jueves, 14 de abril de 2016

Análisis de rendimiento de la suite de seguridad recomendada

                    (P) Hugo Napoli, 2016                   

Introducción.

En este artículo, se analizará el rendimiento de un popular y eficaz anti virus en comparación con la suite de seguridad que estamos utilizando exitosamente desde el año 2014, ininterrumpidamente.
Hasta el momento (abril de 2016), la mencionada batería de programas está siendo utilizada en unas 100 máquinas, repartidas entre 2 instituciones de enseñanza pública (60 máquinas), 1 de enseñanza privada (15 máquinas), una conocida librería de Montevideo (3 máquinas hasta ahora) varios clientes particulares del autor del artículo (no puedo recordar con exactitud cuántas computadoras, pero no menos de 15), y por supuesto, en 4 ordenadores del mismo autor (máquina del taller, máquina de uso familiar, máquina de uso personal, máquina de mi esposa).
Como se puede comprobar (a menos que se desconfíe de esta información), no solamente utilizo "puertas adentro y como juguete nuevo" esta suite. He apostado fuertemente, y he ganado en satisfacción y tranquilidad.



Tipo de máquina utilizada para al análisis.

Marca y modelo del ordenador: ACER VERITON VX2631G-SI413F
Modelo del procesador: Intel Core i3-4130 Dual-core
Cantidad de núcleos del procesador: 2
Cantidad de hilos o procesos del procesador: 4
Memoria caché del procesador: 3 MB
Velocidad del procesador: 3,4 GHz
Tipo de memoria RAM: DDR3
Capacidad de la memoria RAM: 4 GB
Tipo de disco duro: SATAII
Capacidad del disco duro: 500 GB
Placa madre: Intel H81 Express
Tipo de tarjeta gráfica: integrada
Modelo de tarjeta gráfica: Intel HD graphics 4400
Sistema Operativo: Windows 7 Ultimate Service Pack 1
Arquitectura del Sistema Operativo: amd64 (64 bit)

Enlace oficial: http://www.acer.com/ac/es/MX/content/professional-model/DT.VKBAL.003


Procedimiento.

Para dicho análisis, se escogió un computador de una sala de Informática de una de las mencionadas instituciones de enseñanza pública (Universidad del Trabajo del Uruguay o Escuela Técnica de Uruguay), y se procedió a realizar lo que sigue:
1 - desinstalación de AVG Free 2013,
2 - ejecución de CCleaner (v. 4.05) en modos limpieza y registro.
3 - descarga e instalación de AVG Free 2016,
4 - actualización y verificación de funcionamiento de AVG,
5 - actualización de Java, Silverlight y VLC a su última versión del 14/4/2016.
6 - actualización de CCleaner, Mozilla Firefox, todos los plugins de Mozilla Firefox descritos aquí, limpieza, optimización profunda y ajustes varios de rendimiento del Sistema Operativo (*)
7 - medición del consumo de las exigencias de hardware de AVG con el equipo en reposo y ningún programa en ejecución (ni minimizado, ni en pausa, ni aguardando ningún tipo de intervención por parte del usuario),
8 - análisis anti viral de AVG con los ajustes que el anti virus posee por defecto (**),
9 - medición del consumo de las exigencias de hardware de AVG durante el análisis (***)
10 - espera hasta la finalización del análisis de AVG. Volcado de los resultados del análisis según las posibilidades ofrecidas por el programa (****)
11 - restauración del material viral encontrado por AVG, a los efectos de regenerar el mismo ambiente informático para la suite de seguridad "post AVG",
12 - desinstalación de AVG Free 2016,
13 - ejecución de CCleaner 5.16.5551 en modo limpieza y registro,
14 - instalación de ClamWin,
15 - realización de los 2 ajustes imprescindibles descritos aquí,
16 - actualización de ClamWin (v. 0.99),
17 - instalación de Clam Sentinel (v. 1.22),
18 - instalación de SUPERAntiSpyware (v. 6.0),
19 - verificación de la configuración mínima y realización de 1 ajuste imprescindible descrito aquí,
20 - actualización de SUPERAntiSpyware.
21 - instalación de Malwarebytes Anti Exploit (v. 1.08.1.1189),
22 - instalación, actualización, utilización y cierre de Spyware Blaster (v. 5.4),
23 - instalación de USB Disk Security (v. 6.5.0.0),
24 - instalación de Unchecky (v. 0.4.3),
25 - instalación de Secunia PSI (v. 3.0),
26 - ejecución de ClamWin en modo análisis para las únicas 2 particiones NTFS existentes (discos "C" [Win_7_Ult-amd64] y "D" [Datos]) conjuntamente con SUPERAntiSpyware.
27 - medición del consumo de las exigencias de hardware de la suite de seguridad durante el análisis (***),
28 - espera hasta la finalización del análisis conjunto y simultáneo de ClamWin y SUPERAntiSpyware. Volcado de los resultados del análisis según las posibilidades ofrecidas por ClamWin y por SUPERAntiSpyware en su formato nativo (log) (*****).

