Virustorjuntahälytykset vahingoittavat käyttäjiä. Virustorjuntaohjelmien vääriä positiivisia tuloksia

Ihanteellisessa tilanteessa kotikäyttäjille ja yrityksille vääriä positiivisia tuloksia ei pitäisi esiintyä. Saksalainen virustorjuntalaboratorio AV-Test selvitti pitkäaikaisessa 14 kuukauden testissä, mitkä tuotteet yleensä keskeyttävät käyttäjien toimintaa ilman syytä ja mitkä ovat luotettavia väärien positiivisten tulosten suhteen.

Väärin positiivinen vai ei?: AV-Test testasi 33 virustorjuntaa 14 kuukauden aikana.

Olet ehkä jo törmännyt tilanteeseen, jossa näytölle tulee punainen varoitus ja kuuluu hälytys. Tämän reaktion aiheutti kopioitu tiedosto tai käynnissä oleva sovellus. Mutta mitä sinun pitäisi tehdä, jos virustorjuntasi luokittelee Google Chrome -selaimen tai Windows-järjestelmätiedoston vaaralliseksi hakkeriksi? Tässä tapauksessa käyttäjä saa väärän positiivisen tuloksen, joka johtaa käyttäjää tai järjestelmänvalvojaa harhaan.

Hyvänlaatuisten ja haitallisten kohteiden havaitseminen

Viruksentorjuntaohjelman on käsiteltävä luotettavat ja haitalliset tiedostot oikein. Tämän tarkistamiseksi AV-Test-laboratorio arvioi 14 kuukauden ajan - tammikuusta 2015 helmikuuhun 2016 - kuinka virustorjuntaohjelmat ratkaisevat tämän ongelman. Kaikkiaan testattiin 19 loppukäyttäjätuotetta ja 14 yritysratkaisua.

Tutkijat tunnistivat käytettävyystestille neljä testitehtävää, jotka laboratorioinsinöörit muotoilivat seuraavasti:

  • vääriä varoituksia tai estoja vieraillessasi verkkosivustoilla
  • laillisten ohjelmistojen virheellinen havaitseminen haitallisina uhkina järjestelmän tarkistuksen aikana
  • vääriä varoituksia suoritettaessa tiettyjä toimintoja asennuksen aikana tai käytettäessä laillisia ohjelmistoja
  • tiettyjen toimien virheellinen estäminen asennuksen tai laillisen ohjelmiston käytön aikana

Testausmenetelmä

Kaikki testiluokat arvioivat vain suojattuja verkkosivustoja, luotettavia tiedostoja ja vaarattomia, tunnettuja sovelluksia. Loppujen lopuksi digitaalisessa maailmassa on paljon enemmän turvallisia tiedostoja kuin tartunnan saaneita objekteja. Siksi kaikki ratkaisut toimivat niin sanottujen "valkoisten listojen" - tietokantojen kanssa, jotka tallentavat allekirjoituksia ja hash-arvoja. Jos virustorjuntaohjelma ei tunnista tiedostoa välittömästi, se lähettää pilvipalvelimelle pyynnön tarkistaa, onko tiedosto rekisteröity. Jos tietoa kohteesta ei ole tietokannassa, se merkitään hyväksi tai huonoksi.

Todella relevanttien testitulosten saamiseksi tarvitaan suuri määrä turvallisia tietoja. Laboratorio täytti täysin kaikki standardien vaatimukset:

Kunkin tuotteen testaamiseksi vierailtiin 7 000 sivustolla ja tarkastettiin 7,7 miljoonaa tiedostoa. Lisäksi 280 sovellusta käynnistettiin uudelleen, minkä jälkeen kirjattiin, näyttääkö virustorjunta taas väärän hälytyksen ja estääkö näytteen.

7,7 miljoonan tiedoston sarja sisälsi kaikki uudet tiedostot suosittuihin ohjelmiin eri Windows-käyttöjärjestelmissä Windows 7:stä Windows 10:een ja toimistosovelluksiin. Jos virustorjunta luokittelee laillisen järjestelmätiedoston virheellisesti haitalliseksi, tällä tilanteella voi olla kohtalokkaat seuraukset. Tästä syystä näiden tärkeiden tiedostojen uusimmat versiot ovat aina mukana testausohjelmassa.

Kuluttajatuotteet: jotkut virustorjuntaohjelmat toimivat täydellisesti

Kuluttajatuotteiden pitkän aikavälin käytettävyyden testaus: Yhteenveto osoittaa yksittäisten tuotteiden väärät signaalit - niitä ei todellakaan ole niin paljon.

Huolimatta testin korkeista vaatimuksista ja suurista käsitellyistä datamääristä, jotkin sovellukset eivät tuottaneet vääriä positiivisia tuloksia ollenkaan. Avira Antivirus Pro ja Kaspersky Internet Security toimivat moitteettomasti.

Neljä muuta Intel Securityn, Bitdefenderin, AVG:n ja Microsoftin ratkaisua osoitti alle 10 väärää positiivista. Kuitenkin jopa finaalitaulukon lopussa olevat tuotteet osoittivat kaikkea muuta kuin katastrofaalisia tuloksia.

5 virustorjuntaa kerralla sai korkeintaan 6 pistettä kaikissa testaussegmenteissä 14 kuukauden aikana.

  • "Laillisten ohjelmistojen väärät havainnot haitallisina uhkina järjestelmän tarkistuksen aikana" - huonoimman tuloksen osoitti Ahnlab V3 Internet Security - 98 väärää positiivista havaintoa, joiden kokonaismäärä on 7,7 miljoonaa. 0,001 prosentin prosenttiosuus on täysin hyväksyttävä, mutta parantamisen varaa on.
  • "Väärät hälytykset suoritettaessa tiettyjä toimintoja asennuksen aikana tai käytettäessä laillisia ohjelmistoja" - 11 tuotteesta 19:stä ei aiheuttanut yhtään väärää hälytystä tässä testissä. 6 tuotetta osoitti 1-3 vääriä havaintoja 280 testitapauksessa. Pelkästään K7 Computing -tuote tuotti yhteensä 10 väärää hälytystä.
  • "Tiettyjen toimien virheellinen estäminen asennuksen tai laillisen ohjelmiston käytön aikana" - jopa täällä monet 19 ohjelmasta tekivät erinomaista työtä. Vaikka 7 tuotetta ei estänyt yhtään mitään, 11 muuta sovellusta estivät väärin 1–6 vaaratonta toimintaa. Comodo Internet Security Premium loi 29 väärää positiivista.

Yritystuotteet: vain Kaspersky teki sen virheettömästi

: Väärien positiivisten tulosten määrä on erittäin alhainen, mitä järjestelmänvalvojat arvostavat suuresti.

