Questo articolo prende spunto da un episodio capitato negli ultimi giorni col software di un mio cliente e quindi mi sono avvicinato alla problematica dei "false positive" in ambiente informatico. Mi premeva però rendere pubblica la questione anche a chi non è propriamente del settore, a differenza del sottoscritto, e cioè alla vastissima platea degli utilizzatori di computer. Il tutto nasce dal fatto che l'antivirus, quand'anche sia accreditato e suggerito dagli esperti informatici di cui si ha fiducia, non è l'oracolo ed è ben lontano dall'essere infallibile o di distinguere le mele marce tra quelle buone.

In rete ho trovato un ottimo spunto riguardante i "false positive" scovati dagli antivirus da parte di Nir Sofer, sviluppatore della NirSoft, piccolissima software house che si occupa della messa a punto di utilissimi strumenti per il recupero di password e quant'altro.

La conclusione a cui è arrivato Nir è che le compagnie degli antivirus pensano solo ai soldi e fanno venire il mal di testa ai piccoli sviluppatori come lui. E non si può certo dargli contro leggendo il suo articolo in lingua inglese.

Penso che chiunque convenga sul fatto che dopo più di una decina d'anni l'antivirus sia un tool basilare che la maggior parte della gente usa per proteggere il loro sistema operativo - ad onor del vero è solo Windows ad averne estremo bisogno, un po' meno gli altri - da virus, cavalli di troia (d'ora in poi trojan) e altri fastidii informatici con intenzioni maligne. Non entriamo nel merito della "presunta mafiosità" delle software house degli antivirus: da sempre circola la leggenda metropolitana che siano anche le stesse case a produrre i virus informatici, al fine di giustificare il loro mercato, ma da quando sulla rete si aggirano sempre più persone disoneste, disposte a tutto pur di entrare in possesso di informazioni personali e del denaro altrui attraverso i più svariati meccanismi di raggiro, effettivamente non si può disconoscere l'effettiva utilità dei software antivirus, quali buoni espedienti da integrarsi con altri per la difesa dei propri strumenti informatici e dei propri dati.

Sfortunatamente la maggior parte delle case antivirus si spinge troppo in là con la protezione dagli antivirus e i trojan e in parecchie situazioni classificano software assolutamente legittimo come un'infezione da virus/trojan: viene messa in pratica la massima di Giulio Andreotti, cioè che "a pensar male degli altri si fa peccato, ma spesso si indovina". In questo articolo si ragiona sulle difficoltà generate dai pochi casi, per fortuna, per i quali gli antivirus sbagliano a "pensar male".

Un classico esempio di queste errate detezioni sono i tool di recupero password: la gente ha bisogno di questi tool per recuperare le loro password perse, pena la perdita o l'impossibilità di accedere ai propri dati. Questi tool per le password, come tante altre utility in circolazione, possono però essere usate anche dagli hacker, che invece hanno intenzioni tutt'altro che benevole.

L'attitudine di molte software house di antivirus è quella di essere molto severe in materia. Se si tratta di uno strumento che può essere usato dagli hacker, esso viene classificato come trojan o virus, anche se la quasi totalità dei suoi utilizzatori che li vuole usare, lo fa con buone intenzioni. Le compagnie degli antivirus non si preoccupano del fatto che inducono i loro clienti a pensare che gli autori di tali indispensabili utility - come Nirsoft - siano distributori di virus attraverso i loro siti.

C'è da dire anche che qualche società di sviluppo antivirus è un po' più delicata e sensibile nell'approcciare l'utente al problema e classifica questi strumenti come "minaccia di sicurezza" o "Riskware" - software a rischio, volendolo tradurre in italiano - che è molto meglio che classificarli categoricamente come virus o trojan, ma comunque impedisce all'utente di utilizzarli - semplicemente cancellandoli o mettendoli in quarantena, senza possibilità di scelta. Altri strumenti ancora invece chiedono all'utente come comportarsi nel caso in cui si verifichi qualcuna di queste situazioni.

Inoltre tantissimi utenti non conoscono la differenza tra virus e riskware e quando ricevono tali messaggi di detezione di un "riskware", essi continuano a pensare che tali strumenti siano comunque infettati da un virus chiamato "Riskware".

Questa situazione viene genericamente categorizzata come problema dei "false positive", cioè dei falsi positivi: uno strumento legittimo viene riconosciuto "positivo" ai test di un qualche antivirus, anche se in realtà si tratta di software legittimo e quindi tale test dà esito falso, cosa che capita non raramente anche nelle moderna analisi batteriologica, virale o biologica, per un errore di metodo, piuttosto che di misura o statistico.

Tanti sono gli sviluppatori che hanno problemi di "False Positive", tanto più quanto sono piccoli per distribuzione e per diffusione dei loro software.

