Por que os produtos antivírus se saem bem nos testes dos laboratórios independentes internacionais e nem sempre nos vídeos do YouTube?
Tanto no nosso fórum quanto nas nossas redes sociais, é comum os usuários nos perguntarem por que damos importância aos testes de laboratórios independentes internacionais, como são, por exemplo, o AV-Comparatives e o AV-TEST, e não comentamos os testes caseiros, realizados por pessoas comuns que, em geral, postam um vídeo no YouTube.
Muita gente procura informações antes de usar um produto e isso é algo muito bom. Recomendamos usar dados de várias fontes, de mais de um teste isolado – mesmo se tratando de um teste profissional – e também que o usuário leve em conta vários aspectos dos produtos de segurança, desde a taxa de detecção e bloqueio, até a facilidade de uso, a capacidade de limpeza de um sistema infectado, o suporte e o preço.
Apesar das teorias da conspiração que sobrevivem nas redes sociais e de que a maioria dos testadores domésticos trabalha com boas intenções, publica ou deixa clara a metodologia que seguiu, há razões que explicam os resultados aparentemente contraditórios.
Como funciona o VirusTotal?
Muitas pessoas usam o excelente serviço de verificação de arquivos e sites que foi adquirido pelo Google, o VirusTotal. Nele você pode testar se algo está infectado e quais produtos detectam esse malware específico. O que pouca gente sabe é que o único teste feito pelo VirusTotal é o escaneamento sob demanda.
VirusTotal: site de verificação de arquivos e sites
O serviço não considera as outras camadas e funções de segurança dos bons antivírus, como são a análise dinâmica do conteúdo online, a análise comportamental dos aplicativos baixados no computador, o uso da Sandbox, a emulação de código, o processamento de malwares na nuvem e em tempo real.
Além disso, alguns produtos usam as assinaturas de vírus de outros e os próprios serviços do VirusTotal, por isso, testes imparciais têm de ser executados em paralelo. Conclusão, quando os usuários veem uma amostra não sendo detectada, tiram uma conclusão errada sobre a capacidade de um produto bloquear a infecção.
E os testadores do YouTube?
Em geral, os testes domésticos ou amadores podem cometer, inconscientemente, algum erro de metodologia. Por exemplo, desativam o seu antivírus, baixam um malware compactado, descompactam e só então ativam o antivírus e escaneiam os arquivos. Dessa forma, já perderam toda a proteção dada em tempo real por outras funções de segurança.
Cada produto de segurança pode bloquear a infecção em um momento diferente. Por exemplo, um deles pode bloquear o acesso ao site de download; outro interromper o download mesmo em sites criptografados, escaneando o tráfego HTTPS; outro pode bloquear o arquivo ao ser descompactado ou mesmo ao ser executado.
Outro problema dos testes caseiros é que alguns tipos de infecção são facilmente observáveis, mas há outros que se “escondem”, como é o caso dos worms, backdoors e keyloggers. Muitas vezes, os testadores amadores não têm como detectar se um produto foi eficaz no bloqueio e tiram conclusões errôneas.
É comum também que, depois de “testarem” um produto, executem outras ferramentas populares de limpeza (geralmente, eficientes) para “comprovar” que um produto deixou arquivos sem detectar para trás, ou que um produto é melhor do que o outro. A partir de um teste errôneo, chegam a uma conclusão falsa e, depois, a “comprovam”.
Então como saber a verdadeira capacidade de proteção dos produtos de segurança?
Para saber o que realmente acontece na vida real, os laboratórios profissionais estabeleceram os testes de “Proteção do Mundo Real”. Esses testes profissionais usam sistemas isolados e idênticos, completamente atualizados, permitem a execução em paralelo ou simultânea, o que permite comparar os diversos produtos entre si, além de simular o mais próximo possível as situações do dia a dia de um usuário comum e os caminhos por onde um malware poderia se infiltrar e infectar um computador.
Esses testes não só usam todas as funções de segurança de um produto, isto é, toda a sua capacidade de proteção, além de testar como eles interagem com o sistema operacional e qual o seu grau de acerto. É muito importante que um produto não gere alarmes falsos, isto é, não marque como infectados os arquivos que estejam limpos (e até os exclua). É bom você saber que quanto maior a taxa de bloqueio, maior a chance de falsos positivos. Pode acontecer que alguns produtos “forcem” a sua taxa de detecção (na “dúvida”, marcam como infectado um arquivo limpo) e isso não aparece nos testes amadores, só nos profissionais.
Outro ponto a ser considerado são as amostras. Os laboratórios profissionais chegam a coletar automaticamente mais de 300 mil amostras diariamente, sendo que a grande maioria delas são variantes de uma família de malwares. Geralmente, dois terços dessas amostras são inadequadas por várias razões (arquivos corrompidos, bloqueados por atualizações no sistema operacional de destino, correspondem a aplicativos potencialmente indesejados, etc.). A chance de um testador doméstico conseguir as amostras reais e reproduzir as condições de teste é mínima.
Por todas essas razões, a maioria dos testes domésticos (geralmente postados no YouTube) termina com uma porcentagem de bloqueio bem abaixo da obtida pelo mesmo produto em um teste profissional e, na maior parte das vezes, não refletem o desempenho real da proteção antivírus.