Sicurezza

Il caso McAfee: un antivirus e i suoi falsi positivi

Silicon è il sito di tecnologia dedicato alle strategie delle aziende IT che cavalcano i nuovi trend di mercato, dal cloud computing alla virtualizzazione, dal mobile al byod. Analisi, approfondimenti, prove di app e prodotti, oltre alle notizie quotidiane, fanno di Silicon l’appuntamento giornaliero per i manager che vogliono capire come la tecnologia possa aiutarli nel fare business. Su queste tematiche Silicon realizza interviste agli attori del mercato e reportage dai principali eventi, sia in Italia sia all’estero.

Il problema creato dall’aggiornamento antivirus di McAfee: per le aziende una lezione da imparare

La controversia creata da McAfee che ha inviato agli utenti un aggiornamento difettoso del suo software antivirus dovrebbe incoraggiare le organizzazioni a considerare la strada di un approccio più cauto alla sicurezza
Gli amministratori IT alla prese con l’antivirus difettoso inviato da McAfee hanno ancora un po’ di lavoro che li aspetta per ripulire i computer. Ma ci sono alcuni insegnamenti che si possono trarre da questo disastro per memoria futura.
Le attività IT di molte aziende sono state interrotte quando McAfee ha spinto sui computer un file .DAT di aggiornamento del suo antivirus. L‘update difettoso riguardante l’ambiente Windows XP aggiornato al Service Pack 3 su PC identificava in modo scorretto il file svchost.exe come un virus. Secondo quanto comunicato da McAfee lo 0,5 % dei clienti aziendali ha subito l’impatto dell’antivirus difettoso e una percentuale ancora più ridotta di consumatori. Ma tra le imprese colpite ci sono stati ospedali , università e uffici pubblici che sono stati colpiti da un errore DCOM e dal classico Blue Screen seguiti da un messaggio di spegnimento.

Per le imprese il succo della vicenda potrebbe essere quello di tenere un approccio più cauto all’installazione di aggiornamenti antivirus. Ma questo apre la strada ad altre debolezze , dato che gli aggiornamenti dei file di signature antivirus dipendono strettamente dal momento della loro installazione.
Più tempo aspetta l’amministratore a dare il via all’aggiornamento, maggiore è la vulnerabilità del PC dell’utente agli attacchi più nuovi. Inoltre è ormai pratica dei produttori di antivirus di rilasciare più aggiornamenti nel corso della giornata, rendendo impraticabile la strada di provare i file di signature prima di immetterli sulla rete aziendale. D’altra parte è buona pratica di molte aziende di deviare aggiornamenti e patch in una sandbox sicura per test e validazione. Nella sandbox vengono simulati le diverse versioni di sistema operativo al lavoro in azienda e le diverse configurazioni dell’hardware. Solo dopo questa validazione gli aggiornamenti hanno via libera verso il resto dell’azienda.
Ma il punto più importante viene messo in luce da Gartner : bisogna pensarci due volte prima di abbracciare un sistema di aggiornamenti basato su cloud in cui i personal computer accettano in modo automatico gli aggiornamenti senza alcun filtro aziendale. Come spiegano gli esperti – questo incidente di McAfee non significa che si deve ritornare alla situazione di qualche anno fa quando si conducevano test di qualità su ogni firma prima di estenderla all’azienda. Tuttavia attendere qualche ora per vedere se qualcuno riporta dei problemi e un test preliminare su un’ immagine software usata in maniera standard in azienda potrebbero costituire un approccio prudente.