Le a fals pozitívokkal :)

2015. február 18. 19:01 - Csizmazia Darab István [Rambo]

A hamis riasztás (false positive) minden vírusvédelmi termék legrettegettebb rémálma. Minden évben előfordul valamelyik neves termékkel, hogy tiszta állományokat blokkol, töröl vagy helyez karanténba. Sőt néha akár saját frissítőmodulja, vagy a Windows kulcsfontosságú állományai esnek így áldozatul, közben a rendszer világszerte fejre áll, és végül jöhet a kínos magyarázkodás. A VirusTotal mostani újítása az ilyen kellemetlen esetek hatékony kiszűrésére lehet jó hatással.

A hamis riasztás teszt nem véletlenül egy kulcsfontosságú rész a fejlesztőknek a vírusvédelmi teszteken belül, hiszen lehet egy vírusirtó bármilyen gyors, nyújthat szupergyors online játékélményt, ha eközben ebből a szempontból nem biztonságos. Ahogy a sebességtesztnek is csak akkor van értelme, ha közben ezt a védelmi képességektől nem elkülönítve vizsgáljuk, ugyanígy a védelem minőségében kiemelkedő szerepe van a vakriasztások számának.

Egy termék, ha észleli ugyan az összes létező kártevőt, még közel sem nevezhető tökéletesnek, ha eközben viszont minden tiszta szoftverkomponensekre, illetve weboldalakra is tévesen riaszt. A téves riasztások száma amiatt is újra meg újra terítékre kerül, mert az egyre fontosabb proaktív területet kiszolgáló úgynevezett generikus felismerések, illetve a heurisztikai elemzés pontozásos szisztémája kellő előzetes whitelist tesztelés nélkül sok esetben hajlamos ilyeneket produkálni.

Mi kell ahhoz, hogy ezeket tesztelni, ellenőrizni lehessen? Ehhez garantáltan tiszta, fertőzés mentes közismert állományokból szükséges egy jelentős adatbázis. És persze itt is súlyozottan kell minden nézni, hiszen ha a senki által nem ismert és nem használt "Fűnyíró Szimulátor 2008" nevű ;-) programcsomag egyik eleme vakriasztást okoz, ettől még nem dől össze a világ, ám ha például a Windows egyik alapvető komponensére riaszt tévesen egy antivírus, az már könnyen felkerül az újságok címlapjára.

Éppen ezért bár fontos, hogy a vakriasztások száma valóban a lehető legalacsonyabb legyen, de ha mondjuk egy VirusBulletin vagy AV Comparatives teszt közben jelentkeztek ilyenek, érdemes az eredményekkel kapcsolatosan megnézni azt is, hogy pontosan mik ezek, mennyire jelentős állományok okozták ezeket. Ha a Windows része, akkor nagy a baj, ha a 126-ik noname DLL - nos az sem jó, de az egészen más kategória. érdemes ezeket értékén kezelni.

És akkor lássuk, mit találtak ki a VirusTotal-nál! A most bevezetett újítás keretében összegyűjtik a nagy, neves gyártók garantáltan tiszta állományait, és ezeken ha bármilyen termék vakriasztást produkál, úgy a legrövidebb úton jelzik ezt az érintett AV fejlesztők felé. Első körben a Microsoft céggel történő egyeztetés és összefogás keretében került feltérképezésre és kijelzésre a tiszta állományok listája: "Trusted source" címkével, így ezzel több, mint 6000 olyan hiba került kijavításra, amelyben korábban valamely vírusirtó ezekre tévesen beriasztott.

A tervek szerint a Microsoft mellett további jelentős szoftverfejlesztő céggel is felveszik a kapcsolatot és kiterjesztik a garantáltan tiszta állományok jegyzékét, ezzel pedig további zavaró vakriasztások szűnhetnek meg.

Szólj hozzá!

A bejegyzés trackback címe:

https://antivirus.blog.hu/api/trackback/id/tr337186777

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása