Viirusetõrje valehäired kahjustavad kasutajaid. Viirusetõrjeprogrammide valepositiivsed tulemused

Kodukasutajate ja ettevõtete jaoks ideaalses olukorras ei tohiks valepositiivseid tulemusi esineda. Saksa viirusetõrjelabor AV-Test selgitas pikaajalises 14 kuud kestnud testis välja, millised tooted kipuvad kasutaja tegevust põhjuseta katkestama ja millised on valepositiivsete tulemuste osas usaldusväärsed.

Valepositiivne või mitte?: AV-Test testis 14 kuu jooksul 33 viirusetõrjet.

Võib-olla olete juba kokku puutunud olukorraga, kus ekraanile ilmub punane hoiatus ja kostab alarm. Selle reaktsiooni põhjustas kopeeritud fail või töötav rakendus. Aga mida peaksite tegema, kui teie viirusetõrje liigitab Google Chrome'i brauseri või Windowsi süsteemifaili ohtlikuks häkkeriks? Sel juhul kogeb kasutaja valepositiivsust, mis eksitab kasutajat või süsteemiadministraatorit.

Healoomuliste ja pahatahtlike objektide tuvastamine

Viirusetõrje peab usaldusväärseid ja pahatahtlikke faile õigesti töötlema. Selle kontrollimiseks hindas AV-Testi labor 14 kuu jooksul – jaanuarist 2015 kuni veebruarini 2016 –, kuidas viirusetõrjed seda probleemi lahendavad. Kokku testiti 19 lõppkasutaja toodet ja 14 ettevõtte lahendust.

Teadlased tuvastasid kasutatavuse testi jaoks neli testülesannet, mille laboriinsenerid sõnastasid järgmiselt:

  • valehoiatused või blokeeringud veebisaitide külastamisel
  • seadusliku tarkvara kui pahatahtliku ohu vale tuvastamine süsteemi kontrollimise ajal
  • valehoiatused installimise ajal teatud toimingute tegemisel või seadusliku tarkvara kasutamisel
  • teatud toimingute vale blokeerimine seadusliku tarkvara installimise või kasutamise ajal

Testimise metoodika

Kõik testimiskategooriad hindasid ainult turvalisi veebisaite, usaldusväärseid faile ja kahjutuid, tuntud rakendusi. Lõppude lõpuks on digitaalses maailmas palju rohkem turvalisi faile kui nakatunud objekte. Seetõttu töötavad kõik lahendused nn valgete nimekirjadega – andmebaasidega, mis salvestavad allkirju ja räsiväärtusi. Kui viirusetõrjeprogramm faili koheselt ära ei tunne, saadab ta pilveserverisse päringu, et näha, kas fail on registreeritud. Kui objekti kohta infot andmebaasis ei ole, märgitakse see heaks või halvaks.

Tõeliselt asjakohaste testitulemuste saamiseks on vajalik suure hulga turvaliste andmete olemasolu. Laboratoorium vastas täielikult kõikidele standardite nõuetele:

Iga toote testimiseks külastati 7000 saiti ja kontrolliti 7,7 miljonit faili. Lisaks käivitati uuesti 280 rakendust, misjärel fikseeriti, kas viirusetõrje kuvab uuesti valehoiatuse ja blokeerib proovi.

7,7 miljonist failist koosnev komplekt sisaldas kõiki uusi faile populaarsete programmide jaoks erinevatele Windowsi operatsioonisüsteemidele alates Windows 7 kuni Windows 10 ja kontorikomplektide jaoks. Kui viirusetõrje klassifitseerib seadusliku süsteemifaili vääralt pahatahtlikuks, võivad sellel olukorral olla saatuslikud tagajärjed. Seetõttu on nende oluliste failide uusimad versioonid alati testimisprogrammi kaasatud.

Tarbekaubad: mõned viirusetõrjed töötasid ideaalselt

Tarbekaupade pikaajaline kasutatavuse testimine: Kokkuvõte näitab üksikute toodete valesignaale – neid pole tõesti nii palju.

Hoolimata testi kõrgetest nõudmistest ja suurest töödeldud andmete mahust ei andnud mõned rakendused üldse valepositiivseid tulemusi. Avira Antivirus Pro ja Kaspersky Internet Security töötasid laitmatult.

Veel neli Intel Security, Bitdefenderi, AVG ja Microsofti lahendust näitasid vähem kui 10 valepositiivset tulemust. Kuid isegi lõpptabeli lõpus olevad tooted näitasid kaugeltki mitte katastroofilisi tulemusi.

5 viirusetõrjet korraga sai 14 kuu jooksul kõigis testisegmentides maksimaalsed 6 punkti.

  • "Süsteemi kontrollimise ajal tuvastati seaduslik tarkvara kui pahatahtlikud ohud" - halvimat tulemust näitas Ahnlab V3 Internet Security - 98 valepositiivset tuvastamist skannitud faili koguarvuga 7,7 miljonit. Protsent 0,001% on täiesti vastuvõetav, kuid arenguruumi on.
  • "Valehoiatused teatud toimingute tegemisel installimise ajal või seadusliku tarkvara kasutamisel" - 11 toodet 19-st ei tekitanud selles testis ühtegi valehäiret. 6 toodet näitasid 1–3 valetuvastust 280 testjuhtumil. Ainuüksi K7 arvutitoode andis kokku 10 valehoiatust.
  • "Teatud toimingute vale blokeerimine seadusliku tarkvara installimise või kasutamise ajal" – isegi siin tegid paljud 19 programmist suurepärast tööd. Kui 7 toodet ei blokeerinud üldse midagi, siis veel 11 rakendust blokeerisid valesti 1–6 kahjutut tegevust. Comodo Internet Security Premium genereeris 29 valepositiivset tulemust.

Ettevõtte tooted: ainult Kaspersky tegi seda veatult

: Valepositiivsuse määr on väga madal, mida süsteemiadministraatorid hindavad väga.

