Nei mesi passati, i Falsi Positivi (individuazione errata di file puliti) sembrano aver subito un incremento nell'intero settore del malware. La cosa peggiore è che ci sono sempre più casi in cui vengono individuati prodotti concorrenti. Possiedo soltanto i numeri delle errate interpretazioni come malware del nostro software, ma già questi sono sufficientemente cattivi: due anni fa si è cominciato con Pest Patrol che individuava i nostri file cd_clint.dll e zipdll.dll. NetCop individuava il nostro Spybots.sbi, Trend Micro PC-Cillin il nostro SDHelper.dll, PandaSoft la nostra funzionalità di immunizzazione (per la verità molto solleciti a risolvere il problema) e McAfee AntiSpyware il nostro English.sbl.

L'avvenimento più recente è LavaSoft, il cui AdAware individuava il file della nostra applicazione principale, SpybotSD.exe, come malware appartenente a 180solutions. I nostri investigatori mi hanno confermato che non esiste alcuna possibilità di errore poichè i nomi di file, le dimensioni, ecc. di 180solutions fino alle versioni più recenti sono fondamentalmente diversi.

Di solito cerchiamo di risolvere tali FP in un giorno, poichè danneggiano i nostri clienti e creano cattiva reputazione sia nel prodotto che sbaglia sia in quello danneggiato e spesso ci risulta facile prendere contatto con un responsabile. Tuttavia con Lavasoft ciò è risultato impossibile: non hanno risposto nè ai nostri tentativi di contatto nè tantomeno a quelli di un avvocato (neanche nel giro di una settimana).

Da quanto ci risulta ora lo hanno corretto (secondo i forum di LavaSoft con l'aggiornamento SE1R32 10.03.2005, sebbene il loro avviso di aggiornamento non lo confermi). Tuttavia possiamo assicurare a chi ha eliminato Spybot-S&D a causa di un'errata interpretazione come malware da parte di AdAware, che non siamo in alcun modo associati a 180solutions e che Spybot-S&D può essere di nuovo reinstallato.

Molti utenti hanno chiesto se anche noi utilizziamo metodi sofisticati come fa AdAware con cose del tipo CSI (Code Sequence Identification = Identificazione delle Sequenze di Codice) come lo chiamano. Come è ovvio i TLA (Three Letter Acronyms = Acronimi di Tre Lettere) non falliscono mai nell'impressionare gli utenti. Per destare meraviglia anche noi potremmo inventare dozzine di TLA, ma preferiamo non vantarci in giro con termini commerciali (naturalmente, se l'utente lo desidera, potremmo etichettare con simili marchi ogni aggiornamento della libreria per il controllo avanzato). Ad ogni modo, le migliori tecniche di individuazione non produrranno nulla di buono se gli investigatori che alimentano il database lo fanno con il materiale sbagliato.

E ciò mi porta al secondo punto: riteniamo che tutti questi falsi positivi su buoni prodotti non fanno altro che confermare la nostra strategia di test degli aggiornamenti in quattro modi. Ognuno dei nostri aggiornamenti viene dapprima testato dall'investigatore che lo aggiunge, poi dalla nostra squadra esaminatrice interna, seguita da un test interno del nostro Team di Spybot e in un quarto scenario con la beta pubblica. Ciò potrebbe comportare ritardi più consistenti tra un aggiornamento e l'altro, ma almeno questi nostri non confondono gli utenti interpretando erroneamente come malware altri software progettati per difenderli e il cliente dovrebbe ancora essere il re, servito con qualità.