Programvareprodusenter tilbyr et stort utvalg av antivirusprogrammer. Antivirus blir mer og mer komplekse, utviklere kommer med flere og flere teknologier for å oppdage "uønsket programvare". Som et resultat oppstår ofte det motsatte problemet - falske positiver, som oppstår med jevne mellomrom og påvirker alle programvareprodusenter. Ingen antivirusutvikler kan skryte av at produktet deres aldri har produsert falske positiver. Antivirusselskaper prøver å gi en løsning på slike feil så snart som mulig, men likevel klarer noen brukere å lide av hver slik forglemmelse.
Kommentaren ble gitt av den tekniske sjefen for Zillya-prosjektet! Oleg Sych:
"Falske positiver fra antivirusprogramvare er en stor hodepine for alle antivirusselskaper. Ofte er fjerning av en nyttig systemfil eller programvaren som brukes av antiviruset verre for brukeren enn det faktum at antiviruset vil savne noen trojanere. For å minimere tilfellene av falske positiver av antivirusproduktene våre, øker vi hele tiden kapasiteten til antiviruslaboratoriets testsenter, der alle virusoppføringer testes før de oppdateres til antivirusdatabasene."
Falsk drift av et antivirusprogram er en feilaktig oppdagelse av rene filer som skadelige. En slik feil oppstår når en fil inneholder deler av kode eller fungerer i henhold til en algoritme som er typisk for et skadelig program. Med andre ord, noe av koden i en ren fil ligner på koden i et virus. Heuristisk analyse kan ikke alltid gjenkjenne viruskoden på grunn av krypteringen. I dette tilfellet kan det være effektivt å lansere en atferdsanalyse.
En falsk positiv kan også oppstå når et program utfører handlinger som antivirusatferdsanalysatoren anser som handlinger som er karakteristiske for et virus. Til tross for kryptering av viruset, vil dets handlinger bli analysert, og hvis de ser ut som en virusaktivitet, vil programmets aktivitet bli blokkert.
Hvis antivirusprogrammet anser en fil av et sjeldent brukt eller ikke-kritisk program for å være et virus, vil handlingene ikke utgjøre et stort problem - programmet kan gjenopprettes, selve systemet vil fortsette å fungere. Men når det kommer til falske positiver på systemfiler, kan brukeren møte et mye mer alvorlig problem, opp til og inkludert behovet for å installere systemet på nytt.
Et antivirusprogram som feilaktig sletter en ikke veldig populær programfil som finnes på ti datamaskiner, vil ikke forårsake så mye trøbbel som det gjør ved å slette en systemfil fra flere titalls millioner PC-er.
Relevansen av problemet med falske positiver bekreftes av tilgjengeligheten av tester for slike feil, som utføres av verdens laboratorier for datasikkerhet. En slik studie ble nylig utført av det kinesiske testlaboratoriet PC Security Labs. Organisasjonens hovedaktivitet er å gjennomføre regelmessig testing av datasikkerhetsprogramvare og utvikle standarder for slik testing. Det siste arbeidet til denne private, uavhengige forskningsorganisasjonen var å teste 33 populære antivirusprogrammer for falske positiver. Testing ble utført i to retninger for antivirusdrift: statiske alarmer for rene filer og falske alarmer for proaktiv beskyttelse. Det er viktig at resultatene av denne testen ikke viser kvaliteten på deteksjonen av skadelige filer, men bare viser nivået av falske positive til de testede antivirusene.
Testen involverte de nyeste versjonene av antivirusprogrammer med de siste oppdateringene til antivirusdatabasene.
Testingen bestod i å analysere en database med rene filer, samt sjekke blokkeringen av installasjonsprosessen og starte de mest brukte programmene. Interessante resultater ble vist ved analyse av programmer, hvis lansering og bruk oftest fører til falske positiver av antivirus. I følge rapporten kommer 26,32 % av falske positiver fra verdipapirprogramvare. Spillprogramdetektorer står for 21,05 % av falske positive. 13,16 % av falske positiver utstedes for programmer for tilgang til Internett og medieprogrammer. Spesialiserte industri- og bankprogrammer tok over 10,53 % av antivirusfeilene hver, og de resterende 5,26 % kom fra datasikkerhetsprogramvare.
