Nieuws
image

Hitman Pro blijft achter virusscanner test staan

zaterdag 12 december 2009, 10:56 door Redactie, 11 reacties

De test van de makers van Hitman Pro waaruit blijkt dat 32% van de computers met een virusscanner toch geïnfecteerd is, is nooit aangemeld bij de AMTSO, toch doet dat volgens Mark Loman, bedenker van Hitman Pro en CEO van SurfRight, niets aan de resultaten af. Ruim 100.000 systemen waarop al anti-virus software aanwezig was, werden als "second opinion" met Hitman Pro gescand. Daaruit blijkt dat een derde van de machines toch besmet is geraakt. SurfRight liet weten dat het de test aan AMTSO had voorgelegd, maar dat die nog geen reactie had gegeven of er ook via de vereiste richtlijnen was gewerkt.

De Anti-Malware Testing Standards Organization (AMTSO) is bezig met het opstellen van regels waar tests van virusscanners aan moeten voldoen. In het orgaan zijn zowel anti-virusbedrijven, alsmede testers en academici betrokken. Dit moet tot betere tests leiden. Security.nl ontving een e-mail van AMTSO waarin de organisatie laat weten dat het geen test en/of testmethode van SurfRight heeft ontvangen. Daarnaast heeft AMTSO nog geen procedures voor het valideren van een test voordat die is uitgevoerd. Ook een mechanisme voor proactieve validatie ontbreekt nog. "De huidige AMTSO richtlijnen zijn meer dan alleen een methodologie en dus is het mogelijk dat een test een kloppende methodologie heeft, maar dat die voor andere redenen niet aan de AMTSO richtlijnen voldoet." Toch is de organisatie blij dat bedrijven en testers hun testen via de AMTSO richtlijnen willen verbeteren.

Intentie
We vroegen Loman om een reactie, die laat weten dat het nooit de intentie van SurfRight is geweest om te doen alsof de test door de AMTSO organisatie gecertificeerd is. Het bedrijf is ook geen lid van AMTSO. "De methode die wij hanteren voldoet volgens ons echter helemaal aan de richtlijnen zoals beschreven in "AMTSO Best Practices for Dynamic Testing", merkt Loman op. In het rapport staat alleen beschreven dat het conform de best practices for dynamic testing van de AMTSO is uitgevoerd. "Juist omdat we niet met 'platte' virussen maar alleen met live infecties werken. Er is volgens ons ook niemand die dit rapport zou kunnen uitgeven, gewoon omdat niemand deze gegevens heeft - wij zijn een second opinion scanner met de breedst mogelijk kennisbank dus we zien alles."

Loman verwacht ook niet dat de AMTSO het rapport zal certificeren. "Dit omdat de AMTSO over teststandaarden gaat en wij aan de basis helemaal geen tests doen maar constateren. We hebben de AMTSO genoemd omdat we er juist wel aandacht aan hebben gegeven: het rapport zou aan een richtlijn kunnen voldoen en we hebben het dus als leidraad gebruikt. Als je de richtlijnen ook leest dan voldoet ons rapport er ook meer dan prima aan." Hij wijst ook naar de inhoud en omvang van de test. De gescande machines waren geïnfecteerd met actieve malware terwijl ze beschermd zijn door een AV product. Infecties die door tenminste twee anti-virusbedrijven waarmee SurfRight samenwerkt, bevestigd zijn. De testgroep bestaat uit ruim 100.000 computers, waardoor de test volgens Loman zowel aan kwantiteit als kwaliteit voldoet.

Onderscheid
"Volgens de AMTSO richtlijn moet er gelet worden dat de geteste virus samples daadwerkelijk functioneren. Ook moet de sample set divers zijn (verschillende typen malware) maar natuurlijk ook relevant en nieuw zijn. Aangezien Hitman Pro 3 schadelijke software aantreft op echte machines klopt ons rapport: er is werkende malware aangetroffen (heeft slachtoffers gemaakt) en zijn al dan niet nog actief aanwezig (functionaliteit). Ook zijn over de 100.000 systemen enorm veel verschillende bedreigingen gevonden waardoor het rapport ook aan het diversiteitscriteria voldoet. De bedreigingen zijn op systemen aangetroffen waarop al een AV product aanwezig was waardoor de ontdekkingen relevant en vaak zero-day zijn (ze zijn niet opgemerkt door het reeds aanwezige AV product) (freshness)."

De bevlogen virusbestrijder erkent dat in tegenstelling tot laboratorium-omgevingen, elke door Hitman Pro gescande PC anders is, iets wat ook in het rapport zelf wordt aangegeven. "Echter, omdat we juist geen onderscheid maken is in principe de omgeving van alle 100.000+ gescande computers hetzelfde: het AV product moet ervoor zorgen dat de PC schoon blijft, ongeacht software updates, programmaversies en gebruikerstypen." Loman besluit door duidelijk te maken dat SurfRight geen virusscanners test, iets waar de AMTSO juist voor is opgezet. "Daar was het rapport ook niet om te doen en daarom hebben we besloten er momenteel ook geen productnamen in te noemen." Wat het bedrijf wel met het rapport wilde bereiken is te onderzoeken welke virusscanners op besmette systemen gebruikt worden en hoe die toch besmet zijn geraakt.

