home *** CD-ROM | disk | FTP | other *** search
/ OS/2 Shareware BBS: Security / Security.zip / virscan2.zip / NCSACERT.TXT < prev    next >
Text File  |  1997-07-01  |  7KB  |  147 lines
  1.               The NCSA Anti-Virus Certification Scheme
  2.          DOS/Windows/Other Platform Certification Process
  3.                  http://www.ncsa.com/avpdcert.html
  4.  
  5. --------------------------------------
  6. Properties of Anti-Virus Certification
  7. --------------------------------------
  8. NCSA tests and certifies that anti-virus scanners pass a number of 
  9. stringent tests. The testing adheres to the following criteria: 
  10.  
  11.  - Testing performed by an independent organization Testing performed
  12.    by an unbiased organization 
  13.  - Tests done on the most current version of the products 
  14.  - All major products are tested 
  15.  - All significant platforms are used for testing 
  16.  - Tested on an on-going basis (at least monthly) 
  17.  - Test criteria are objective 
  18.  - Tests are "real-world" oriented 
  19.  - Tests check for viruses "in the wild" 
  20.  - Test criteria are made public 
  21.  - Tests are "peer-reviewed" 
  22.  - Anti-virus product developers are consulted 
  23.  - Independent anti-virus experts are consulted 
  24.  - Large corporate users of AV products are consulted 
  25.  - Large computer security firms are consulted 
  26.  - Test results are made public 
  27.  - And, the certification can be revoked for the failure of a product
  28.    to maintain these standards. 
  29.  
  30.  
  31. -----------------------------------------------------------------
  32. The NCSA Certification Scheme for DOS/Windows and Other Platforms
  33. -----------------------------------------------------------------
  34. The old NCSA certification scheme required products to detect 90% of 
  35. the NCSA virus library. This was carried out on a release-by-release 
  36. basis (ie was version number dependent) and was designed to ensure 
  37. that certified products had 'adequate' virus detection capabilities. 
  38. While this testing methodology gave the user some information about 
  39. the efficiency of the software, it does not fully address the real
  40. threat. It was for this reason that the new scheme was developed. 
  41. Note that the new scheme is still in it's infancy, and that new tests
  42. will be being added month by month. 
  43.  
  44. When one studies the epidemiology of viruses, one notices that 
  45. although there are 6000+ viruses known for the IBM PC or compatible, 
  46. there are only a couple of hundred 'in the wild' (that is, actively 
  47. spreading on PCs). A list of such viruses is maintained by Joe Wells.
  48. By collating statistics provided by over 30 contributors from many 
  49. different countries, Wells' tracks those viruses which are reported. 
  50. Participants in the list include all the major anti-virus software 
  51. developers, and several independent researchers. The list is broken 
  52. down into two parts: an upper list, for viruses which have been seen 
  53. by two or more participants, and a lower list, which is made up of 
  54. those viruses seen by only one participant. 
  55.  
  56. The new NCSA certification scheme is designed to focus on the real 
  57. threat to corporate PCs: those viruses known to be in the wild. In 
  58. order to be certified, a product must pass the following tests: 
  59.  
  60.  1. Certified products must detect 100% of all those viruses defined 
  61.     as 'in the wild' according to the upper part of the Wild List. As
  62.     new viruses are discovered all the time, the Wild List used is 
  63.     the one which was current two months prior to the date of the 
  64.     certification test. 
  65.  2. Certified products must still detect a minimum of 90% of the NCSA
  66.     virus 'Zoo', made up of samples of some of the 6000+ other 
  67.     viruses known. 
  68.  
  69. These tests are carried out with the product running its default mode
  70. of operation, with the exception of using any appropriate logging 
  71. facilities.
  72.  
  73.  
  74. -------------------------
  75. Certification Maintenance
  76. -------------------------
  77. Once a product is certified, NCSA will attempt to recertify the 
  78. product a minimum of 4 times per year. Each certification attempt 
  79. will be carried out without the prior knowledge of the developer. 
  80. This helps to ensure that every release of the product is capable of 
  81. meeting the certification criteria, not just a special 
  82. 'certification' version. 
  83.  
  84. If a product fails either test I or II, the vendor will be given 7 
  85. days to supply a fix for the problem, and make this fix publicly 
  86. available. If this time limit is not met, the product will be removed
  87. from the certified product list available from this Web site. This 
  88. list will be maintained in such away that a product's certification 
  89. history (passes and failures) will be visible. 
  90.  
  91. Once a product has been decertified, certification can only be 
  92. regained when the vendor ships through its normal distribution 
  93. channel a version of the product which is certifiable. A special fix
  94. just sent to NCSA for testing is not acceptable. 
  95.  
  96.  
  97. ---------------------
  98. Collection Management
  99. ---------------------
  100. One of the most important factors to consider when carrying out a set
  101. of detection tests on anti-virus software is the way in which the 
  102. virus library is managed. It is also vital to know which vendors (if 
  103. any) have access to the actual test samples used, and the way in 
  104. which the library is created.
  105.  
  106. No sample used in the NCSA 'in the wild' test-set is sent out to any 
  107. vendor. However, should a virus be missed during a certification 
  108. attempt, a replicant of that sample (note that this is not a copy of 
  109. the actual sample) will be sent out to the vendor for inclusion in 
  110. the next release of the product. This process ensures that vendors 
  111. have reliable detection algorithms for each virus in the collection.
  112.  
  113. In the case of a polymorphic virus, multiple copies of each virus is 
  114. used, to ensure that the product tested can detect that virus with 
  115. accuracy. Copies of individual replications of each virus from within
  116. this test-set are not made available to vendors; thus, the test is 
  117. carried out against an 'unseen' collection of files. In order to pass
  118. this test, the product must detect every replication in the test-set.
  119.  
  120. All viruses in the collection are attached to standard Goat files, 
  121. ensuring that no 'first generation' samples are in the collection. 
  122. Furthermore, should a virus be missed during certification, a check 
  123. is made to make certain that the file is not corrupted and is 
  124. capable of replication.
  125.  
  126.  
  127. This page updated September, 1996 by jsalzman@ncsa.com. ⌐ Copyright, 
  128. 1996, NCSA «.
  129.  
  130.  
  131. ---------------------------
  132. NCSA Certification Web Page
  133. ---------------------------
  134. The NCSA Web page listed below will always contain the latest in
  135. certification information and testing scheme.
  136.  
  137. http://www.ncsa.com/avpdcert.html
  138.  
  139. =====================================================================
  140. =====================================================================
  141. National Computer Security Association
  142. 10 S. Courthouse Avenue
  143. Carlisle, PA  17013
  144. USA
  145. http://www.ncsa.com
  146. (717) 258-1816
  147.