Komiskt falsklarm från Sophos

Sophos Antivirus misslyckades nyligen på ett ganska spektakulärt sätt:

On Wednesday, Sophos antivirus products did something very wrong: they started detecting false positives. The company has since fixed the issue, but only on Thursday did it become clear what the fiasco was all about: the Sophos software was detecting its own binaries as malware.

Programmet identifierade alltså en av sina egna komponenter som spyware, och tog bort den. Till råga på allt var det den del i programmet som genomför automatiska uppdateringar som "oskadliggjordes", så att de senare uppdateringar som rättade till felet inte kunde komma fram. Lätt lustigt är det.

Även om just det här fallet är litet ovanligt så är falsklarm inte ovanliga. På sätt och vis är de faktiskt önskvärda. Antivirusprogram fyller samma funktion som brandvarnare. De ska väsnas om det brinner, och det är bättre att det går tio falsklarm på varje verklig fara än att larmet har överseende med en eller annan eldsvåda mellan varven.

Sophos misslyckande var alltså egentligen inte att de råkade falsklarma, utan att de inte ordentligt testade uppdateringen som orsakade falsklarmet innan de skickade ut den.

Analogin håller faktiskt längre än så. När det brinner och larmet går så är det redan för sent och dags att släcka, sanera och göra något åt att brandsäkerheten är dålig. På samma sätt är det i princip redan för sent när ett antivirusprogram identifierar ett (verkligt) hot på datorn. Den skadliga koden har ju redan tagit sig in i maskinen. Då är det dags för en jobbig totalsanering och att sluta använda datorn på ett farligt sätt.

En bra början är att sluta använda Internet Explorer, om man nu fortfarande gör det. I samma veva bör man sluta med olika riskbeteenden på nätet, som att besöka och ladda ned från piratsajter, hålla på med porr eller googla på låttexter. (Det sista förvånade mig litet när jag hörde talas om det första gången.)

Det är även en bra idé att aldrig använda sig av öppna trådlösa nätverk – vare sig de är krypterade och kräver inloggning eller inte.