Mas é vírus mesmo? Tem certeza?

Hoje quero pegar carona em um artigo de um amigo, que trabalha para um conhecido concorrente do AVG Antivírus Gratuito 2011    e que sofre com as mesmas falsas ameaças de vírus detectados, mas que são falsos positivos (Falso positivo é um arquivo legítimo, que não é um vírus ou não foi infectado por um vírus, mas que está sendo detectado como uma ameaça potencial ao seu computador).


Normalmente, não se tem problemas ao detectar um falso positivo. Agora, se o arquivo for o user32.dll, ou o executável principal do seu programa de ERP/CRM da empresa ou então outro arquivo crucial do Windows, o computador muitas vezes nem carrega mais o Windows.


Você ja submeteu um arquivo legítimo para o VirusTotal   , Jottivirscan ou outro, e este arquivo foi detectado como vírus por certos antivírus conhecidos?
Ok! Se somente três ou quatro antivírus pegaram e o seu não, parece que a capacidade de segurança do seu é duvidável, certo? Errado! Infelizmente a realidade das comparações com outros aplicativos e, principalmente, dos testes estáticos (aqueles que pegam uma grande quantidade de arquivos que parecem vírus e submetem à análise), trazem em seu bojo vários arquivos considerados como harmless (inofensivos) e que empresas de antivírus que tentam fazer produtos mais leve, como o AVG, se recusam a detectar por não se tratar de malwares, mesmo que outros antivírus insistam em dizer que são vírus.


Então está bom. Já que é para deixar o AVG mais leve nas máquinas, não vamos detectar arquivos somente porque o concorrente detecta. Vamos fazer nosso trabalho direito, detectando somente vírus de verdade.


Mas o mundo não é tão bonito assim.
Conheça os Falso Positivos e saiba como fazer para reconhecê-los


Bons resultados de testes são fatores fundamentais para as empresas. Naturalmente, fornecedores de antivírus utilizam de mecanismo de verificação dos concorrentes (multiverificação baseada em detecção) já há muitos anos, de forma a ver como cada um está detectando determinados sets de arquivos.


Saber o julgamento de cada concorrente é muito útil. Por exemplo: se dez fornecedores de antivírus detectarem um arquivo suspeito como sendo um Cavalo de Tróia Banker (muito comum no Brasil), isso ajuda a saber por onde começar a busca pelo malware rapidamente.


Falando da realidade atual, infelizmente, as coisas não são tão simples. Impulsionados pela necessidade de bons resultados, o uso da multiverificação baseada em detecções tem aumentado nos últimos anos, o que gera distorções sérias nos resultados de análises estáticas e pode ser muito prejudicial no futuro.


Por essa razão, um experimento foi realizado por uma revista de informática alemã, que apresentou os resultados em uma conferência de segurança em Outubro de 2009. O experimento consistia na criação de um arquivo limpo, ao qual foi acrescentada uma falsa detecção, e finalmente na realização do upload para VirusTotal.


Alguns meses depois, este arquivo foi detectado por mais de 20 verificadores no VirusTotal. Após a apresentação, representantes de diversos fornecedores AV no evento concordaram que é preciso encontrar uma solução. No entanto, a multiverificação baseada em detecções pode ser classificada como apenas o sintoma, uma vez que a raiz do problema é a metodologia do teste em si.


Infelizmente não há muito que as empresas antivírus possam fazer a respeito disso, pois os testes de revistas podem escolher entre um teste sob demanda estático barato, usando impressionantes 1 milhão de amostras (algumas são muito antigas), ou um exame caro e com menos dinâmica, mas validadas, com amostras zero-day.


Fatalmente, a escolha da grande maioria das revistas vai em direção à primeira opção. Como mencionado anteriormente, as empresas de AV, assim como a maioria dos testadores, estão cientes deste problema, fato nada agradável a todos.


Melhorar as metodologias de testes também foi uma das razões que há dois anos um número de companhias antivírus, pesquisadores independentes e testadores fundaram: o AMTSO (Anti-Malware Testing Standards Organization).


Entretanto, no fim, são os jornalistas e suas revistas/periódicos que desempenham um papel fundamental, pois, como não são especialistas, tendem a pegar informes de pseudo-especialistas e reproduzir na íntegra, sem o criticismo necessário para conferir a veracidade do que está sendo publicado.


A boa notícia é que, nos últimos meses, alguns testadores já começaram a trabalhar em novas metodologias de testes. Em vez da varredura sob demanda estática, estes profissionais testam toda a cadeia de componentes de detecção: módulo anti-spam -> proteção nuvem -> detecção baseada em assinatura -> emulação -> análise baseada em comportamento em tempo real. Ou seja, funções que você encontra em qualquer antivírus moderno e gratuito como o AVG 2011.


Contudo, até mesmo as revistas que encomendam este tipo de teste podem abandonar as abordagens que estão simplesmente ultrapassadas.


Portanto, é possível reduzir significantemente os testes sob demanda estáticos, com a sua massa de amostras invalidadas, já que os resultados de teste correspondem mais à realidade (mesmo que isso signifique dizer adeus aos 99,yx % de taxas de detecção). No fim, todos serão beneficiados: tanto a imprensa quanto nós, usuários.





0 comentários:

Postar um comentário