Windows Defender: Microsoft promette una riduzione dei cosiddetti "falsi positivi".


Chi utilizza Windows Defender, (l'antivirus gratuito integrato in Windows Vista, Windows 7, Windows 8 e Windows 10), sa bene che il sofware offre, sì, una protezione piuttosto adeguata contro vari tipi di minacce, ma in alcuni casi può classificare come malware file legittimi che in realtà non sono dannosi; il che rappresenta un problema sia per gli utenti sia per i fornitori di software. Proprio per questo motivo di recente Microsoft ha fatto sapere di aver avviato una collaborazione con diverse software house e sviluppatori che dovrebbe portare, appunto, alla riduzione dei cosiddetti "falsi positivi". In pratica, come già noto, Windows Defender sfrutta diverse tecniche per rilevare un malware, alcune delle quali basate sul machine learning: questo approccio permette di offrire una protezione in tempo reale, ma qualche volta l'antivirus blocca file del tutto normali in quanto considerati infetti. Quindi per evitare che ciò avvenga il gigante del software si è messo all'opera per delineare alcune tecniche che le altre software house e sviluppatori dovrebbero praticare: la soluzione migliore sarebbe quella di pubblicare i vari programmi sul Microsoft Store, in quanto si tratta di un servizio affidabile e controllato. Tuttavia nel caso in cui ciò non fosse possibile un'alternativa sarebbe quella di firmare i file con un certificato digitale, per il quale deve essere mantenuta una buona reputazione: ciò permetterebbe di verificare l'identità del publisher e di assicurare l'integrità del software, poiché gli utenti sapranno che il programma che andranno ad installare sarà nelle stesse condizioni originali e quindi senza manomissioni. Naturalmente questi certificati non dovranno essere condivisi tra programmi o altri sviluppatori perché è possibile che vangano rubati ed usati per firmare un malware: in questo caso la software house responsabile di tali certificati riceverebbe una cattiva reputazione e le sue applicazioni, (firmate con gli stessi certificati), verranno bloccate in automatico da Windows Defender. Ad ogni modo Microsoft ha vivamente consigliato a tutti gli sviluppatori di essere "trasparenti", ad esempio, evitando percorsi di installazione non tradizionali e nomi che non riflettono lo scopo del software. Inoltre l'azienda ha anche suggerito loro di non utilizzare tecniche di offuscamento del codice, (spesso impiegate per la scrittura di malware), poiché aumentano la probabilità di essere bloccati dagli antivirus. Difatti al riguardo nel comunicato pubblicato sul blog Microsoft Secure si può leggere: «I clienti dovrebbero avere scelta e controllo su ciò che accade sui loro dispositivi. L'utilizzo di percorsi di installazione non tradizionali o nomi di software ingannevoli riducono la scelta e il controllo dell'utente. L'offuscamento ha usi legittimi ed alcune forme di offuscamento non sono considerate dannose. Tuttavia molte tecniche vengono utilizzate solo per eludere il rilevamento da parte degli antivirus. Gli sviluppatori dovrebbero astenersi dall'utilizzare packer non commerciali e software di offuscamento». Ma non è tutto, poiché un'altra cosa che Microsoft ha sottolineato è che anche i responsabili di software che vengono distribuiti tramite pacchetti di installazione che contengono programmi di terze parti dovrebbero fare attenzione: se il programma in dotazione risulta essere dannoso, anche il file innocuo riceverà una cattiva reputazione a causa di questa associazione. Comunque sia seguendo questi criteri Windows Defender dovrebbe ridurre al minimo i casi di "falsi positivi"; anche se nel caso in cui l'antivirus dovesse continuare a sbagliarsi, indicando come dannosi programmi che non lo sono, gli sviluppatori potranno, infine, inviare una segnalazione del problema in qualsiasi momento direttamente al colosso del software attraverso il portale Windows Defender Security Intelligence.

Commenti