Elk jaar vernieuwen bedrijven zoals Symantec of Kaspersky hun beveiligingsaanbod, meestal door een aantal nieuwe functies aan de producten toe te voegen en het jaar aan het einde van de productnaam te wijzigen. Een van Symantec's recente toevoegingen aan haar Norton-productlijn voor consumentenbeveiliging omvat een reputatie-engine. Dit is eigenlijk een cloudgebaseerd systeem dat informatie uit alle Symantec-programma's gebruikt om de reputatie van een bestand of programma op een computersysteem te bepalen.
Het idee hier is dat programma's waarschijnlijk veilig zijn als ze door een groot percentage gebruikers worden gebruikt, en dat programma's die niet veel worden gebruikt, waarschijnlijk niet veilig zijn om op het systeem te worden uitgevoerd. Het probleem met deze aanpak is dat Symantec bestanden in quarantaine kan plaatsen, zelfs als de eigen scanner van het programma geen schadelijke code heeft gevonden. Het systeem is ontworpen om te voorkomen dat niet-geclassificeerde schadelijke software op het systeem wordt uitgevoerd.
Wat er gebeurt is echter iets heel anders. Onafhankelijke softwareontwikkelaars zoals Andreas Löw begonnen op te merken dat hun programma's automatisch werden geclassificeerd als WS.Reputation.1- bestanden vanwege hun lage reputatiescore. Als dat niet erg genoeg was, verwijderen Norton-producten automatisch bestanden die als zodanig zijn geclassificeerd en verplaatsen ze naar de quarantaine van het programma.
Symantec-opmerkingen:
WS.Reputation.1 is een detectie voor bestanden die een lage reputatiescore hebben op basis van het analyseren van gegevens uit de gebruikersgemeenschap van Symantec en daarom waarschijnlijk beveiligingsrisico's zijn. Detecties van dit type zijn gebaseerd op de op reputatie gebaseerde beveiligingstechnologie van Symantec. Omdat deze detectie is gebaseerd op een reputatiescore, vertegenwoordigt deze geen specifieke klasse bedreigingen zoals adware of spyware, maar is deze in plaats daarvan van toepassing op alle categorieën bedreigingen.
File Insight WS.Reputation.1
Het grootste probleem vanuit het perspectief van een ontwikkelaar is dat het systeem een negatieve invloed kan hebben op hun bedrijf. Gebruikers kunnen denken dat de software die wordt gedistribueerd door een bepaalde ontwikkelaar malware bevat, en zelfs als ze dat niet denken, kunnen ze besluiten het programma niet te installeren omdat het de potentiële problemen misschien niet waard is.
Ontwikkelaars daarentegen kunnen ook de impact van het systeem voelen. Ze kunnen aanvullende ondersteuningsverzoeken ontvangen om het probleem op te lossen en kunnen worden gedwongen om met Symantec te communiceren om het probleem te verhelpen en hun programma's op de witte lijst te zetten.
WS.Reputation omzeilen.1
Als Norton-beveiligingsproducten op uw systeem zijn geïnstalleerd, heeft u mogelijk een melding gezien zoals op de bovenstaande schermafbeelding. Het geeft in feite aan dat het bestand door Norton is geclassificeerd als WS.Reputation.1 en dat het als gevolg daarvan is verwijderd.
Dus hoe krijg je het bestand in dit stadium terug? U moet op de knop Opties in het venster klikken dat naar het volgende programmavenster leidt.
Hier moet u op de herstelknop klikken om het bestand uit quarantaine naar het systeem te verplaatsen.
Als u helemaal geen gebruik van het systeem wilt maken, kunt u het op de volgende manier uitschakelen:
- Open de hoofd Norton-interface en klik daar op de geavanceerde link
- Zoek Download Intelligence en schakel deze uit
U kunt de functie voor een beperkte tijd of permanent uitschakelen.
Slotwoorden
Het kernidee van de reputatie-engine van Symantec is heel logisch, maar de implementatie is onjuist omdat deze tijdens het uitvoeren te veel valse positieven genereert. In plaats van WS.Reputation.1-bestanden naar de quarantaine te verplaatsen, moeten gebruikers in plaats daarvan een melding zien die hen de mogelijkheid geeft om dat te doen of het bestand op het systeem te houden.
Bent u een Norton-gebruiker die in aanraking is gekomen met de reputatiegebaseerde beoordelingen van de software? Of heb je een soortgelijk gedrag opgemerkt in andere beveiligingssoftware?
