Softwarefabrikanten bieden een enorme keuze aan antivirusprogramma's. Antivirussen worden steeds complexer, ontwikkelaars komen met steeds meer technologieën om "ongewenste software" te detecteren. Dientengevolge doet zich vaak het tegenovergestelde probleem voor: valse positieven, die periodiek voorkomen en van invloed zijn op alle softwarefabrikanten. Geen enkele antivirusontwikkelaar kan opscheppen dat zijn product nooit valse positieven heeft geproduceerd. Antivirusbedrijven proberen zo snel mogelijk een oplossing te bieden voor dergelijke fouten, maar desalniettemin slagen sommige gebruikers erin te lijden onder elk van deze fouten.
Het commentaar werd geleverd door de technisch manager van het Zillya-project! Oleg Sych:
“Valse positieven door antivirussoftware zijn een grote hoofdpijn voor alle antivirusbedrijven. Vaak is het verwijderen van een nuttig systeembestand of de software die door de antivirus wordt gebruikt, erger voor de gebruiker dan het feit dat de antivirus een Trojaans paard zal missen. Om het aantal valse positieven van onze antivirusproducten tot een minimum te beperken, vergroten we voortdurend de capaciteit van het, waar alle virusrecords worden getest voordat ze worden bijgewerkt naar de antivirusdatabases."
Valse werking van een antivirusprogramma is een foutieve detectie van schone bestanden als kwaadaardig. Een dergelijke fout treedt op wanneer een bestand delen van code bevat of werkt volgens een algoritme dat typisch is voor een kwaadaardig programma. Met andere woorden, een deel van de code in een schoon bestand lijkt op de code in een virus. Heuristische analyse kan de viruscode mogelijk niet altijd herkennen vanwege de codering. In dit geval kan het starten van een gedragsanalyse effectief zijn.
Ook kan een fout-positief optreden wanneer een programma acties uitvoert die de antivirus-gedragsanalyse beschouwt als acties die kenmerkend zijn voor een virus. Ondanks de versleuteling van het virus, zullen de acties worden geanalyseerd en, als ze eruit zien als een virusactiviteit, zal de activiteit van het programma worden geblokkeerd.
Als de antivirus een bestand van een zelden gebruikt of niet-kritiek programma als een virus beschouwt, zullen zijn acties geen groot probleem vormen - het programma kan worden hersteld, het systeem zelf blijft werken. Als het echter gaat om valse positieven op systeembestanden, kan de gebruiker met een veel ernstiger probleem worden geconfronteerd, tot en met de noodzaak om het systeem opnieuw te installeren.
Een antivirusprogramma dat per ongeluk een niet erg populair programmabestand verwijdert dat op tien computers aanwezig is, zal niet zoveel problemen veroorzaken als het verwijderen van een systeembestand van tientallen miljoenen pc's.
De relevantie van het probleem van valse positieven wordt bevestigd door de beschikbaarheid van tests voor dergelijke fouten, die worden uitgevoerd door de wereldlaboratoria voor computerbeveiliging. Een dergelijk onderzoek is onlangs uitgevoerd door het Chinese testlaboratorium PC Security Labs. De hoofdactiviteit van de organisatie is het regelmatig testen van computerbeveiligingssoftware en het ontwikkelen van standaarden voor dergelijke tests. Het meest recente werk van deze particuliere, onafhankelijke onderzoeksorganisatie was het testen van 33 populaire antivirusprogramma's op valse positieven. Er werden tests uitgevoerd in twee richtingen van antiviruswerking: statische alarmen voor schone bestanden en valse alarmen van proactieve bescherming. Het is belangrijk dat de resultaten van deze test niet de kwaliteit van de detectie van kwaadaardige bestanden aantonen, maar alleen het niveau van valse positieven van de geteste antivirussen.
De test omvatte de nieuwste versies van antivirusprogramma's met de meest recente updates van de antivirusdatabases.
Het testen bestond uit het analyseren van een database met schone bestanden, het controleren van de blokkering van het installatieproces en het starten van de meest gebruikte programma's. Interessante resultaten werden getoond door de analyse van programma's, waarvan de lancering en het gebruik meestal leidt tot valse positieven van antivirussen. Volgens het rapport is 26,32% van de valse positieven afkomstig van effectensoftware. Spelprogramma-detectoren zijn verantwoordelijk voor 21,05% van de valse positieven. 13,16% van de valse positieven wordt afgegeven voor programma's voor toegang tot internet en mediaprogramma's. Gespecialiseerde industrie- en bankprogramma's namen elk 10,53% van de antivirusfouten over en de resterende 5,26% was afkomstig van computerbeveiligingssoftware.
De resultaten van het onderzoekslaboratorium PC Security Labs werden uitgereikt in de vorm van een aantal awards met onderverdeling in categorieën: vijf, vier en drie sterren. Er is ook een lijst gepubliceerd met producten die geen prijzen hebben ontvangen omdat ze te veel valse positieven hadden.
De hoogste waarde is de vijfsterrenprijs, die wordt toegekend aan antivirusproducten met twee of minder valse positieven. Het zijn de producten van de bedrijven BitDefender, MicroWorld, F-Secure, Jiangmin, KingSoft en Microsoft... Het ontvangen van een viersterrenprijs betekende dat het product drie of vier valse positieven gaf. Antivirusoplossingen van de volgende ontwikkelaars ontvingen deze prijs: NETGATE, Qihoo, Rising en Trend Micro... De driesterrenstap werd gedeeld door de antivirusprogramma's van de ontwikkelaars AVG, Dr.Web, ESET, G DATA, Panda, TrustPort, Zillya! en ArcaBit, vertoonden ze vijf of zes valse positieven.
Het is ook noodzakelijk om een lijst te verstrekken met softwareproducten die aan de test hebben deelgenomen, maar die geen onderscheidingen hebben ontvangen op basis van de resultaten - ze hebben de test niet doorstaan. De lijst bevat bedrijven AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Avira en Coranti... De gegevens die uit deze test worden verkregen, zullen door PC Security Labs worden gebruikt in toekomstige tests van software die populair is in de regio China.
De kans op valse positieven voor een antivirusprogramma groeit samen met het aantal nieuwe bedreigingen en handtekeningen in de databases van antivirussoftware. Soms leiden valse alarmen tot ernstiger gevolgen dan infectie. Netwerkbeveiligingsexperts hebben nog geen manier gevonden om de mogelijkheid van ongepast gedrag van beveiligingsprogramma's volledig uit te sluiten.
De fout bij het updaten van de antivirusdatabases van McAfee, die donderdag zorgde voor een massale uitval van tienduizenden computers over de hele wereld, is misschien wel het meest opvallende voorbeeld van hoe negatief de gevolgen van een vals-positief antivirusprogramma kunnen zijn. Het programma zag het systeemproces svchost.exe, dat essentieel is voor de werking van Windows XP, aan voor een worm, waardoor tienduizenden computers op universiteiten, scholen, politiebureaus en bedrijven in de Verenigde Staten, waar McAfee beveiligingssoftware was geïnstalleerd, onderging een langdurige cyclische herstart.
McAfee heeft het record voor valse alarmen: McAfee AntiVirus Plus 2010 werd in februari 61 keer vals getest door de onafhankelijke organisatie av-comparatives.org. Als gevolg hiervan behaalde de antivirus de 12e plaats in de beoordeling. Andere bekende leveranciers van beveiligingssoftware kregen ook te maken met valse alarmen, maar veel minder vaak: Symantec Norton Anti-Virus 2010 had 11 positieven; Kaspersky Anti-Virus 2010 heeft er vijf; Eset NOD32 Antivirus 4.0 heeft er twee; de gratis Microsoft Security Essentials heeft er drie.
Maar het gevaar van valse positieven is sterk afhankelijk van de specifieke situatie. Meestal veroorzaken valse alarmen niet veel schade aan de computer: de toegang tot sommige schone bestanden wordt geblokkeerd, de werking van de machine wordt enigszins vertraagd en gehinderd. Voor een enkele gebruiker zijn dit kleine en gemakkelijk op te lossen problemen. Maar voor grote bedrijven is een vals alarm dat leidt tot enorme verstoringen in de werking van computers, bedrijfsnetwerken en websites een aanzienlijk tijd-, geld- en reputatieverlies.
Op verschillende momenten zijn er valse positieven opgetreden bij bijna alle toonaangevende fabrikanten van antivirussoftware.
