false-positive

CodeFort i ESET NOD, intymne igraszki pod szyldem False Positive

Dzisiejszy wpis dotyczy błędnego klasyfikowania aplikacji przez oprogramowanie antywirusowe ESET oraz paskudnego zachowania jednego z "życzliwych ludzi". Jak wiecie doskonale aplikacje tworzone w technologii Microsoft .NET można łatwo rozłożyć na czynniki pierwsze i wyciągnąć kod źródłowy. Do ochrony stosuje się przeróżne metody i aplikacje - jedną z ciekawszych jest CodeFort, niestety oprogramowanie nie jest idealne, ma jedną wadę, o czym powiem w dalszej części wpisu.

Programiści zapewne wiedzą ile wysiłku trzeba włożyć w napisanie solidnej aplikacji. Nawet jeśli programy udostępniane są za free, nikt nie chciałby, aby firmy czy instytucje korzystały z gotowych algorytmów czy funkcji. W technologii .NET odczyt kodu jest stosunkowo prosty, dlatego wielu twórców decyduje się na dodatkowe zabezpieczenia. Nie inaczej jest ze mną. Aby utrudnić odczyt kodu pewnego dnia postanowiłem zastosować CodeFort, jedną z najlepszych aplikacji na rynku. Jak się później okazało, nie był to idealny wybór, lecz nie z winy CodeFort (no może odrobinę).

Obecnie większość udostępnionych programów wykorzystuje CF, w tym Google Index Checker, XScraper czy też ostatni projekt Google Suggest Scraper. Wszystkie znalazły się na celowniku ESET NOD (oraz "życzliwców"), albowiem ów antywirus jest nadwrażliwy na CodeFort, produkuje kompletnie nieuzasadnione alerty w stosunku do bezpiecznych aplikacji. W zwiazku z zaistniałą sytuacją mniej więcej trzy miesiące temu zgłosiłem sprawę do firmy ESET oraz wysłałem informację do developerów CodeFort.

W dalszej części wpisu pozwolę sobie przytoczyć najistotniejsze kwestie i odpowiedzi jakie uzyskałem. W odpowiedzi na zgłoszenie skontaktował się ze mną przedstawiciel firmy Dagma Sp. z o.o. (na stronie ESET firma identyfikowana jako oficjalny przedstawiciel i dystrybutor rozwiązań ESET w Polsce). W celu bliższego zdiagnozowania problemu poproszono mnie o dodatkowe informacje oraz przesłanie próbki jednego z programów do analizy. Dwa dni później otrzymałem informację tłumaczącą całą sytuację cytuję...

Producent zalecil wykorzystanie innych mechanizmow do ochrony plikow wlasnych programow. Problem zaciemniania kodu jest ogolnie znany i ze względu na fakt iż hakerzy również go wykorzystują mogą się zdarzyć tego typu sytuacje, zostalo to opisane m.in. na blogu...

Ja rozumie że hakerzy kiedyś mogli wykorzystywać CodeFort i bezpieczeństwo użytkowników jest najważniejsze, ale sama forma prezentowania alertów w stosunku do takich aplikacji jest już przegięciem. Jako, że nie korzystam z NODa poniżej daję zrzut, który otrzymałem jakiś czas temu od Olivian Puha z portalu Softpedia. Ciekaw jestem też co znaczy producent zalecił wykorzystanie innych mechanizmów. Jaki producent? Jakich mechanizmów? Przydałaby się szklana kula. Microsoft nie daje wytycznych w zakresie zabezpieczenia oprogramowania, są jedynie tzw. dobre praktyki, które nie wykluczają użycia oprogramowania firm trzecich.

False Positive alert Eset Nod CodeFort

Antywirus wykrywa a variant of MSIL/Packed.CodeFort.A, a komunikat jest w taki sposób skonstruowany, aby już na starcie mówił użytkownikowi, nie ruszaj tego programu. Wyraźnie pisze na zrzucie a potentially unwanted application czyli potencjalnie niepożądana aplikacja a nie wirus!

