Figuraccia per Trend Micro. L'aggiornamento 2.594.00 dei suoi antivirus, compresi OfficeScan e PC-Cillin, ha paralizzato i computer che l'hanno installato, portandone l'utilizzo di CPU al 100%. Nell'ora e mezza durante la quale l'aggiornamento è rimasto disponibile, è stato scaricato circa 300.000 volte, generando circa 70.000 richieste di assistenza. L'ulteriore aggiornamento ora disponibile risolve il problema, secondo il comunicato stampa di Trend Micro.

A causa dell'ora di rilascio dell'aggiornamento fallato (le 23.30 GMT di venerdì scorso), gli utenti colpiti si trovano principalmente in Giappone, dove i danni sono stati considerevoli: secondo il Japan Times, sono rimaste bloccate le reti interne di varie compagnie ferroviarie, agenzie di viaggio, metropolitane e giornali come l'Asahi Shimbun e il Yomiuri Shimbun.

I danni non riguardano soltanto i clienti di Trend Micro, ma anche la quotazione in borsa dell'azienda antivirale, che Reuters riferisce in calo del 4,2%, portando le azioni di Trend Micro al livello più basso degli ultimi nove mesi. Secondo Reuters, le aziende giapponesi colpite sarebbero circa 4.100, alle quali si aggiungerebbero circa duecento società australiane e statunitensi. Il costo di quest'errore, di conseguenza, potrebbe essere estremamente alto, e non solo in termini d'immagine.

L'episodio mette in luce alcuni problemi di fondo dell'attuale strategia antivirale. Gli antivirus oggi si basano principalmente su pattern file, ossia su un elenco di "impronte digitali" dei virus in circolazione: di conseguenza, quando esce un nuovo virus passa del tempo prima che l'antivirus lo riconosca, e in quell'intervallo di tempo l'utente crede di essere protetto ma non lo è, e quindi è maggiormente vulnerabile.

L'altro problema è la pervasività degli antivirus. Spesso tutti i computer di una rete aziendale vengono dotati di antivirus, e di solito l'antivirus è lo stesso per tutti, per ovvie ragioni di costi e di amministrazione, per cui se l'antivirus causa problemi, li causa a tutti i PC dell'azienda, col rischio di una paralisi totale. Oltretutto l'antivirus è uno dei pochi programmi ai quali gli amministratori di sistema concedono il privilegio di aggiornarsi automaticamente, per cui se c'è una falla, "infetta" molto rapidamente tutti i PC. E' insomma il cavallo di Troia perfetto.

E' ora di pensare a soluzioni che non siano così vulnerabili. Si può cominciare a spostare la difesa antivirale dalle retrovie, ossia dai singoli PC degli utenti, al perimetro difensivo esterno, vale a dire al gateway della rete locale verso Internet. Più in generale, il metodo attuale, basato quasi esclusivamente sul riconoscimento dell'"impronta digitale" di ogni singolo virus, andrebbe sostituito dal behavior blocking (o behaviour blocking per chi predilige lo spelling britannico), ossia dal blocco dei comportamenti sospetti: tentativi di esecuzione o di scrittura o di comunicazione non autorizzati, eccetera.

Ma il "difetto" del behavior blocking, dal punto di vista di chi vende antivirus, è che rende praticamente inutili gli aggiornamenti continui che motivano i clienti a pagare in continuazione, anno dopo anno: un antivirus che usi il behavior blocking, infatti, riconosce in sostanza qualsiasi virus passato, presente e futuro, anche se non l'ha mai visto prima, perché blocca appunto qualunque codice che si comporti in un certo modo e non sia autorizzato dall'utente o amministratore. Questo porta a un certo numero di "falsi positivi", ma è comunque un notevolissimo passo avanti rispetto all'attuale sistema.

In altre parole, c'è un conflitto difficilmente sanabile fra i bisogni degli utenti e i bisogni delle aziende del settore. Una società antivirale che producesse un buon antivirus basato sul behavior blocking proteggerebbe meglio i propri clienti, ma si suiciderebbe commercialmente: ci sarebbe bisogno comunque di qualche aggiornamento, ma solo ogni tanto, e quindi i profitti calerebbero drasticamente.