image

Microsoft verklaart slechte prestaties Security Essentials

donderdag 17 januari 2013, 10:10 door Redactie, 16 reacties

Microsoft heeft uitleg gegeven waarom de eigen virusscanner die het gratis aan legitieme Windows-gebruikers geeft, bij een recente anti-virustest zo dramatisch scoorde. Het Duitse onderzoeksbureau AV-Test.org hield onlangs een grote test met 25 virusscanners, waarbij de producten maximaal 18 punten konden scoren. Microsoft kwam niet verder dan 10 punten, te weinig voor een certificering.

Niet alleen viel de score tegen, vooral de detectie van malware liet ernstig te wensen over. In deze categorie kon de virusscanner 6 punten verdienen, maar het kwam niet verder dan 1,5 punt. Daarmee presteerde Security Essentials het slechtst van alle geteste virusscanners.

Gemist
Volgens Microsoft vallen de cijfers mee en zijn die minder erg dan ze op het eerste gezicht lijken. De detectietest bestond uit drie onderdelen; het detecteren van 100 niet eerder waargenomen malware-exemplaren, het detecteren van 216.000 'recente' malware-exemplaren van de laatste 2 a 3 weken en het detecteren van 5.000 algemeen voorkomende malware-exemplaren.

Bij deze laatste categorie miste Microsoft geen enkel exemplaar. Wat betreft de recente malware werd maar liefst 9% gemist. Uit eigen onderzoek van Microsoft blijkt dat 94% van deze gemiste exemplaren nooit tegen Windows-gebruikers is ingezet.

De detectie van 'zero-day' malware verliep nog slechter voor Security Essentials. De virusscanner liet 28 van de 100 malware-exemplaren door. "Toen we de resultaten controleerden, ontdekten we dat voor vier procent van de gemiste exemplaren al signatures waren uitgegeven", zegt Joe Blackbird, Program Manager van het Microsoft Malware Protection Center.

Impact
De gemiste malware-exemplaren zouden 0,003 procent van de Windows-gebruikers hebben getroffen. "Voor de gemiste bestanden gebruikten we een retrospectieve analyse om te zien of onze gebruikers hiermee te maken hadden gekregen. We troffen 2% van deze bestanden bij 0,003% van onze gebruikers aan", aldus Blackbird.

"De overige 94% van de exemplaren komt niet overeen met wat onze gebruikers tegenkomen. Toen we nadrukkelijk naar deze bestanden zochten, konden we ze niet op de machines van onze gebruikers vinden."

Reacties (16)
17-01-2013, 10:31 door Anoniem
"De overige 94% van de exemplaren komt niet overeen met wat onze gebruikers tegenkomen. Toen we nadrukkelijk naar deze bestanden zochten, konden we ze niet op de machines van onze gebruikers vinden."

Lees ik dit nou goed? Heeft Microsoft alle Windows PC's met Securtiy Essentials doorzocht op bepaalde bestanden?

Als dat echt zo is, dan is dit product zelf het virus. Hebben ze er soms ook botnet functionaliteit ingebouwd?
17-01-2013, 10:37 door svenvandewege
Opzich valt er wel iets te zeggen over de verklaring van Microsoft. Microsoft focust zich blijkbaar meer op malware die daadwerkelijk aangetroffen wordt bij hun gebruikers in plaats van labouratorium exemplaren.
Bij overige malware testen van de 2 andere grote testorganen (vb100 en av-comparatives) komt mse volgens mij niet zo slecht uit de tests als bij die van av-test.org.
17-01-2013, 10:42 door Anoniem
als alle virusscanners nou is gaan samen werken en 1 goeie maken en ons uit 1000e laten kiezen gwn 1 maken met ze alle
17-01-2013, 11:00 door Anoniem
De detectie van 'zero-day' malware verliep nog slechter voor Security Essentials. De virusscanner liet 28 van de 100 malware-exemplaren door. "Toen we de resultaten controleerden, ontdekten we dat voor vier procent van de gemiste exemplaren al signatures waren uitgegeven", zegt Joe Blackbird, Program Manager van het Microsoft Malware Protection Center.
4% van de 28 is 1.12... We hebben maar 27 gemist en niet 28, dus nu zijn we wel goed bezig..
17-01-2013, 11:09 door Anoniem
Er is met die testen natuurlijk wel een probleem. De vraag is namelijk waar die testmalware vandaan komt. Vast een zeker van de scannerboys want honderdduizenden malware exemplaren ga je niet zelf verzamelen. En wie zegt mij dat daar niet een hoop rotzooi bij zit die de scannerboys zelf bedacht hebben, met zogenaamde oplossing natuurlijk. Dat zou een verklaring kunnen zijn voor het feit dat Microsoft ze in het echt niet ziet.
17-01-2013, 11:40 door S.lenders
Door Anoniem: als alle virusscanners nou is gaan samen werken en 1 goeie maken en ons uit 1000e laten kiezen gwn 1 maken met ze alle

En dan? 100 euro moeten dokken voor dikke software waar ik niet op te wachten sta.
Geef mij maar liever iets wat zijn taak 99% van de gevallen doet en daarmee mijn computer niet zo traag maakt als een slak.
De meeste malware komt toch door je zelf niet door je virusscanner. Dit is puur een beveiliging op je eigen stom doen.
Ik heb al in geen tijden meer een virusmelding gehad.
17-01-2013, 12:01 door Anoniem
Heeft Microsoft alle Windows PC's met Securtiy Essentials doorzocht op bepaalde bestanden?
Als dat echt zo is, dan is dit product zelf het virus. Hebben ze er soms ook botnet functionaliteit ingebouwd?
Nagenoeg *elke* antivirus doet dit en het gebeurd veelal op de achtergrond.
AVs sturen een vingerafdruk (hash) van een bestand op naar hun data center. Zo bepalen ze hoeveel verschillende mensen bepaalde bestanden hebben. Dit zegt o.a. iets over de reputatie van bestanden, origine (waar komen bestanden het meest voor), etc.
Ook de web browsers Chrome (Safe Browsing), Internet Explorer (SmartScreen), Firefox (Safe Browsing) doen dit om gebruikers te waarschuwen voor nauwelijks in omloop zijnde bestanden. En in Windows 8 zit bestandsreputatie in het OS geïntegreerd.
17-01-2013, 12:03 door Anoniem
Blah blah spin spin. Het blijft altijd dezelfde reden als de technische reden waarom er toch zoveel malware voor windows is: Het is te makkelijk om hun software om de tuin te leiden. Daar komt dan nog die andere reden bovenop: Dat het zo'n groot sappig doelwit is omdat "iedereen" hun software gebruikt, en dan vooral security-ongeinteresseerde digibeten. Maar nu wreekt zich dus de technische kant van hun software. Ze zijn, ondanks bakken aan wat dan het beste aan talent heet te zijn, als bedrijfsgeheel* gewoon technisch incompetent. Wel hele goede marketeers, dat dan weer wel.

* Vergelijk nokia, waar ook hele goede mensen werken maar waar innovatie in een product gieten gewoon onmogelijk was, tot aan brandende platformen nog aan toe. Probleempje met de managementscultuur.
17-01-2013, 12:06 door Anoniem
En dan besef je dat veel virussen verspreid worden via websites.
Vorig jaar was onder andere nu.nl en facebook.com te klos omdat een van hen adverteerders was gehacked en dingen liep te verspreiden.

Dus het is zeer zeker niet dat je alleen een virus krijgt als je stom doet.
17-01-2013, 12:12 door WhizzMan
Het gaat er niet om welke malware anderen heeft aangevallen, maar welke malware *jou* aanvalt. Dat wordt hier getest en MicroSoft valt door de mand vergeleken bij andere partijen. Dat ze het 99.zoveel procent van de tijd op orde hebben, betekent nog steeds dat een gebruiker van hun produkt voor de missers wel kwetsbaar is. Als de concurrentie het aanmerkelijk beter doet, is het MicroSoft product gewoon inferieur.

