Makin lama serangan malware makin sering terjadi, sampai kita sulit untuk menyebut ancamannya secara spesifik.  Kadang kita menyebutnya Storm, atau Conficker, dua nama malware yang lumayan populer saat ini

.  Lalu, apa yang harus dilakukan pengguna komputer agar dapat mendeteksi ancaman itu, jika katakanlah ada ribuan ancaman setiap hari?

Hampir semua vendor anti virus menambahkan sistem deteksi bagi malware baru secara otomatis, beberapa juga mengakui bahwa mereka hanya menambahkan signature ke malware yang sudah mereka analisa. Untuk kasus ini memang kadang dilakukan juga pada perusahaan yang memiliki tim analis dalam jumlah besar. Kecenderungan untuk tidak menganalisa apa yang dideteksi secara otomatis atau sudah dideteksi oleh vendor lain, lalu meloloskannya ketimbang memperhitungkannya sebagai obyek berbahaya tanpa analisa lebih mendalam. Hal ini bukan sebuah kritik, melainkan realitas yang terus berjalan. Dan dari sinilah beberapa problem muncul.

Sistem signature otomatis menciptakan rasa saling percaya atas deteksi yang dilakukan suatu produk pada produk lainnya. Sebut saja, perusahaan anti virus A mendeteksi sebuah file dan dinyatakan mengandung malware, maka perusahaan anti virus lain akan mempercayai begitu saja tanpa melakukan analisa terlebih dulu, dan menggolongkannya sebagai sampel malware yang valid. Hal ini dapat merujuk pada kasus “positif palsu” yaitu mendeteksi file yang bukan malware sebagai malware, di mana suatu vendor melakukan pemindaian yang salah dalam mengidentifikasi sebuahfile dan dipercaya begitu saja oleh vendor lain.

Penguji menghadapi problem dalam mengumpulkan malware. Mereka menjalankan pengumpulan file dalam jumlah besar dan menganalisa secara sederhana sebab terlalu banyak yang harus dianalisa. AV-TEST melaporkan telah menerima 1,3 juta file malware unik , dalam rerata 42.000 sampel per hari. Virus-Total melaporkan telah menerima satu sampel unik setiap 6 detik, dan diasumsikan yang tertinggi jumlahnya sepanjang tahun.

Adapersepsi salah di kalangan publik terhadap ancaman malware, yang kemungkinan disebabkan oleh sensasi media massa. Di kalangan publik, malware seperti Storm atau Conficker menjadi sangat popular, walau kenyataannya jumlah mereka tidak banyak bahkan tak lebih besar dari ancaman lain yang hadir dalam jumlah ratusan malware dalam sehari.

Cloud computingmenawarkan metode yang sejauh ini sudah berhasil, tapi sebagian besar menggunakan hashing, dan secara esensi hanya mengalihkan masalah dari database skala besar ke cloud, bukan meningkatkan jumlah analisa. Sistem cloud menambah problem bagi para penguji, sebab mesin saya akan mendeteksi obyek yang berbeda dari mesin Anda dalam pemindai statis pada produk yang sama, terkecuali Anda mengizinkan akses jaringan secara penuh.

Problem terbesar dalam pengujian malware secara umum adalah tidak adanya algoritma yang cukup dapat dipercaya. Sebagai contoh, sebuah tes di mana produk A gagal mengenali sebuah versi dari Conficker yang menyebar ke ribuan mesin. Kasus ini dianggap sama pentingnya dengan ketika produk B gagal mengenali varian tunggal Trojan yang tidak pernah menginfeksi file mana pun sama sekali, sebab Trojan selalu berubah-ubah setiap kali diunduh. Harus ada beberapa derajatkategorisasi ancaman, dan kita perlu mulai mengedukasi pelanggan bahwa manajemen ancaman tidak 100% sukses atau gagal, melainkan hanya sekedar mengurangi risiko. Dengan kata lain, perlu diingatkan bahwa yang dilakukan vendor-vendor antivirus adalah mendeteksi semua persyaratan tes, bukan fokus pada perlindungan pelanggan.

Problem-problem ini lumayan serius. Di satu sisi, sangat tidak masuk akal untuk melakukan penambahan deteksi pada sesuatu yang unik, yang hanya memiliki satu sampel tunggal. Di sisi lain, kita ingin melakukan pencegahan secara proaktif demi melindungi pelanggan. Kita semua tahu jenis ancaman apa yang terbesar, tapi agak sulit juga dibayangkan kita hanya mewaspadai malware tertentu yang “terkenal”, sementara ada banyak ancaman lain yang tidak kalah serius.

Di dunia komputer, nyaris semua media massa memberitakan bahaya Conficker, hingga vendor antivirus ikut menyediakan produk khusus. Konsumen pun tak kalah waspada. Dan saat sudah menggunakan antivirus penangkal Conficker, mereka berpikir sudah pasti aman dari segala jenis ancaman virus. Padahal, ada banyak sekali malware lain yang memang tak setenarConfickernamun lumayan mematikan. Ingat saja, malware terdiri atas banyak sekali varian, bukan hanya yang paling sering diberitakan media saja.

Sebagai contoh,  berdasar hitungan cepat, Win32/Swizzor Trojan memiliki 976.380 varian unik di database pembuat anti virus, dan ancamannya sudah menyebar selama bertahun-tahun. Satu perkembangan  menjanjikan adalah lebih banyak penguji yang mulai menggunakan persentase deteksi daripada nomor-nomor absolut. Ini merupakan pertanda positif, namun masih agak jauh dari kebutuhan untuk mengkategorisasikan ancaman berdasarkan prevelansi dan kemungkinan kerusakan.

Kesimpulannya, masih ada ancaman-ancaman lain yang mempengaruhi pelanggan di seantero dunia bahkan dalam skala besar. Kondisi ekonomiyang memicu penciptaan malware terus bertumbuh dan jelas ada semacam insentif bagi para pencipta malware untuk melanjutkannya. Sementara di sisi lain, ada semacam ketidakpedulian pada aktivitas mereka. Sampai kapankah perang “kucing dan tikus” atau “polisi dan maling” antara pembuat malware dan antivirus ini? Nampaknya tidak akan pernah berakhir. Hanya kita memang layak mengenali mana tikus (maling) yang sesungguhnya berbahaya dan mana yang tidak. **