Osana laajamittaista testausta AV-Test arvioi 14 yritysratkaisun käytettävyyden kannalta eli turvallisten kohteiden oikean käsittelyn. Tässä testissä kaksi Kaspersky Lab -ratkaisua: Kaspersky Endpoint Security ja Kaspersky Small Office Security suoritettiin ilman virheitä. He osallistuivat kuitenkin vain kuuteen seitsemästä testistä.

Koko testausjakson aikana Sophosin, Intel Securityn ja Bitdefenderin ratkaisujen kokonaisvirheprosentti oli alle 10. Kuitenkin myös kaikissa muissa tuotteissa virheelliset positiiviset luvut olivat alhaiset verrattuna käsitellyn tiedon kokonaismäärään.

Korkea keskimääräinen testitulos: Monet tuotteet, joita testattiin 6 tai 7 kertaa, osoittivat suurta tehokkuutta ja olivat lähellä 6 pistettä.

Tarkemmat tiedot tuloksista:

  • "Vääriä varoituksia tai estoja vieraillessasi verkkosivustoilla" ei esiintynyt koko testin aikana, kun vierailtiin 7 000 sivustolla.
  • "Laillisten ohjelmistojen väärät havainnot haitallisina uhkina järjestelmätarkistuksen aikana" - F-Secure osoitti huonoimman tuloksen - 49 väärää positiivista havaintoa 7,7 miljoonan tiedoston kokonaismäärästä. Hyvä tulos, vaikka Sophos tunnisti vain kaksi tiedostoa väärin.
  • "Väärät varoitukset suoritettaessa tiettyjä toimintoja asennuksen aikana tai käytettäessä laillisia ohjelmistoja" - 4 tuotetta 14:stä osoitti 1-2 vääriä havaintoja 280 testitapauksessa. Tämän tuloksen pitäisi tyydyttää järjestelmänvalvojat.
  • "Tiettyjen toimien väärä estäminen asennuksen tai laillisen ohjelmiston käytön aikana" - tulokset tässä luokassa ovat hyviä. 280 testissä 8 tuotetta toimi ilman virheitä ja 6 muuta ratkaisua tuotti 1-5 väärää positiivista. Vertailun vuoksi, huonoin kuluttajatuote esti väärin turvalliset toiminnot 29 kertaa.

Yritysratkaisuilla on vähemmän vääriä positiivisia tuloksia

Jos yhdistämme yritys- ja kuluttajatuotteiden testaustulokset, käy selväksi, että yritysratkaisut tuottavat vähemmän vääriä positiivisia tuloksia. On kuitenkin syytä huomata, että loppukäyttäjille ja yrityksille ratkaisuja tarjoavien valmistajien tehokkuus on molemmissa tapauksissa korkea. Tämä koskee Kaspersky-, Bitdefender-, Microsoft-, Trend Micro-, Symantec- ja F-Secure-ratkaisuja.

Kaiken kaikkiaan kaikki tuotteet saivat korkeat laatupisteet käytön helppouden suhteen. Vaikka laboratorio vähentää tyypillisesti muutaman pisteen vääristä positiivisista tuloksista, tämä toimenpide on tiukasti kritisoitava korkeaa suorituskykyä.

Jotkut kehittäjät ovat vakavasti ymmällään nähdessään, mitkä ohjelmat aiheuttavat vääriä positiivisia tuloksia. Yleisesti estettyjä sovelluksia ovat Notepad++, Yahoo Messenger ja WinRAR. Nämä ovat kaukana eksoottisista sovelluksista, vaan tavallisia suosittuja ohjelmistoja. Koska väärien positiivisten tulosten määrä on alhainen, valmistajien tulisi korjata löytämiään vikoja mahdollisimman pian.

Päivittäinen uusien testitiedostojen lataus

Pyrkiessään kyberuhkien havaitsemisen korkeaan tasoon, aihe unohdetaan usein ansaittomasti tietoturva-alalla. Tämä on todellakin erittäin hankala aihe, jota jotkut kehittäjät yrittävät olla huomaamatta (tai ratkaista epäilyttävällä tavalla) - ensimmäiseen vakavaan tapaukseen asti, joka voi lamauttaa asiakkaiden työn. Valitettavasti tällaisia ​​tapauksia tapahtuu. Ja valitettavasti vasta sitten tulee ymmärrys siitä korkealaatuinen suojautuminen kyberuhkia vastaan ​​ei ole vain ennaltaehkäisyä, vaan myös väärien positiivisten tulosten alhainen taso.

Huolimatta aiheen näennäisestä yksinkertaisuudesta väärien positiivisten tulosten minimoimisesta, se sisältää itse asiassa monia monimutkaisia ​​tekijöitä ja sudenkuoppia, jotka vaativat merkittäviä investointeja, teknologista kypsyyttä ja resursseja kehittäjiltä.

Kaksi pääasiallista syytä vääriin positiivisiin tuloksiin ovat (i) ohjelmisto-, laitteisto- ja inhimilliset virheet kehittäjän puolella, (ii) useat lailliset ("puhtaat") ohjelmistot, jotka läpäisevät turvatarkastukset. Viimeinen syy vaatii selitystä. Itse asiassa miljoonat eri pätevyyden omaavat ihmiset (opiskelijoista ammattilaisiin) kirjoittavat ohjelmia eri puolilla maailmaa käyttäen erilaisia ​​alustoja ja standardeja. Jokaisella kirjoittajalla on oma ainutlaatuinen tyylinsä, ja ohjelmakoodin "käsikirjoitus" muistuttaa joskus haitallista tiedostoa, jota vastaan ​​turvallisuusteknologiat, erityisesti käyttäytymisanalyysiin ja koneoppimiseen perustuvat, vastustavat.

Ottamatta huomioon näitä erityispiirteitä ja ottamatta käyttöön erityisiä teknologioita väärien positiivisten tulosten minimoimiseksi, kehittäjät voivat jättää huomiotta "älä vahingoita" -periaatteen. Ja tämä puolestaan ​​johtaa kauheisiin seurauksiin (etenkin yritysasiakkaille), jotka ovat verrattavissa itse haittaohjelmien aiheuttamiin tappioihin.

Kaspersky Lab on kehittänyt kehitys- ja testausprosesseja yli kahdenkymmenen vuoden ajan ja luo myös teknologioita väärien positiivisten ja virheet minimoimiseksi käyttäjille. Olemme ylpeitä saadessamme yhden alan parhaista tuloksista tälle indikaattorille (testaa AV-Comparatives, AV-Test.org, SE Labs) ja olemme valmiita puhumaan tarkemmin joistakin "sisäkeittiömme" ominaisuuksista. . Olen varma, että näiden tietojen avulla käyttäjät ja yritysasiakkaat voivat tehdä tietoisempia tietoturvavalintoja ja ohjelmistokehittäjät voivat parantaa prosessejaan maailmanlaajuisten parhaiden käytäntöjen mukaisesti.

