VirusTotal znacznie ograniczy fałszywe alarmy generowane przez antywirusy
Serwis VirusTotal służący do skanowania nieznanych plików pod kątem ich szkodliwości został rozbudowany i zyskał nową funkcję, która powinna znacznie obniżyć liczbę fałszywych alarmów. Witryna ta jest wykorzystywana zarówno przez osoby testujące szkodliwe oprogramowanie, jak i wielu użytkowników chcących sprawdzić plik przed uruchomieniem.
Serwis ten skanuje pliki aż 48 silnikami antywirusowymi m.in. takich firm jak AVG, Avast, Avira, BitrDefender, Comodo, ESET, Kaspersky, McAfee, Panda, Symantec czy TrendMicro. Ryzyko tzw. false positive jest duże i aby je zminimalizować postanowiono nawiązać współpracę z dużymi firmami tworzącymi oprogramowanie. Ich pliki będą uznawane za bezpieczne, a serwis poinformuje nas o tym. Jak działa to w praktyce możemy już zobaczyć za sprawą przykładowego pliku, który został dostarczony przez Microsoft – choć niektóre programy wykrywają w nim heurystyką potencjalne zagrożenie (i jest to fałszywy alarm), plik jest uznawany za bezpieczny, a użytkownik informowany, z jakiego źródła on pochodzi.
Najprawdopodobniej w celu weryfikacji wykorzystywane są sumy kontrolne jak np. SHA-512. Takie rozwiązanie oprócz informacji dla użytkownika ma jeszcze jedną zaletę: VirusTotal będzie automatycznie informował producentów oprogramowania antywirusowego o fałszywym alarmie i konieczności poprawienia sygnatur. W efekcie programy zabezpieczające powinny więc stać się bardziej niezawodne. Serwis chwali się, że prace nad tym rozwiązaniem trwają od zaledwie tygodnia, a już udało się zgłosić ponad 6000 fałszywych alarmów, które mogły doprowadzić do usunięcia sprawdzonych plików od Microsoftu. Właściciele usługi (a od jakiegoś czasu zarządza nią Google) są gotowi do kontaktu z innymi firmami, oraz dodawania ich zasobów do wielkiej, białej listy plików zaufanych. Jednocześnie zaznacza się, że nietolerowane będą pliki firm tworzących potencjalnie niechciane aplikacje i adware: te będą oznaczane jako zagrożenia.
Pierwszą linią ochrony przed szkodliwym oprogramowaniem nadal są moduły antywirusowe. To właśnie one na bazie np. sygnatur wykrywają wirusy, trojany i innego typu zagrożenia docierające do naszych komputerów za sprawą Internetu, bądź pamięci przenośnych. Najczęściej same sygnatury nie wystarczają, bo rozwój malware jest zbyt szybki. Producenci oprogramowania zabezpieczającego wspomagają się więc innymi rozwiązaniami jak choćby heurystyką. Żadne z nich nie jest idealne, zawsze występuje ryzyko fałszywego alarmu tj. sytuacji, w której zaufany plik zostanie uznany za szkodliwy i usunięty. To może doprowadzić do utraty danych, a nawet awarii systemu. Walka z tym problemem jest więc bardzo istotna.
Biorąc pod uwagę popularność i możliwości VirusTotal, można przypuszczać, że ta akcja da w niedługim czasie wymierne korzyści. Serwis jest wykorzystywany przez wiele osób, a także producentów oprogramowania, które nie stanowi samodzielnego antywirusa: za jego pośrednictwem niezaufane pliki można przeskanować np. w polskim antyloggerze SpyShelter. Oprócz plików umożliwia on także sprawdzanie witryn internetowych w celu upewnienia się, czy są one oby na pewno bezpieczne.
