ESET Smart Security RC 4.0 They protect your digital worlds? Een uitgebreide test van ESET Smart Security Release Candidate versie 4.0 1
Inhoudsopgave: Specificaties testsysteem Pagina 3 De installatie Pagina 4 Instellingen en updates Pagina 11 Antivirus test Pagina 16 Systeem scan Pagina 20 Geavanceerde instellingen Pagina 30 Systeem scan met geavanceerde instellingen Pagina 35 Firewall tests Pagina 38 De Antispam module Pagina 47 Sysinspector Pagina 53 Systeembelasting Pagina 57 Eindconclusie en aanbevelingen Pagina 58 2
Specificaties testsysteem: We maken gebruik van onderstaand systeem om de test uit te voeren; AMD Athlon 64 3000+ Mobo: Asus A8V-Deluxe Graka: Nvidia FX 5200 LAN: D-Link DGE-528T DVD drive: Samsung HD1: Western Digital WD740ADFD Besturingssysteem HD2: Samsung 80GB SATA 2 Ram: 1GB (2x512mb) Onze verbinding met het internet bestaat uit een modem en router die ingesteld zijn volgens de standaard fabrieksinstellingen. Als besturingssysteem hebben we Windows XP Professional SP3 geïnstalleerd en voorzien van de laatste updates. (na installatie van ESET Smart Security 4) Als browser gebruiken we I.E die we hebben geüpdate naar versie 7.0.5730.13 (eveneens na installatie van ESET Smart Security 4) Verder nog geïnstalleerd; - Adobe Flash Player 10.0.22.82 - Java 6 Update 12. Testuitvoering Opdrachtgever: Tester: Schrijver: Opmaak: www.pcbeveiligen.nl Dasle Dasle Matrix 3
De installatie: De splinternieuwe geïntegreerde beveiligingsuite van ESET, ESET Smart Security, bevat: 1. De splinternieuwe ESET NOD32 Antivirus 2. Een Antispyware 3. Een firewall 4. Een Antispam Virus signature database: 3937 (20090314) Update module: 1028 (20090302) Antivirus and Antispyware scanner module: 1195 (20090313) Advanced heuristics module: 1092 (20090309) Archive support module: 1091 (20090213) Cleaner module: 1038 (20090210) Anti-Stealth support module: 1010 (20090302) Personal firewall module: 1044 (20090121) Antispam module: 1011 (20090114) System status module: 1210 (20090306) Self-defense support module: 1005 (20081105) Nieuw in versie 4.0; - De mogelijkheid om SSL-verbindingen te scannen. - Betere ondersteuning voor ingepakte bestanden en zelfbescherming (als je een verwisselbare schijf aansluit, worden bovendien automatisch het autorun.inf-bestand en de bijbehorende bestanden gescand). - Anti-Stealth support module (geavanceerde technologie die bescherming biedt tegen rootkits). - Controle van draagbare media, zoals USB & CD. - Slimme optimalisering (deze functie verhoogt de scansnelheid). - Self-defense support module (een ingebouwde technologie die verhindert dat kwaadwillende software de beveiliging van het systeem uitschakelt of vernietigd). - Versleutelde communicatie (ontwikkeld voor Windows XP en Windows Vista voor het scannen van HTTP en POP3 protocols op bedreigingen). - Ondersteuning van meer email clients (Windows Live Mail, Mozilla Thunderbird, Microsoft Office Outlook, Windows Mail en Outlook Express). - ESET SysInspector (een krachtige diagnosetool voor grondige analyse van het besturingssysteem, met inbegrip van lopende processen, register inhoud, startup items en netwerkconnecties). - SysRescue (laat gebruikers toe op een CD en een USB stick een medium te maken om het systeem te herstarten). - Verbeterde verwijdering van besmette bestanden. - Verbeterde firewall. - Verbetert Spamfilter. 4
De installatie verloopt zoals we van ESET gewend zijn; duidelijk en overzichtelijk. We dubbelklikken op de installer en krijgen de installatie-wizard; Hier klikken we op Next. En komen dan in volgend scherm; 5
We accepteren de gebruikersvoorwaarden en klikken op Next. En krijgen het volgende scherm; Hier kunnen we een selectie maken uit - Typical (recommended best settings) Standaard (aanbevolen beste instellingen) - Custom (allows for more detailed configuration) Aangepast (maakt meer gedetailleerde configuratie mogelijk) Aanvullende informatie over deze 2 mogelijkheden: Standaard; De meest belangrijke instellingen worden tijdens de installatie geconfigureerd en gezet op de aanbevolen instellingen. De standaard instellingen bieden volledige bescherming en zijn geschikt voor de meeste gebruikers. Aangepast; Maakt configuratie van de instellingen tijdens de installatie mogelijk. Wij hebben gekozen voor de eerste optie namelijk Typical. 6
