Come bypassare il sistema WS.Reputation.1 di Symantec

Ogni anno aziende come Symantec o Kaspersky aggiornano la loro gamma di sicurezza, in genere aggiungendo una serie di nuove funzionalità ai prodotti e modificando l'anno alla fine del nome del prodotto. Una delle recenti aggiunte di Symantec alla sua linea di prodotti per la sicurezza dei consumatori Norton include un motore di reputazione. Questo è fondamentalmente un sistema basato su cloud che utilizza le informazioni di tutti i programmi Symantec per determinare la reputazione di un file o programma su un sistema informatico.

L'idea qui è che i programmi sono probabilmente sicuri se vengono utilizzati da una grande percentuale di utenti e che i programmi che non sono ampiamente utilizzati hanno maggiori probabilità di non essere eseguiti in modo sicuro sul sistema. Il problema con questo approccio è che Symantec può mettere in quarantena i file anche se lo scanner del programma non ha rilevato codice dannoso in essi. Il sistema è stato progettato per bloccare l'esecuzione di software dannoso non classificato sul sistema.

Ciò che sta accadendo è qualcosa di completamente diverso. Gli sviluppatori di software indipendenti come Andreas Löw hanno iniziato a notare che i loro programmi venivano automaticamente classificati come file WS.Reputation.1 a causa del loro basso punteggio di reputazione. Se ciò non bastasse, i prodotti Norton eliminano automaticamente i file classificati come tali e li spostano nella quarantena del programma.

Note Symantec:

WS.Reputation.1 è un rilevamento di file con un basso punteggio di reputazione basato sull'analisi dei dati dalla comunità di utenti di Symantec e che pertanto potrebbero essere rischi per la sicurezza. I rilevamenti di questo tipo si basano sulla tecnologia di sicurezza basata sulla reputazione di Symantec. Poiché questo rilevamento si basa su un punteggio di reputazione, non rappresenta una classe specifica di minaccia come adware o spyware, ma si applica invece a tutte le categorie di minacce.

File Insight WS.Reputation.1

Il problema principale dal punto di vista degli sviluppatori è che il sistema può avere un impatto negativo sulla loro attività. Gli utenti possono pensare che il software distribuito da un determinato sviluppatore includa malware e, anche se non lo pensano, possono decidere di non installare il programma in quanto potrebbe non valere i potenziali problemi.

D'altro canto, anche gli sviluppatori potrebbero avvertire l'impatto del sistema. Potrebbero ricevere richieste di supporto aggiuntive per risolvere il problema e potrebbero essere costretti a comunicare con Symantec per risolvere il problema e autorizzare i loro programmi nella whitelist.

Bypassing WS.Reputation.1

Se sul tuo sistema sono installati prodotti di sicurezza Norton, potresti aver visualizzato una notifica come quella nello screenshot sopra. In sostanza ti informa che il file è stato classificato come WS.Reputation.1 da Norton e che è stato rimosso di conseguenza.

Quindi come recuperare il file in questa fase? È necessario fare clic sul pulsante Opzioni nella finestra che porta alla seguente finestra del programma.

Qui è necessario fare clic sul pulsante di ripristino per spostare il file dalla quarantena al sistema.

Se non si desidera utilizzare il sistema, è possibile disabilitarlo nel modo seguente:

  • Apri l'interfaccia principale di Norton e fai clic sul collegamento avanzato lì
  • Individua Download Intelligence e disattivalo

È possibile disattivare la funzione per un periodo di tempo limitato o permanentemente.

Parole di chiusura

L'idea alla base del motore di reputazione di Symantec ha molto senso, ma l'implementazione è imperfetta in quanto genera troppi falsi positivi durante l'esecuzione. Invece di spostare i file WS.Reputation.1 in quarantena, gli utenti dovrebbero invece visualizzare una notifica che fornisce loro il potere di farlo o di mantenere il file sul sistema.

Sei un utente Norton che è entrato in contatto con le valutazioni basate sulla reputazione del software? O hai notato un comportamento simile in altri software di sicurezza?