(*) Eliminación de efectos visuales como transparencias y sombreados de Windows, desactivación de todo programa que iniciara junto con Windows que no fuera un servicio esencial o que no aportara de forma significativa al equipo, como los "arranques rápidos" de Autocad, Adobe Reader, LibreOffice, Skype, etc, ejecución de CCleaner v. 5.16.5551 (limpieza y corrección de errores en el registro), defragmentación con Defraggler (v. 2.21.993).

(**) No se ha intentado ajustar, optimizar, favorecer ni desfavorecer el producto, ni se ha pretendido ser más inteligentes ni sabios que sus creadores. Las opciones por defecto han sido respetadas.

(***) Se tomó la medición más alta posible. Para ello, se dejó al/(a los) programa/(s) anti viral/(es) hacer su trabajo durante 60 segundos, y a partir de allí, conforme se iban detectando consumos de hardware más altos, se iba tomando nota de ello (captura de pantalla "en crudo" y volcado a Paint), hasta que pudimos comprobar que el/(los) mismo/(s) estaba/(n) en su pico de exigencia más álgido.

(****) No se realizaron trabajos ni se utilizó la máquina en ningún sentido durante el análisis. Únicamente se permitió que los programas involucrados realizaran su cometido.

(*****) ClamWin no ofrece posibilidad de exportación del reporte, pero sí ofrece su visualización. Se copió toda esta información en LibreOffice Writer, y se guardó sin alterar. También se exportó a pdf. En el caso de SUPERAntiSpyware, se volcó el contenido de su archivo "log" a "pdf", también.


Documentación.

Procesos durante el funcionamiento de AVG Free 2016. Máquina en reposo.


Procesos durante el funcionamiento de suite de seguridad propuesta. Máquina en reposo.


Consumo de recursos de AVG Free 2016 durante un análisis viral (ajustes predefinidos del anti virus).


Consumo de recursos de la suite de seguridad propuesta durante un análisis viral (ajustes predefinidos del antivirus ClamWin y del anti espías SUPERAntiSpyware).



Restauración de las detecciones de AVG Free 2016 para que la suite de seguridad propuesta pueda realizar el mismo trabajo:


ClamWin y SUPERAntiSpyware informando acerca de las amenazas encontradas:




Material para descarga y análisis.

Detecciones virales de AVG Free 2016.

Descarga el archivo nativo de AVG en formato CSV desde Google Drive: https://drive.google.com/open?id=0BywUrhlSa7WUY0FvSHViVUw2Ums

El mismo archivo, en formato Adobe Acrobat Reader (pdf): https://drive.google.com/open?id=0BywUrhlSa7WUeGpTT1JmNV9OQ00

Detecciones virales de ClamWin.

Descarga el reporte de ClamWin en formato Open Document Format (odt) desde Google Drive: https://drive.google.com/open?id=0BywUrhlSa7WUNnJzeEkzRnJvT0k

El mismo archivo, en formato Adobe Acrobat Reader (pdf): https://drive.google.com/open?id=0BywUrhlSa7WUQkVaUFRESW45M1E

Detecciones virales de SUPERAntiSpyware:

Descarga el archivo nativo de SUPERAntiSpyware en formato ".log" desde Google Drive: https://drive.google.com/open?id=0BywUrhlSa7WUTVgwVENQOG9URVE

El mismo archivo, en formato Adobe Acrobat Reader (pdf): https://drive.google.com/open?id=0BywUrhlSa7WUNnlrY3E4c3lOLTg


Conclusión propuesta.