Afgelopen augustus heeft Kaspersky Anti-Virus verboden haar gebruikers om met de HSBC-bankwebsite te werken en hen te informeren dat de internetbron is geïnfecteerd met de HTLM-Agent-CE Trojan. In feite vormde de site geen bedreiging, maar gebruikers konden enige tijd geen gebruik maken van internetbankieren. De fout werd dezelfde dag ontdekt door specialisten van Kaspersky Lab, toen bekend werd over de false positive, maar de reputatieschade van de bank was al geschied.
Eerder, in november 2008, zag de populaire antivirus AVG Adobe Flash-bestanden, evenals het Windows-kritieke systeembestand user32.dll, ten onrechte aan voor malware. In oktober van hetzelfde jaar identificeerde dezelfde antivirus de populaire CheckPoint Zone Alarm-firewall als een Trojaans paard. Als compensatie voor het ongemak moest AVG het begeven: de getroffen gebruikers kregen een gratis AVG-licentie voor het volgende jaar.
Medio maart 2006 blokkeerde Symantec, na het updaten van de antivirusdatabases van zijn klanten, al het inkomende verkeer van een van de grootste Amerikaanse internetproviders, AOL, gedurende ongeveer zeven uur. De antivirusprogramma's van Symantec beschouwden de reeks adressen van de ISP als aanvalsbronnen en blokkeerden het verkeer van hen.
In de week voorafgaand aan dit evenement reageerde McAfee al enige tijd onterecht op de Macromedia Flash Player en Microsoft Excel.
En dit zijn slechts enkele van de antivirus-bugs die een averechts effect hebben op antivirusbedrijven en hun klanten.
Het aandeel van valse alarmen in het totale aantal computerbedreigingen is klein, enkele procenten. Hun aantal groeit echter mee met het aantal reële bedreigingen. Antivirusbedrijven proberen dergelijke incidenten te vermijden, maar door de aard van de strijd tegen malware is dit niet altijd mogelijk.
"In de regel worden updates van elk antivirusproduct meerdere keren per dag uitgevoerd", legt de site uit van een vertegenwoordiger van een van de antivirusbedrijven, die niet bij naam wil worden genoemd. - Dit komt door de toevoeging van nieuwe records aan de databases op basis van de detectie van nieuwe kwaadaardige programma's (of nieuwe wijzigingen van reeds bekende virussen). Het komt voor dat updates meerdere keren per uur plaatsvinden. Er treden soms crashes op. In het bijzonder wanneer een schoon bestand wordt aangezien voor een geïnfecteerd bestand. Maar vaker - bij het opnemen voor het detecteren van een infectie gebeurt dit op zo'n manier dat het ook een schoon bestand vangt. Elke update wordt vóór release getest door de juiste groep, het werk ervan wordt grondig gecontroleerd. Maar soms zijn er mislukkingen."
"In de situatie met McAfee wordt een valse reactie op de Svchost.exe-systeemcomponent veroorzaakt door het feit dat veel kwaadaardige programma's het gebruiken om hun activiteit in de adresruimte van dit systeemproces te verbergen", zegt Alexander Matrosov, hoofd van het Center. voor virusonderzoek en -analyse bij ESET. "En de Wecorl-worm die McAfee-oplossingen zagen na de fatale update is geen uitzondering."
Volgens de expert worden valse alarmen in de meeste gevallen geassocieerd met fouten in de technologieën voor het testen van handtekeningbases voordat ze worden vrijgegeven, evenals met fouten in heuristische detectie-algoritmen. Vanwege deze tekortkomingen is het bijna onmogelijk uit te sluiten dat dergelijke dreigingen zich voordoen.
"Er is geen honderd procent manier om valse positieven te verwijderen, aangezien de softwaretestmethoden zelf gebaseerd zijn op empirische schattingen en waarschijnlijk van aard zijn", zegt Alexander Matrosov. - Antivirussoftware detecteert een kwaadaardig bestand op basis van bepaalde schadelijke software. Een handtekening kan bijvoorbeeld enkele unieke kenmerken van een kwaadaardig bestand bevatten, terwijl heuristische algoritmen eigenschappen bevatten voor hele families van schadelijke programma's. Er is dan ook geen 100% garantie dat deze kenmerken niet terug te vinden zijn in een legaal uitvoerbaar bestand."