Czy w ESET słyszano o czymś takim jak psychologia kolorów? Zapewne tak! W tej konkretnej sytuacji i w odniesieniu do oprogramowania antywirusowego czerwony kolor zwraca atencję użytkownika, co najgorsze napis w kolorze czerwonym wpływa na podświadomość sugerując niebezpieczeństwo, w związku z czym spada odsetek osób zainteresowanych programem. Do tego większości użytkowników nie interesuje co tam w programie siedzi, wystarczy jak przeczytają informację z pola Number of infected object - jak wiemy w IT infected równa się zainfekowany. Czyż to nie jest sugestia wprowadzająca w błąd? W mojej ocenie tak.

Rozumie intencje twórców ESET NOD, lecz w cywilizowanym antywirusie komunikaty o mniejszej wadze powinny przyjąć inny kolor (zwykle żółty lub pomarańczowy), do tego Panowie z ESET chyba nie słyszeli o etykietach typu Warnings (ostrzeżenia) i większym rozróżnieniu typu zagrożenia (Warning/Infected). Wrzucili wszystko do jednego kosza i są zadowoleni. Z punktu widzenia marketingowego jest to im na rękę, z mojego punktu widzenia (gościa który siedzi w IT już od 14 lat) jest to błędne informowanie użytkownika o skali zagrożenia.

Być może antywirusowi ESET NOD zależy na sztucznym zawyżaniu alertów (taka chora polityka marketingowa). Swego czasu (jakieś 6-7 lat temu wstecz) czytałem publikację, gdzie jakiś producent oprogramowania specjalnie podwyższał czułość programów, żeby użytkownik czuł się bezpieczniej i produkt lepiej się sprzedawał - wpływ na psychikę to część marketingu. Nie wiem ile w tym było prawdy i czy NOD przejął złe nawyki od innych, fakt jest faktem, że jako antywirus jest mocno upierdliwy, sypie False Positive ile wlezie - nazywając to w tym konkretnym przypadku "potentially unwanted application".

Informacja którą uzyskałem od pracownika Dagma także to potwierdza, cytuję...

W chwili obecnej przesłany plik rozpoznawany jest jako aplikacja potencjalnie niepożądana nie natomiast jako infekcja

Pamiętam jak w poprzedniej firmie użytkowaliśmy oprogramowanie NOD, było całkiem dobre (choć niedoskonałe) ale niesamowicie upierdliwe, potrafiło pokazać wirusa nawet w full legalnym pliku EXE skompresowanym metodą prawdopodobnie UPX, czy też bibliotece w jakimś tam programie, nie pamiętam dokładnie. Wszystko to powoduje, że już dawno straciłem zaufanie do ESET NOD - dla ścisłości nie ze względu na marną skuteczność (ta była przyzwoita), lecz zbyt dużą liczbę FP, co mnie osobiście potwornie wkurzało. Może przeciętny user nie używa aplikacji, które wypluwają dużą ilość FP, ale ja jako osoba działająca w IT poniekąd musiałem używać oprogramowania, choćby do zarządzania siecią - przy okazji, przypomniał mi się przypadek z oprogramowaniem do zarządzania i monitorowania sieci, gdzie w jednym z modułów ESET NOD wykrył Pocket Sniffera informując że to wirus, baaa nawet w Wiresharku kiedyś coś znalazł.

Antywirus powinien chronić i jednocześnie być przyjazny dla użytkownika, a także prawidłowo klasyfikować zagrożenia i odpowiednio informować o tym usera. W omawianej sytuacji twórcy poszli na skróty i wszelkie aplikacje opakowane w CodeFort wrzucili do jednego koszyka. Nie ważne czy program jest zaufany czy też nie, "my wiemy" lepiej co dla użytkownika jest najlepsze - podsumowując.

Wracając jeszcze do tematu przewodniego, po informacji ESET napisałem do deweloperów CodeFort, w responsie otrzymałem informację potwierdzającą stanowisko ESET i jego bierność w tej sprawie, cytuję...

Thank you for reporting this. We have been in contact with ESET and other anti virus vendors in the past regarding this exact issue, but so far our efforts have proved unsuccessful. The reason seems to be that some hackers in the past have used CodeFort to protect their virus code from being detected by anti virus software, and the response from some vendors has then been to classify all CodeFort protected software as being potentially malicious, because of the inability of the anti virus software to scan the protected files.

Najlepsze jest ostatnia część... because of the inability of the anti virus software to scan the protected files, potwierdzająca że oszczędzili sobie czasu i poszli na skróty - a niech tam producent legalnego, w pełni bezpiecznego oprogramowania martwi się. Rozumiem, że hakerzy wykorzystywali ten soft do ukrywania kodu, ale takie działanie, to nic innego jak pójście na łatwiznę i przerzucenie całej odpowiedzialności na wszystkich, nawet najbardziej uznanych/wiarygodnych deweloperów.

Według informacji które posiadam, deweloperzy CodeFort zapewniają, iż w wersji 2.0 zostanie ten problem wyeliminowany, poczekamy zobaczymy choć bez względu na wszystko, będę starał się wymyślić inne zabezpieczenie, które rozwiąże problem FP - jeśli twórcy NODa nie mogą się wysilić, to ja muszę przejąć inicjatywę.

Odnosząc się jeszcze do tego życzliwca, który dzisiaj pokazał na co go stać. Jak widać są osoby, które wykorzystują tego typu sytuacje i z chęcią wyślą zgłoszenie gdzie trzeba - tylko po to by wyeliminować kogoś z rynku lub z zawiści, zadrości. Cóż część firm i/lub osób, ma w nosie etykę i uczciwe konkurowanie, nie przebierają w środkach, zrobią wiele aby pognębić konkurencję. Panie "życzliwcu" los bywa przewrotny i być może kiedyś Ty dostaniesz po tyłku od innego "życzliwego".

Kurcze... to się rozpisałem, a miało być kilka zdań :)

Mariusz Kołacz antywirus, CodeFort, ESET NOD32, False Positive, zabezpieczanie kodu

Skomentuj wpis - Komentarzy (17)

  1. Karol Sawka pisze:

    Tak, jak pisałem Ci już w komentarzu do wpisu o Google Suggest Scraper, Avast też krzyczy po uruchomieniu programu. Skanuje jednak plik przed uruchomieniem i wyświetla komunikat, że podejrzenia nie znalazły potwierdzenia, czy coś takiego ;)

  2. Mariusz Kołacz pisze:

    Czyli jednym słowem pełna kultura! Powinni wziąć z niego przykład. Też mam Avasta jednakże u mnie nic nie pokazuje, updejt baz i programu zrobię i sprawdzę jeszcze raz. Dziękuję za informację.

  3. Mateusz Kochanowski pisze:

    No tak Dystrybutor NOD'a nie widzi problemu, a Dev CF zapewnia, że wersja 2.0 będzie ok. Ciekawe jak to rozwiążą.
    Mariusz ciekaw jestem czy to odosobniony przypadek z tym NOD'em ? Może dostawałeś też inne takie raporty dot. tego rodzaju oprogramowania?

    Co do organizacji programu to według mnie każdy dobry Antywirus powinien być tak zorganizowany aby użytkownik wyraźnie widział czy dany plik jest zainfekowany czy być może to tylko potencjalne zagrożenie.
    Co do kolorów to zgadzam się w zupełności, że użytkownik widzący taki komunikat odrzuca dalszą pracę z plikiem bo Oprogramowanie wykazuje zainfekowanie. Przecież wiele ludzi nie czyta komunikatów tylko je rozróżnia: czerwony- aha ważny! inne mniej
    Mam nadzieję, że NOD też to jakoś lepiej zorganizuje.

