Explicacion detallada sobre el incidente de los falsos positivos

5 de diciembre de 2009

Seguidamente os ofrecemos una explicación detallada realizada por un técnico de avast! sobre lo que ocurrió el jueves por la madrugada, respecto a la actualización que introdujo falsos positivos en numerosas aplicaciones no malignas:

Normalmente, tenemos dos actualizaciones diarias de la base de datos de virus, generalmente una por la mañana y otra por la tarde/noche (salvo en casos en que haya alguna emergencia). El actual proceso de realización de actualizaciones está bien definido e incluye múltiples comprobaciones para asegurarnos de que las definiciones que sacamos no causan ningún problema grave. Por ejemplo, cada actualización que sacamos a la luz tiene que pasar un test de falsos positivos en máquinas que contienen terabytes de datos correspondientes a cientos de miles de aplicaciones (realizamos varios test en paralelo pero aún así conlleva al menos una hora completarlos). El más mínimo falso positivo en este test es suficiente para que la actualización vuelva al laboratorio de virus y sea revisada. Una vez realizada esta comprobación, tiene que volver a pasar el test completo hasta que no exista ningún falso positivo.

Ahora que sabemos todo esto, ¿cómo pudo pasar que sacáramos al aire una actualización de las definiciones que produjera tantos falsos positivos? ¿Tuvimos tan mala suerte que ninguna de las aplicaciones que fueron detectadas como malignas estaban incluidas en los test? En otras palabras, ¿es el test que realizamos poco fiable?

No. De hecho, un análisis realizado posteriormente mostró que la actualización que causó el desastre (VPS 091203-0) identificaba al menos 50 aplicaciones benignas como infectadas. El problema fue que el test no fue realizado en su totalidad antes de que la actualización fuera publicada.

El día 2 de diciembre, cerca de las 9 de la noche sacamos una actualización programada (VPS update 091202-1). Esta actualización funcionó correctamente para la mayoría de usuarios. Pero debido a un error en ella, este update no funcionaba en algunas instalaciones de avast! 5 beta. En estos casos, el servicio de avast! no arrancaba después de reiniciar el equipo. Recordad que avast! 5 está todavía en fase beta y errores como este todavía pueden ocurrir, ya que se trata de un producto no terminado.

Poco tiempo después de lanzar la actualización 091202-1, tuvimos consciencia del problema con la versión 5 de avast! y después de hacer varios análisis, decidimos realizar otra actualización que debería haber resuelto el problema. Era cerca de la 1 de la madrugada y la situación era algo apremiante porque, como decía, algunos usuarios de la beta estaban experimentando el problema antedicho y había que hacer algo rápidamente. Una de las personas que no tiene como misión normal la realización de actualizaciones VPS (pero que tiene los conocimientos técnicos necesarios de cómo se realiza esto) se adelantó y publicó el update problemático. No se siguió el proceso normal y se usaron ficheros de entrada equivocados para generar el VPS: archivos que estaban preparados para ser testeados, pero que no lo fueron.

Aún así, después de que la actualización fuera lanzada (cerca de las 12:30 GMT, hora local 01:30 en Praga), todavía había alguna posibilidad de conseguir avisos tempranos sobre el fiasco de la actualización y por tanto que el efecto fuera menor. La ironía del caso es que esta persona estuvo comprobando durante al menos una hora que todo estuviera bien, pero los sistemas internos usados para detectar alguna anomalía (como por ejemplo una carga inusual en los servidores de reporte de falsos positivos) no mostraron nada especial durante ese tiempo. También tendría que haber comprobado el foro y así se hubiera percatado de que algo no estaba funcionando bien, pero desafortunadamente no lo hizo.

Los responsables del departamento no fueron alertados hasta las 05:15 de la mañana, cuando el problema ya era de una entidad considerable. Nos llevó 75 minutos más realizar la cura.

¿Cuál es la conclusión? Ciertamente tenemos que mejorar el proceso para que algo parecido no pueda volver a ocurrir. De hecho se trata del primer problema grave de este tipo que hemos tenido, por lo que creemos que dicho proceso es fiable, siempre que (claro está) sea seguido estrictamente. Pero aún así tenemos que asegurarnos de que se refuerza en cada posible caso.

Además, estamos pensando en algunos nuevos sistemas de alertas tempranas. Por ejemplo, que ciertas personas muy vinculadas a avast! (usuarios avanzados pero que no pertenecen a la empresa en sí) tengan un número de teléfono dedicado para casos de emergencia. Si esto hubiera sido así, el problema habría sido contenido mucho más rápido y por tanto el daño causado considerablemente menor. Los sistemas de alertas automáticas todavía tienen su lugar, pero en muchos casos la intervención humana es lo mejor. Y es preferible ser alertados 10 veces por incidencias que no son tales, que no ser avisados de ninguna manera.

Todo el proceso en su totalidad será completamente revisado, y se establecerán planes de gestión de crisis. Planeamos hacer todo esto durante la próxima semana, y compartiremos nuestras conclusiones con vosotros.

Estamos realmente afectados por todo lo ocurrido, y lo sentimos muchísimo. Hemos aprendido mucho de este incidente y estamos asegurándonos de que nunca más pueda volver a suceder.

Así pues, si creéis en segundas oportunidades, por favor seguid con avast!. Sabemos que hemos metido la pata pero miramos hacia el futuro con ganas de seguir luchando y mejorando. Los creadores de virus no duermen.

Muchas gracias.

Copyright © 2005-2020 Anti-Virus.es Todos los derechos reservados. Aviso legal - Avast y sus logos son marcas registradas de Avast Software, s.r.o.

licensemap-markerlaptop-phonemenu-circlecross-circlearrow-left-circlearrow-right-circlelayers linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram