VirusTotal aktywuje projekt TRUSTED SOURCE i walczy z fałszywymi alarmami

13 lutego, 2015

Fałszywe alarmy generowane przez oprogramowanie antywirusowe to duży problem w branży IT – nie tylko dla samego użytkownika, ale w szczególności dla samych producentów oprogramowania zabezpieczającego oraz deweloperów aplikacji i systemów. Fałszywe alarmy mogą powodować różnego rodzaju niepożądane efekty: programiści napotykają problemy ze sprzedażą swoich aplikacji oraz tracą zaufanie klientów, a sami producenci antywirusów tracą reputację, jeśli ich produkty zbyt często blokują niezainfekowane strony i pliki.

Dobry antywirus to taki, który charakteryzuje się małym wykorzystaniem zasobów komputera, dobrą ochroną przed złośliwym oprogramowaniem oraz bardzo małym (lub znikomym) poziomem liczby fałszywych alarmów. Z drugiej strony doskonała ochrona nie może być okupiona dużą liczbą fałszywych alarmów – zgodnie z zasadą – zablokujmy wszystko, a wykrywalność podskoczy do stu procent.  

Liczba fałszywych alarmów jest brana pod uwagę przez różne laboratoria testujące oprogramowanie antywirusowe. Jednak obecnie, kiedy dominującą tarczą ochronną jest analiza heurystyczna, błędy definiowania czystego pliku jako zagrożenie ma i będzie miało miejsce w przyszłości. Można jednak temu zaradzić i zmiejszyć potencjalne ryzyko „złapania” false positive.

By temu zapobiec w 2013 roku powstał projekt o nazwie „Clean file Metadata eXchange” (CMX), który został po raz pierwszy zaprezentowany na konferencji Virus Bulletin przez Igora Muttika z firmy McAfee i Marka Kennedy’ego z firmy Symantec. Autorzy projektu poruszyli zagadnienia i problemy powodujące fałszywe alarmy, które są czasami zmorą dla producentów zabezpieczeń. CMX przewidywał, że jeśli problem z FP ma zostać rozwiązany raz na zawsze, należy stworzyć bazę danych sum kontrolnych znanych i czystych plików. Niestety jak to już bywało wcześniej, kradzież certyfikatów lub podszywanie się pod legalne firmy już nie raz wykorzystywali cyberprzestępcy przeciwko zwykłym użytkownikom oraz firmom.

Tak więc dopiero całkiem niedawno do roboty wzięła się ekipa serwisu VirusTotal (od 2012 roku należący do Google). Biorąc sprawy w swoje ręce stworzyli projekt o nazwie TRUSTED SOURCE. Jest to aplikacja bazo-danowa jeszcze w wersji ALFA, która jest już udostępniana dostawcom zabezpieczeń i dużym deweloperom systemów i aplikacji. Dzięki niej, twórcy oprogramowania będą mogli wysyłać sumy kontrolne wszystkich plików, z których składa się oprogramowanie, a metadane zostaną automatycznie sprawdzone przez VT i udostępnione twórcom oprogramowania antywirusowego.

Stworzenie takiej bazy przy współpracy z dużymi firmami przyniesie niewątpliwie wiele korzyści dla producentów antywirusów i ich klientów – czyli nas wszystkich. Takie podeście do problemu zmniejszy liczbę fałszywych alarmów, a jeśli produkt antywirusowy zakwalifikuje czysty plik jako wirusa, deweloper aplikacji zostanie automatycznie powiadomiony o zaistniałej sytuacji.

Projekt TRUSTED SOURCE z założenia ma być skierowany do dużych i bardzo dużych dostawców oprogramowania. Obecnie jest on jeszcze w fazie alfa, jednak do współpracy już udało namówić się Microsoft, co zaowocowało poprawą oflagowania 6 tysięcy plików czystych jako wirusy zmniejszając liczbę fałszywych alarmów.

AV udostępnił przykładową analizę czystego pliku potraktowanego wcześniej przez AV jako wirusa.
https://www.virustotal.com/en/file/a70999ee28e6233ffcadb6cc3967417be4de2678b868fa2d45bdd3f826c7ed48/analysis/

VT teusted source

Każdy duży producent oprogramowania zainteresowany współpracą może skontaktować się z VirusTotal w celu wymiany metadanych. Inicjatywa TRUSTED SOURCE nie jest skierowana do deweloperów aplikacji typu adware i PUP.

VirusTotal to znany użytkownikom oraz cyberprzestępcom serwis do skanowania plików pod kątem wykrycia złośliwego kodu. Nie powinien on być wykorzystywany do antywirusowych testów z co najmniej kilku powodów, które podawaliśmy [ tutaj – VT od kuchni ]. Ponadto zachęcamy do przeczytania tej krótkiej lektury napisanej przez Zoltana Balazsa – badacza angielskiego labu MRG EFFITAS, w którym przedstawia słabości antywirusów oraz samego VirusTotal.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Kliknij na gwiazdkę, aby zagłosować!

Średnia ocena: 0 / 5. Liczba głosów: 0

Jak na razie nikt nie podzielił się opinią.

guest
0 komentarzy
Inline Feedbacks
View all comments

Zapisz się na newsletter i odbierz unikatowy poradnik

„Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]