    Nawiązując jeszcze do tematu tego zazdrosnego Pana, który tworzy problemy mam dla niego słówko: Gościu zamiast mącić i tworzyć problemy weź się i zrób coś dobrego i wtedy się pochwal!!
    Mariusz dzięki za DOBRE i Darmowe Programy!

  4. Mariusz Kołacz pisze:

    @Mateusz, dziękuję za komentarz. Alerty były od kilku osób, po odrzuceniu XScrapera przez Softpedię zdecydowałem się zainterweniować i powysyłać nieco maili - jak widać bezskutecznie.

    Ciekaw jestem czy można ten przypadek podciągnąć pod dyskryminowanie ze strony antywirusa ESET :) To że w dobrej wierze ktoś chce jedynie zabezpieczyć się przed kradzieżą kodu nie oznacza, że jest zły i nie należy mu ufać.

    Ja także mam nadzieję że coś w tej sprawie ruszy się, ale znając polskie realia programiści ESET nie wysilą się, choć Polacy potrafią, mają umiejętności i to udowodnili nie raz, więc jeśli są chęci można coś zrobić.

  5. homoklikus pisze:

    Używałem klika Twoich aplikacji i puki co mój "nadgorliwy" kaspersky się nie odzywał. NOD? Co to w ogóle jest? ;)

  6. Kasia pisze:

    Często tak mam że jak ściągam jakiś program, chociażby Image Resizer przy próbie instalacji Nod krzyczy że jest to wirus mimo że nie jest to wirus. Spotkałam się już z tym kilka razy.

  7. kastom pisze:

    dzięki za cenne informację.Tak już jest z tymi antywirusami, nie wiadomo jak działają do końca,ale i tak trzeba z nich korzystać.Pozdrawiam wszystkich.

  8. Andrzej pisze:

    No trzeba trzeba, szczególnie na urządzeniach mobilnych (co jeszcze nie jest popularne) a jest to żyła cennych informacji dla hakerów. Przecież większość smartfonów nie jest zabezpieczona.

  9. Michał Bal pisze:

    Nie jestem zwolennikiem programów antywirusowych, a szczególnie noda. Są jak dla mnie niestety strasznie uciążliwe w użytkowaniu.

  10. Adrian Strójwąs pisze:

    Czy to Avast, NOD czy Kaspersky to one i tak nie będą pełniły swojej funkcji poprawnie jeżeli ich dobrze nie skonfigurujemy. Na własne uszy słyszałem od informatyka z najwyższej półki, że najlepszym antywirusem jest właśnie ten od Microsoftu, oczywiście musi być on dobrze skonfigurowany.
    Osobiście nie używam antywirusów, ponieważ nie chce mi się ich instalować oraz słyszałem, że spowalniają system. Wolę zrobić co 6 miesięcy reinstalacje Windowsa niż instalować sobie te wszystkie antywirusy, firewalle, i inne programy chroniące nasz komputer z hasłami na czele.
    Oprócz tego ważne jest aby samemu być czujnym i nie wpisywać swoich haseł byle gdzie, nie odwiedzać stron, które mogą zagrażać naszemu komputerowi. A z drugiej strony tych wszystkich wirusów jest tak dużo i tak szybko się rozwijają, że nawet najlepszy antywirus nie ustrzeże nas od zakażenia

  11. Jarosław Koper pisze:

    Jakiś czas temu też miałem problem z wykrywaniem aplikacji zaciemnionej CodeFort jako potencjalnie niebezpiecznej przez ESET NOD.
    Rozwiązaniem jest jej podpisanie.
    Nie musi to być certyfikat z zaufanego CA, wystarczy CA wewnętrzny i ESET NOD nie widzi nic złego w aplikacji

  12. Mariusz Kołacz pisze:

    @Jarek, dzięki za wypowiedź i wskazówkę. W tej sprawie rozmawiałem z twórcami CodeFort i tam faktycznie padła podobna propozycja, jednakże podpisywanie aplikacji i tak nie jest idealnym rozwiązaniem.