Cosa ne è invece delle grandi software house come Microsoft? Queste, solitamente, non hanno di questi problemi e, quand'anche avessero un singolo caso di falso allarme per qualcuno dei loro software distribuiti, le aziende degli antivirus arriverebbero a correggere il problema entro un tempo molto breve. Molto semplicemente le software house degli antivirus sanno benissimo che le grandi compagnie godono del supporto di ottimi studi legali e se non fissassero il problema del loro antivirus, si ritroverebbero a fare i conti con una bella querela per diffamazione.

Un esempio di grande azienda è SysInternals. In passsato il loro tool "psexec.exe", che si poteva usare per eseguire codice su una macchina remota, è stato individuato come virus da alcuni software antivirus, ma da quando SysInternals è stata acquisita da Microsoft, tutti gli antivirus attestano che esso è immune, come si può vedere anche nel report di VirusTotal.

Purtroppo i piccoli sviluppatori sono discriminati rispetto ai grandi quando si tratta di far presente il problema alle aziende degli antivirus. Parecchie sono le persone che suggeriscono alla Nirsoft del perché non contattino direttamente le software house degli antivirus per risolvere le noie dei falsi allarmi. Ecco semplicemente spiegati in quattro punti del perché qualsiasi azioni sia abbastanza vana.

1. Ci sono decine e decine di compagnie di antivirus sul mercato con combinazioni di parecchi versioni di software, che possono far apparire o meno una quantità impressionante di falsi allarmi sulle macchine dei clienti finali. Gestire tutti questi falsi allarmi richiederebbe un dipendente a tempo pieno solo per gestire amministrativamente queste segnalazioni con gli sviluppatori di antivirus.

2. Se si guarda meglio ai siti di alcune compagnie, si troverà molto semplicemente il bottone "Compra subito!", ma non si troverà quasi mai il link per segnalare un "false positive" per il loro antivirus. Queste aziende badano solo a realizzare più vendite, ma non si prendono assolutamente a cuore il problema dei "false positive" nei loro prodotti. Loro nascondono molto spesso dentro il loro sito l'opzione di segnalare un "false positive", mentre altri danno tale possibilità solo agli utenti che hanno effettivamente comprato il loro software o il loro servizio.

3. Se anche si trovasse un metodo abbastanza semplice per segnalare un falso allarme nel loro sito, la maggior parte di tali compagnie non risponderebbe alle richieste o semplicemente manderebbe un messaggio automatico, dicendo che il file inviato è infetto. In alcuni casi, invece, gli sviluppatori dell'antivirus sistemano il problema del falso allarme nel loro successivo aggiornamento, senza ammettere che avevano tale problema e senza mandare alcuna scusa al cliente o allo sviluppatore dell'utility legittima.

4. I "false positive" spesso ritornano! Anche se la software house corregge il problema di detezione di un falso allarme, è solo una questione di tempo: prima o poi la loro ultima versione dell'antivirus riprenderà a segnalare nuovamente che l'utility legittima è ancora un virus o un trojan, magari sotto altro nome.

Se pertanto vi capiterà di essere frustrati al riguardo, come lo è appunto la Nirsoft, si può sempre vedere di aiutare i piccoli sviluppatori cercando di impedire alle aziende che vendono antivirus di riconoscere tali utility come virus o trojan, ma cosa fare effettivamente?

1. Aggiungere i propri commenti commenti in calce all'articolo della Nirsoft, sia in qualità di utente finale o di sviluppatore software.

2. Mandare il link di questo articolo a tutti gli amici, in modo che maturino consapevolezza del problema dei "false positive".

3. Se si paga regolarmente la licenza e gli aggiornamenti del software antivirus, non esitare a chiamare la società che lo sviluppa e pretendere che blocchino questi falsi allarmi nel loro software. Se si paga per un prodotto antivirus, si meriterebbe di avere avere un prodotto affidabile che individua solo i virus reali.

4. Se si ha un qualche contatto con qualche redattore o giornalista di qualche grande rivista o pubblicazione, si potrebbe provare ad offrigli la possibilità di effettuare una ricerca o di scrivere un articolo sui problemi dei falsi allarmi scatenati dagli antivirus. Purtroppo tanti periodici e riviste del settore non andranno mai a pubblicare un'indagine contro le compagnie antivirus, visto che quest'ultime li pagano profumatamente per la pubblicità.

In conclusione, se il problema dei "false positive" sollevasse un polverone sufficientemente grande tra i media, le software house degli antivirus arriverebbero a capire che essi potrebbero minacciare la loro credibilità, nonché diminuire le loro vendite e conseguentemente darebbero una maggiore priorità nel correggere questi falsi allarmi nei loro prodotti commerciali.