Laiaulatusliku testimise raames hindas AV-Test 14 ettevõtte lahendust kasutatavuse, nimelt ohutute objektide korrektse töötlemise osas. Selles testis viidi läbi vigadeta kaks Kaspersky Labi lahendust: Kaspersky Endpoint Security ja Kaspersky Small Office Security. Siiski osalesid nad seitsmest katsest vaid 6-s.

Kogu testimisperioodi jooksul oli Sophose, Intel Security ja Bitdefenderi lahenduste üldine veamäär alla 10. Samas oli ka kõikidel teistel toodetel valepositiivsete andmete määr võrreldes töödeldavate andmete kogumahuga madal.

Kõrge keskmine testi tulemus: Paljud tooted, mida testiti 6 või 7 korda, näitasid kõrget efektiivsust ja olid 6 punkti lähedal.

Täpsem info tulemuste kohta:

  • "Valehoiatused või blokeeringud veebisaitide külastamisel" ei ilmnenud kogu testi jooksul, külastati 7000 saiti.
  • „Süsteemi kontrollimise ajal tuvastati seaduslik tarkvara kui pahatahtlikud ohud” – F-Secure näitas halvimat tulemust – 49 valepositiivset tuvastamist 7,7 miljonist kontrollitud failist. Hea tulemus, kuigi Sophos tuvastas ainult kaks faili valesti.
  • „Valehoiatused teatud toimingute tegemisel installimise ajal või seadusliku tarkvara kasutamisel” – 4 toodet 14-st näitasid 1–2 valetuvastust 280 testjuhtumil. See tulemus peaks süsteemiadministraatoreid rahuldama.
  • "Teatud toimingute vale blokeerimine seadusliku tarkvara installimise või kasutamise ajal" - selle kategooria tulemused on head. 280 testis toimisid 8 toodet vigadeta ja veel 6 lahendust andsid 1 kuni 5 valepositiivset tulemust. Võrdluseks, halvim tarbekaup blokeeris ohutuid toiminguid valesti 29 korda.

Korporatiivsetel lahendustel on vähem valepositiivseid tulemusi

Kui kombineerida ettevõtete ja tarbekaupade testimise tulemused, selgub, et ettevõttelahendused genereerivad vähem valepositiivseid tulemusi. Siiski tasub teada, et lõppkasutajatele ja ettevõtetele lahendusi pakkuvad tootjad on mõlemal juhul kõrge efektiivsusega. See kehtib Kaspersky, Bitdefenderi, Microsofti, Trend Micro, Symanteci ja F-Secure'i lahenduste kohta.

Üldiselt said kõik tooted kasutusmugavuse osas kõrged kvaliteediskoorid. Kui tavaliselt arvab labor valepositiivsete tulemuste eest mõne punkti maha, siis see samm on rangelt öeldes kõrge jõudluse kritiseerimine.

Mõned arendajad on tõsiselt hämmingus, kui näevad, millised programmid põhjustavad valepositiivseid tulemusi. Tavaliselt blokeeritud rakenduste hulka kuuluvad Notepad++, Yahoo Messenger ja WinRAR. Need pole kaugeltki eksootilised rakendused, vaid standardne populaarne tarkvara. Arvestades valepositiivsete tulemuste vähest määra, peaksid tootjad võimalikult kiiresti kõigi leitud vigade kallal töötama.

Uute testfailide igapäevane allalaadimine

Küberohtude avastamise kõrge taseme poole püüdledes unustatakse see teema infoturbetööstuses sageli teenimatult unarusse. Tõepoolest, see on väga ebamugav teema, mida mõned arendajad püüavad mitte märgata (või kahtlastel viisidel lahendada) - kuni esimese tõsise juhtumini, mis võib klientide töö halvata. Kahjuks selliseid juhtumeid juhtub. Ja kahjuks alles siis saabub arusaam sellest kõrge kvaliteet kaitse küberohtude eest ei ole ainult ennetamine, vaid ka valepositiivsete tulemuste madal tase.

Vaatamata valepositiivsete tulemuste minimeerimise teema näilisele lihtsusele sisaldab see tegelikult palju keerukust ja lõkse, mis nõuavad arendajatelt märkimisväärseid investeeringuid, tehnoloogilist küpsust ja ressursse.

Valepositiivsete tulemuste kaks peamist põhjust on (i) tarkvara, riistvara ja inimlikud vead arendaja poolel, (ii) mitmesugused legaalsed ("puhtad") tarkvarad, mis läbivad turvakontrolli. Viimane põhjus nõuab mõningast selgitust. Tõepoolest, programme kirjutavad miljonid erineva kvalifikatsiooniga inimesed (üliõpilastest spetsialistideni) üle maailma, kasutades erinevaid platvorme ja standardeid. Igal autoril on oma ainulaadne stiil ja programmikoodi “käekiri” meenutab mõnikord tegelikult pahatahtlikku faili, mille vastu töötavadki turbetehnoloogiad, eriti käitumisanalüüsil ja masinõppel põhinevad.

Ilma neid eripärasid arvesse võtmata ja valepositiivsete tulemuste minimeerimiseks spetsiaalseid tehnoloogiaid kasutusele võtmata riskivad arendajad eirata põhimõtet „Ära kahjusta”. Ja see omakorda toob kaasa kohutavaid tagajärgi (eriti äriklientidele), mis on võrreldavad pahavara enda kahjudega.

Kaspersky Lab on arendus- ja testimisprotsesse arendanud üle kahekümne aasta ning loob ka tehnoloogiaid, et minimeerida valepositiivseid ja tõrkeid kasutajate jaoks. Oleme uhked, et meil on selle näitaja osas üks parimaid tulemusi selles valdkonnas (testib AV-Comparatives, AV-Test.org, SE Labs) ja oleme valmis rääkima üksikasjalikumalt mõnest meie “siseköögi” funktsioonist. . Olen kindel, et see teave võimaldab kasutajatel ja äriklientidel teha teadlikumaid turbevalikuid ning tarkvaraarendajatel täiustada oma protsesse kooskõlas ülemaailmsete parimate tavadega.

