Todos os anos, empresas como Symantec ou Kaspersky atualizam sua linha de segurança, geralmente adicionando vários novos recursos aos produtos e alterando o ano no final do nome do produto. Uma das recentes adições da Symantec à sua linha de produtos de segurança do consumidor Norton inclui um mecanismo de reputação. Esse é basicamente um sistema baseado na nuvem que usa as informações de todos os programas da Symantec para determinar a reputação de um arquivo ou programa em um sistema de computador.
A idéia aqui é que os programas provavelmente são seguros se forem usados por uma grande porcentagem de usuários, e que os programas que não são usados amplamente têm maior probabilidade de não serem seguros para serem executados no sistema. O problema dessa abordagem é que a Symantec pode colocar em quarentena os arquivos, mesmo que o scanner do programa não tenha detectado códigos maliciosos neles. O sistema foi projetado para impedir a execução de software malicioso não classificado no sistema.
O que está acontecendo é algo completamente diferente. Desenvolvedores de software independentes como Andreas Löw começaram a perceber que seus programas eram classificados automaticamente como arquivos WS.Reputation.1 devido à sua baixa pontuação de reputação. Se isso não bastasse, os produtos Norton excluem automaticamente os arquivos classificados como tal e os movem para a quarentena do programa.
A Symantec observa:
O WS.Reputation.1 é uma detecção de arquivos com uma baixa pontuação de reputação, com base na análise de dados da comunidade de usuários da Symantec e, portanto, é provável que sejam riscos à segurança. Detecções desse tipo são baseadas na tecnologia de segurança baseada em reputação da Symantec. Como essa detecção é baseada em uma pontuação de reputação, ela não representa uma classe específica de ameaça, como adware ou spyware, mas aplica-se a todas as categorias de ameaças.
File Insight WS.Reputation.1
O principal problema da perspectiva do desenvolvedor é que o sistema pode impactar negativamente seus negócios. Os usuários podem pensar que o software distribuído por um desenvolvedor em particular inclui malware e, mesmo que não pensem nisso, podem decidir não instalar o programa, pois pode não valer a pena os possíveis problemas.
Os desenvolvedores, por outro lado, também podem sentir o impacto do sistema. Eles podem receber solicitações de suporte adicionais para resolver o problema e podem ser forçados a se comunicar com a Symantec para resolver o problema e seus programas na lista de permissões.
Ignorando o WS.Reputation.1
Se você possui os produtos de segurança Norton instalados em seu sistema, poderá receber uma notificação como a da captura de tela acima. Ele basicamente notifica que o arquivo foi classificado como WS.Reputation.1 pelo Norton e que foi removido como conseqüência.
Então, como você recupera o arquivo nesse estágio? Você precisa clicar no botão de opções na janela que leva à seguinte janela do programa.
Aqui você precisa clicar no botão Restaurar para mover o arquivo da quarentena para o sistema.
Se você não deseja utilizar o sistema, desative-o da seguinte maneira:
- Abra a interface principal do Norton e clique no link avançado lá
- Localize o Download Intelligence e desative-o
Você pode desativar o recurso por um período limitado ou permanentemente.
Palavras finais
A idéia central do mecanismo de reputação da Symantec faz muito sentido, mas a implementação é falha, pois gera muitos falsos positivos durante a execução. Em vez de mover os arquivos WS.Reputation.1 para a quarentena, os usuários devem ver uma notificação que lhes dá o poder de fazer isso ou manter o arquivo no sistema.
Você é um usuário do Norton que entrou em contato com as classificações baseadas na reputação do software? Ou você notou um comportamento semelhante em outro software de segurança?