Reacties (11)
12-12-2009, 12:35 door spatieman
dwijlen met de kraan open ?
12-12-2009, 15:12 door Anoniem
Hitman pro is toch gewoon een verzameling (freeware) scanners bij elkaar, en met wat simpel 'programmeerwerk' als 1 pakketje gebundeld?
Ik heb het voor de gein een keer getest, het is niet mijn ding. Ik draai liever de scanners apart en geef mijn eigen instellingen per scanner.
Voor de mensen voor wie een computer gewoon moet werken zonder al te veel poespas is het een aardig progje.
Ik zou liever alle goede scanners gekoppeld zien d.m.v. een menu waarbij je elk programma goed kan configureren en dan de keuze zou hebben uit: scan met Adaware, Spybot of scan met allemaal (achter elkaar aan natuurlijk).
Maar dit is mijn bescheiden mening natuurlijk.
12-12-2009, 16:08 door Anoniem
Ik ben het grotendeels eens met de meneer boven mij,maar aan de andere kant kan het nooit geen kwaad om je pc eens met een andere scanner te leten scannen zodat je ook eens kan zien hoe je eigen beveiligingssoftware het er vanaf brengt.
En zeker als je hem test voor 30 dagen,dan gooi je hem erna gewoon weer af.
Maar het is ook belangrijk dat je naast je beveiligingsprogramma op tijd te updaten ook andere gebruikers software op tijd update
zoals je flashplayer,java en natuurlijk windows update.
Als je al die maatregels neemt dan zit je al een heel eind op de goede weg,ja 100% beveiligd bestaat niet dat besef ik ook
maar je moet ook je pc in de gaten houden als je iets aparts tegen komt zoek het dan uit of vraag op een forum of andere pc gebruikers er ervaring mee hebben veel meer kun je toch niet doen.
12-12-2009, 16:22 door Anoniem
Jij hebt al heel lang geen Hitman Pro meer gebruikt zo te horen :) Het is nu compleet anders en erg snel geworden. Ik gebruik het vaak bij klanten die wie eens troep op hun PC gekregen hebben. Dit is echt de ideale tool om het spul snel en goed te verwijderen.

De test voldoet niet aan de AMTSO?! Ik heb het document er ook eens op nagelezen maar AMTSO wordt gewoon ergens genoemd als een test orgaan. Niks mis met document naar mijn mening. Waarom is dit een nieuwsbericht waard eigenlijk?
12-12-2009, 20:14 door Spiff has left the building
Door Anoniem: Hitman pro is toch gewoon een verzameling (freeware) scanners bij elkaar, en met wat simpel 'programmeerwerk' als 1 pakketje gebundeld?
Nee, je hebt het over Hitman Pro 2.
Hitman Pro 3 is een heel ander product.
Je zou even kunnen kijken op http://www.surfright.nl/nl/hitmanpro/
12-12-2009, 23:24 door Anoniem
Wanneer komt er een weerwoord op de hier geuitte bezwaren? :
http://www.security.nl/artikel/31740/1/32%25_computers_met_virusscanner_toch_besmet.html

Zoals het hierboven staat lees ik ontkenningen zonder grond en/of ook zonder steekhoudende argumentatie.
13-12-2009, 11:36 door Anoniem
Hoezo virusscanner test? Het rapport gaat toch over statistieken? :S
13-12-2009, 14:55 door Anoniem
Heb gekeken spiff, ik was niet op de hoogte van de 'nieuwe' Hitman Pro. Dit lijkt me wel een aangenaam produkt. Toch blijf ik liever scannen met Adaware, Spybot, Spyware Terminator en nog een aantal freeware programma's. Eens in de maand ontdekt 1 van deze programma's wel eens iets. Dit komt omdat ik over het algemeen onbekende sites en programma's open in Sandboxie IE dus weinig last van 'rommel' over het algemeen.
13-12-2009, 23:45 door Righard J. Zwienenberg
De test voldoet niet aan de AMTSO?! Ik heb het document er ook eens op nagelezen maar AMTSO wordt gewoon ergens genoemd als een test orgaan. Niks mis met document naar mijn mening. Waarom is dit een nieuwsbericht waard eigenlijk?

In het eerdere artikel http://www.security.nl/artikel/31740/1/32%25_computers_met_virusscanner_toch_besmet.html wordt gesteld
"In dit geval heeft Surfright de eigen test aan AMTSO voorgelegd, maar die heeft nog niet geoordeeld of die ook aan de gestelde richtlijnen voldoet."
AMTSO heeft nooit een aanvraag gehad om de test en/of test-mothodologie te boordelen van SurfRight. Dat kan ook niet, omdat AMSTO op dit moment in een proces zit om dit te bewerkstelligen. Er is een mogelijkheid dat een partij (ondersteund door minimaal twee andere omafhankeloijke partijen) om een test (na publicatie) voor te leggen aan de Review Analysis Board als die partij van mening is dat de test niet conform de AMTSO standards en guidelines is. Verdergaande procedures (oa een "certificering","assesment", ed) staan op de agenda om vervold te worden op de volgende AMTSO Members Meeting in Februari..