Valepositiivsete arvu minimeerimiseks kasutame kolmetasandilist kvaliteedikontrollisüsteemi: (i) kontroll projekteerimise tasemel, (ii) kontroll tuvastamismeetodi vabastamisel ja (iii) vabastatud detektorite kontroll. Samal ajal täiustatakse süsteemi pidevalt erinevate ennetusmeetmete abil.

Vaatame lähemalt süsteemi igat taset.

Kontroll disaini tasemel

Üks meie peamisi arenduspõhimõtteid on see, et iga tehnoloogia, toode või protsess peab a priori sisaldama mehhanisme valepositiivsete tulemuste ja sellega seotud tõrgete riski minimeerimiseks. Nagu teate, on disainitaseme vead kõige kallimad, kuna nende täielikuks parandamiseks võib olla vaja kogu algoritmi ümber töötada. Seega oleme aastate jooksul välja töötanud oma parimad tavad, et vähendada süütetõrgete tõenäosust.

Näiteks masinõppel põhinevat küberohtude tuvastamise tehnoloogiat arendades või täiustades veendume, et seda tehnoloogiat on koolitatud erinevate vormingute puhaste failide märkimisväärsete kogumite jaoks. Sellele aitab kaasa meie teadmistebaas puhastest failidest (whitelisting), mis on juba ületanud 2 miljardi objekti piiri ja mida koostöös tarkvaratootjatega pidevalt täiendatakse.

Samuti hoolitseme selle eest, et iga tehnoloogia koolitus- ja testikogud oleksid tööprotsessi käigus pidevalt uuendatud. asjakohane puhtad failid. Toodetel on sisseehitatud mehhanismid, mis vähendavad operatsioonisüsteemi jaoks oluliste failide valepositiivseid tulemusi. Lisaks kasutab toode iga tuvastamise korral Kaspersky Security Networki (KSN), et pääseda juurde valgete nimekirjade andmebaasile ja serdi maineteenusele, et veenduda, et tegu pole puhta failiga.

Kuid lisaks tehnoloogiale ja toodetele on veel kurikuulus inimfaktor.

Viiruseanalüütik, ekspertsüsteemiarendaja või andmeanalüütik võivad eksida igal etapil, seega on siin ruumi mitmesugusele blokeerimiskontrollile, aga ka vihjetele/hoiatustele/keeldudele automaatsüsteemide tuvastatud ohtlike tegevuste korral.

Juhtimine tuvastusmeetodi vabastamisel

Uued küberohtude tuvastamise meetodid läbivad enne kasutajatele tarnimist veel mitu testimisetappi.

Kõige olulisem kaitsebarjäär on valepositiivsete testide taristusüsteem, mis töötab kahe kollektsiooniga.

Esimene kogu (kriitiline komplekt) koosneb erinevate platvormide ja lokalisatsioonidega populaarsete operatsioonisüsteemide failidest, nende operatsioonisüsteemide uuendustest, kontorirakendustest, draiveritest ja meie enda toodetest. Seda failide komplekti värskendatakse regulaarselt.

Teine kogu sisaldab dünaamiliselt loodud failide komplekti, mis koosneb praegu kõige populaarsematest failidest. Selle kogu suurus valitakse nii, et oleks võimalik leida tasakaal skannitud failide mahu (ja seega ka serverite arvu), sellise kontrollimise aja (ja seega ka tuvastamismeetodite kasutajatele edastamiseks kuluva aja) vahel. ja maksimaalne võimalik kahju valepositiivse tulemuse korral.

Nüüd ületab mõlema kogu suurus 120 miljonit faili (umbes 50 Tb andmeid). Arvestades, et neid skannitakse iga tunni järel iga andmebaasi uuendusega, võib öelda, et infrastruktuur kontrollib päevas üle 1,2 Pb andmeid valepositiivsete andmete osas.

Rohkem kui 10 aastat tagasi võtsime infoturbetööstuses ühena esimestest kasutusele mittesignatuuride tuvastamise meetodid, mis põhinevad käitumisanalüüsil, masinõppel ja muudel paljutõotavatel üldistustehnoloogiatel. Need meetodid on osutunud tõhusaks, eriti keeruliste küberohtude vastu, kuid nõuavad eriti hoolikat valepositiivsete testide tegemist.

Näiteks võimaldab käitumistuvastus blokeerida pahatahtliku programmi, millel on töö ajal pahatahtliku käitumise elemente. Puhta faili käitumise valepositiivsete tulemuste vältimiseks lõime arvuteid, mis rakendavad mitmesuguseid kasutajastsenaariume.

"Talu" esitleb erinevaid operatsioonisüsteemide ja populaarse tarkvara kombinatsioone. Enne uute mitteallkirjade tuvastamise meetodite väljalaskmist testitakse neid selles “farmis” dünaamiliselt standard- ja eristsenaariumide järgi.

Lõpuks ei saa mainimata jätta ka vajadust kontrollida veebisisu skanneri valepositiivseid tulemusi. Veebilehe ekslik blokeerimine võib põhjustada ka kliendipoolseid töökatkestusi, mis on meie töös lubamatu.

Nende juhtumite minimeerimiseks laadivad automatiseeritud süsteemid iga päev alla 10 tuhande populaarseima Interneti-saidi praeguse sisu ja skannivad nende sisu meie tehnoloogiatega, et kontrollida valepositiivseid tulemusi. Kõige täpsemate tulemuste saavutamiseks laadivad sisu alla enamlevinud versioonide pärisbrauserid, samuti kasutatakse puhverservereid, et välistada geograafilisest sõltuva sisu pakkumine.

Vabastatud detektorite juhtimine

Kasutajatele edastatud tuvastusmeetodeid jälgivad ööpäevaringselt automatiseeritud süsteemid, mis jälgivad nende detektorite käitumises esinevaid kõrvalekaldeid.