Käytämme kolmitasoista laadunvalvontajärjestelmää väärien positiivisten tulosten minimoimiseksi: (i) valvonta suunnittelutasolla, (ii) valvonta havaitsemismenetelmän vapautuessa ja (iii) vapautuneiden ilmaisimien valvonta. Samalla järjestelmää kehitetään jatkuvasti erilaisten ennaltaehkäisevien toimenpiteiden avulla.

Katsotaanpa tarkemmin järjestelmän jokaista tasoa.

Hallinta suunnittelutasolla

Yksi kehitystyön pääperiaatteistamme on, että jokaisen teknologian, tuotteen tai prosessin tulee sisältää mekanismit, jotka minimoivat väärien positiivisten tulosten ja niihin liittyvien vikojen riskit. Kuten tiedät, suunnittelutason virheet ovat kalleimpia, koska niiden täydellinen korjaaminen voi vaatia koko algoritmin uudelleenkäsittelyä. Olemme siis vuosien mittaan kehittäneet omia parhaita käytäntöjämme vähentääksemme sytytyskatkojen todennäköisyyttä.

Esimerkiksi kehitettäessä tai parantaessamme koneoppimiseen perustuvaa kyberuhkien havaitsemisteknologiaa varmistamme, että tekniikkaa on koulutettu merkittäviin eri muotoisiin puhtaisiin tiedostokokoelmiin. Tässä auttaa tietopohjamme puhtaista tiedostoista (whitelisting), joka on jo ylittänyt 2 miljardia objektia ja jota päivitetään jatkuvasti yhteistyössä ohjelmistovalmistajien kanssa.

Huolehdimme myös siitä, että kunkin teknologian koulutus- ja testikokoelmat päivitetään jatkuvasti työprosessin aikana. asiaankuuluvaa puhtaat tiedostot. Tuotteissa on sisäänrakennetut mekanismit, jotka minimoivat käyttöjärjestelmän kannalta kriittisten tiedostojen väärät positiiviset. Lisäksi tuote käyttää jokaisen havaitsemisen yhteydessä Kaspersky Security Networkia (KSN) päästäkseen sallittujen luetteloon tietokantaan ja varmenteen mainepalveluun varmistaakseen, että tiedosto ei ole puhdas.

Teknologian ja tuotteiden lisäksi on kuitenkin pahamaineinen inhimillinen tekijä.

Virusanalyytikko, asiantunteva järjestelmäkehittäjä tai data-analyytikko voivat tehdä virheitä missä tahansa vaiheessa, joten täällä on tilaa erilaisille estotarkastuksille sekä vihjeille/varoituksille/kielloille automaattisten järjestelmien havaitsemien vaarallisten toimien yhteydessä.

Ohjaus, kun vapautat tunnistusmenetelmän

Uudet kyberuhkien havaitsemismenetelmät käyvät läpi useita lisätestausvaiheita ennen kuin ne toimitetaan käyttäjille.

Tärkein suojaeste on kahden kokoelman kanssa toimiva infrastruktuurijärjestelmä väärien positiivisten tulosten testaamiseen.

Ensimmäinen kokoelma (kriittinen joukko) koostuu tiedostoista suosituista käyttöjärjestelmistä eri alustoilla ja lokalisoinneilla, näiden käyttöjärjestelmien päivityksistä, toimistosovelluksista, ajureista ja omista tuotteistamme. Tätä tiedostojoukkoa päivitetään säännöllisesti.

Toinen kokoelma sisältää dynaamisesti luodun joukon tiedostoja, jotka koostuvat tällä hetkellä suosituimmista tiedostoista. Tämän kokoelman koko valitaan siten, että se löytää tasapainon tarkistettujen tiedostojen määrän (ja siten palvelinten määrän), tarkistuksen ajan (ja siten ajan, joka kuluu tunnistusmenetelmien toimittamiseen käyttäjille) välillä. ja suurin mahdollinen vahinko väärän positiivisen tuloksen sattuessa.

Nyt molempien kokoelmien koko ylittää 120 miljoonaa tiedostoa (noin 50 Tb dataa). Ottaen huomioon, että niitä tarkistetaan tunnin välein jokaisen tietokantapäivityksen yhteydessä, voidaan sanoa, että infrastruktuuri tarkistaa yli 1,2 Pb dataa väärien positiivisten tulosten varalta päivässä.

Yli 10 vuotta sitten olimme ensimmäisten joukossa tietoturva-alalla, joka otti käyttöön ei-allekirjoituksen havaitsemismenetelmät, jotka perustuvat käyttäytymisanalyysiin, koneoppimiseen ja muihin lupaaviin yleistystekniikoihin. Nämä menetelmät ovat osoittautuneet tehokkaiksi varsinkin monimutkaisia ​​kyberuhkia vastaan, mutta vaativat erityisen huolellisen väärien tulosten testaamisen.

Esimerkiksi käyttäytymisen havaitsemisen avulla voit estää haitallisen ohjelman, joka osoittaa haitallista toimintaa toiminnan aikana. Estäksemme virheelliset positiiviset tulokset puhtaasta tiedostosta, loimme "farmin" tietokoneita, jotka toteuttavat erilaisia ​​käyttäjäskenaarioita.

Maatila esittelee erilaisia ​​käyttöjärjestelmien ja suosittujen ohjelmistojen yhdistelmiä. Ennen kuin uusia ei-allekirjoitustunnistusmenetelmiä julkaistaan, ne testataan dynaamisesti tällä "tilalla" vakio- ja erikoisskenaarioissa.

Lopuksi emme voi olla mainitsematta tarvetta tarkistaa verkkosisällön skannerin vääriä positiivisia tuloksia. Verkkosivuston virheellinen esto voi myös aiheuttaa asiakkaan puolella työn keskeytyksiä, mikä ei ole meidän työssämme hyväksyttävää.

Näiden tapausten minimoimiseksi automatisoidut järjestelmät lataavat päivittäin ajankohtaista sisältöä 10 000 suosituimmilta Internet-sivustoilta ja skannaavat niiden sisällön tekniikoillamme virheellisten tulosten tarkistamiseksi. Tarkimpien tulosten saavuttamiseksi sisältöä ladataan yleisimpien versioiden oikeilla selaimilla, ja välityspalvelimia käytetään myös maantieteellisesti riippuvan sisällön tarjoamisen poistamiseen.

Vapautuneiden ilmaisimien ohjaus

Käyttäjille toimitettuja tunnistusmenetelmiä valvotaan 24/7 automaattisilla järjestelmillä, jotka tarkkailevat näiden ilmaisimien käyttäytymisen poikkeavuuksia.