Resultatene fra forskningslaboratoriet PC Security Labs presentert i form av en rekke priser med inndeling i kategorier: fem, fire og tre stjerner. Det er også publisert en liste over produkter som ikke mottok noen priser fordi de hadde for mange falske positiver.
Den høyeste verdien er femstjerners-prisen, gitt til antivirusprodukter med to eller færre falske positiver. De er produktene til selskapene BitDefender, MicroWorld, F-Secure, Jiangmin, KingSoft og Microsoft... Å motta en fire-stjerners pris betydde at produktet ga tre eller fire falske positiver. Antivirusløsninger fra følgende utviklere mottok denne prisen: NETGATE, Qihoo, Rising og Trend Micro... Det trestjerners trinnet ble delt av utviklernes antivirus AVG, Dr.Web, ESET, G DATA, Panda, TrustPort, Zillya! og ArcaBit, viste de fem eller seks falske positiver.
Det er også nødvendig å gi en liste over programvareprodukter som deltok i testingen, men som ikke mottok priser basert på resultatene - de besto ikke testen. Listen inkluderer selskaper AVAST, Kaspersky, Filseclab, IKARUS, QuickHeal, SOPHOS, Symantec, Antiy, Emsisoft, McAfee, Sunbelt, VBA32, COMODO, Avira og Coranti... Dataene innhentet fra denne testen vil bli brukt av PC Security Labs i fremtidige tester av programvare som er populær i Kina-regionen.
Sannsynligheten for falske positiver for et antivirus øker sammen med antallet nye trusler og signaturer i antivirusprogramvaredatabasene. Noen ganger fører falske alarmer til mer alvorlige konsekvenser enn infeksjon. Nettverkssikkerhetseksperter har ennå ikke funnet en måte å fullstendig eliminere muligheten for upassende oppførsel av sikkerhetsprogrammer.
Feilen ved oppdatering av antivirusdatabasene til McAfee, som torsdag forårsaket en massiv svikt på titusenvis av datamaskiner rundt om i verden, er kanskje det mest slående eksemplet på hvor negative konsekvensene av et falskt positivt antivirusprogram kan være. Programmet forvekslet svchost.exe-systemprosessen, som er nøkkelen i driften av Windows XP, for en orm, som et resultat av at titusenvis av datamaskiner på universiteter, skoler, politistasjoner og selskaper i USA, hvor McAfee sikkerhetsprogramvare ble installert, gjennomgikk forlengede sykliske omstarter.
McAfee har rekorden for falske alarmer: McAfee AntiVirus Plus 2010 ble feiltestet 61 ganger i februar av den uavhengige organisasjonen av-comparatives.org. Som et resultat tok antiviruset 12. plass i vurderingen. Andre kjente leverandører av sikkerhetsprogramvare opplevde også falske alarmer, men mye sjeldnere: Symantec Norton Anti-Virus 2010 hadde 11 positive; Kaspersky Anti-Virus 2010 har fem; Eset NOD32 Antivirus 4.0 har to; gratis Microsoft Security Essentials har tre.
Men faren for falske positiver er svært avhengig av den spesifikke situasjonen. Oftest forårsaker falske alarmer ikke mye skade på datamaskinen: tilgang til noen rene filer er blokkert, maskinens drift er noe bremset og hindret. For en enkelt bruker er dette mindre problemer som er lett å fikse. Men for store selskaper er en falsk alarm som fører til massive forstyrrelser i driften av datamaskiner, bedriftsnettverk og nettsteder et betydelig tap av tid, penger og omdømme.
Til forskjellige tider har falske positiver forekommet i nesten alle ledende antivirusprogramvareprodusenter.