  13. RYSIEK141 pisze:

    Panie Mariuszu--widzę z tego że wszyscy (albo prawie) rozmawiają o tym problemie w sposób tylko dla Was jasny.Ja bym prosił o krótką odpowiedz --czy można bezpiecznie zainstalować pobrany program czy plik z tym właśnie czerwonym komunikatem :" potencjalnie niepożądana aplikacja".Dziękuję za ewentualną odpowiedz-Rysiek.

  14. Mariusz Kołacz pisze:

    Nie jestem w stanie odpowiedzieć na to pytanie. Proszę użyć skanerów online Jotti, Virustotal i innych (jest ich dużo), jeśli liczba detekcji jest niska, z reguły należy uznać taką aplikację za bezpieczną, natomiast nie da się tego stwierdzić na 100% dlatego nie mogę odpowiedzieć na Pana pytanie jednoznacznie.

  15. RYSIEK141 pisze:

    Witam raz jeszcze.Próbowałem pobrać skaner Virustotal-oczywiście przy pobieraniu instalki tego programu znowu mi wyskoczył komunikat ESETA "niepożądana aplikacja" ,ale zaznaczyłem "brak czynności" i plik się pobrał.Najciekawsze jest to,że po kliknięciu w instalkę "Virus Total Scanner"instaluje się program: MOBOGENIE-- nie wiem co to za cudo??--zresztą bez mojej zgody ani pytania,a po tym procesie wyskakuje dopiero instalka programu VIRUSTOTAL, którego zresztą i tak nie potrafię zainstalować ponieważ po kliknięciu w nią i pobraniu plików tworzy mi tę samą instalkę i tak wkoło .Ale pobrałem inny skaner(też zresztą z programem mobogenie,który już usuwałem chyba z sześc razy z komputera) i przeskanowałem podejrzana pliki Kasperskym--nie wykrył nic,więc myślę ze jest dobrze.Pozdrawiam-Rysiek.

  16. Mariusz Kołacz pisze:

    Czy ja mówiłem coś o pobieraniu czegokolwiek?
    Masz do dyspozycji czekery online (Jotti.org i virustotal.com), skorzystaj z nich. Wrzuć plik na ich serwery, uruchom skaner i jeśli nie będzie detekcji lub będzie tylko ESET, jest wysoce prawdopodobne, że mamy do czynienia z False Positive.

    Antywirus ESET NOD znany mi jest już od dawna, chyba celowo go tak ustawiają i zwiększają czułość, by user czuł się bezpieczniej - cóż potwierdzono że takie zabiegi czysto marketingowe zwiększają sprzedaż oprogramowania, natomiast takie antywirusy w oczach doświadczonych użytkowników są nic nie warte bo wprowadzają więcej zamieszania i wbrew opiniom ludzi wyrabiają złe nawyki, zmniejszają czujność użytkownika. Najgorsze jest w tym, że przez wysoką czułość antywirusa cierpią na tym dostawcy oprogramowania, którzy niczego nie przemycają w instalkach. Mimo to zawsze jeśli ma się jakiekolwiek podejrzenia należy uruchamiać wpierw programy w piaskownicy (sandbox) i obowiązkowo skanować skanerami antywirusowymi on-line.

  17. RYSIEK141 pisze:

    Witam i dzięki za odpowiedz-zrozumiałem że podane nazwy wystarczyło wpisać w wyszukiwarkę i wszystko gra.Tylko 4 z 23 skanerów znalazło jakieś "niepożądane",ale to drobnostka--pozdrawiam-Rysiek .

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Poinformuj mnie o nowych komentarzach do tego wpisu.