Quando contrassegna file sospetti, il browser Firefox di Mozilla omette di fornire all’utente un’opzione molto importante, gettando così un po’ d’ombra sul metodo di rilevamento dei download dannosi da parte del browser.
Navigare è solo l’inizio
Come browser, Firefox fa molto di più che permettervi di navigare in Internet e scaricare i vostri contenuti preferiti. Controlla anche i vostri download confrontandoli con una blacklist di siti dannosi e poi effettua una doppia verifica con l’opzione Safe Browsing di Google. Questa funzione non è un componente aggiuntivo, è nelle impostazioni predefinite di Firefox e resterà sempre attivata fino a quando non la si disabilita appositamente in Impostazioni.
Firefox si comporta come chi deve scegliere il ristorante dopo un’indigestione
Il problema è che Firefox non esegue la scansione precisa di ogni singolo file alla ricerca di malware. Invece, basa i suoi giudizi in gran parte sulle esperienze passate del sito. È come evitare un ristorante perché voi e un amico avete avuto brutte esperienze di indigestione dopo aver mangiato lì. Non è stata rilevata direttamente alcuna salmonella nei piatti, avete solo l’idea (spesso giustificata) che mangiare in quel locale comporti una probabilità statisticamente significativa di affrontare conseguenze sgradevoli.
Il rilevamento di malware dovrebbe essere qualcosa di più di una decisione binaria
Appena Firefox identifica un download come dannoso, vi apparirà un pop-up con un’affermazione categorica (“Questo file contiene un virus o un malware”) e due opzioni: eliminare il file o aprirlo. Di fatto, il salvataggio del file non viene proposto. Questa tattica è ottima quando funziona, ma che succede nel caso di un falso positivo o di un sito di distribuzione di malware erroneamente identificato? Dopotutto, si tratta principalmente di un giudizio basato sulla reputazione: qualcosa di brutto è già venuto da questo sito in passato.
Un vero caso di falso positivo?
Dal punto di vista degli utenti, questo è un problema attuale per i visitatori di Library Genesis e dei vari siti mirror. Questo sito conta oltre due milioni tra documenti e libri scaricabili gratuitamente. Mentre parte di questo materiale è probabilmente protetta da copyright, molti file sembrano essere documenti professionali e, come spesso accade nei siti di download P2P, è probabile che alcuni contengano malware.
Ma non tutti. Tuttavia, gli utenti di questo servizio hanno riferito di recente che talvolta Firefox, perfino in modo incoerente, impedisce loro di scaricare i testi desiderati, quindi ritengono che l’opzione binaria offerta dal pop-up (eliminare il file o aprirlo) confonda le idee, soprattutto considerando che Firefox non ha esaminato in modo davvero approfondito lo specifico file scaricato.
“Quindi, invece di dare all’utente la possibilità di salvare il file e scansionarlo con il proprio software antivirus, Firefox ti dice che devi eliminarlo o eseguirlo immediatamente. Non è probabilmente un’ottima idea quando si tratta di file sospettati di contenere malware”, ha affermato un utente del blog The Indy.
Nel dubbio, meglio fare una scansione
“Sono pienamente d’accordo con questo punto”, sottolinea Alexander Vukcevic, direttore di Avira Virus Lab. “L’avviso dovrebbe essere cambiato al contrario, in modo che si possa solo salvare il file, senza eseguirlo subito. Questa modifica consentirebbe agli utenti di eseguire la scansione del file con il proprio antivirus, senza doverlo aprire o eseguire.”
La regola di sicurezza generale è di effettuare la scansione di QUALSIASI file sospetto prima di aprirlo. Questo permette all’antivirus di bloccare un eventuale malware nel suo stato inattivo, prima che l’esecuzione di un file scateni il caos su un computer.