida em que mais detalhes são necessários. É simples, não assusta e completa ao mesmo tempo.



Microsoft Security Essentials : Solução da própria Microsoft, gratuita e acessível para os usuários de versões legítimas do Windows, que passaram na verificação de autenticidade de software. É simples, tem uma interface bastante espartana, mas dá conta do recado para muitas situações. Trabalha em conjunto com os outros módulo de segurança do Windows: Firewall e Defender (antispyware). Foi usado no teste para comparar a eficácia de uma solução gratuita “oficial” frente a um competente grupo de produtos de segurança.




Norton
: Versão Internet Security 2011.
Desde a versão 2010 tem característica importante, instalação simples (sem perguntas) e muito rápida (menos de um minuto). Tem interface carregada, pois tem muitas informações, porém todas importantes. Tem um grande conjunto de recursos como “Insight Protection” (listas de confiança de arquivos), Antispyware, Firewall, Antispam, Proteção de Indentidade, Firewall, Filtro contra sites perigosos e atualizações incrementais (pequenas e rápidas).




Panda:
Versão Internet Security 2011.
É rico em recursos, tem interface simples e despojada e por isso mesmo rápida e funcional. Utiliza a tecnologia de “Inteligência Coletiva” para avaliar e analisar arquivos no PC. Baseia-se em uma base de dados online contendo arquivos conhecidos e suas respectivas assinaturas, visando minimizar a quantidade e intensidade da varredura por arquivos maliciosos (“Cloud Protection”).  Dispõe dos recursos Firewall, “Proteção de Identidade”, “Teclado Virtual”, “Antispam”, “Modo Jogo” (alivia o antivírus e impede envio de notificações durante o jogo), “Backup online”, “Destruição definitiva de arquivos”, “Controle de Pais”, etc.



TrendMicro : Versão Titanium Internet Security. Tem instalação bem rápida e sem perguntas. Sua interface e a mais simples e limpa de todos os produtos. Tem vários recursos, mas um pouco menos que a média dos programas encontrados neste teste. Dispõe de Antispam, Antispyware, Controle de Pais e Filtro de sites. Tem um “modulador” de proteção que permite escolher entre Segurança extra, Desempenho extra ou proteção equilibrada (o padrão é proteção equilibrada).





Estressando as soluções de segurança


1) SPYCAR

Este é um teste “comportamental”.  São forçadas diversas ações associadas a programas maliciosos como alterações no REGISTRY ou no próprio Browser. No total são 17 ações funestas e prejudiciais como incluir programa em execução automática, modificar o arquivo HOSTS, modificar página inicial do navegador, etc. a qual todos os antivírus foram submetidos. O índice de sucesso do teste SPYCAR foi contabilizado na forma percentual.

Este teste dá uma boa ideia como o programa se comporta frente a malwares desconhecidos uma vez que as ações testadas todas são associadas a comportamentos indesejáveis.

Para alguns dos programas testados, após um ou dois acessos ao site do SPYCAR (http://www.spycar.org/Spycar.html), logo após identificada a primeira ameaça, catalogou o site como inseguro e não mais deixou acessar os programas de teste. Com algum trabalho de configurações conseguimos testar todas as 17 opções de todos os produtos e neste teste todos os produtos foram capazes de reconhecer ameaças e bloquear os programas. Empate!
 (clique para ampliar o gráfico)



2) Tempo de carga do Windows (tempo de boot)

Antivírus e programas de segurança consomem recursos. Mas isso não pode afetar demais o comportamento do PC. Para os nove antivírus testados (mais o PC sem proteção alguma) foram medidos os tempos de carga do Windows, desde o momento que aparece a mensagem “Iniciando o Windows” até aparecerem os ícones da área de trabalho (com login automático).