In een ideale situatie bij thuisgebruikers en bedrijven zouden false positives niet mogen voorkomen. In een lange test van 14 maanden ontdekte het Duitse antiviruslaboratorium AV-Test welke producten de neiging hebben om gebruikersactiviteit zonder reden te onderbreken en welke betrouwbaar zijn in termen van valse positieven.
Vals positief of niet?: AV-Test heeft 33 antivirussen getest over een periode van 14 maanden.
Mogelijk bent u al een situatie tegengekomen waarbij een rode waarschuwing op het scherm verschijnt en een alarm wordt afgespeeld. Deze reactie werd veroorzaakt door een gekopieerd bestand of een draaiende applicatie. Maar wat als de antivirus de Google Chrome-browser of het Windows-systeembestand classificeert als een gevaarlijke hacker? In dit geval wordt de gebruiker geconfronteerd met een fout-positief resultaat dat de gebruiker of de systeembeheerder misleidt.
Detectie van veilige en kwaadaardige objecten
De antivirus moet veilige en schadelijke bestanden correct verwerken. Om dit te controleren, heeft het AV-Test-laboratorium gedurende 14 maanden - van januari 2015 tot februari 2016 - beoordeeld hoe antivirussen dit probleem oplossen. In totaal werden 19 eindgebruikersproducten en 14 bedrijfsoplossingen getest.
De onderzoekers identificeerden vier testitems voor de bruikbaarheidstest, die door de ingenieurs van het laboratorium als volgt werden geformuleerd:
- valse meldingen of blokkades bij het bezoeken van websites
- valse detectie van legitieme software als kwaadaardige bedreigingen tijdens een systeemscan
- valse waarschuwingen bij het uitvoeren van bepaalde acties tijdens de installatie of het gebruik van legitieme software
- valse blokkering van bepaalde acties tijdens installatie of gebruik van legitieme software
Testtechniek
In alle testcategorieën werden alleen veilige websites, vertrouwde bestanden en onschadelijke bekende applicaties beoordeeld. Er zijn immers veel veiliger bestanden in de digitale wereld dan geïnfecteerde objecten. Daarom werken alle oplossingen met zogenaamde "whitelisting" - databases die handtekeningen en hash-waarden opslaan. Als het antivirusprogramma het bestand niet onmiddellijk herkent, stuurt het een verzoek naar de cloudserver om te zien of het bestand is geregistreerd. Als er geen informatie over een item in de database is, wordt het gemarkeerd als goed of slecht.
Om echt relevante testresultaten te krijgen, heb je veel veilige gegevens nodig. Het laboratorium voldoet volledig aan alle eisen van de normen:
Per product werden 7.000 sites bezocht en 7,7 miljoen bestanden getest. Daarnaast werden 280 applicaties opnieuw gelanceerd, waarna werd vastgelegd of de antivirus opnieuw een valse melding zou geven en het monster zou blokkeren.
Een set van 7,7 miljoen bestanden bevatte alle nieuwe bestanden van populaire programma's voor verschillende Windows-besturingssystemen, van Windows 7 tot Windows 10 en kantoorsuites. Als de antivirus een legitiem systeembestand ten onrechte als kwaadaardig classificeert, kan deze situatie fatale gevolgen hebben. Daarom worden altijd de nieuwste versies van deze belangrijke bestanden in het testprogramma opgenomen.
Consumentenproducten: sommige antivirussen werkten perfect
Gebruikstest op lange termijn van consumentenproducten: Het overzicht toont valse alarmen voor individuele producten - dat zijn er niet zo veel.
Ondanks de hoge eisen van de test en de grote hoeveelheden verwerkte data, gaven sommige applicaties helemaal geen false positives. Avira Antivirus Pro en Kaspersky Internet Security werkte feilloos.
Nog 4 oplossingen van Intel-beveiliging , Bitdefender , AVG en Microsoft vertoonden minder dan 10 valse positieven. Desalniettemin waren zelfs de producten onderaan de finaletafel verre van catastrofale resultaten.
5 antivirusprogramma's tegelijk behaalde de maximale 6 punten in alle testsegmenten in 14 maanden.
- "Valse detectie van legitieme software als kwaadaardige bedreiging tijdens een systeemscan" - het slechtste resultaat werd getoond door Ahnlab V3 Internet Security - 98 fout-positieve detecties met in totaal 7,7 miljoen gescande bestanden. Een percentage van 0,001% is prima acceptabel, maar er is ruimte voor verbetering.