Fakt on see, et valepositiivseid tulemusi põhjustava tuvastamise dünaamika erineb sageli tõeliselt pahatahtlike failide tuvastamise dünaamikast. Automaatika jälgib selliseid kõrvalekaldeid ja kahtluse tekkimisel palub analüütikul teha küsitava avastamise lisakontroll. Ja tugevate kahtluste korral keelab automaatika selle tuvastamise KSN-i kaudu iseseisvalt, teavitades sellest kiiresti analüütikuid. Lisaks jälgivad kolm Seattle'is, Pekingis ja Moskvas valves olevat viirusanalüütikute meeskonda ööpäevaringselt vahetustega olukorda ja lahendavad kiiresti tekkinud intsidente. Tegevuses.

Lisaks anomaalsetele tuvastamistele jälgivad nutikad automatiseeritud süsteemid jõudlusnäitajaid, mooduli vigu ja võimalikke probleeme KSN-i kaudu kasutajatelt saadetud diagnostikaandmete põhjal. See võimaldab meil võimalikke probleeme varakult tuvastada ja need parandada enne, kui nende mõju kasutajatele märgatavaks muutub.

Kui intsident siiski juhtub ja seda ei saa sulgeda eraldi tuvastamismeetodi keelamisega, võetakse olukorra parandamiseks kasutusele kiireloomulised meetmed, mis võimaldavad probleemi kiiresti ja tõhusalt lahendada. Sel juhul saame andmebaasid koheselt stabiilsesse olekusse tagasi kerida ja see ei nõua täiendavat testimist. Tõtt-öelda pole me seda meetodit praktikas kunagi kasutanud – polnud põhjust. Ainult harjutuste ajal.

Muide, harjutuste kohta.

Ennetamine on parem kui ravimine

Kõike ei saa ette näha ja isegi kui kõik on ette nähtud, oleks hea teada, kuidas kõik need meetmed praktikas toimivad. Selleks ei pea te ootama tõelist juhtumit – seda saab simuleerida.

Oma isikkoosseisu lahinguvalmiduse ja valehäirete vältimise meetodite tõhususe testimiseks viime regulaarselt läbi siseõppusi. Õppused taanduvad erinevate "lahingu" stsenaariumide täielikule simulatsioonile, et kontrollida, kas kõik süsteemid ja eksperdid töötavad plaanipäraselt. Õppusel osaleb mitu tehnika- ja teenindusosakonna üksust, see toimub nädalavahetusel ja viiakse läbi hoolikalt läbimõeldud stsenaariumi alusel. Peale õppust analüüsitakse iga osakonna tööd, täiustatakse dokumentatsiooni, tehakse muudatusi süsteemides ja protsessides.

Mõnikord võidakse harjutuse ajal tuvastada uus risk, mida varem ei märgatud. Regulaarne tehnoloogiate, protsesside ja toodete valdkonna võimalike probleemide ajurünnak võimaldab meil selliseid riske süsteemsemalt tuvastada. Tehnoloogiad, protsessid ja tooted arenevad ju pidevalt ning iga muudatusega kaasnevad uued riskid.

Lõpetuseks, kõigi õppustel tuvastatud intsidentide, riskide ja probleemide puhul tehakse süstemaatilist tööd algpõhjuste kõrvaldamiseks.

Ütlematagi selge, et kõiki kvaliteedikontrolli eest vastutavaid süsteeme dubleerib ja toetab ööpäevaringselt valves olevate administraatorite meeskond. Ühe lingi rike viib ülemineku dubleerimisele ja vea enda kiire parandamiseni.

Järeldus

Valepositiivseid tulemusi on võimatu täielikult vältida, kuid saate oluliselt vähendada nende esinemise tõenäosust ja minimeerida tagajärgi. Jah, see nõuab arendajalt märkimisväärseid investeeringuid, tehnoloogilist küpsust ja ressursse. Kuid need jõupingutused tagavad kasutajatele ja äriklientidele sujuva kogemuse. Sellised jõupingutused on vajalikud ja kuuluvad iga usaldusväärse küberturbe müüja kohustuste hulka.

Usaldusväärsus on meie kreedo. Selle asemel, et tugineda ühele turvatehnoloogiale, kasutame mitmekihilist turvasüsteemi. Kaitse valepositiivsete vastu on välja töötatud sarnaselt – see on samuti mitmetasandiline ja palju kordi dubleeritud. Teist teed ei saa, sest me räägime klientide infrastruktuuri kvaliteetsest kaitsest.

Samal ajal õnnestub meil leida ja säilitada optimaalne tasakaal küberohtude vastase kaitse kõrgeima taseme ja väga madala valepositiivsete tulemuste vahel. Sellest annavad tunnistust sõltumatute testide tulemused: 2016. aasta lõpus pälvis Kaspersky Endpoint Security Saksa testilaborilt AV-Test.org kaheksa auhinda, sealhulgas “Parima kaitse” ja “Parima kasutatavuse”.

Kokkuvõtteks tahaksin märkida, et kvaliteet ei ole üks kord saavutatud tulemus. See on pidevat jälgimist ja täiustamist vajav protsess, eriti tingimustes, kus võimaliku vea hinnaks on kliendi äriprotsesside häirimine.

Aadressid viirusetõrje valepositiivsetest tulemustest teatamiseks


Kujutage ette, et olete kirjutanud programmi, mis on kahjutu, kahjutu ja tasuta.
Olete seda kuus kuud kasutanud ja siis otsustab teie lemmikviirusetõrje selle eemaldada

Või: Olete utiliidi alla laadinud ja harjumusest kontrollinud seda teenuses VirusTotal.com, Jotti või VirSCAN.
Tulemus: 3 41-st vastas, et see on viirus.
Meil on järgmised valikud:
- viirus on uus ega ole veel sisenenud ülejäänud andmebaasidesse;
- või see on valepositiivne.

Kui olete kindel, et tegemist on valepositiivse tulemusega, saadame proovi viirusetõrje laborisse.
ole ettevaatlik: sageli on kaks erinevat vormi aadressi või e-posti aadressi:
- sõnumite jaoks uute viiruste kohta;
- valepositiivsete teadete jaoks (sellest me selles teemas räägime).

