Falsos Positivos: por que são tão importantes quanto a detecção?

Seguinte

Você provavelmente deve saber que ao viajar de avião, todas as bagagens devem passar por scanners que revistam as malas para garantir que não há nenhum objeto ilegal, perigoso ou que se você tenha feito compras na viagem, elas sejam devidamente declaradas antes de voltar ao país.

Imagine que você está voltando de suas merecidas férias, com algumas compras de peças de roupas, cartões postais e chaveiros para seus amigos, e alguns jogos e brinquedos para as crianças da família. Nada de estranho e nada que tenha excedido a taxa permitida pela autoridade de impostos de seu país. No entanto, ao passar sua mala pelo detector o alarme é ativado.

Surpreendido, você vê como o oficial de segurança do aeroporto revista seus bolsos e busca em sua mala o item que tenha causado tudo isso. Porém, no fim, não havia nada, além de roupas, pequenos presentes e uma espada de brinquedo que você havia comprado para um sobrinho. O que aconteceu? Sua mala realmente tinha algo indevido ou a máquina estava com algum problema?

O que aconteceu é que o scanner detectou um Falso Positivo...

O que são os Falsos Positivos?

Os Falsos Positivos são muito importantes em qualquer tipo de análise, porém se os levarmos à Segurança da Informação, estamos tratando de arquivos benignos que são detectados como malware por uma solução de segurança, provavelmente devido a uma má configuração do motor antivírus.

Também existe outra realidade: no turbilhão de malwares existentes na atualidade (para que você tenha uma ideia, nossos laboratórios recebem mais de 300 mil amostras por dia), é possível que haja um detecção equivocada e que o antivírus deva eliminar tal detecção. No entanto, se você é um usuário responsável, que possui conhecimento e sabe quais arquivos guarda em seu equipamento, é possível notar se existe uma detecção de um Falso Positivo. O que você fazer nesse caso? Fácil: você deve reportá-lo e jamais desabilitar seu antivírus, já que isso poderia colocar em risco a segurança de sua informação e a do equipamento no geral.

Por que você deve prestar atenção?

Como já foi dito no início, a inofensiva espada de brinquedo foi confundida com uma arma cortante pela máquina, algo que, em seu equipamento, seria parecido como se sua solução antivírus confundisse a calculadora com um worm. Isso poderia chegar a ser um problema caso você quisesse utilizá-la e não é assim que uma solução de segurança deveria funcionar (a menos que a calculadora estivesse realmente infectada, algo que também poderia acontecer por meio de trojans, por exemplo). Porém pense que se com um aplicativo assim isso já é incômodo, imagine o que aconteceria se um arquivo essencial para o funcionamento do sistema fosse detectado como uma ameaça e fosse bloqueado. Podemos notar que, já houveram casos em que Falsos Positivos pararam as atividades de organizações e empresas porque a detecção equivocada tornou as redes e equipamentos inutilizáveis.

Então, ao analisar que produto de segurança você irá adquirir, sempre se deve prestar atenção a suas estatísticas de detecção; no entanto, agora você já sabe que é necessário observar a quantidade de Falsos Positivos que são gerados, já que não serve de nada uma alta porcentagem de detecção, se dentro delas o motor antivírus não consegue diferenciar corretamente um malware e um arquivo qualquer que não representa ameaça ao sistema.

No mercado atual existem produtos que dizem possuir altos níveis de detecção, porém não se menciona a quantidade de Falsos Positivos que geram. Voltando ao exemplo da viagem de avião, podemos concluir que, com certeza vão encontrar todos os elementos perigosos em todos os voos, porém com o risco de que todos os outros voos se atrasem e o funcionamento do aeroporto se torne um caos. Obviamente que a segurança em um aeroporto (e também em uma empresa) deve ser uma prioridade, porém não se deve sacrificar seu modo de operação por isso.

Por último, possuir uma solução antivírus cujas detecções não são confiáveis, fará com que seu equipamento seja menos eficiente, dedicará recursos analisando documentos inofensivos e, além de tudo, não será seguro para sua informação.

Conclusão

Os falsos positivos podem ocorrer? Sim, ocorrem. Ocorrem com frequência? Não deveriam; você provavelmente deve saber que nossas soluções foram avaliadas por laboratórios independentes como o Virus Bulletin, que certificaram que não registramos nenhum Falso Positivo em mais de dez anos; e a AV-Comparatives, que garantiu que não viram nenhum Falso Positivo em nossos produtos nos últimos dois anos. Do mesmo modo, mediante algum falso positivo, você já sabe que o melhor a se fazer é reportar tanto ao Suporte Técnico como ao Laboratório e jamais desabilitar o antivírus.

Créditos da imagem: ©Pxhere/pxhere.com