 (clique para ampliar o gráfico)

Sem antivírus a tarefa foi efetuada em 26.6 segundos. Os programas que menos impactaram o desempenho foram NORTON, ESET e MCAFEE que obtiveram tempos muito próximos. Os programas que mais afetaram a carga do Windows foram BITDEFENDER, FSECURE, KASPERSKY e PANDA. Convém notar que apesar de haver diferenças entre cada antivírus, as diferenças não ultrapassaram 48% enquanto no passado já vimos programas trazerem penalidade de desempenho de mais de 100%. Todos evoluíram, com alguns tendo mais competência.





3) Tempo de cópia de arquivos



O que mais se faz em um PC hoje em dia é copiar arquivos. Fotos, documentos, músicas, vídeos... Um antivírus não pode impactar demais este tipo de operação. Por isso em nosso teste usamos uma pasta padrão (igual para todos) de 10 Gbytes gravada num drive separado (D: ) e copiamos para outra pasta no disco de boot (C: ). Os tempos estão registrados no gráfico abaixo. O teste do tempo de carga do Windows e tempo de cópia de uma pasta permitem entender quanto esforço extra o PC precisa fazer para realizar suas tarefas com o antivírus protegendo a máquina nos bastidores.
(clique para ampliar o gráfico)

O PC sem proteção efetuou a cópia em 927 segundos. O PC protegido com o ESET foi o mais rápido com 1084 segundos, diferença pequena, seguido por BITDEFDENDER e PANDA. Os que realizaram a operação mais lentamente foram MICROSOFT, MCAFEE e NORTON e TRENDMICRO com valores entre 1870 e 1980 segundos, aproximadamente o dobro do tempo da situação sem proteção. Outros produtos ficaram em posição intermediária.


4) Dupla varredura de disco de dados de usuário

Este teste mede a eficácia do processo de varredura, procurando arquivos potencialmente perigosos. A pasta padrão de 10 Gbytes com arquivos diversos, em um segundo disco rígido (D:) foi vasculhada e o tempo necessário para a tarefa assinalado para cada produto. Uma segunda varredura foi feita porque quase todos os produtos testados contam com algum algoritmo de otimização. Afinal vasculhar sempre os mesmos arquivos (já verificados) toma muito tempo. Alguns produtos usam “lista de confiança” (e cada um dá o seu próprio nome para isso), que são arquivos já verificados e chancelados como confiáveis pela comunidade de usuários e pelo fabricante da solução. Assim conseguem reduzir bastante o esforço desta operação (desde que o arquivo não tenha sido alterado, pois neste caso este é verificado de novo). Arquivos de dados do usuário são menos sujeitos a estas otimizações, pois são arquivos muitas vezes exclusivos e únicos. Mesmo assim vários produtos fizeram bonito agilizando o esforço para esta tarefa.

(clique para ampliar o gráfico)

Os produtos NORTON, MCAFEE, ESET e FSECURE foram o melhores na primeira varredura. Curiosamente o KASPERSKY foi mais lento até que o MICROSOFT nesta primeira operação. Mas na segunda varredura quase tudo mudou. NORTON continuou mais rápido seguido de perto pelo KASPERSKY e MCAFEE. O mais lento na segunda verificação foi (sem surpresas) o MICROSOFT que não tem algoritmo sofisticado de otimização, seguido do PANDA, TRENDMICRO.


5) Dupla varredura de disco de dados de boot (contendo o Windows)

Este faz a varredura do disco de boot do sistema (C:). Coincidentemente durante o teste tanto a partição de dados como a partição de boot tinham cerca de 10 Gbytes. Assim seriam esperados tempos parecidos na primeira varredura, mas não na segunda. Isto porque a quantidade de arquivos “conhecidos” na partição com Windows deveria ser maior. A segunda varredura também ajuda a avaliar a eficácia dos algoritmos de otimização de cada produto.