- "Valse waarschuwingen bij het uitvoeren van bepaalde acties tijdens de installatie of bij het gebruik van legitieme software" - 11 van de 19 producten genereerden geen enkele vals-positief in deze test. 6 producten vertoonden 1 tot 3 valse positieven in 280 testgevallen. Het K7 Computing-product alleen al genereerde in totaal 10 valse alarmen.
- "Valse blokkering van bepaalde acties tijdens installatie of gebruik van legitieme software" - zelfs hier deden veel van de 19 programma's uitstekend werk. Terwijl 7 producten helemaal niets blokkeerden, werden nog eens 11 apps per abuis verbannen van 1 tot 6 onschuldige acties. Comodo Internet Security Premium 29 valse positieven afgegeven.
Enterprise-producten: alleen Kaspersky loste het probleemloos op
: Het percentage valse positieven is erg laag, wat systeembeheerders zullen waarderen.
Als onderdeel van de grootschalige AV-Test-test zijn 14 bedrijfsoplossingen beoordeeld op bruikbaarheid, namelijk de juiste verwerking van veilige objecten. Er zijn twee oplossingen van Kaspersky Lab in deze test: Kaspersky Endpoint Security en Kaspersky Small Office Security zonder fouten verwerkt. Ze deden echter maar aan 6 van de 7 tests mee.
Tijdens de testperiode vertoonden oplossingen van Sophos, Intel Security en Bitdefender een algemeen foutenpercentage van minder dan 10. Alle andere producten hadden echter ook een laag percentage valse positieven in vergelijking met de totale verwerkte gegevens.
Hoge gemiddelde testscore: Veel producten die 6 of 7 keer zijn getest, vertoonden een hoge werkzaamheid en waren bijna 6 punten.
Gedetailleerde informatie over de resultaten:
- "Valse waarschuwingen of blokkering bij het bezoeken van websites" kwamen niet voor tijdens de proefperiode bij het bezoeken van 7000 bronnen.
- "Valse detectie van legitieme software als kwaadaardige bedreiging tijdens systeemscans" - het slechtste resultaat werd getoond door F-Secure - 49 fout-positieve detecties met in totaal 7,7 miljoen gescande bestanden. Goed resultaat, hoewel Sophos slechts twee bestanden verkeerd heeft geïdentificeerd.
- "Valse waarschuwingen bij het uitvoeren van bepaalde acties tijdens de installatie of het gebruik van legitieme software" - 4 van de 14 producten vertoonden 1 tot 2 valse positieven in 280 testgevallen. Dit resultaat zou systeembeheerders tevreden moeten stellen.
- "Valse blokkering van bepaalde acties tijdens installatie of gebruik van legitieme software" - de resultaten zijn goed in deze categorie. In 280 tests werkten 8 producten feilloos en produceerden 6 andere oplossingen van 1 tot 5 valse positieven. Ter vergelijking: het slechtste consumentenproduct blokkeerde 29 keer per ongeluk veilige acties.
Bedrijfsoplossingen hebben minder valse positieven
Als je de testresultaten van enterprise- en consumentenproducten combineert, wordt duidelijk dat enterprise-oplossingen minder false positives genereren. Het is echter vermeldenswaard dat fabrikanten die oplossingen bieden aan eindgebruikers en bedrijven in beide gevallen zeer effectief zijn. Dit geldt voor oplossingen van Kaspersky, Bitdefender, Microsoft, Trend Micro, Symantec en F-Secure.
Over het algemeen hebben alle producten hoge cijfers gekregen voor kwaliteit in termen van bruikbaarheid. Hoewel het lab meestal een paar punten aftrekt voor valse positieven, is deze stap strikt een kritiek op het hoge prestatieniveau.
Sommige ontwikkelaars zullen ernstig in de war raken als ze precies zien welke programma's valse positieven hebben veroorzaakt. Vaak geblokkeerde toepassingen zijn Notepad ++, Yahoo Messenger en WinRAR. Dit zijn verre van exotische toepassingen, maar standaard populaire software. Gezien het lage aantal valse positieven, moeten fabrikanten zo snel mogelijk aan de gedetecteerde fouten werken.
Dagelijkse download van nieuwe testbestanden
