Alta tasa de falsos positivos al escanear cargas con ClamAV

0

Tenemos una aplicación donde un círculo limitado de usuarios tiene que cargar archivos, en su mayoría datos en formato XML, pero también texto legible por humanos en PDF, Word, etc. Estos datos son muy confidenciales, por lo que cualquier comprobación de virus debe realizarse localmente. en nuestro servidor

El flujo de trabajo actual es que el usuario ve un cuadro de selección de archivos, los carga, y el archivo se escanea en nuestro servidor. Si se encuentra un virus, el archivo se rechaza y no se carga, por lo que el proceso de negocio se interrumpe y no puede continuar hasta que el usuario produzca algún otro archivo que sea aceptado.

Ya que estamos ejecutando un servidor Ubuntu, elegimos ClamAV como el escáner de virus. Con solo unas pocas subidas, hemos visto tasas excesivas de falsos positivos que son muy perjudiciales para nuestros usuarios. Tres ejemplos:

  • un archivo XML activó el antivirus. Descubrimos que pasa si se agrega una BOM .
  • un archivo PDF de la República Checa fue rechazado. Cuando se eliminaron los signos diacríticos del nombre de archivo, se aceptó.
  • se rechazó un estándar ISO que cargamos como archivo de prueba. Este es un PDF creado y vendido por la ISO directamente. No encontramos una manera de cambiarlo para que sea aceptado.

No es posible manejar cada uno de estos rechazos manualmente. ¿Cuáles son las alternativas que nos permiten corregir la tasa de falsos positivos de ClamAV o usar un proceso de exploración diferente (dentro de la restricción de que no permitimos que ningún servicio externo acceda a los datos)?

    
pregunta Rumi P. 21.03.2018 - 15:42
fuente

0 respuestas

Lea otras preguntas en las etiquetas