Poprawki AV do poprawki

autor: p____h  //  /dev/null/, ::easy::, Security
AV: false-positives

Kilka dni temu użytkownicy programu antywirusowego NOD32 otrzymali ciekawy prezent – poprawkę o numerku 5418, która uniemożliwiła pracę na większości systemów z rodziny Windows XP SP3. Sytuacja na szczęście została już opanowana (przez poprawkę o numerze o jeden większym). Podobne sytuacje oczywiście w historii już się zdarzały. Warto przypomnieć false-positiva McAfee, który wrzucał plik svchost.exe do kwarantanny (co również utrudniało pracę z systemem). Takie prezenty-niespodzianki były, odkąd pojawiły się antywirusy (i zapewne będą nadal). Podstawowe pytanie – jak użytkownicy AV maja się przed nimi bronić?

Jedna błędna aktualizacja potrafi rozłożyć system w całej firmie. Jeśli zarządzamy dość dużym zbiorem komputerów i nie możemy pozwolić sobie na taką nagłą awarię, spowodowaną błędną poprawką antywirusa, jednym z najszybszych pomysłów jaki przychodzi do głowy jest zainstalowanie kilku różnych antywirusów na konkretnych maszynach. Jeśli dany AV zaliczy wpadkę, to sparaliżuje nam jedynie część komputerów. Reszta, z innym oprogramowaniem działać będzie nadal. Nie jest to jednak rozwiązanie najbardziej optymalne. Posiadanie kilku różnych antywirusów to dla firmy więcej roboty papierkowej, więcej umów do negocjowania oraz więcej zachodu z zarządzaniem różnym oprogramowaniem. Ciekawszym wyjściem jest celowe opóźnianie aktualizacji danych maszyn. Wybieramy tylko kilka najmniej strategicznych komputerów, które dokonają natychmiastowej aktualizacji. Dopiero, gdy widzimy, że nie zostały wgrane feralne poprawki i system pracuje prawidłowo, zezwalamy reszcie maszyn na dokonanie aktualizacji. Jeśli zauważymy, że aktualizacja trochę narozrabiała, zawsze zdążymy zabronić AV instalowania wadliwych poprawek na pozostałych komputerach, do czasu, aż firma antywirusowa udostępni w pełni działającą aktualizację.