HARD CORE SECURITY LAB

Niedawno (12.08.2009 r.) świat obiegła wiadomość, że aktualizacja sygnatur (33.3.7051) programu antywirusowego Computer Associates' (CA) eTrust Threat Manager powoduje lawinę fałszywych alarmów. Zgodnie z relacjami użytkowników na forum firmy CA, po feralnej aktualizacji program rozpoznał szereg prawidłowych bibliotek DLL jako pliki zarażone złośliwym oprogramowaniem StdWin32. Z części relacji wynika, że program firmy CA przenosił do kwarantanny również część własnych plików…

Z kolei w piątek, 3. lipca br. praca tysięcy systemów komputerowych została zaburzona po tym jak działający w nich program McAfee VirusScan Enterprise 8.0 zaktualizował swe sygnatury do wersji 5664. Problem dotyczył co prawda wyłącznie oprogramowania wykorzystującego silnik w wersji 5100, jednak i tak swym zasięgiem objął setki systemów komputerowych w wielu krajach. W swym wydanym 8 lipca br. (dopiero po 5 dniach od zdarzenia, pomimo setek natychmiastowych zgłoszeń od użytkowników) biuletynie Corporate KnowledgeBase ID:KB66225, firma McAfee zajęła wreszcie stanowisko w tej sprawie. Możemy przeczytać, że powodem zaistniałej sytuacji były fałszywe wykrycia trojana Generic PWS!hv.aq przez system VirusScan. Jednocześnie zostajemy poinformowani, że problem dotyczy wyłącznie poprzedniej wersji silnika, który nie jest już wspierany. W związku z tym zaleca się zaktualizowanie silnika , a w szczególności całej aplikacji do najnowszej dostępnej wersji. Jak widać producent oprogramowania antywirusowego nie pomógł administratorom w żaden sposób w uporaniu się ze skutkami błędnego zachowania swej aplikacji.

Jesteśmy więc świadkami powstawania nowej ery aktualizacji oprogramowania. Aktualizacji wyrządzających w naszym systemie więcej szkody niż pożytku. Zasada mówiąca o jak najszybszym instalowaniu wszelkich dostępnych aktualizacji nie jest już do końca prawdziwa. Dziś warto się zastanowić, którą aktualizację należy zainstalować, a której lepiej unikać… Jeśli administrujemy wieloma komputerami, warto wdrożyć przemyślaną polityką aplikowania aktualizacji. Przykładowo, możemy skonfigurować jeden z naszych komputerów tak, by działający w nim program antywirusowy aktualizował się bezzwłocznie. Dla całej reszty komputerów ustawmy natomiast pewne opóźnienie w ich procesie aktualizacyjnym. Taka polityka pomoże nam w razie problemów wynikających z fałszywych wykryć nowych sygnatur antywirusowych. Będziemy bowiem w stanie zatrzymać proces aktualizacji na wyznaczonej maszynie testowej, do czasu wyjaśnienia wszystkich wątpliwości i wydania przez producenta poprawionej aktualizacji…