Detecciones virales.

ClamWin detectó una mucho mayor cantidad de amenazas (56 en total) que AVG (solamente 1). Podemos preguntarnos si las detecciones de ClamWin eran realmente amenazas, puesto que es abrumadora la diferencia de cantidad de detecciones respecto a AVG, aunque también cabe preguntarse si AVG es tan fiable como parece, ya que otro antivirus (ClamWin) fue capaz de detectar una cantidad 56 veces mayor de código maligno (malware) [*] en la misma máquina y en las mismas condiciones.
En lo personal, creemos que esto posiblemente se deba a que los algoritmos de detección de amenazas de ClamWin no están del todo maduros aún como para dejar pasar algunos archivos potencialmente peligrosos, pero en definitiva tal vez no dañinos.
También vale agregar que ni el Sistema Operativo ni los programas instalados en él, sufrieron impactos negativos apreciables luego de la desinfección, pese al alto nivel de detecciones atendidas.
Lo más importante: AVG y ClamWin estuvieron de acuerdo en algo: ambos detectaron el archivo infectado "CS1.6M" y lo trataron del mismo modo: ninguna de las soluciones de seguridad pudo desinfectarlo, y ambas optaron por enviarlo a cuarentena.
En el caso de AVG, el análisis de las detecciones concluiría aquí, pero creemos que el usuario que utilice a ClamWin como una medida de defensa, necesitará también de programas que lo complementen de forma directa, y aquí es en donde entra en juego SUPERAntiSpyware.
Este es un poderoso detector de pequeños archivos dormidos que esperan a ser despertados por un navegador web: las conocidas cookies (galletas). Las "cookies", son pequeños y proliferantes archivos que poseen información sobre algunos hábitos de uso de las personas que ocasional o frecuentemente emplean un determinado ordenador.
Si bien la gran mayoría de las detecciones de SUPERAntiSpyware se debe a esta causa (eliminación de cookies para proteger la privacidad del usuario), algunas amenazas -de las 104 halladas-, son efectivamente software malicioso, lo cual se puede comprobar en el reporte suministrado. Las amenazas reales (no potenciales) descubiertas, fueron 5. Por consiguiente, la abrumadora mayoría de detecciones de ClamWin (56 infecciones) se amplía finalmente, con la ayuda de SUPERAntiSpyware, a la cifra de 61.

[*] La palabra "malware", deriva de "malicious software". También es conocida como "badware", por "bad software".

Consumo de recursos de hardware I: memoria RAM.

La suite de seguridad propuesta, necesitó un 26% de la totalidad de memoria física disponible en el ordenador "en reposo", mientras que AVG consumió un 31%.

La suite de seguridad propuesta, necesitó un 39% de la totalidad de memoria física disponible en el ordenador durante un análisis (poco más que lo utilizado por AVG "en reposo"), mientras que AVG consumió un 46% (casi la mitad del total).

La suite de seguridad, pese a estar conformada por varios programas de diferente naturaleza y tipo, presentó un empleo más eficiente de la memoria RAM, en todo sentido, demostrando ser muy útil para máquinas con menor cantidad de memoria RAM que la deseable.

Consumo de recursos de hardware II: procesador.

Para mantenerse funcionando, AVG necesitó un 1% de los recursos del procesador, mientras que la suite demostró necesitar 5 veces más que AVG (5%).

No obstante, con AVG el procesador debió atender mayor cantidad de procesos (55) frente a la suite (51).

Para llevar a cabo un análisis, en cambio, los recursos del procesador fueron mejor aprovechados por la suite de seguridad (8%, tan solo un poco más que lo necesario para estar en reposo) que por AVG (33%).

Aquí, quien debió encargarse de una mayor cantidad de procesos fue la suite (51) frente a AVG (55).