I august i fjor, Kaspersky Anti-Virus forbød brukerne til å jobbe med HSBC-bankens nettsted, og informere dem om at Internett-ressursen er infisert med HTLM-Agent-CE-trojaneren. Faktisk utgjorde ikke nettstedet noen trussel, men brukere kunne i noen tid ikke bruke nettbanktjenester. Feilen ble oppdaget av spesialister fra Kaspersky Lab samme dag, da det ble kjent om den falske positive, men skaden på bankens omdømme var allerede gjort.
Tidligere, i november 2008, tok det populære antivirusprogrammet AVG feilaktig feil i Adobe Flash-filer, så vel som den Windows-kritiske systemfilen user32.dll, for skadelig programvare. I oktober samme år identifiserte det samme antiviruset den populære brannmuren CheckPoint Zone Alarm som en trojansk hest. Som kompensasjon for ulempen måtte AVG punge ut: de berørte brukerne fikk en gratis AVG-lisens for det neste året.
I midten av mars 2006, etter å ha oppdatert kundenes antivirusdatabaser, blokkerte Symantec all innkommende trafikk fra en av de største amerikanske Internett-leverandørene, AOL, i omtrent syv timer. Symantecs antivirusprogrammer tok feil av Internett-leverandørens adresseområde som angrepskilder og blokkerte trafikk fra dem.
I uken før denne hendelsen hadde McAfee feilaktig reagert på Macromedia Flash Player og Microsoft Excel i noen tid.
Og dette er bare noen av antivirusfeilene som slår tilbake på antivirusselskaper og deres kunder.
Andelen falske alarmer av det totale volumet av datatrusler er liten – noen få prosent. Antallet deres vokser imidlertid sammen med antallet reelle trusler. Antivirusselskaper prøver å unngå slike hendelser, men på grunn av kampen mot skadevare er dette ikke alltid mulig.
"Som regel blir oppdateringer av ethvert antivirusprodukt utført flere ganger om dagen," forklarte nettstedet til en representant for et av antivirusselskapene, som ikke ønsket å bli navngitt. - Dette skyldes tilføyelse av nye poster til databasene basert på påvisning av nye skadelige programmer (eller nye modifikasjoner av allerede kjente virus). Det hender at oppdateringer skjer flere ganger i timen. Noen ganger oppstår krasj. Spesielt når en ren fil forveksles med en infisert fil. Men oftere - når opptak for å oppdage en infeksjon gjøres på en slik måte at den også fanger opp en ren fil. Enhver oppdatering testes før utgivelsen av den aktuelle gruppen, dens arbeid blir grundig kontrollert. Men noen ganger er det feil."
"I situasjonen med McAfee er en falsk respons på Svchost.exe-systemkomponenten forårsaket av det faktum at mange ondsinnede programmer bruker den til å skjule aktiviteten sin i adresserommet til denne systemprosessen," sa Alexander Matrosov, leder av senteret for virusforskning og -analyse ved ESET. "Og Wecorl-ormen som McAfee-løsninger så etter den fatale oppdateringen er intet unntak."
Ifølge eksperten er falske alarmer i de fleste tilfeller assosiert med feil i teknologiene for testing av signaturbaser før utgivelsen, så vel som med feil i heuristiske deteksjonsalgoritmer. På grunn av disse manglene er det nesten umulig å utelukke muligheten for at slike trusler dukker opp.
"Det er ingen hundre prosent måte å bli kvitt falske positiver på, siden selve programvaretestmetodene er basert på empiriske estimater og er sannsynlige i naturen," sa Alexander Matrosov. - Antivirusprogramvare oppdager en ondsinnet fil basert på enkelte deler av skadelig programvare. For eksempel kan en signatur inneholde noen unike egenskaper til en skadelig fil, mens heuristiske algoritmer inkluderer egenskaper for hele familier av skadelige programmer. Derfor er det ingen 100 % garanti for at disse egenskapene ikke vil bli funnet i en lovlig kjørbar fil."