Wederom klikken we op Next. Hierna komen we in het volgende scherm van de installatie-wizard; Hier kunt u uw gebruikersnaam en paswoord invullen dat u heeft gekregen bij de aanschaf van dit product. Nogmaals klikken we op Next en vervolgen de installatie in volgend scherm; 7
ThreatSense.Net: ThreatSense.Net speelt een belangrijke rol in het proactief rapporteren van gedetecteerde malware. Het is daarom aan te bevelen het ThreatSense.Net vroegtijdig waarschuwingssysteem aangevinkt te laten. Weer klikken we op Next en komen dan in het volgende scherm; Detection of potentially unwanted applications: Of Detectie van mogelijk ongewenste programma s. Omdat sommige mogelijk ongewenste programma s legitiem zijn en geen beveiligingsrisico vormen, is de toestemming van de gebruiker nodig om deze te detecteren. Met behulp van deze optie kunt u deze programma s laten blokkeren. Tijdens deze installatie is de optie op Enable (ingeschakeld) gezet. 8
Hierna klikken we op Next en komen in volgend scherm; Na een klik op Install begint de eigenlijke installatie van ESET Smart Security 4. In onderstaand scherm kunt u het verloop van de installatie volgen. 9
Als de installatie voltooid is krijgt u volgend scherm; Zodra de installatie is voltooid, start ESET NOD32 Antivirus automatisch op. Het herstarten van de computer is normaal gesproken niet nodig, dus u kunt gewoon doorwerken, terwijl ESET NOD32 Antivirus op de achtergrond draait en uw computer beschermt. 10
Instellingen en updates: Na het voltooien van de installatie verschijnt het volgende scherm; Hier hebben we gekozen voor Allow sharing (Delen van bestanden toelaten). U hoeft slechts één keer een handmatige update uit voeren. ESET Smart Security 4 zal de updates daarna automatisch downloaden. 11
Na de eerste herstart van ons systeem krijgen we meteen volgend scherm in beeld; Onze Windows XP configuratie is niet up to date en we klikken dan ook op de oranje tekst here in de tekst To update the operating system click here, we krijgen gelijk een beveiligingswaarschuwing van internet explorer; 12
Hier klikken we op installeren en kunnen we ons besturingssysteem gaan updaten. We gaan naar de site van Microsoft. 13
De twee updates worden gedownload en geïnstalleerd waarna we een herstart uitvoeren. Na de herstart krijgen we meteen weer de melding dat ons besturingssysteem niet up-todate is; 14
Wederom gaan we naar de site van Microsoft en downloaden en installeren essentiële updates en I.E 7 en W.M 11; Als alle updates geinstalleerd zijn doen we een herstart en als de melding weg blijft gaan we voor alle zekerheid naar Microsofts updates en alle essentiële updates zijn geinstalleerd; 15
Antivirus test: Voor deze test volgen we een bepaalde volgorde van tests die door ons zelf is vastgelegd. Als eerste voeren we de Eicar (een onschuldig testvirus) test uit en laten we ons besmette e-mails toesturen. Dan volgt een test met downloads van zowel besmette als niet besmette bestanden. Eicar test. Bij de eerste 4 tests worden bestanden gedownload over het standaard HTTP protocol. Bij alle vier de tests krijgen we een waarschuwing en wordt de verbinding geblokkeerd door ESET Smart Security 4; Test 1; Test 2; Test 3; Test 4; 16
Hierna doen we 4 tests over het SSL enabled protocol HTTPS. Bij de eerste 2 tests wordt ingegrepen door ESET Smart Security 4 maar bij de laatste 2 tests gaat het mis. Test 1; Test 2; Hier krijgen we het download scherm te zien waar we kiezen voor opslaan maar het bestand wordt herkend en wordt verwijderd; 17
Test 3; Hier krijgen we onderstaand scherm waarna we een download locatie kunnen kiezen en het bestand kunnen downloaden; Test 4; Ook hier krijgen we onderstaand scherm waarna we een download locatie kunnen kiezen en het bestand kunnen downloaden; 18
In de verkenner zien we dan ook de 2 Eicar test bestanden (eicar_com & eicarcom2); Gaan we dan in het gebeurtenissen log van ESET kijken, dan zien we dat 6 bestanden succesvol zijn herkend en de gepaste maatregelen zijn genomen. De 2 andere gedownloade bestanden worden bij een scan van het systeem wél herkend maar niet verwijderd. Gebeutenissen log; 19
Systeem scan; De test met de besmette e-mails gaat helemaal fout en de bestanden worden gewoon naar het e-mail programma gedownload zonder enige waarschuwing!! Downloaden besmette bestanden op internet via illegale sites: De 3 belangrijkste (besmette) bestanden die we gedownload hebben en die niet herkend werden door ESET zijn; - Crack Any DVD v6.x.x.x - Crack Download manager 5.12 b4 - Crack Download manager 5.02.6 20
Crack Any DVD v6.x.x.x Het download scherm; 21
Crack Download manager 5.12 b4 Het download scherm; 22
Crack Download manager 5.02.6 Het download scherm; Ook dit bestand hebben we kunnen downloaden en opslaan. Na een systeem scan vond ESET Smart Security 4 alleen de 2 Eicar test bestanden; De gedownloade bestanden waren met grote zekerheid besmet en we hebben dan ook een paar online scanners gebruik waar we de bestanden naar ge-upload hebben zoals virustotal.com. 23
Scan met ESET online scanner: Niets gevonden; 24
McAfee online scanner: 3 Geïnfecteerde bestanden gevonden; 25
Symantec Online Security check: 1 Geïnfecteerd bestand gevonden; 26
Hierna hebben we de bestanden ge-upload naar virustotal.com voor een analyse met volgend resultaat; Any DVD v6.x.x.x Hier geeft de online scanner van ESET wel aan dat er een besmetting inzit; 27
Download manager 5.12 b4 Ook hier geeft de online scanner van ESET aan dat het bestand besmet is; 28
Download manager 5.02.6 Ook hier geeft de online scanner van ESET aan dat het bestand besmet is; 29
Geavanceerde instellingen. Naar aanleiding hiervan hebben we bij Advanced setup van ESET enkele instellingen gewijzigd zoals; Potentially unsafe applications aangevinkt bij alle onderdelen waar mogelijk. Advanced heuristics aangevinkt waar mogelijk. E-mail programma opgenomen. Zie volgende screenshots: Eenmaal in de set-up gaan we naar Antivirus and Antispyware en klikken op Threatsense engine parameter set-up en kiezen dan voor Options, hier vinken we Potentially unsafe applications aan. 30
Onder Real-time file system protection klikken we op Threatsense engine parameter set-up, en vinken dan onder Objects, Runtime packers aan. Bij Options vinken we Advanced heuristics en Potentially unsafe applications aan. 31
Onder Real-time file system protection Advanced set-up vinken we Advanced heuristics on file execution aan. Bij Real-time file system protection - Document protection Threatsense engine parameter set-up en onder Options vinken we Potentially unsafe applications aan. 32
Bij Email client protection klikken we op Threatsense engine parameter set-up en onder Options vinken we Potentially unsafe applications aan. Bij Web acces protection klikken we op Threatsense engine parameter set-up en onder Options vinken we Potentially unsafe applications aan. 33
Bij On-demand computer scan klikken we op Threatsense engine parameter set-up en onder Options vinken we Potentially unsafe applications aan. 34
Systeem scan met geavanceerde instellingen. De aanpassingen in de geavanceerde instellingen leveren het volgende resultaat op; Systeem scan met ESET Smart Security 4; Nu vindt ESET bij het scannen wél alle gevaarlijke bestanden en heeft ze ook allemaal kunnen verwijderen. 35
Scan na het cleanen; Alles Clean! 36
Hierna hebben we de Eicar-tests opnieuw gedaan en ditmaal konden wij geen enkel testbestand downloaden of via e-mail binnen krijgen. Ook de downloads van de besmette bestanden werden door ESET geblokkeerd; Ditmaal hebben wij geen enkel bestand kunnen downloaden! 37
Firewall tests De verschillende instellingen; Automatic mode; De standaardwijze. Het is geschikt voor gebruikers die gemakkelijk gebruik van de firewall willen maken zonder behoefte te hebben voor het invoeren van regels. De automatische wijze staat alle uitgaande verkeer voor het bepaalde systeem toe en blokkeert alle nieuwe verbindingen die van de netwerkkant in werking worden gesteld. Automatic mode with exceptions; Hier geld het zelfde als bij automatic mode en u kunt gebruikersregels invoeren. Interactive mode; Staat u toe om een op maat gemaakte configuratie in te stellen voor uw persoonlijke firewall. Wanneer een verbinding wordt ontdekt en geen regel bestaat wat op die verbinding van toepassing is, zal een dialoogvenster die onbekende verbinding melden. Het dialoogvenster geeft de optie om de verbinding toe te staan of te weigeren, en het besluit toe te staan of te weigeren kan als nieuwe regel voor uw persoonlijke firewall worden opgeslagen. Als u verkiest om een nieuwe regel tot stand te brengen op dit ogenblik, zullen alle toekomstige verbindingen van dit type volgens de regel worden toegestaan of worden geblokkeerd. Policy based mode; Blokkeert alle verbindingen die niet door gebruikersregels gedefinieerd zijn. Deze wijze staat gevorderde gebruikers toe enkel door hun gespecificeerde verbindingen toe te laten. Alle andere verbindingen zullen de door persoonlijke firewall worden geblokkeerd. Learning mode; Creëert en bewaart automatisch regels. Geen gebruikersinteractie wordt vereist, omdat ESET de slimme veiligheid regels bewaart. Deze mode is niet veilig, en zou slechts moeten worden gebruikt tot alle regels voor vereiste mededelingen zijn gecreëerd. 38
De test Vervolgens doen we tests met de ESET Smart Security firewall ingesteld als Automatic mode en Interactive mode. De firewall test bestaat uit hoofdzakelijk uit 4 onderdelen. 1. File sharing test 2. Common Ports 3. All Services Ports 4. Firewall Leak Test Automatic mode; File sharing test 39
Common Ports 40
All Services Ports 41
Firewall Leak Test In de automatic mode komt deze test door de firewall, maar de meeste firewalls scoren slecht op dit onderdeel. In de Interactive mode komt deze niet door de firewall en krijg je een melding. 42
Interactive mode; File sharing test 43
Common Ports; 44
All Services Ports; 45
Firewall Leak Test; Als eerste krijgen we een melding van onze ESET firewall En klikken dan ook op Deny met volgend resultaat 46
De Antispam module Het Spamfilter werkt met Windows Live Mail, Mozilla Thunderbird, Microsoft Office Outlook, Windows Mail en Outlook Express. In dit scherm van de set-up onder Antispam module krijgt u een overzicht van alles wat u deze module te bieden heeft. Van hier uit kunt u snel naar de Whitelist, Blacklist en Exclusion list. Gaan we naar ons e-mailprogramma dan zien we ook de toegevoegde werkbalk van ESET Antispam; In Outlook Express kun je in het menu als je rechts klikt op een e-mail onder ESET Smart Security kiezen voor; - Reclassify selected messages as spam (Markeer een geselecteerd bericht als spam) - Reclassify selected messages as NOT spam (Markeer een geselecteerd bericht als geen spam) - Add to Blacklist (toevoegen aan Blacklist) - Add to Whitelist (toevoegen aan Whitelist) - Rescan messages (opnieuw scannen van bericht) 47
We hebben hier gekozen voor Add to Blacklist en krijgen dan volgend keuze scherm; We klikken hier op Yes en dit e-mailadres wordt toegevoegd aan onze Blacklist. Selecteer je hier Do not ask again krijg je bovenstaand scherm de volgende keer niet meer en wordt het geselecteerde e-mailadres onmiddellijk aan je Blacklist toegevoegd. 48
Gaan we in de Blacklist kijken zien we het e-mailadres staan; Wil je dit nu graag wijzigen of verwijderen selecteer dan het gewenste e-mail adres dat in de Blacklist staat en klik dan op Edit of Delete 49
De werkwijze om een e-mailadres toe te voegen, wijzigen of verwijderen van de Whitelist is identiek aan deze van het toevoegen, wijzigen of verwijderen aan de Blacklist. 50
Geavanceerdere instellingen. Antispam module; Enable Antispam module (aanzetten Antispam module). Add text to email subject (text die men wil toevoegen aan het e-mail bericht). Move messages to spam folder (verplaats berichten naar spam map). Use the folder (gebruik de map) Als men deze optie aanvinkt kun je een map kiezen waar de spam wordt opgeslagen. Mark spam messages as read (markeer spam berichten als gelezen) Mark reclassified message as unread (markeer een reeds gemarkeerd bericht als ongelezen). 51