Aangezien in het artikel wordt gesteld dar SurfRight eea aan AMSTO heeft voorgelegd (en nog geen reaktie heeft gehad), hebben wij als AMTSO hierover een bericht naar Security.nl gestuurd met een uiteenzetting van de AMTSO documenten en mogelijke procedures.

Het feit dat SurfRight nu als repliek stelt dat zij "laat weten dat het nooit de intentie van SurfRight is geweest om te doen alsof de test door de AMTSO organisatie gecertificeerd is." spreekts enigszins boekdelen. Letterlijk staat het er niet, maar het zelf verwijzen naar AMTSO en stellen dat er nog geen reaktie is, dat is natuurlijk marketing om toch even een onafhankelijk instituut als AMTSO te vermelden, wat de de credability van de (eigen) test natuurlijk verhoogd.

De test zelf vertoon natuurlijk hiaten... Hoe zit het met het FP gehalte van HitMan Pro... Het is 'te makkelijk' om te stellen dat alles dat wordt achtergelaten 'gemiste' malware is. Tevens, hoe ziet het plaatje er andersom uit: HitMan Pro als primaire anti-malware scanner en ander anti-malware scanners die worden gebruikt om te valideren hoeveel HitMan Pro doorlaat.

Loman besluit door duidelijk te maken dat SurfRight geen virusscanners test, iets waar de AMTSO juist voor is opgezet.
Wederom onjuist! Dit is juist niet het doel, AMTSO doet zelf geen tests.

AMTSO's charter focuses on the following five areas:
- Providing a forum for discussions related to the testing of anti-malware and related products.
- Developing and publicizing objective standards and best practices for testing of anti-malware and related products.
- Promoting education and awareness of issues related to the testing of anti-malware and related products.
- Providing tools and resources to aid standards-based testing methodologies.
- Providing analysis and review of current and future testing of anti-malware and related products

Het feit fat een test-methodologie volkomen volgens de AMTSO Guidelines and Recommendations is opgebouwd, wil niet zeggen dat de uiteindelijke test zo is uitgevoerd en/of dat de resultaten conform het doel van de test zijn, ed.

Natuurlijk is het wel zo dat wij (AMTSO) het waarderen dat test-methodlogien worden opgesteld die cofnform de AMTSO Guidelines and Recommendations zijn. Een verdere discussie met dhr. Loman en SurfRight zullen we dan ook zeker verwelkomen. Ik nodig hierbij dan ook dhr. Loman uit om onze volgende AMTSO Members Meeting in Santa Clara bij te wonen als toehoorder.

Righard Zwienenberg
AMSTO - President
http://www.amtso.org
14-12-2009, 10:00 door Anoniem
.. kijk aan. Lekkere discussie ontstaat hier.

Mijn persoonlijke ervaring met Hitman is helder. Versie 2 diende zijn doel maar was langzaam en eigenlijk niet meer dan het aansturen van andere op zichzelfstaande programma's. Versie 3 is totaal anders en werkt snel en effectief.
De eerste keer dat Hitman 3 malware niet weghaalt, moet ik nog zien. Als een kennis, familielid etc me opbelt en aangeeft dat de computer 'raar' doet of banners enzovoort geef ik aan eerst even hitman te downloaden en te draaien. Heeft me als IT-er nu al echt letterlijk tientallen uren gescheeld. Bedankt voor deze top tool!

En om even terug te komen op deze test; als de test net zo professioneel als de tool is, dan geef ik hem een tien met een griffel.
Denk dat AMTSO enorm onder de indruk is, dus testen die handel zou ik zeggen!

Knappe prestatie van Nederlandse bodem!
14-12-2009, 10:35 door Anoniem
De test zelf vertoon natuurlijk hiaten...
Volgens mij zijn het statistieken en is het overduidelijk geen test want er worden nergens AV pakketten genoemd.

Hoe zit het met het FP gehalte van HitMan Pro... Het is 'te makkelijk' om te stellen dat alles dat wordt achtergelaten 'gemiste' malware is.
Het rapport heeft een paragraaf over false positives waarin staat:

The statistics in this report are based on malicious files identified by at least 2 (or more) renowned AV
vendors in our Scan Cloud.
Oftewel, een bestand is door tenminste 2 verschillende partijen aangewezen als malware. Dat reduceert m.i. de false positives aanzienlijk. Echter, ik heb zelf ook wel eens een bestand naar VirusTotal gestuurd wat door 10 van de 40 partijen werd aangemerkt als malware terwijl het zeker geen malware was. Uitsluiten kan volgens mij dan ook niet.

Maar met een testgroep van 100.000 gebruikers heb je een redelijk beeld hoe het over het algemeen gesteld is. Je hebt volgens mij als consument meer aan statistieken dan aan lab tests omdat statistieken een realistischer beeld geeft.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure