IlSoftware.it: Avira scivola su un "falso positivo"

Dal momento che ci stanno arrivando numerose segnalazioni attraverso i canali di comunicazione che mettiano quotidianamente a disposizione dei nostri lettori, ci sentiamo in dovere di far sentire la nostra voce e fornire alcuni doverosi chiarimenti. Molti software antivirus ed antimalware, integrano degli strumenti che indicano agli utenti se la pagina web che si sta per visitare nasconda una minaccia. Anche Avira, noto produttore tedesco di soluzioni per la sicurezza informatica, offre un suo meccanismo per la protezione dell’utente durante la navigazione online: si chiama “Web Protection“; è incluso in tutte le versioni a pagamento dei prodotti Avira ed è attivabile anche nella versione gratuita di Avira Antivirus previa installazione di una toolbar aggiuntiva per il browser.

Funzionalità del genere sono certamente molto utili perché consentono di scongiurare la visita di siti web potenzialmente pericolosi. Questa volta, però, Avira “Web Protection” ha preso le proverbiali lucciole per lanterne esponendo improvvisamente agli utenti che cercano di accedere ad IlSoftware.it il messaggio “Il sito web da Lei richiamato è stato classificato come sito potenzialmente pericoloso” oppure “in order not to compromise your security, this page will not be accessed“.
Avira è così scivolata su un palese “falso positivo” classificando come pericoloso un sito web come IlSoftware.it che, ovviamente, non contiene alcun tipo di minaccia e che anzi ha sempre offerto strumenti per difendersi dai malware e per facilitare la loro rimozione.

L’errore in cui è incappata Avira è molto probabilmente determinato dall’euristica utilizzata dal componente “Web Protection“: il motore di Avira è l’unico a bollare erroneamente il nostro ed il vostro IlSoftware.it come sito malevolo. <!– (vedere questa analisi su VirusTotal). –>

Abbiamo ovviamente segnalato ad Avira il “falso positivo” invitando ad effettuare le verifiche del caso ed a correggere l’errore. Perché i falsi positivi capitano ed incidenti di questo tipo possono non essere neppure così infrequenti ma è di fondamentale importanza sanare la situazione per non ingenerare falsi allarmismi e per non causare inutili danni all’immagine del sito. Stiamo attendendo una risposta da parte di Avira.

Quanto accaduto fornisce anche spunti per qualche riflessione. Giustissimo proporre agli utenti soluzioni che consentano di proteggerli durante la navigazione sul web escludendo la visita di quei siti il cui contenuto può risultare nocivo ma perché non agire, contemporaneamente, anche a tutela degli stessi webmaster? Perché i produttori di software antivirus ed antimalware non valutano l’adozione di una funzionalità che si faccia carico di inviare, agli amministratori di un sito web rilevato come dannoso, un messaggio in cui si spiega l’accaduto circostanziando il più possibile l’incidente? In questo modo, il webmaster conoscerebbe subito quando uno o più motori indicano come dannose le sue pagine e si potrebbe immediatamente agire per eliminare l’infezione o contestare il giudizio nel caso di “falsi positivi” (come nel nostro caso).
Si tratta né più né meno di quanto sta facendo Google con la tecnologia “Safe Browsing” (ne abbiamo parlato nell’articolo Controllare se un sito è sicuro. Effettuare la scansione antivirus di un file senza scaricarlo): per un produttore di antivirus ed antimalware non è certo difficoltoso individuare l’indirizzo e-mail dell’amministratore, del webmaster o del gestore di rete relativamente ad un qualunque sito web. Basta un WHOIS o un’analisi dell’HTML del sito.

A questo punto, restiamo in attesa di ricevere una risposta da Avira.

Aggiornamento delle ore 13,00 Avira sembra aver finalmente risolto il problema (vedere anche l’analisi su VirusTotal). Ringraziamo i nostri lettori per le preziose segnalazioni.

Aggiornamento: Avira ci ha così risposto: “We have updated our databases and the error has been removed. The current update, which resolves the issue is: webcat version 9.0.124.1047” ovvero “abbiamo provveduto ad aggiornare i nostri database e l’errore è stato eliminato. L’aggiornamento corrente, che risolve il problema è: webcat versione 9.0.124.1047“.