Forøg sikkerheden med behavior blocking… gratis!

Behavior blocking er en sikkerhedsteknologi som nogle antivirusprogrammer anvender. Frem for den forældede signaturbaserede metode til at genkende selve malwaren, forsøger behavior blocking på at genkende handlinger som er typiske for malware. Dermed kan selv helt ukendt malware, som traditionelt antivirus ikke opfanger, blive stoppet af en behavior blocker.

Teknologien kan være ganske effektiv, men det afhænger af de valgte indstillinger. Antivirus-producenterne går utrolig langt for at gøre deres produkter brugervenlige, og de ønsker ikke at skrue følsomheden på deres beskyttelse så højt op, at det giver såkaldt falske positiver, og pop-ups som brugeren skal tage stilling til. Men for brugere som er indstillet på at besvare en pop-up engang imellem, kan en ekstra følsom behavior blocker give mening, da den kan hæve computerens sikkerhedsniveau til langt over det normale.

Lige siden behavior blockeren Threatfire ophørte med at blive vedligeholdt, har der desværre manglet et effektiv og gratis program med netop denne sikkerhedsteknologi. Selv blandt betalingsprogrammer har det været vanskeligt at finde noget vi kunne anbefale. Men det har vi fundet nu: Emsisoft Anti-Malware.

Egentlig er det et fuldt antivirus-program, og det er ikke gratis. Men hvis man er lidt teknisk, så kan man nemt installere en prøveversion af programmet og blokere det fra at få netforbindelse. Dermed vil programmet aldrig opdage at det kun er en prøveversion, og det vil derfor fortsætte med at fungere efter prøveperioden er udløbet. Det betyder at programmet ikke kan opdatere sine signaturfiler, og den signaturbaserede malware-beskyttelse er dermed stort set værdiløs. Til gengæld fungerer programmets behavior blocker stadig som den skal. Man kan derfor med fordel slå den traditionelle signaturbeskyttelse i Emsisoft Anti-Malware helt fra, og bruge programmet sideløbende med det antivirus eller andet sikkerhedsprogram man i forvejen har installeret (bemærk, at hvis du på denne måde forhindrer programmet i at gå på nettet og opdatere sig selv, så sørg for et par gange om året at geninstallere med den seneste version for at holde selve behavior blockeren opdateret, og tag evt. en backup af konfigurationen i programmet først). Dermed har man en gratis behavior blocker, som kan tilføje et ekstra lag af sikkerhed hvis det primære forsvar fejler.

Vores kompatibilitetstests har været ret begrænsede, men man kan altid prøve sig frem. Umiddelbart er der ingen grund til at behavior blockeren i Emsisoft Anti-Malware ikke skulle fungere sammen med de fleste andre typer af sikkerhedsprogrammer. Den har også fungeret fint som et supplement til Comodo Firewall, vis indbyggede behavior blocker alligevel ikke lader til at være særlig effektiv.

Det specielle ved denne behavior blocker fra Emsisoft er, at man kan justere dens indstillinger. For at opnå den sikkerhed vi omtaler, bør der vælges indstillinger som vist her.
Med disse indstillinger har vi foretaget flere typer tests, både ved anvendelse af test-programmer og med reelt malware. Langt det meste blev stoppet, inklusiv nogle relativt avancerede angreb via makroer og PowerShell som ellers kan være vanskelige at sikre sig imod.

I starten får man nogle pop-ups som man må tage stilling til. Her er nogle eksempler.
Når man efter nogen tid har taget stilling til de pop-ups man får, så vil behavior blockeren passe sig selv i baggrunden, og kun komme frem hvis man foretager sig noget nyt på computeren, eller når man installerer nye programmer. Antallet af pop-ups er i det hele taget ret begrænset og burde være overkommeligt for de fleste.

Udfordringen ligger i at besvare disse pop-ups korrekt. En teknisk bruger vil have en god ide om hvad man skal svare ud fra informationen i pop-uppen, og set i forhold til hvad man er i gang med når beskeden dukker op.

Som et ekstra lag af sikkerhed kan behavior blockeren i Emsisoft Anti-Malware klart anbefales. Som supplement til andre sikkerhedsteknologier (herunder traditionelt antivirus) vil denne behavior blocker, med de anbefalede indstillinger, give væsentligt øget sikkerhed, både imod almindeligt malware og imod målrettede hackere. Og med det nævnte trick er det endda gratis.

.

Opdatering marts 2017:
Selv overfor avanceret, statsfinansieret malware, designet til brug for efterretningstjenester, er Emsisoft Anti-Malware effektivt, og det er givetvis grundet dens behavior blocker at den igen skiller sig ud fra andre sikkerhedsprogrammer. Se eksempelvis dette lækkede dokument fra Wikileaks fra 2014, hvor programmet er blandt de eneste sikkerhedsprogrammer der kan beskytte imod det meget omtalte FinFisher malware.

Opdatering juli 2018: Tricket til at benytte behavior blocker-komponenten gratis fungerer desværre ikke i nyere versioner af programmet.