Miks ilmnevad valepositiivsed tulemused?
Uus pahavara ilmub nii kiiresti, et inimesed ei suuda iga juhtumit iseseisvalt analüüsida. Usaldus langeb HIPS-i sarnastele ekspertsüsteemidele, mis analüüsivad faili automaatselt mitme kriteeriumi alusel.
Sellised süsteemid võivad sageli genereerida valepositiivseid tulemusi konkreetsete ümbriste, API funktsioonide jadade ja muude tegurite kombinatsiooni kohta. Mõned vannuvad lihtsalt sellepärast, et programmi kasutatakse harva ja selle kohta pole olulist statistikat.
Selle tulemusena satub tarkvara pahavara/kahtlaste failide andmebaasidesse.

Kuidas korrektselt saata programm uuesti testimiseks laborisse?
Igal viirusetõrjetootjal on spetsiaalsed meiliaadressid (või veebisaidil olevad vormid), kuhu saate näidise saata.
Märge, on igal juhul väga oluline lugeda teenuse reegleid:

  • mis tüüpi arhiivi peaksin proovi pakkima?
  • millist parooli määrata (tavaliselt viirus või nakatunud)
  • millist lisateavet kirjas esitada. See on tavaliselt:
  1. Laulusõnad: Valepositiivne esitamine
  2. Manuse parool on parool, mida kasutatakse arhiivi krüptimiseks
Laboratooriumide ja aadresside loend:

360 Internet Security (täielik turvalisus) (Qihoo-360)
Post: [e-postiga kaitstud](arhiiv ZIP-vormingus. Teema nimi: "Valepositiivne esitamine")
Vorm (vene): saatke fail kontrollimiseks – 360 Total Security
Vorm (kontori veebisait): 360杀毒_样本上报 (valige 误报文件)
RAR-, ZIP-, 7Z-vormingus arhiivis oleva vormi kaudu saatmine ilma krüptimiseta. Fail peab olema väiksem kui 20 Mb.

avast!
Tehnilise toe vorm: Avast Võtke meiega ühendust
Viirusetõrjes endas: karantiini vahekaardil.
E-post: [e-postiga kaitstud]
Pakkige failid nakatunud parooliga ZIP-arhiivi. Märkige meili teemareale "Valepositiivne esitamine".

IKARUS
Programmis endas: karantiini vahekaardil.
E-post: [e-postiga kaitstud]
Pakkige failid nakatunud parooliga ZIP-arhiivi. Kirjas märkige "Valepositiivne tuvastamine" ja arhiivi parool.
[e-postiga kaitstud]

Kaspersky zip/rar arhiivis parooliga "viirus" või "nakatunud"
Vorm: Kasperky Virus Desk (valige "Puhasta").
E-post: [e-postiga kaitstud] Märkige meili teemareale "Võimalik valepositiivne".
Kui teil on litsents - tehniliste taotluste kaudu. tugi (teie isiklikult/ettevõtte kontolt).

Palo Alto võrgud
Looge selle malli abil foorumi teema.

Sophos
Vorm: esitage näidis
E-post: [e-postiga kaitstud]

Spybot Search & Destroy
Vorm: Kohtuekspertiisi labor – Spyboti pahavara- ja viirusetõrje
E-post: [e-postiga kaitstud]
ZIP-arhiivis parooliga "nakatatud", kui posti teel, siis märkige kirja teemareale "Valepositiivne esitamine".
Kirjas endas palun märkige: Manuse parool on nakatunud

SUPERAntiSpyware
Foorum: Valepositiivsed
(või kasutage programmi enda sees spetsiaalset vormi)

Häkker (häkker)
E-post: [e-postiga kaitstud]
(Kinnitamata)

ThreatTrack
Vorm:

Tencent
On ainult foorum. Selles jaotises saate luua teema.
Sisselogimiseks peate esmalt registreeruma teenuse qq kaudu, valides E-posti konto.
Edaspidi kasutage sisselogimiseks oma e-posti aadressi.

Totaalne kaitse
E-post: [e-postiga kaitstud]
ZIP-arhiivis parooliga "nakatatud", kui posti teel, siis märkige kirja teemareale "Valepositiivne esitamine".
Kirjas endas palun märkige: Manuse parool on nakatunud

Trapmiin
Vorm: TRAPMINE Inc. - Võtke ühendust
E-post: [e-postiga kaitstud](testimata)

Trend Micro
Vorm: Veebisaidi blokeeringu tühistamine – IP-aadressi ümberklassifitseerimise tugi – Trend Micro USA
Tähelepanu: saatke vorm RAR-i või ZIP-vormingus koos parooliga. Palun märkige kirjas parool. Arhiivis peab failil olema EXE laiend.
Vorm: http://esupport.trendmicro.com/srf/srfemea.aspx?en-jm&locale=en-gb&ic=Virus valehäire (ainult Trend Micro kasutajad))
Valige toote nimi" Housecall Hosted Edition", ülejäänud väljad on suvalised andmed.
E-post: [e-postiga kaitstud](Ainult Trend Micro kasutajad)
Saatke fail ZIP- või RAR-arhiivis parooliga "viirus". Faili suurus ei tohiks ületada 50 Mb.

TrojanHunter
E-post: [e-postiga kaitstud]
ZIP-arhiivis parooliga "nakatatud", kui posti teel, siis märkige kirja teemareale "Valepositiivne esitamine".
Kirjas endas palun märkige: Manuse parool on nakatunud

Trooja eemaldaja / lihtsalt supertarkvara
E-post: [e-postiga kaitstud]
ZIP-arhiivis parooliga "nakatatud", kui posti teel, siis märkige kirja teemareale "Valepositiivne esitamine".
Kirjas endas märkige: Manuse parool on nakatunud https://detail.webrootanywhere.com/servicewelcome.asp?reason=talknotallowed Teate teavitamiseks teiste viirusetõrjete aadresse

Kui aus olla, siis esimesed kahtlused “uuringute” andmetes
tekkis mul mõttes tagasi Ermitaaži aias, kus LK spetsialistid ja entusiast
rääkisid meile, kuidas nad lõid 13-aastase tüdruku profiili, ja siis arvake ära...
kuidas see kukkus! Pedofiilid ja perverdid ründasid õnnetut tüdrukut hiljem
sekundit pärast VKontakte'is registreerimist!

