Оцениваем рынок AV

Предположим, что ваше ПО (по недоразумению) детектируется в момент исполнения рядом антивирусов…

Непринципиально как устроена защита, назовём её HIPS. Всё что создано человеком может быть взломано, это вопрос финансовых издержек и потраченных человеко-часов. Но защитных систем невероятное множество!

Разумеется часть AV симулируют полезную активность, часть перепродаёт готовые решения под своим именем. Объективная оценка возможна, технологические лидеры есть. Однако, в первую очередь это бизнес, а не забота об обществе.

Другими словами, выбор защитного решения обычно продиктован маркетингом, а не лучшей «защитой». Из этого следует, что рынок будет поделен в неравной степени, а в зависимости от региона существуют локальные лидеры.

Что это значит для нас?

Для беспрепятственной работы в конкретном регионе, экономически эффективно обойти (ограниченное число) лидеров рынка, нежели чем стараться сделать динамический FUD. О них мы сегодня и поговорим!

Немного об аналитике

Должен признаться, что не являюсь специалистом в этой (невероятно интересной и в высшей степени интеллектуальной) области. В моих (обывательских) представлениях получение закрытой информации из открытых источников относится к разряду особой магии, доступной преимущественно развед-службам.

Что бы вы понимали масштаб задачи, обычно приводят красивую метафору, что искусство аналитика — это увидеть каплю дождя и представить как выглядит и ведёт себя море. Из более приземленных примеров, на ум приходит замечательная история, как фотография из «Огонька» поведала о советской ядерной программе.

О конкретных цифрах

Для объективной оценки нужны твёрдые цифры, одна из независимых оценок:

av_statista

Неожиданные цифры, не так ли? Объективная реальность порой значительно расходится с нашими бытовыми представлениями. Каждый AV заявляет что он настоящий лидер рынка, а все остальные неправильно считают. Однако, верить им на слово мы не будем!

К сожалению, у нас нет непосредственного доступа к машинам всех пользователей, ровно как и к счетчикам скачиваний конкретных AV. Однако, мы можем увидеть ряд косвенных признаков. Например, нелегальные загрузки. Можно накрутить счётчик на сайте вендора, но невозможно равномерно «накрутить» популярность на всех ресурсах.

Для примера, возьмём торренты. Благо, трекеры отдают честную статистику. А многие имеют строго региональную популярность. То что нужно!

Предположим, что каждый AV имеет в названии раздачи слово «antivirus», обратное было бы абсурдно с точки зрения поисковой оптимизации. Поищем эту строку и отсортируем по количеству раздающих:

av_1337x av_kickass av_rutor

av_rutracker av_thepiratebay av_yourbittorrent

Это не истина в последней инстанции, но тем не менее довольно любопытные данные.

Защита от парсеров

Движок сайта преобразует данные из базы в HTML. Парсер решает обратную задачу, превращая html в сырые данные. Имея хорошие регулярки (под конкретную платформу) можно «ограбить» сайт, сделав полную копию его открытого контента.

Проблема этого подхода в необходимости правок при смене html — шаблона. Предоставь большинство сайтов API — вопрос был бы исчерпан. Вменяемой защиты от автоматики не существует: скрипты умеют снимать данные с реального браузера, а трудолюбивое население развивающихся стран — решать загадки для защиты от ботов.

Защита от автоматики увеличивает стоимость расходных материалов, делая некоторые виды деятельности менее рентабельными. Например, внушительный anti-fraud на SMTP серверах.

Автоматизируем сбор данных

Для приблизительной оценки достаточно информации выше. Но что если мы хотим (в развлекательных целях) получать подобную информацию по любому ключевому слову? Давайте для примера напишем скрипт для сбора статистики о раздачах одного отечественного сайта:

Закроем глаза на несовершенства и назовём это рабочим примером. Скрипт принимает набор ключевых слов и отдаёт по ним seeds и leaches. Трекер предлагает несколько вариантов поиска, но скрипт просит искать «любое из слов». Итак, составим свою статистику!

av seeds leaches
kaspersky 2283 1834
avast 1955 1804
avira 1566 1786
nod32 1175 238
malwarebytes 160 4
mcafee 8 0

Как писал z0mbie, знание является наградой за действие.

Добавить комментарий