(clique para ampliar o gráfico)

Neste caso, olhando arquivos conhecidos do Windows 7 os produtos mais rápidos na primeira varredura foram ESET, NORTON, FSECURE e MCAFEE. Os mais lentos foram PANDA, MICROSOFT, KASPERSKY e TRENDMICRO. Cabe ressaltar que o drive de boot era quase idêntico para todos os produtos, pois os PCs virtuais foram criados a partir de uma mesma matriz (VM já existente só com Windows). A diferença ficou apenas por conta do próprio produto de segurança instalado em cada PC virtual. Na segunda varredura mudou um pouco a ordem dos mais rápidos: NORTON, FSECURE, ESET e MCAFEE. Os mais lentos foram PANDA, MICROSOFT e TRENDMICRO. Vejam que o ESET não estava entre os mais rápidos no teste de varredura no drive de dados foi dos mais rápidos quando os arquivos são “conhecidos” (Windows).  NORTON e FSECURE estiveram nos dois casos entre os mais rápidos.


6) Ataque total de vírus e malwares sobre os produtos

Este foi o teste mais “selvagem” e provavelmente o mais importante. Durante muitas semanas foram colecionados inúmeros e-mails contendo mensagens com conteúdo claramente pernicioso, usando engenharia social, querendo induzir o incauto usuário a clicar nos links perigosos ou abrir anexos e infectar seu PC. Foram 100 potenciais riscos que deveriam ser bloqueados pelos programas e cada um deles teve sua taxa de sucesso registrada.

Testar a eficácia dos produtos frente aos malwares existentes revelou-se problemático. Afinal são perto de 2 milhões de programas maliciosos catalogados (com certeza mais que isso na hora que ler este texto). Seria impossível testar cada programa frente a todos eles. Assim foi feita uma avaliação baseada em uma amostra (as referidas 100 ameaças coletadas). Mas estas ameaças não puderam ser testadas sempre em todos os produtos. Isto porque os sites que hospedam phishing ou malwares têm vida efêmera. Foi comum durante o teste uma página ou  site ser usado para testar um dos produtos não estar mais no ar ao testar outros produtos. Isso nos obrigou a refazer o teste muitas vezes até que todos os produtos pudessem ser submetidos às mesmas ameaças e pudéssemos ter a mesma base de comparação.

Cada ameaça testada poderia ser considerada como SUCESSO (se o bloqueio foi imediatamente eficaz), FALHA SEVERA (se a ameaça foi ignorada completamente) ou caso de FALHA LEVE ou moderada. Esta é configurada por diversas situações. Por exemplo, o programa da MICROSOFT várias vezes não bloqueou a ameaça, deixou o computador ser infectado, mas logo depois acusou o programa malicioso e sugeriu removê-lo (mas não o impediu de entrar no PC).  Outra situação de FALHA LEVE é o caso de alguns arquivos JPG infectados. Na verdade não eram imagens e sim programas executáveis renomeados para JPG que dependendo do programa usado ou se o Windows tem ou não atualizações de segurança instaladas, acaba por executar o programa dentro do JPG. Pouquíssimos programas perceberam este tipo de infecção e limparam o JPG imediatamente. Em sua grande maioria os programas deixaram o download ser feito e somente em uma varredura posterior limparam esta ameaça. Assim o resultado deste teste é um gráfico no qual cada produto tem seu número de FALHAS SEVERAS e FALHAS LEVES apontadas.

(clique para ampliar o gráfico)

Como se vê o produto com menor número de falhas foi o FSECURE com apenas 4 falhas leves e nenhuma severa, seguido por TRENDMICRO, NORTON, MCAFEE, KASPERSKY. Os que tiveram menor eficácia foram ESET, MICROSOFT, PANDA e BITDEFENDER. Era esperado que MICROSOFT tivesse uma taxa menor de sucessos, afinal a empresa ainda não toda expertise no assunto e o produto é gratuito. Mas ESET nesta relação foi uma surpresa, pois como é baseado na consagrada solução NOD32, esperava-se maior taxa de sucesso nas detecções. Por outro lado ESET foi o produto entre os mais rápidos em vários testes, teria isso atrapalhado de alguma forma?

