Fałszywe alarmy generowane przez oprogramowanie antywirusowe to duży problem w branży IT - nie tylko dla samego użytkownika, ale w szczególności dla samych producentów oprogramowania zabezpieczającego oraz deweloperów aplikacji i systemów. Fałszywe alarmy mogą powodować różnego rodzaju niepożądane efekty: programiści napotykają problemy ze sprzedażą swoich aplikacji oraz tracą zaufanie klientów, a sami producenci antywirusów tracą reputację, jeśli ich produkty zbyt często blokują niezainfekowane strony i pliki.

Dobry antywirus to taki, który charakteryzuje się małym wykorzystaniem zasobów komputera, dobrą ochroną przed złośliwym oprogramowaniem oraz bardzo małym (lub znikomym) poziomem liczby fałszywych alarmów. Z drugiej strony doskonała ochrona nie może być okupiona dużą liczbą fałszywych alarmów – zgodnie z zasadą – zablokujmy wszystko, a wykrywalność podskoczy do stu procent.  

Liczba fałszywych alarmów jest brana pod uwagę przez różne laboratoria testujące oprogramowanie antywirusowe. Jednak obecnie, kiedy dominującą tarczą ochronną jest analiza heurystyczna, błędy definiowania czystego pliku jako zagrożenie ma i będzie miało miejsce w przyszłości. Można jednak temu zaradzić i zmiejszyć potencjalne ryzyko „złapania” false positive.

By temu zapobiec w 2013 roku powstał projekt o nazwie „Clean file Metadata eXchange” (CMX), który został po raz pierwszy zaprezentowany na konferencji Virus Bulletin przez Igora Muttika z firmy McAfee i Marka Kennedy’ego z firmy Symantec. Autorzy projektu poruszyli zagadnienia i problemy powodujące fałszywe alarmy, które są czasami zmorą dla producentów zabezpieczeń. CMX przewidywał, że jeśli problem z FP ma zostać rozwiązany raz na zawsze, należy stworzyć bazę danych sum kontrolnych znanych i czystych plików. Niestety jak to już bywało wcześniej, kradzież certyfikatów lub podszywanie się pod legalne firmy już nie raz wykorzystywali cyberprzestępcy przeciwko zwykłym użytkownikom oraz firmom.

Tak więc dopiero całkiem niedawno do roboty wzięła się ekipa serwisu VirusTotal (od 2012 roku należący do Google). Biorąc sprawy w swoje ręce stworzyli projekt o nazwie TRUSTED SOURCE. Jest to aplikacja bazo-danowa jeszcze w wersji ALFA, która jest już udostępniana dostawcom zabezpieczeń i dużym deweloperom systemów i aplikacji. Dzięki niej, twórcy oprogramowania będą mogli wysyłać sumy kontrolne wszystkich plików, z których składa się oprogramowanie, a metadane zostaną automatycznie sprawdzone przez VT i udostępnione twórcom oprogramowania antywirusowego.

Stworzenie takiej bazy przy współpracy z dużymi firmami przyniesie niewątpliwie wiele korzyści dla producentów antywirusów i ich klientów – czyli nas wszystkich. Takie podeście do problemu zmniejszy liczbę fałszywych alarmów, a jeśli produkt antywirusowy zakwalifikuje czysty plik jako wirusa, deweloper aplikacji zostanie automatycznie powiadomiony o zaistniałej sytuacji.

Projekt TRUSTED SOURCE z założenia ma być skierowany do dużych i bardzo dużych dostawców oprogramowania. Obecnie jest on jeszcze w fazie alfa, jednak do współpracy już udało namówić się Microsoft, co zaowocowało poprawą oflagowania 6 tysięcy plików czystych jako wirusy zmniejszając liczbę fałszywych alarmów.

AV udostępnił przykładową analizę czystego pliku potraktowanego wcześniej przez AV jako wirusa.
https://www.virustotal.com/en/file/a70999ee28e6233ffcadb6cc3967417be4de2678b868fa2d45bdd3f826c7ed48/analysis/

Każdy duży producent oprogramowania zainteresowany współpracą może skontaktować się z VirusTotal w celu wymiany metadanych. Inicjatywa TRUSTED SOURCE nie jest skierowana do deweloperów aplikacji typu adware i PUP.

VirusTotal to znany użytkownikom oraz cyberprzestępcom serwis do skanowania plików pod kątem wykrycia złośliwego kodu. Nie powinien on być wykorzystywany do antywirusowych testów z co najmniej kilku powodów, które podawaliśmy [ tutaj – VT od kuchni ]. Ponadto zachęcamy do przeczytania tej krótkiej lektury napisanej przez Zoltana Balazsa - badacza angielskiego labu MRG EFFITAS, w którym przedstawia słabości antywirusów oraz samego VirusTotal.

AUTOR:

Adrian Ścibor

Podziel się