Tosiasia on, että väärän positiivisen tuloksen aiheuttavan havainnoinnin dynamiikka eroaa usein todella haitallisten tiedostojen havaitsemisen dynamiikasta. Automaatio tarkkailee tällaisia ​​poikkeavuuksia ja pyytää analyytikkoa suorittamaan lisätarkistuksen kyseenalaiselle havainnolle, jos epäilyksiä herää. Ja jos on vahvoja epäilyksiä, automaatio poistaa itsenäisesti tämän havaitsemisen KSN:n kautta ja ilmoittaa tästä kiireellisesti analyytikoille. Lisäksi kolme Seattlessa, Pekingissä ja Moskovassa päivystävää virusanalyytikkoryhmää tarkkailee tilannetta vuorokaudessa ympäri vuorokauden ja ratkaisee nopeasti syntyviä tapauksia. Toiminnassa.

Poikkeavien havaintojen lisäksi älykkäät automatisoidut järjestelmät valvovat suorituskykyindikaattoreita, moduulivirheitä ja mahdollisia ongelmia käyttäjien KSN:n kautta lähettämien diagnostisten tietojen perusteella. Näin voimme havaita mahdolliset ongelmat varhaisessa vaiheessa ja korjata ne ennen kuin käyttäjät huomaavat niiden vaikutuksen.

Jos tapahtuma kuitenkin tapahtuu, eikä sitä voida sulkea poistamalla käytöstä erillinen tunnistusmenetelmä, ryhdytään kiireellisiin toimenpiteisiin tilanteen korjaamiseksi, joiden avulla voit ratkaista ongelman nopeasti ja tehokkaasti. Tässä tapauksessa voimme välittömästi "palauttaa" tietokannat vakaaseen tilaan, eikä tämä vaadi lisätestausta. Totta puhuen emme ole koskaan käyttäneet tätä menetelmää käytännössä - ei ollut syytä. Vain harjoitusten aikana.

Muuten, harjoituksista.

Ennaltaehkäisy on parempi kuin hoito

Kaikkea ei voi ennakoida, ja vaikka kaikki olisikin ennakoitavissa, olisi hyvä tietää, miten kaikki nämä toimenpiteet toimivat käytännössä. Tätä varten sinun ei tarvitse odottaa todellista tapausta - se voidaan simuloida.

Testaaksemme henkilöstömme taisteluvalmiutta ja väärien hälytyksiä ehkäisevien menetelmien tehokkuutta, teemme säännöllisesti sisäisiä harjoituksia. Harjoitukset tiivistyvät erilaisten "taisteluskenaarioiden" täydelliseen simulointiin, jotta voidaan varmistaa, että kaikki järjestelmät ja asiantuntijat toimivat suunnitelmien mukaisesti. Harjoituksessa on mukana useita teknisten ja huoltoosastojen yksiköitä, se on suunniteltu viikonlopulle ja toteutetaan huolellisesti harkitun skenaarion pohjalta. Harjoituksen jälkeen analysoidaan kunkin osaston työtä, parannetaan dokumentaatiota sekä tehdään muutoksia järjestelmiin ja prosesseihin.

Joskus harjoituksen aikana voidaan havaita uusi riski, jota ei ole aiemmin huomattu. Säännöllinen aivoriihi teknologioiden, prosessien ja tuotteiden mahdollisista ongelmista auttaa meitä tunnistamaan tällaiset riskit järjestelmällisemmin. Loppujen lopuksi teknologiat, prosessit ja tuotteet kehittyvät jatkuvasti, ja kaikki muutokset sisältävät uusia riskejä.

Lopuksi kaikkien harjoituksissa havaittujen tapausten, riskien ja ongelmien osalta tehdään systemaattista työtä perimmäisten syiden poistamiseksi.

Sanomattakin on selvää, että kaikki laadunvalvonnasta vastaavat järjestelmät ovat päällekkäisiä, ja päivystävän järjestelmänvalvojan tiimi tukee niitä ympäri vuorokauden. Yhden linkin epäonnistuminen johtaa siirtymiseen kaksoiskappaleeseen ja itse vian nopeaan korjaamiseen.

Johtopäätös

On mahdotonta välttää täysin vääriä positiivisia tuloksia, mutta voit vähentää niiden esiintymisen todennäköisyyttä ja minimoida seuraukset. Kyllä, tämä vaatii merkittäviä investointeja, teknologista kypsyyttä ja resursseja kehittäjältä. Mutta nämä toimet takaavat sujuvan käyttökokemuksen käyttäjille ja yritysasiakkaille. Tällaiset toimet ovat välttämättömiä ja osa jokaisen luotettavan kyberturvallisuustoimittajan velvollisuuksia.

Luotettavuus on uskontunnustuksemme. Sen sijaan, että luottaisimme yhteen turvatekniikkaan, käytämme monikerroksista turvajärjestelmää. Suojaus vääriä positiivisia vastaan ​​on suunniteltu samalla tavalla - se on myös monitasoinen ja monistettu monta kertaa. Ei ole muuta keinoa, koska puhumme asiakkaiden infrastruktuurin korkealaatuisesta suojauksesta.

Samalla onnistumme löytämään ja ylläpitämään optimaalisen tasapainon korkeimman suojan kyberuhkia vastaan ​​ja erittäin alhaisen väärien positiivisten tulosten välillä. Tästä ovat osoituksena riippumattomien testien tulokset: Kaspersky Endpoint Security sai vuoden 2016 lopussa kahdeksan palkintoa saksalaiselta testilaboratoriolta AV-Test.org, mukaan lukien "Paras suojaus" ja "Paras käytettävyys".

Lopuksi haluan huomauttaa, että laatu ei ole kerran saavutettu tulos. Tämä on jatkuvaa seurantaa ja parantamista vaativa prosessi erityisesti olosuhteissa, joissa mahdollisen virheen hinta on asiakkaan liiketoimintaprosessien häiriintyminen.

Osoitteet virustentorjunnan väärien positiivisten tulosten ilmoittamiseen


Kuvittele, että olet kirjoittanut ohjelman, joka on vaaraton, vaaraton ja ilmainen.
Olet käyttänyt sitä kuusi kuukautta ja sitten suosikkivirustorjuntasi päättää poistaa sen

Tai: Olet ladannut apuohjelman ja tottumuksesta tarkista se VirusTotal.com-, Jotti- tai VirSCAN-palvelusta.
Tulos: 3/41 vastasi, että se on virus.
Meillä on seuraavat vaihtoehdot:
- joko virus on uusi eikä ole vielä päässyt muihin tietokantoihin;
- tai se on väärä positiivinen.

