Znany producent oprogramowania antywirusowego, rosyjski Kaspersky, przeprowadził ostatnio bardzo interesujący eksperyment. Firma ta dopuściła się bowiem prowokacji, wprowadzając pośrednio do baz antywirusowych konkurencyjnych firm sygnatury powodujące fałszywe wykrycia wirusów. Tym samym Kaspersky obnażył słabości stosowanych obecnie mechanizmów antywirusowych oraz zakwestionował sens korzystania z wielu silników antywirusowych jednocześnie.
Eksperyment polegał na utworzeniu 20 zupełnie niegroźnych plików wykonywalnych oraz dodaniu do własnej bazy antywirusowej sygnatur wykrywających 10 z nich jako zagrożenie. Następnie wszystkie spreparowane pliki zostały sprawdzone na obecność wirusów za pomocą dostępnej online usługi VirusTotal. Ta popularna usługa pozwala każdemu na przeskanowanie dowolnego pliku za pomocą kilkudziesięciu najpopularniejszych i na bieżąco aktualizowanych silników antywirusowych.
Jak można się łatwo domyślić, dostępny w ramach VirusTotal mechanizm skanowania firmy Kasperky, jako jedyny oznaczył 10 plików jako zainfekowane. Co ciekawe, powtórzenie testu po 10 dniach pokazało, że już 14 innych producentów wykrywa rzekome zagrożenie obecne w specjalnie spreparowanych plikach!
Stało się tak dzięki temu, że VirusTotal przekazuje wszystkim udzielającym się w ramach tej usługi producentom rozwiązań antywirusowych informacje na temat wszystkich nieznanych do tej pory zagrożeń. Oczywiście zarówno VirusTotal, jak i pozostali producenci antywirusów skrytykowali działania firmy Kaspersky jako ich zdaniem nieetyczną manipulację samą usługą oraz pośrednie oskarżenie innych producentów o bezprawne kopiowanie sygnatury.
Abstrahując jednak od kwestii etycznych, trzeba przyznać, że eksperyment ten skłania do kilku refleksji. Przede wszystkim okazało się, że wielu producentów antywirusów po prostu kopiuje wszystkie znane sygnatury zagrożeń, bez przeprowadzenia jakiejkolwiek analizy mającej na celu potwierdzenie istnienia zagrożenia! Taki statyczny sposób budowania bazy antywirusowej jest z pewnością stosunkowo tani, jednak powoduje, że końcowi użytkownicy są narażeni na zwiększoną liczbę fałszywych alarmów. Teraz wiemy już więc, z jakiego powodu coraz częściej jesteśmy świadkami wybuchów groźnych epidemii fałszywych alarmów antywirusowych.
W całej sprawie wypowiedział się również Eset:
Where tests are carried out with huge sample sets and minimal time and financial resources, it’s inevitable that some testers will rely on “source reputation and multi-scanning” rather than manual validation.
Widać więc wyraźnie, że na chwilę obecną nie mamy co liczyć na ręczne testowanie każdej próbki przez każdego z producentów. Wraz z coraz większą liczbą odkrywanych codziennie nowych złośliwych programów, możemy się więc spodziewać ciągłego nasilania się problemu fałszywych alarmów antywirusowych…
Materiał pochodzi z serwisu HARD CORE SECURITY LAB.
Dodaj komentarz