I en ideell situasjon med hjemmebrukere og bedrifter bør falske positiver ikke forekomme. I en lang 14-måneders test fant det tyske antiviruslaboratoriet AV-Test ut hvilke produkter som har en tendens til å avbryte brukeraktivitet uten grunn, og hvilke som er pålitelige når det gjelder falske positiver.
Falsk positiv eller ikke?: AV-Test testet 33 antivirus over en 14 måneders periode.
Du har kanskje allerede støtt på en situasjon der en rød advarsel dukker opp på skjermen og en alarm spilles av. Denne reaksjonen ble forårsaket av en kopiert fil eller et program som kjører. Men hva om antiviruset klassifiserer Google Chrome-nettleseren eller Windows-systemfilen som en farlig hacker? I dette tilfellet står brukeren overfor et falskt positivt resultat som villeder brukeren eller systemadministratoren.
Deteksjon av trygge og ondsinnede objekter
Antiviruset må behandle sikre og skadelige filer på riktig måte. For å sjekke dette har AV-Test-laboratoriet i 14 måneder - fra januar 2015 til februar 2016, vurdert hvordan antivirus løser dette problemet. Totalt ble 19 sluttbrukerprodukter og 14 bedriftsløsninger testet.
Forskerne identifiserte fire testelementer for Usability Test, som ble formulert av laboratoriets ingeniører som følger:
- falske varsler eller blokkeringer når du besøker nettsider
- falsk påvisning av legitim programvare som ondsinnede trusler under en systemskanning
- falske advarsler når du utfører visse handlinger under installasjon eller ved bruk av legitim programvare
- falsk blokkering av visse handlinger under installasjon eller bruk av legitim programvare
Testteknikk
I alle testkategorier ble bare sikre nettsteder, pålitelige filer og ufarlige kjente applikasjoner vurdert. Tross alt er det langt sikrere filer i den digitale verden enn det er infiserte objekter. Det er derfor alle løsninger fungerer med såkalt «whitelisting» – databaser som lagrer signaturer og hash-verdier. Hvis antivirusprogrammet ikke umiddelbart gjenkjenner filen, sender det en forespørsel til skyserveren for å se om filen er registrert. Hvis det ikke er informasjon om en vare i databasen, vil den bli flagget som god eller dårlig.
For å få virkelig relevante testresultater, må du ha mye sikker data. Laboratoriet har fullt ut overholdt alle kravene i standardene:
7000 nettsteder ble besøkt og 7,7 millioner filer testet for hvert produkt. I tillegg ble 280 applikasjoner relansert, hvoretter det ble registrert om antiviruset ville vise et falsk varsel på nytt og blokkere prøven.
Et sett med 7,7 millioner filer inneholdt alle de nye filene med populære programmer for forskjellige Windows-operativsystemer fra Windows 7 til Windows 10 og kontorsuiter. Hvis antiviruset feilaktig klassifiserer en legitim systemfil som skadelig, kan denne situasjonen få fatale konsekvenser. Dette er grunnen til at de nyeste versjonene av disse viktige filene alltid er inkludert i testprogrammet.
Forbrukerprodukter: Noen antivirus fungerte perfekt
Langsiktig brukervennlighetstest av forbrukerprodukter: Sammendraget viser falske alarmer for enkeltprodukter – det er egentlig ikke så mange.
Til tross for de høye kravene til testen og store mengder behandlet data, ga noen applikasjoner ingen falske positiver i det hele tatt. Avira Antivirus Pro og Kaspersky Internet Security fungerte feilfritt.
4 flere løsninger fra Intel Sikkerhet , Bitdefender , AVG og Microsoft viste mindre enn 10 falske positive. Ikke desto mindre var til og med produktene på bunnen av finalebordet merket langt fra katastrofale resultater.
5 antivirus samtidig fikk maksimalt 6 poeng i alle testsegmenter på 14 måneder.
- "Falsk oppdagelse av legitim programvare som ondsinnede trusler under en systemskanning" - det verste resultatet ble vist av Ahnlab V3 Internet Security - 98 falske positive deteksjoner med totalt 7,7 millioner skannede filer. En prosentandel på 0,001 % er helt akseptabelt, men det er rom for forbedring.