Jos olet varma, että tämä on väärä positiivinen tulos, lähetämme näytteen virustorjuntalaboratorioon.
ole varovainen: Lomakkeessa on usein kaksi eri osoitetta tai sähköpostiosoitetta:
- viesteille uusista viruksista;
- vääriä positiivisia viestejä koskeville viesteille (sitä puhumme tässä aiheessa).

Miksi vääriä positiivisia tuloksia ilmenee?
Uudet haittaohjelmat ilmestyvät niin nopeasti, että ihmiset eivät pysty analysoimaan jokaista tapausta itsenäisesti. Luottamus laskee HIPS-tyyppisiin asiantuntijajärjestelmiin, jotka analysoivat tiedoston automaattisesti useiden kriteerien perusteella.
Tällaiset järjestelmät voivat usein tuottaa vääriä positiivisia arvoja tietyille kääreille, API-toimintojen sarjoille ja muiden tekijöiden yhdistelmälle. Jotkut vannovat vain siksi, että ohjelmaa käytetään harvoin eikä siitä ole merkittäviä tilastoja.
Tämän seurauksena ohjelmisto päätyy haittaohjelmien/epäilyttävien tiedostojen tietokantoihin.

Kuinka lähettää ohjelma uudelleen testattavaksi oikein laboratorioon?
Jokaisella virustentorjuntavalmistajalla on erityiset sähköpostiosoitteet (tai verkkosivustolla olevat lomakkeet), joihin voit lähettää näytteen.
Huomautus, jokaisessa tapauksessa on erittäin tärkeää lukea palvelun säännöt:

  • minkä tyyppiseen arkistoon näyte pitäisi pakata?
  • mikä salasana asetetaan (yleensä virus tai tartunnan saanut)
  • mitä lisätietoja kirjeessä on annettava. Tämä on yleensä:
  1. Sanat: False Positive Submission
  2. Liitteen salasana on salasana, jota käytetään arkiston salaamiseen
Luettelo laboratorioista ja osoitteista:

360 Internet Security (Total Security) (Qihoo-360)
Posti: [sähköposti suojattu](arkisto ZIP-muodossa. Aiheen nimi: "Väärä positiivinen lähetys")
Lomake (venäjä): Lähetä tiedosto tarkistettavaksi - 360 Total Security
Lomake (toimiston verkkosivusto): 360杀毒_样本上报 (valitse 误报文件)
Lähetys lomakkeen kautta arkistossa RAR-, ZIP-, 7Z-muodossa ilman salausta. Tiedoston koko on oltava alle 20 Mt.

avast!
Teknisen tuen lomake: Avast Ota yhteyttä
Itse virustorjuntaohjelmassa: karanteeni-välilehdellä.
Sähköposti: [sähköposti suojattu]
Pakkaa tiedostot ZIP-arkistoon, jossa salasana on saastunut. Merkitse sähköpostin aiheriville "Väärä positiivinen lähetys".

IKARUS
Itse ohjelmassa: karanteeni-välilehdellä.
Sähköposti: [sähköposti suojattu]
Pakkaa tiedostot ZIP-arkistoon, jossa salasana on saastunut. Ilmoita kirjeessä "Väärä positiivinen tunnistus" ja arkiston salasana.
[sähköposti suojattu]

Kaspersky zip/rar-arkistossa salasanalla "virus" tai "infected"
Lomake: Kasperky Virus Desk (valitse "Puhdas").
Sähköposti: [sähköposti suojattu] Ilmoita sähköpostin aiheriville "Mahdollinen väärä positiivinen".
Jos sinulla on lisenssi - pyynnön kautta tekniseen. tuki (henkilökohtaisen/yrityksesi tililtäsi).

Palo Alto Networks
Luo foorumin aihe käyttämällä tätä mallia.

Sophos
Lomake: Lähetä näyte
Sähköposti: [sähköposti suojattu]

Spybot Search & Destroy
Lomake: Forensics Lab - Spybot Anti-malware and Antivirus
Sähköposti: [sähköposti suojattu]
zip-arkistossa salasanalla "tartunnan saanut", jos postitse, merkitse kirjeen aiheriville "False Positive Submission".
Ilmoita itse kirjeessä: Liitteen salasana on saastunut

SUPERAntiSpyware
Foorumi: Vääriä positiivisia
(tai käytä erityistä lomaketta itse ohjelman sisällä)

Hakkeri (TheHacker)
Sähköposti: [sähköposti suojattu]
(ei vahvistettu)

ThreatTrack
Lomake:

Tencent
On vain foorumi. Voit luoda aiheen tässä osiossa.
Kirjautuaksesi sisään sinun tulee ensin rekisteröityä qq-palvelun kautta valitsemalla Sähköpostitili.
Käytä jatkossa sähköpostiosoitettasi kirjautumisena.

Totaalinen puolustus
Sähköposti: [sähköposti suojattu]
zip-arkistossa salasanalla "tartunnan saanut", jos postitse, merkitse kirjeen aiheriville "False Positive Submission".
Ilmoita itse kirjeessä: Liitteen salasana on saastunut

Trapmine
Lomake: TRAPMINE Inc. - Ottaa yhteyttä
Sähköposti: [sähköposti suojattu](testaamaton)

Trend Micro
Lomake: Kumoa verkkosivuston esto - IP-osoitteen uudelleenluokittelutuki - Trend Micro USA
Huomio: lähetä RAR- tai ZIP-muotoon pakattu lomake salasanalla. Ilmoita salasana kirjeessä. Arkiston sisällä tiedostolla on oltava EXE-tunniste.
Lomake: http://esupport.trendmicro.com/srf/srfemea.aspx?en-jm&locale=en-gb&ic=Virus False Alarm (vain Trend Micro -käyttäjät))
Valitse tuotteen nimi" Housecall Hosted Edition", loput kentät ovat mielivaltaisia ​​tietoja.
Sähköposti: [sähköposti suojattu](Vain Trend Micro -käyttäjät)
Lähetä tiedosto ZIP- tai RAR-arkistossa salasanalla "virus". Tiedoston koko ei saa ylittää 50 Mt.

TrojanHunter
Sähköposti: [sähköposti suojattu]
zip-arkistossa salasanalla "tartunnan saanut", jos postitse, merkitse kirjeen aiheriville "False Positive Submission".
Ilmoita itse kirjeessä: Liitteen salasana on saastunut

Trojan Remover / Simply Super -ohjelmisto
Sähköposti: [sähköposti suojattu]
zip-arkistossa salasanalla "tartunnan saanut", jos postitse, merkitse kirjeen aiheriville "False Positive Submission".
Ilmoita itse kirjeessä: Liitteen salasana on saastunut https://detail.webrootanywhere.com/servicewelcome.asp?reason=talknotallowed Tiedät muiden virustorjuntaohjelmien osoitteet ilmoitusta varten

Ollakseni rehellinen, ensimmäiset epäilykset "tutkimuksen" tiedoista
nousi mieleeni Eremitaasin puutarhassa, jossa LK:n asiantuntijat ja harrastaja
kertoivat meille kuinka he loivat profiilin 13-vuotiaalle tytölle, ja sitten arvatkaa mitä...
kuinka se putosi! Pedofiilit ja perverssit hyökkäsivät myöhemmin onnettoman tytön kimppuun
sekuntia VKontakteen rekisteröitymisen jälkeen!

Löydä merkkejä pornosta "My World" Mail.Ru:n ja Odnoklassnikin asiantuntijoista
Kaspersky Lab epäonnistui. No, se ei melkein onnistunut.

Päätimme tarkistaa, onko kaikki todella luotu tällä tavalla
profiili söpö tyttö Sasha. Lisäksi 13-vuotias.

Mutta siitä lisää myöhemmin. Ensinnäkin tiedon luotettavuudesta,
jota media toisti.

Minä (Maxim Makarenkov) päätin
LC:n lehdistöpalvelun selventämiseksi lähetin kirjeen, jossa oli pyyntö. JA
Sain vastauksen lähes välittömästi. Lainaan häntä (korostamani lauseet): "Maxim,
Hyvää huomenta.

Puhutko sinä
Kokeilu, jota Kaspersky Labin asiantuntijat suorittivat noin vuoden ajan takaisin. Vuonna syntyneet asiantuntijat
eri sosiaalisten verkostojen tilejä teinitytön puolesta. Kokeen tarkoitus on
Ota selvää, mitkä uhat odottavat nuoria käyttäjiä sosiaalisessa mediassa. Koe
kesti noin viikon. Sen aikana VKontakte näytti itsensä
vaarallisin sosiaalinen verkosto. Aikuisille suunnatun sisällön helpon pääsyn lisäksi
tutkimus tallensi:

  • SMS-petosyritykset;
  • roskaposti;
  • tietojenkalastelu;
  • profiilipyynnöt, joissa on säädytöntä ehdotusta;
  • pelottelu ja uhkaukset (verkkokiusaaminen).

kuitenkin
Haluan vielä kerran huomauttaa, että tämä ei ole muodollinen tutkimus.
Se oli eräänlainen "kokemus", jonka ansiosta saimme tietyn poikkileikkauksen uhkista
lapsille erilaisissa sosiaalisissa verkostoissa."

Oho. Miksi sitten dia on virallinen
esitys on nimeltään "Tutkimus
sosiaaliset verkostot"?

Miksi esityksen aikana Eremitaasin puutarhassa
ei täsmennetty, että "koe" suoritettiin vuosi sitten? Käytä dataa
vuosi sitten arvioimaan Internet-projektien tilaa... Sanon lievästi -
Tämä saa minut hieman hämmentyneeksi.

Tämän johtopäätöksen perusteella lehdistö välittömästi
alkaa lähettää tällaisia ​​viestejä:

Annetaan jälleen puheenvuoro laboratorion asiantuntijoille
Kaspersky. Kaspersky Labin lehdistöpalvelun päällikkö Julia kirjoittaa meille
Krivosheina:

"Tässä ei ole kyse
muodollisesta tutkimuksesta, mutta noin viikon mittaisesta kokeilusta
Kaspersky Labin asiantuntijat. The
kokeilun tarkoituksena ei ollut määrittää mikä sosiaalinen verkosto
on vaarallisin tai turvallisin, eikä se voi toimia perusteena
vastaava tulos. Hänen tavoitteensa oli vain
esitellä tietyn poikkileikkauksen uhista, joita voidaan kohdata
lapsi eri sosiaalisissa verkostoissa."

Tämä on tietysti upeaa. Vain miksi
sitten en törmännyt yhtään väärän tiedon kumoamiseen
median levittämä? Tässä on jopa vaikea syyttää toimittajia
epäammattimaisuus. Siinä lukee "tutkimus", he kirjoittivat rehellisesti "tutkimus".
Siinä sanottiin "päätelmät", ja he lähettivät johtopäätökset.

Kaspersky Labin asiantuntijoille
lämpimät terveiset.

Tässä paikassa pitäisi tehdä johtopäätöksiä, mutta meillä on ne
osoittautui niin salaliittoiseksi, että päätimme antaa vain luettelon määritelmistä.
Ja sinä itse laitat sen oikeaan järjestykseen: "huono usko", "asiantuntijat", "johdanto"
harhaanjohtamista, "tuloksen mukaista räätälöintiä", "epäammattimaisuutta".

Sasha tulee maailmaan

Entä turvallisuus? Esimerkiksi kanssa
turvallisin verkko - My World Mail.Ru?

Päätimme tarkistaa sen, ja meidän pysyvä
kirjoittaja loi tilin söpölle tytölle Sashalle samoissa kolmessa sosiaalisessa mediassa.

Useita oikeita valokuvia tytöstä käytettiin tileihin,
hankittu hänen ja vanhempiensa luvalla. Asetukset kaikissa kolmessa
sosiaaliset verkostot jätettiin ennalleen - ei lisärajoituksia, paitsi
palvelu ei itse asentanut niitä. Tilit linkitettiin matkapuhelimella
puhelin ja sähköposti sosiaalisten verkostojen vaatimusten mukaisesti.

Kokeiluviikon aikana koehenkilö vain VKontakte-verkossa
Eräs kansalainen kirjoitti "tytölle" säädyttömällä ehdotuksella.

Odnoklassniki-sosiaalisessa verkostossa muutamassa päivässä
Etelä-Aasiasta kotoisin oleva nuori kaveri yritti lisätä hänet "ystäväksi". Hän
Halusin vain tavata sinut ja jutella. Valitettavasti hänen venäjän kielen taitonsa
jätti paljon toivomisen varaa.

Videotiedostot pyyntöön "porno" sosiaalisessa verkostossa "My World"
ei todellakaan löydy. Yllättäen kuitenkin siitä huolimatta, että me
Etsimme tiliä käyttävää 13-vuotiasta tyttöä (ikä on ilmoitettu profiilissa), me
He suosittelevat etsimään Internetistä.

Hienoa, kaikki on näkyvissä. Todella vakava reikä loppujen lopuksi
oli mahdollista estää paitsi hakutulokset, myös itse mahdollisuus
Hae.

Odnoklassnikin "Video"-osiossa tehty haku tuotti vain
vaarattomia videoita. Ryhmien etsiminen tuotti samanlaisia ​​tuloksia kuin "Oma
maailmalle."

Internet-haku tuotti saman sivun Mail.ru-hakukoneesta. Tämä on erittäin yllättävää, koska portaali
tekee yhteistyötä Safe Internet Leaguen kanssa ja ilmoittaa siitä säännöllisesti
suodattaa hakutuloksia. Syyt, miksi näin ilmeinen
Tässä tapauksessa ei ryhdytty toimenpiteisiin lapsen suojelemiseksi pornografialta.