Leidke porno märke jaotisest “Minu maailm” Mail.Ru ja Odnoklassniki spetsialistid
Kaspersky Lab ebaõnnestus. Noh, see peaaegu ei õnnestunud.

Otsustasime kontrollida, kas kõik on tegelikult nii loodud
armsa tüdruku Sasha profiil. Lisaks 13-aastane.

Aga sellest pikemalt hiljem. Esiteks teabe usaldusväärsuse kohta,
mida meedia kordas.

Mina (Maxim Makarenkov) otsustasin
LC pressiteenistusega paari punkti täpsustamiseks saatsin kirja palvega. JA
Sain vastuse peaaegu kohe. Tsiteerin teda (minu esile tõstetud fraasid): „Maxim,
Tere hommikust.

Kas sa räägid
eksperiment, mida Kaspersky Labi eksperdid viisid läbi umbes aasta tagasi. aastal loodud eksperdid
erinevate sotsiaalvõrgustike kontod teismelise tüdruku nimel. Eksperimendi eesmärk on
saate teada, millised ohud varitsevad sotsiaalvõrgustikes noori kasutajaid. Katse
kestis umbes nädala. Selle käigus näitas end VKontakte
kõige ohtlikum sotsiaalvõrgustik. Lisaks lihtne juurdepääs täiskasvanutele mõeldud sisule
uuring salvestas:

  • SMS-pettuse katsed;
  • spämm;
  • andmepüügi;
  • profiilitaotlused nilbete ettepanekutega;
  • hirmutamine ja ähvardused (küberkiusamine).

Kuid
Tahaksin veel kord märkida, et see ei ole ametlik uuring.
See oli omamoodi “kogemus”, mis võimaldas meil saada teatud läbilõiget ohtudest
lastele erinevates sotsiaalvõrgustikes."

Oih. Miks on siis slaid ametlik
ettekanne kannab nime “Uuring
sotsiaalsed võrgustikud"?

Miks esitluse ajal Ermitaaži aias
ei täpsustatud, et “katse” tehti aasta tagasi? Kasutage andmeid
aasta tagasi, et hinnata Interneti-projektide seisu... Ütlen pehmelt -
See paneb mind kergelt hämmelduma.

Selle järelduse põhjal ajakirjandus kohe
hakkab edastama selliseid sõnumeid:

Anname taas sõna laborispetsialistidele
Kaspersky. Kaspersky Labi pressiteenistuse juht Julia kirjutab meile
Krivosheina:

"See ei puuduta
ametliku uuringu kohta, aga umbes nädalapikkuse läbiviidud katse kohta
Kaspersky Labi spetsialistide poolt. The
eksperimendi eesmärk ei olnud kindlaks teha, milline sotsiaalne võrgustik
on kõige ohtlikum või ohutum ja ei saa olla aluseks
vastav väljund. Tema eesmärk oli ainult
näidata teatud läbilõiget ohtudest, millega võib kokku puutuda
laps erinevates sotsiaalvõrgustikes.

See on muidugi imeline. Lihtsalt miks
siis ma ei kohanud ainsatki ümberlükkamist valeinfo kohta, et
meedia poolt levitatud? Siin on isegi raske ajakirjanikke harjumuspäraselt süüdistada
ebaprofessionaalsus. See ütleb "uuringud", nad kirjutasid ausalt "uuringud".
Seal oli kirjas "järeldused" ja nad edastasid järeldused.

Kaspersky Labi spetsialistidele
soojad tervitused.

Selles kohas peaksid olema järeldused, kuid meil on need olemas
osutus nii vandenõuliseks, et otsustasime anda vaid loetelu määratlustest.
Ja panite selle ise õigesse järjekorda: "paha usk", "eksperdid", "sissejuhatus"
eksitav”, “tulemuse järgi kohandamine”, “ebaprofessionaalsus”.

Sasha tuleb maailma

Aga turvalisus? Näiteks koos
kõige turvalisem võrk – My World Mail.Ru?

Otsustasime selle üle vaadata ja meie alaline
autor lõi armsale tüdrukule Sashale konto samas kolmes suhtlusvõrgustikus.

Kontode jaoks kasutati tüdrukust mitut tõelist fotot,
saadud tema enda ja vanemate loal. Seadistused kõigis kolmes
sotsiaalvõrgustikud jäeti muutmata - lisapiiranguid pole, v.a
teenus ise ei installinud ühtegi. Kontod ühendati mobiiltelefoni abil
telefon ja e-post vastavalt sotsiaalvõrgustike nõuetele.

Katsenädala jooksul ainult VKontakte võrgus katsealune
Üks kodanik kirjutas “tüdrukule” nilbe ettepanekuga.

Mõne päeva pärast Odnoklassniki sotsiaalvõrgustikus
Üks Lõuna-Aasia päritolu noor mees üritas teda "sõbraks" lisada. Ta
Tahtsin sinuga lihtsalt kohtuda ja vestelda. Kahjuks tema vene keele oskus
jättis soovida.

Videofailid päringu "porno" jaoks sotsiaalvõrgustikus "Minu maailm"
tõesti ei leia. Küll aga üllataval kombel vaatamata sellele, et meie
Otsime kontot kasutavat 13-aastast tüdrukut (vanus on märgitud profiilis), meie
Nad soovitavad otsida Internetist.

Suurepärane, kõik on nähtaval. Väga tõsine punktsioon ju
oli võimalik blokeerida mitte ainult otsingutulemusi, vaid ka võimalust ennast
otsing.

Otsing Odnoklassniki jaotises „Video” andis tulemuseks ainult
kahjutud videod. Rühmade otsimine andis tulemusega „Minu
maailmale."