Antispam module Address books; Use global address books (gebruiken van meerdere adresboeken.) Aan de Whitelist toevoegen; Add addresses from address book (voeg adressen uit je adresboek toe.) Add recipiënt addresses from outgoing messages( voeg adressen toe van uitgaande e-mails.) Add addresses from messages reclassified as NOT spam (voeg adressen toe van e-mails die men als geen spam markeerd.) Aan de Exclusion List toevoegen; Add addresses from own accounts (voeg adressen toe van je eigen e-mail accounts.) 52
SysInspector: Dit is een krachtig diagnosetool voor grondige analyse van het besturingssysteem, voor lopende processen, register inhoud, opstart items en netwerkconnecties. Deze tool vindt je in het hoofdscherm onder tools. Klik nu op Create. 53
Nu wordt er gevraagd een naam te geven aan de snapshot van je pc. Hier hebben we Dasle s pc ingevuld als voorbeeld. Een snapshot van je systeem wordt gemaakt. 54
Dubbel klik nu op de snapshot die je gemaakt hebt. En het bestand wordt geladen. 55
Selecteer een onderwerp en je vindt veel informatie over lopende processen, netwerk verbindingen, register vermeldingen, services, belangrijke files, systeem informatie, en bestandsdetails. 56
Systeembelasting; ESET Smart Security v. 4.0 RC bied uitstekende prestaties gecombineerd met een lage belasting van het geheugen; Bij onze tests met de geavanceerde instellingen gebruikte deze net geen 44 MB ramgeheugen. Ook merk je niet of nauwelijks dat deze op je systeem aanwezig is. 57
Eindconclusie en aanbevelingen: Pluspunten; Uitstekende beveiliging met de Advanced settings. Uitstekende prestaties gecombineerd met een lage belasting van het systeem. Verbeterde firewall. Verbetert Spamfilter. Uitgebreide instelmogelijkheden onder Advanced settings. Minpunten; Onvoldoende beveiliging met de Typical settings. Faalt Leak test in de Automatic mode. Eindconclusie; Met Security Suite versie 4.0 levert ESET het zoveelste beveiligingspakket af dat kan voldoen aan de hoogste normen. De uitbreidingen en verbeteringen zijn inderdaad een nieuw versienummer waard. Als ervaren NOD32 gebruikers waren wij in eerste instantie verbaasd dat de beveiliging niet 100% was, pas na het configureren van de Advanced setttings was het veiligheidsniveau dusdanig efficiënt dat wij er een veilig gevoel bij hadden. Vanzelfsprekend dient er een verschil tussen Typical en Advanced moeten zijn, maar dat zou moeten bestaan uit het feit dat Advanced meer meldingen naar de gebruiker geeft, en niet uit het feit dat Typical een beveiligingsniveau hanteert wat geen volledige bescherming biedt. Een beginnende gebruiker kiest 9 van de 10 keer voor de standaard instellingen, als dit dan leidt tot het een niet volledige bescherming is dat een vervelend feit. Niet iedere gebruiker is in staat om de geavanceerde instellingen te begrijpen en dus in te stellen. Het is zeker aan te bevelen om een soort medium instellingsniveau te hanteren voor beginnende gebruikers, maar niet ten koste van de bescherming. De Advanced instellingen zouden enkel als doel moeten hebben om de gevorderde gebruiker in staat te stellen om het pakket volledig naar eigen hand te zetten, Evt. gecombineerd met een learning-mode zouden de vele meldingen van een High-securitymode moeten leiden tot een op maat gesneden beveiligingspakket. Het feit dat de firewall de Leak-test van GRC niet haalt in de Automatic mode is geen dramatisch feit, de meeste firewalls falen op deze test. De Interactive mode geeft een melding en vraagt de gebruiker om instructie. Aanbevelingen; De detectiegraad van de Typical instelling zou omhoog geschroefd moeten worden zodat er een completere bescherming ontstaat. Omdat men name de onervaren gebruiker met deze instellingen gaat werken, zou de detectiegraad omhoog moeten zonder dat er allerlei onbegrijpelijke meldingen verschijnen. Copyright 2009 www.pcbeveiligen.nl Niets uit deze uitgave mag worden verspreid of gekopieerd zonder behoud van de oorspronkelijke bronvermelding (www.pcbeveiligen.nl) 58