VKontakte-verkko etsii oletusarvoisesti "turvatilassa".
haku", josta on lähes mahdotonta löytää pornografiaa.

Mutta voit poistaa tämän vaihtoehdon käytöstä yhdellä napsautuksella.

Viehättävä viekkaus, koska testiprofiilissa se on jo ilmoitettu
ikä - 13 vuotta. Olemme samaa mieltä.

Saamme videoita eri tv-sarjoista.
On myönnettävä, että selkeiden kohtausten puuttumisesta huolimatta tällainen tuotanto
voidaan hyvinkin rinnastaa pornografiaan, ainakin tasoltaan
taiteellista merkitystä. Itse asiassa pornovideoiden löytäminen VKontaktesta osoittautuu
ei kovin yksinkertaista.

Mutta kerro mitä, 13-vuotias tyttö kiirehtii ensin
etsit pornoa? Älä viitsi!

Mutta hän haluaa ehdottomasti tavata ja jutella. Usko minua
vanhemmat, joilla on kokemusta.

Ja MyWorldissä siirrymme ryhmien etsimiseen. Valitsemme koskettavan kohteen "Dating and Love".

Sinun ei tarvitse etsiä pornoa. Se löytää sinut täältä itse. A,
edelleen, on vain aikaa kääntyä. Emmekä havainnollista vielä tuloksia
Etsi ihmisiä... Kirjoita vain sana "bi" oppiaksesi paljon uusia asioita. Erikseen
Huomaa MyWorld Android-sovellus. Siellä ihmisten etsintä alkaa toimia
sanan syöttäminen. Eli juuri tuo "bi" alkaa löytyä heti. Automaattisesti.

Jostain syystä "My World" -ohjelman moderaattorit eivät sanoneet mitään
He eivät näe tällaisissa valokuvissa mitään moitittavaa. Myös suuri yleisö
on hiljaa, ehkä syynä tähän on vähemmän suosittu sosiaalinen verkosto suhteen
verrattuna jättiläismäiseen VKontakteen.

Näillä kuvilla ei kuitenkaan tietenkään ole mitään tekemistä
treffit Valitettavasti jotkut käyttäjät julkaisevat omia
valokuvia, jotka lievästi sanottuna herättävät kysymyksiä. Jotkut niistä ovat piilossa
leimattu "18+", mutta kuten VKontakte-videoita etsittäessä, voit turvallisesti
väärentää profiilissa ilmoitettua ikää.

Ja silloinkin vain osa on piilossa. Esimerkiksi törmäsimme
tytön tili, jonka iäksi ilmoitettiin 3 vuotta. Ja valokuvat pakotettiin
meidän on mietittävä syvästi.

Muistakaamme tarina lasten muotiryhmien kanssa VKontaktessa. Katsotaan mitä MoyMir tarjoaa teini-ikäisille.

Johtopäätökset) osoitti jotain, joka oli jo selvää kaikille. Porno ja "muut ilot" ovat mahdollisia
löytää mistä tahansa sosiaalisesta verkostosta.

VKontakte ei ole ollenkaan vaarallisin sosiaalinen verkosto.
Hänellä ja MyWorldillä on vain eri yleisö ja näiden sosiaalisten verkostojen asukkaat toimivat
eri menetelmiä käyttäen.

Toinen täysin ilmeinen johtopäätös on, että jotta
todella ymmärtää, mitkä uhat odottavat käyttäjää tietyssä sosiaalisessa verkostossa,
ei tarvita "kokeita", vaan säännöllistä tutkimusta selkein menetelmin ja
selkeät kriteerit.

On kuitenkin mielenkiintoista, ettei yksikään turvallisuusyritys
Emmekö ole kuulleet tällaisten tutkimusten tuloksista?

Tässä haluan välittää vielä lämpimät terveiset Liigalle
turvallinen internet.

Uskotko, ettei yksikään asiantuntija tiedä, että:

1. MyWorldissä on valtava
virtuaalien määrä. Esimerkiksi miehet luovat tilejä naisille? Mitä siellä on
suuri määrä transseksuaaleja? (kirjoita TS tai TS henkilöhakuun)

2. MyWorldissä on monia
tilit, jotka on luotu yksinomaan pelien tai palveluiden mainostamiseksi? U
tällaisia ​​virtuaalisia ystäviä on useita kymmeniä tuhansia, he ovat jatkuvasti verkossa ja
pitää aktiivista syötettä

3. My World -pornossa
Eivätkö he etsi sanoilla "porno" ja "erotiikka", vaan muilla kyselyillä? Kuten Vkontaktessa,
Muuten.

Jotta tiedät mitkä niistä, tarvitset vain vähän
olla kiinnostunut teinien alakulttuureista. Muuten - hentai niille
ei päde ensiksikään.

Samasta "Vkontaktesta" löydät varmasti vedenalaisen
virrat ja varjoyhteiskunta. Sinun tarvitsee vain kaivaa hieman syvemmälle ja näyttää
kiinnostusta aiheeseen. Mutta sitten mahdollisuus sensaatiomaisiin paljastuksiin katoaa.
Lohikäärme, jota täytyy pelätä, katoaa ja normaali, hiljainen työ alkaa.
jolla on yksi sosiaalisen elämän ilmenemismuodoista. Tunnetun yrityksen ja tunnetun yrityksen "asiantuntijoiden" asenne
Liiga toistaiseksi sanoo, että he eivät tarvitse sellaista työtä. Ihmettelen miksi?

Viruksentorjuntaohjelman väärän positiivisen tuloksen todennäköisyys kasvaa uusien uhkien ja allekirjoitusten määrän myötäantoissa. Joskus väärä hälytys johtaa vakavampiin seurauksiin kuin infektio. Verkkoturvallisuuden asiantuntijat eivät ole vielä löytäneet tapaa täysin eliminoida tietoturvaohjelmien sopimattoman toiminnan mahdollisuus.

Virhe McAfeen virustorjuntatietokantojen päivityksessä, joka aiheutti torstaina laajamittaisen kymmenientuhansien tietokoneiden vian ympäri maailmaa, on ehkä silmiinpistävin esimerkki siitä, kuinka negatiivisia seurauksia virustorjuntaohjelman väärällä positiivisella voi olla. voi olla. Ohjelma luuli Windows XP -käyttöjärjestelmän toiminnalle avainaseman olevan svchost.exe-järjestelmäprosessin matoksi, jonka seurauksena kymmeniä tuhansia tietokoneita yliopistoissa, kouluissa, poliisiasemilla ja yrityksissä Yhdysvalloissa. joissa McAfee-tietoturvaohjelmisto asennettiin, niitä käynnistettiin pitkiä aikoja.