Internetiotsing andis sama lehe Mail.ru otsingumootorist. See on äärmiselt üllatav tänu sellele, et portaal
teeb koostööd Safe Internet League'iga ja kinnitab seda regulaarselt
filtreerib otsingutulemusi. Põhjused, miks nii ilmne
Sel juhul ei võetud meetmeid lapse kaitsmiseks porno eest.

VKontakte võrk otsib vaikimisi "turvarežiimis".
otsing", milles pornograafiat on peaaegu võimatu leida.

Kuid saate selle valiku ühe klõpsuga keelata.

Võluv kavalus, sest testprofiilis on see juba märgitud
vanus - 13 aastat. Oleme nõus.

Saame erinevatest telesaadetest välja lõigatud videoid.
Tuleb tunnistada, et hoolimata selgesõnaliste stseenide puudumisest on selline lavastus
võib vähemalt taseme poolest võrdsustada pornograafiaga
kunstiline tähtsus. Tegelikult osutub VKontakte'ist pornovideote leidmine selleks
mitte väga lihtne.

Aga öelge, 13-aastane tüdruk viskab end esimesena
otsite pornot? Ole nüüd!

Aga ta tahab kindlasti kohtuda ja vestelda. Usu mind
kogemustega vanemad.

Ja MyWorldis liigume edasi rühmade järgi otsimisele. Valime puudutava elemendi “Kohtumine ja armastus”.

Sa ei pea pornot otsima. Ta leiab teid siit ise. A,
edasi, on lihtsalt aega ümber pöörata. Ja me ei illustreeri veel tulemusi
inimeste otsimine... Sisestage lihtsalt sõna "bi", et õppida palju uusi asju. Eraldi
Pangem tähele MyWorldi Androidi rakendust. Seal hakkab inimeste otsimine toimima kui
sõna sisestamine. See tähendab, et see "bi" hakkab kohe leiduma. Automaatselt.

Millegipärast ei öelnud “Minu maailma” moderaatorid midagi
Nad ei näe sellistel fotodel midagi taunimisväärset. Ka laiem avalikkus
vaikib, võib-olla on selle põhjuseks vähem populaarne suhtlusvõrgustik
võrreldes hiiglasliku VKontaktega.

Nendel piltidel pole aga muidugi midagi pistmist
tutvumine Kahjuks postitavad mõned kasutajad oma
fotod, mis pehmelt öeldes küsimusi tekitavad. Mõned neist on peidus
tempel "18+", kuid nagu VKontakte'i videote otsimisel, saate ohutult
võltsida profiilis märgitud vanust.

Ja isegi siis on peidetud ainult osa. Näiteks sattusime kokku
tüdruku konto, kelle vanuseks oli märgitud 3 aastat. Ja fotod sundisid
peame sügavalt järele mõtlema.

Meenutagem lugu VKontakte laste moegruppidega. Vaatame, mida MoyMir teismelistele pakub.

Järeldused) näitas midagi, mis oli juba kõigile ilmne. Võimalikud on porno ja "muud rõõmud".
leida mis tahes sotsiaalvõrgustikust.

VKontakte pole sugugi kõige ohtlikum sotsiaalvõrgustik.
Asi on selles, et tal ja MyWorldil on erinev vaatajaskond ja nende suhtlusvõrgustike elanikud tegutsevad
kasutades erinevaid meetodeid.

Teine täiesti ilmne järeldus on see
tõesti aru saada, millised ohud kasutajat konkreetses sotsiaalvõrgustikus ees ootavad,
vaja pole mitte “katseid”, vaid regulaarset uurimistööd selgete meetoditega ja
selged kriteeriumid.

Huvitav on aga see, et mitte ainsatki turvafirmat
Kas me pole kuulnud selliste uuringute tulemustest?

Siinkohal soovin Liigale veel ühe sooja tervituse edastada
turvaline internet.

Kas usute, et mitte ükski spetsialist ei tea, et:

1. MyWorldis on tohutu
Virtuaalide arv. Näiteks mehed, kes teevad naistele kontosid? Mis seal on
suur hulk transseksuaale? (sisestage inimeste otsingusse TS või TS)

2. MyWorldis on palju
kontod, mis on loodud ainult mängude või teenuste reklaamimiseks? U
selliseid virtuaalsõpru on mitukümmend tuhat, nad on pidevalt võrgus ja
hoidke aktiivset söötmist

3. Minu maailma pornos
Kas nad ei otsi mitte sõnade “porno” ja “erootika”, vaid muude päringute järgi? Nagu Vkontakte'is,
Muideks.

Selleks, et teada saada, millised neist, on teil vaja vähemalt natuke
olla huvitatud teismeliste subkultuuridest. Muide - hentai neile
ei kehti esiteks.

Samast “VKontaktest” leiate kindlasti oma veealuse
hoovused ja variühiskond. Peate lihtsalt veidi süvenema ja näitama
huvi teema vastu. Siis aga kaob võimalus sensatsioonilisteks paljastusteks.
Draakon, keda peab kartma, kaob ja algab normaalne vaikne töö.
ühe ühiskonnaelu ilminguga. Tuntud firma “spetsialistide” suhtumine ja tuntud
Liiga senine ütleb, et neil pole sellist tööd vaja. Huvitav miks?

Viirusetõrje valepositiivse tulemuse tõenäosus suureneb koos uute ohtude ja allkirjade arvuga viirusetõrjetarkvara andmebaasides. Mõnikord põhjustab valehäire kohutavamaid tagajärgi kui nakatumine. Võrguturbe spetsialistid pole veel leidnud viisi, kuidas turvaprogrammide sobimatu käitumise võimalust täielikult välistada.

Viga McAfee viirusetõrje andmebaaside värskendamisel, mis neljapäeval põhjustas kümnete tuhandete arvutite ulatusliku rikke üle maailma, on ehk kõige ilmekam näide sellest, kui negatiivsed on viirusetõrjeprogrammi valepositiivsed tagajärjed. võib olla. Programm pidas operatsioonisüsteemi Windows XP toimimise võtmeks svchost.exe süsteemiprotsessi ussiks, mille tulemusena kümned tuhanded arvutid Ameerika Ühendriikide ülikoolides, koolides, politseijaoskondades ja ettevõtetes. kus McAfee turvatarkvara installiti, tehti pikaajalisi tsüklilisi taaskäivitusi.