- "Falske advarsler når du utfører visse handlinger under installasjon eller ved bruk av legitim programvare" - 11 av 19 produkter genererte ikke en eneste falsk positiv i denne testen. 6 produkter viste 1 til 3 falske positive i 280 testtilfeller. K7 Computing-produktet alene genererte totalt 10 falske alarmer.
- "Falsk blokkering av visse handlinger under installasjon eller bruk av legitim programvare" - selv her gjorde mange av de 19 programmene en utmerket jobb. Mens 7 produkter ikke blokkerte noe i det hele tatt, ble 11 flere apper feilaktig utestengt fra 1 til 6 harmløse handlinger. Comodo Internet Security Premium utstedte 29 falske positiver.
Enterprise-produkter: bare Kaspersky klarte seg feilfritt
: Den falske positive raten er svært lav, noe systemadministratorer vil sette pris på.
Som en del av den store AV-Test-testingen ble 14 bedriftsløsninger vurdert med tanke på brukervennlighet, nemlig korrekt behandling av sikre objekter. Det er to løsninger fra Kaspersky Lab i denne testen: Kaspersky Endpoint Security og Kaspersky Small Office Security klarte seg uten feil. De deltok imidlertid kun i 6 av de 7 testene.
Gjennom testperioden viste løsninger fra Sophos, Intel Security og Bitdefender en total feilrate under 10. Imidlertid hadde alle andre produkter også en lav falsk positiv rate sammenlignet med den totale data som ble behandlet.
Høy gjennomsnittlig testscore: Mange produkter testet 6 eller 7 ganger viste høy effekt og var nær 6 poeng.
Detaljert informasjon om resultatene:
- "Falske advarsler eller blokkering når du besøker nettsteder" forekom ikke gjennom hele prøveperioden når du besøkte 7000 ressurser.
- "Falsk oppdagelse av legitim programvare som ondsinnede trusler under systemskanninger" - det verste resultatet ble vist av F-Secure - 49 falske positive deteksjoner med totalt 7,7 millioner skannet filer. Godt resultat, selv om Sophos bare feilidentifiserte to filer.
- "Falske advarsler når du utfører visse handlinger under installasjon eller ved bruk av legitim programvare" - 4 av 14 produkter viste 1 til 2 falske positive i 280 testtilfeller. Dette resultatet bør tilfredsstille systemadministratorer.
- "Falsk blokkering av visse handlinger under installasjon eller bruk av legitim programvare" - resultatene er gode i denne kategorien. I 280 tester fungerte 8 produkter feilfritt, og 6 flere løsninger produserte fra 1 til 5 falske positive. Til sammenligning blokkerte det verste forbrukerproduktet ved en feiltakelse sikre handlinger 29 ganger.
Bedriftsløsninger har færre falske positiver
Hvis du kombinerer testresultatene fra bedrifts- og forbrukerprodukter, blir det klart at bedriftsløsninger genererer færre falske positiver. Det er imidlertid verdt å merke seg at produsenter som tilbyr løsninger til sluttbrukere og bedrifter er svært effektive i begge tilfeller. Dette gjelder løsninger fra Kaspersky, Bitdefender, Microsoft, Trend Micro, Symantec og F-Secure.
Samlet sett har alle produktene fått høye karakterer for kvalitet når det gjelder brukervennlighet. Mens laboratoriet vanligvis trekker fra noen få poeng for falske positiver, er dette trinnet strengt tatt en kritikk for det høye ytelsesnivået.
Noen utviklere vil bli alvorlig forvirret når de ser nøyaktig hvilke programmer som forårsaket falske positiver. Vanlige blokkerte applikasjoner inkluderer Notepad ++, Yahoo Messenger og WinRAR. Dette er langt fra eksotiske applikasjoner, men standard populær programvare. Gitt det lave nivået av falske positiver, bør produsenter jobbe med de oppdagede feilene så snart som mulig.
Daglig nedlasting av nye testfiler