McAfee on väärien hälytysten ennätysyritys: riippumattoman organisaation av-comparatives.org helmikuussa tekemien testien mukaan McAfee AntiVirus Plus 2010 laukaisi vääriä hälytyksiä 61 kertaa. Tämän seurauksena virustorjunta sijoittui 12. sijalle rankingissa. Myös muilla tunnetuilla tietoturvaohjelmistojen valmistajilla oli vääriä hälytyksiä, mutta paljon harvemmin: Symantec Norton Anti-Virus 2010:ssä oli 11 hälytystä; Kaspersky Anti-Virus 2010:ssä on viisi; Eset NOD32 Antivirus 4.0:ssa on kaksi; ilmaisessa Microsoft Security Essentialsissa on kolme.

Mutta väärien positiivisten tulosten vaara riippuu suuresti tilanteesta. Useimmiten väärät hälytykset eivät aiheuta suurta haittaa tietokoneelle: pääsy joihinkin puhtaisiin tiedostoihin estyy ja koneen toiminta hidastuu ja vaikeutuu jonkin verran. Yhdelle käyttäjälle nämä ovat pieniä ja helposti ratkaistavissa olevia ongelmia. Mutta suurille yrityksille väärä hälytys, joka johtaa massiivisiin häiriöihin tietokoneiden, yritysverkkojen ja verkkosivustojen toiminnassa, merkitsee huomattavia ajan-, raha- ja mainemenetyksiä.

Lähes kaikki johtavat virustorjuntaohjelmistojen valmistajat ovat kokeneet vääriä positiivisia tuloksia eri aikoina.

Viime elokuussa Kaspersky Anti-Virus kielsi sen käyttäjät työskentelevät HSBC-pankin verkkosivuston kanssa ja kertovat heille, että Internet-resurssi on saastunut HTLM-Agent-CE-troijalaisella. Itse asiassa sivusto ei aiheuttanut mitään uhkaa, mutta käyttäjät eivät voineet käyttää verkkopankkipalveluita vähään aikaan. Kaspersky Labin asiantuntijat havaitsivat virheen samana päivänä, kun väärä positiivisuus tuli ilmi, mutta pankin maineelle oli jo tehty vahinko.

Aiemmin, marraskuussa 2008, suosittu AVG-virustorjunta luuli Adobe Flash -tiedostot sekä Windows-toiminnalle kriittisen user32.dll-järjestelmätiedoston vahingossa haittaohjelmiksi. Saman vuoden lokakuussa sama virustorjunta tunnisti suositun CheckPoint Zone Alarm -palomuurin troijalaiseksi. Kompensoidakseen haitan AVG:n täytyi jakaa rahaa: kärsineet käyttäjät saivat ilmaisen AVG-lisenssin seuraavaksi vuodeksi.

Maaliskuun puolivälissä 2006 päivitettyään asiakkaidensa virustorjuntatietokannat Symantec esti kaiken saapuvan liikenteen yhdeltä suurimmista amerikkalaisista Internet-palveluntarjoajista, AOL:lta, noin seitsemän tunnin ajan. Symantecin virustorjuntaohjelmat ottivat tämän palveluntarjoajan osoitteita hyökkäysten lähteiksi ja estivät niiltä tulevan liikenteen.

Tätä tapahtumaa edeltäneellä viikolla McAfee oli vastannut väärin Macromedia Flash Playeriin ja Microsoft Exceliin jonkin aikaa.

Ja nämä ovat vain osa virustentorjuntavirheistä, jotka johtavat epämiellyttäviin seurauksiin virustorjuntayrityksille ja niiden asiakkaille.

Väärien hälytysten osuus tietokoneuhkien kokonaismäärästä on pieni - muutama prosentti. Niiden määrä kuitenkin kasvaa todellisten uhkien määrän mukana. Virustorjuntayritykset yrittävät välttää tällaisia ​​tapauksia, mutta haittaohjelmien torjunnan luonteen vuoksi tämä ei aina ole mahdollista.

"Pääsääntöisesti mikä tahansa virustorjuntatuote päivitetään useita kertoja päivässä", kertoi sivustolle yhden virustorjuntayrityksen edustaja, joka ei halunnut kertoa nimeään. -- Tämä johtuu uusien merkintöjen lisäämisestä tietokantaan uusien haittaohjelmien (tai jo tunnettujen virusten uusien muunnelmien) havaitsemisen perusteella. Päivityksiä tapahtuu useita kertoja tunnissa. Joskus törmäyksiä tapahtuu. Erityisesti silloin, kun puhdas tiedosto otetaan erehdyksessä tartunnan saaneeksi. Mutta useammin - kun tallenne tartunnan havaitsemiseksi tehdään siten, että se saa myös puhtaan tiedoston. Kaikki päivitykset testataan ennen julkaisua asianmukaisen ryhmän toimesta, sen toiminta tarkistetaan perusteellisesti. Mutta joskus asiat menevät pieleen."

"McAfee-tilanteessa järjestelmäkomponentin Svchost.exe väärä positiivinen tulos johtuu siitä, että monet haittaohjelmat käyttävät sitä piilottaakseen toimintaansa tämän järjestelmäprosessin osoiteavaruudessa", Alexander Matrosov, keskuksen johtaja. Virus Research and Analytics at ESET, kertoi sivustolle. "Ja Wecorl-mato, jonka McAfee-ratkaisut näkivät kohtalokkaan päivityksen jälkeen, ei ole poikkeus."

Asiantuntijan mukaan vääriin hälytyksiin liittyy useimmiten puutteita teknologioissa, joilla testataan allekirjoitustietokannat ennen niiden julkaisua, sekä virheisiin heuristisissa tunnistusalgoritmeissa. Näiden puutteiden vuoksi on lähes mahdotonta eliminoida tällaisten uhkien mahdollisuutta.

"Ei ole 100-prosenttista tapaa päästä eroon vääristä positiivisista tuloksista, koska itse ohjelman testausmenetelmät perustuvat empiirisiin arvioihin ja ovat luonteeltaan todennäköisyyksiä", sanoi Alexander Matrosov. -- Viruksentorjuntaohjelma havaitsee haitallisen tiedoston joidenkin haittaohjelmien osien perusteella. Allekirjoitus voi esimerkiksi sisältää joitakin haitallisen tiedoston ainutlaatuisia ominaisuuksia, kun taas heuristiset algoritmit sisältävät ominaisuuksia kokonaisille haittaohjelmien perheille. Siksi ei ole 100 %:n takuuta siitä, että näitä erityispiirteitä ei löydy laillisesta suoritettavasta tiedostosta."



AIHEESEEN LIITTYVÄT ARTIKKELIT