McAfee on valehäirete alal rekordiline ettevõte: sõltumatu organisatsiooni av-comparatives.org veebruaris läbi viidud testide kohaselt käivitas McAfee AntiVirus Plus 2010 valehäireid 61 korral. Selle tulemusel sai viirusetõrje edetabelis 12. koha. Valehäireid esines ka teistel tuntud turvatarkvara tootjatel, kuid palju harvemini: Symantec Norton Anti-Virus 2010-l oli 11 häiret; Kaspersky Anti-Virus 2010 on viis; Eset NOD32 Antivirus 4.0 on kaks; tasuta Microsoft Security Essentialsis on kolm.

Kuid valepositiivsete tulemuste oht sõltub suuresti konkreetsest olukorrast. Enamasti ei põhjusta valehäired arvutile erilist kahju: juurdepääs mõnele puhtale failile on blokeeritud ning masina töö aeglustub ja muutub raskemaks. Ühe kasutaja jaoks on need väikesed ja kergesti lahendatavad probleemid. Kuid suurettevõtete jaoks tähendab valehäire, mis põhjustab tohutuid häireid arvutite, ettevõtete võrkude ja veebisaitide töös, märkimisväärset aja-, raha- ja mainekaotust.

Peaaegu kõik juhtivad viirusetõrjetarkvara tootjad on erinevatel aegadel kogenud valepositiivseid tulemusi.

Eelmise aasta augustis Kaspersky Anti-Virus keelanud selle kasutajad töötavad HSBC panga veebisaidiga, teavitades neid, et Interneti-ressurss on nakatunud troojalasega HTLM-Agent-CE. Tegelikult ei kujutanud sait mingit ohtu, kuid kasutajad ei saanud mõnda aega Interneti-pangateenuseid kasutada. Vea avastasid Kaspersky Labi spetsialistid samal päeval, kui valepositiivne teade sai, kuid kahju panga mainele oli juba tehtud.

Varem, 2008. aasta novembris, pidas populaarne AVG viirusetõrje Adobe Flash-faile ja süsteemifaili user32.dll, mis on Windowsi töö jaoks oluline, ekslikult pahavaraks. Sama aasta oktoobris tuvastas sama viirusetõrje populaarse tulemüüri CheckPoint Zone Alarm kui trooja. Ebamugavuse kompenseerimiseks pidi AVG raha välja käima: mõjutatud kasutajad said järgmiseks aastaks tasuta AVG litsentsi.

2006. aasta märtsi keskel, pärast oma klientide viirusetõrje andmebaaside värskendamist, blokeeris Symantec ligikaudu seitsmeks tunniks kogu sissetuleva liikluse ühelt Ameerika suurimalt Interneti-teenuse pakkujalt AOL. Symanteci viirusetõrjeprogrammid võtsid rünnakute allikana selle pakkuja aadressid ja blokeerisid nendelt tuleva liikluse.

Sellele sündmusele eelnenud nädalal oli McAfee Macromedia Flash Playerile ja Microsoft Excelile juba mõnda aega valesti vastanud.

Ja need on vaid mõned viirusetõrje vead, mis põhjustavad viirusetõrjefirmadele ja nende klientidele ebameeldivaid tagajärgi.

Valehäirete osakaal arvutiohtude kogumahust on väike – paar protsenti. Nende arv aga kasvab koos reaalsete ohtude arvuga. Viirusetõrjefirmad püüavad selliseid juhtumeid vältida, kuid pahavaravastase võitluse olemuse tõttu pole see alati võimalik.

"Reeglina uuendatakse iga viirusetõrje toodet mitu korda päevas," selgitas ühe viirusetõrjefirma esindaja, kes ei soovinud oma nime avaldada. -- Selle põhjuseks on uute kirjete lisamine andmebaasi, mis põhinevad uue pahavara (või juba tuntud viiruste uute modifikatsioonide) tuvastamisel. Juhtub, et värskendusi tehakse mitu korda tunnis. Mõnikord juhtub õnnetusi. Eelkõige siis, kui puhas fail võetakse ekslikult nakatunud failiks. Kuid sagedamini - kui nakkuse tuvastamiseks salvestus tehakse nii, et see püüab ka puhta faili. Iga värskendust testib enne väljaandmist vastav grupp, selle toimimist kontrollitakse põhjalikult. Kuid mõnikord lähevad asjad valesti."

"McAfee olukorras on süsteemikomponendi Svchost.exe valepositiivsuse põhjuseks asjaolu, et paljud pahatahtlikud programmid kasutavad seda oma tegevuse varjamiseks selle süsteemiprotsessi aadressiruumis," ütles keskuse juht Aleksandr Matrosov. ESET-i viiruseuuringud ja -analüütika ütles saidile. "Ja Wecorli uss, mida McAfee lahendused nägid pärast saatuslikku värskendust, pole erand."

Eksperdi sõnul seostatakse valehäireid enamasti puudujääkidega tehnoloogiates, millega testitakse allkirjade andmebaase enne nende avaldamist, aga ka vigadega heuristiliste tuvastamise algoritmides. Nende puuduste tõttu on selliste ohtude võimalust peaaegu võimatu välistada.

"Valepositiivsetest tulemustest vabanemiseks pole 100% võimalust, kuna programmi testimismeetodid ise põhinevad empiirilistel hinnangutel ja on oma olemuselt tõenäosuslikud," ütles Aleksandr Matrosov. -- Viirusetõrjeprogramm tuvastab mõne pahatahtliku tarkvara osa põhjal ründefaili. Näiteks võib allkiri sisaldada pahatahtliku faili mõningaid unikaalseid omadusi, samas kui heuristilised algoritmid hõlmavad tervete pahatahtlike programmide perekondade omadusi. Seetõttu ei ole 100% garantiid, et neid konkreetseid omadusi seaduslikust käivitatavast failist ei leita.



SEOTUD ARTIKLID