Je kan "bijna" de oceaan over zwemmen, maar als je in de laatste kilometer verzuipt ben je nog steeds dood. Het maakt niet uit hoe ver je gekomen bent, dood is dood. MicroSoft maakt het minste kans om de overkant te halen, als je naar de statistiek kijkt, dus als je moet gaan gokken op antivirussoftware, kan je het beste je inzet verdelen over meerdere andere zwemmers, omdat de kans dat een van hen gaat slagen groter is dan een enkeling. Gokken op zwakke deelnemers is sowieso onhandig, tenzij ze echt andere methodieken gebruiken en daardoor de missers van degenen die goed scoren op kunnen vangen. Ook daar faalt MicroSoft, dus ook dat is geen reden om ze alsnog te gaan gebruiken.

MicroSoft, je bent een slechte verliezer als je met dit soort argumenten je slechte score probeert te verdedigen. Geef gewoon toe dat je nog veel te verbeteren hebt. Nu maak je jezelf alleen maar belachelijk.
17-01-2013, 12:33 door [Account Verwijderd]
[Verwijderd]
17-01-2013, 12:36 door Mysterio
Door WhizzMan: Het gaat er niet om welke malware anderen heeft aangevallen, maar welke malware *jou* aanvalt. Dat wordt hier getest en MicroSoft valt door de mand vergeleken bij andere partijen. Dat ze het 99.zoveel procent van de tijd op orde hebben, betekent nog steeds dat een gebruiker van hun produkt voor de missers wel kwetsbaar is. Als de concurrentie het aanmerkelijk beter doet, is het MicroSoft product gewoon inferieur.
Hmm... nee, niemand haalt de 100% score en al haalt iemand dat dan is dat slechts een moment opname want dat zegt bijzonder weinig over waar je na dat moment tegenaan kan lopen. Op z'n best kun je een trend zien waarbij producten goed of matig blijven scoren, maar iedereen zal het met je eens zijn dat je geen rechten aan een trend kan ontlenen. Het is slechts leuk voor de verkoopcijfers.

Ik zeg niet dat MSE een top product is, want de tests uit het verleden laten zien dat MSE niet tot de top behoord, maar zo slecht als ze nu wordt afgeschilderd is het inderdaad niet. Er is namelijk wel wat te zeggen voor de reactie van Microsoft, al valt er ook voldoende op aan te merken.

Ik wil eigenlijk naar een andere testmethode. Je ziet regelmatig cijfers van de Top-zoveel malware. Waarom worden die cijfers niet gekoppeld aan het op die machine gebruike AV-product? Dat zijn pas nare cijfers waar je wat mee kan. Het is vrij zinloos om een AV-product te testen met exotische malware die in het wild blijkbaar niet los loopt.
17-01-2013, 13:23 door Anoniem
Maar het gaat er ook om of de scanner onbekende malware kan detecteren (met heurictics/kunstmatige intelligentie) zonder al te veel false positieven te geven.
17-01-2013, 14:51 door Anoniem
"Uit eigen onderzoek van Microsoft blijkt dat 94% van deze gemiste exemplaren nooit tegen Windows-gebruikers is ingezet."

Dat is een bewering die Microsoft niet kan doen. Tenzij Microsoft denkt een almachtige te zijn.

Als malware bestaat heeft dat heel waarschijnlijk een doel gehad. Hoe meer slachtoffers, hoe belangrijker de malware, maar dat betekent niet dat malware in lage circulatie onbelangrijk is.

Denk maar eens aan een targeted attacks met exploits. Die zijn belangrijk voor de aangevallenen, meestal ook voor de samenleving vanwege het strategische karakter, maar ook om nieuwe exploits te herkennen en er patches voor te maken.
17-01-2013, 15:17 door fjallalj__ni__
Door Anoniem: als alle virusscanners nou is gaan samen werken en 1 goeie maken en ons uit 1000e laten kiezen gwn 1 maken met ze alle
Als jij eens fatsoenlijk Nederlands zou leren...
17-01-2013, 16:22 door Anoniem
Gebruikers van Security Essentials kunnen (tijdens installatie, of later via de Instellingen) kiezen of, en zo ja welke, metrics ze willen delen met de Microsoft Active Protection Service (MAPS).

Veel gebruikers doen dat, en op basis van die gegevens kan Microsoft berekenen in welke mate bepaalde malware daadwerkelijk op Windows systemen voorkomt. En die informatie wordt gebruikt om te bepalen welke malware prioriteit krijgt bij het onderzoek en het maken en distribueren van signatures.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.