Observe que em um universo de 100 ameaças, os produtos que registraram menos falhas obtiveram 4 problemas, enquanto o que teve mais falhas obteve 8. A diferença é pequena e deve ser relativizada. Muito provavelmente em uma ou duas semanas, testando com outro lote de malwares os resultados poderiam ser diferentes. Por isso foi citado na introdução deste texto que os resultados são uma “fotografia de um momento”. E basta uma nova atualização das “vacinas” (definições de vírus) ou dos mecanismos dos produtos (também por download) que este cenário pode mudar bastante.


CONCLUSÃO


Quem teve a atenção (e paciência) de ler todo este longo teste deve estar ansioso pela determinação de qual é o melhor produto. Assim posso afirmar que total certeza que nestes testes o melhor produto foi... DEPENDE! E isso não é retórica ou política, não mesmo. Diria que o programa de segurança perfeito ainda não foi feito e nem será, pois as ameaças evoluem muito rapidamente. Quem sabe o que é melhor para seu PC é cada usuário. Se eu copio muitos arquivos, este fator (agilidade nas cópias) pode ser fator mais importante isto me leva a uma escolha. Se o fator tempo para vasculhar o PC contra ameaças é mais relevante, outra escolha. E por fim se o que me interessa é apenas a taxa de sucesso na detecção de ameaças teria outra escolha (que não seria simples pois há vários produtos com a mesma taxa nesta amostra).

Além disso cada produto tem recursos que nem todos têm e isto pode fazer diferença. Por exemplo, o KASPERSKY tem o tal “modo de segurança” para roda aplicativos ou visitar sites potencialmente perigosos, ou a criptografia em comunicação instantânea do BitDefender, estes podem ser diferencias. Alguns produtos têm controle de pais (para limitar e controlar o uso da Internet por seus filhos). Outros têm backup online... Assim a escolha de um programa de segurança passa por tentar equilibrar o grau de proteção desejado com a “penalidade” no desempenho que se está disposto a pagar por esta proteção, sua eficácia na detecção, preço e conjunto global de recursos.

Ao conceber este teste eu teste visava medir a eficácia na detecção (grau de proteção) com baixo comprometimento dos recursos da máquina. Assim eu aponto segundo apenas estes critérios como os melhores produtos deste momento (do teste) NORTON, MCAFEE e FSECURE, que têm um conjunto equilibrado de eficácia e eficiência (têm boa taxa de detecção e penalizam apenas moderadamente o desempenho do PC).


RESUMOS DAS CARACTERÍSTICAS DOS PRODUTOS

(clique para ampliar a tabela)

7 comentários:

  1. Gostaria de saber a performance para netbook.

    ResponderExcluir
  2. Sabe que tem versões específicas de antivírus para netbook? Sei que PANDA e se não me engano KASPERSKY tem suas versões. Tendo possibilidade em próximo teste farei também e netbook.

    ResponderExcluir
  3. Good dispatch and this enter helped me alot in my college assignement. Gratefulness you on your information.

    cheap clomid

    ResponderExcluir
  4. Your site article is very intersting as well as fanstic,at the same time your blog theme is exclusive and ideal,great job.To your success.

    nolvadex

    ResponderExcluir
  5. Rekopurl and Punuhula thanks for your comments. I hope you could understand or at least transate the text from Portuguese to your own language and had understood all article. This was a long and labor test but I loved to make it and I hope to repeat this test in a near future.

    ResponderExcluir
  6. Qual software de virtualização foi usado nesse teste? Excelente matéria, parabéns!

    ResponderExcluir
  7. Caro Anônimo, muito obrigado por suas palavras !!
    Logo no começo do parágrafo que explico a metodologia do teste eu contei que usei o Microsoft Windows Server 2008 R2 com seu recurso nativo de virtualização, o Hyper-V. Que aliás se saiu muito bem para esta função.

    ResponderExcluir