Антивирусы не хотят отказываться от хакерских приемов
Несмотря на то, что эксперты уже не раз обвиняли некоторых производителей антивирусного ПО в использовании хакерских руткит-технологий, последние не собираются отказываться от них.
Чаще других критике подвергаются "Лаборатория Касперского" и Symantec.
Термин руткит (rootkit) исторически пришёл из мира UNIX, под ним понимается набор программных средств, которые хакер устанавливает на взломанном компьютере, чтобы закрепиться во взломанной системе и скрыть следы своей деятельности. Этот набор, как правило, включает в себя разнообразные утилиты для заметания следов и вторжения в систему.
По мнению Марка Руссиновича, главного архитектора программного обеспечения Winternals Softwear, в антивирусных продуктах "Лаборатории Касперского" используются руткит-технологии, непригодные с точки зрения экспертов по компьютерной безопасности. Речь идет о продуктах, использующих NTFS Alternate Data Streams для хранения контрольных сумм файлов, находящихся на жестком диске компьютера.
Однако в "Лаборатории Касперского" не согласны с обвинениями: "Думаю, нам следует четко различать вредоносные руткит-технологии и технологии сокрытия, - комментирует Евгений Касперский. - В наших продуктах действительно используется технология iStreams, о которой и говорит Марк Руссинович, но мы не считаем эту технологию руткитом и не верим, что ею могут воспользоваться хакеры или вредоносные программы.
Ведь если "Антивирус Касперского" запущен, то потоки скрыты, и ни один другой процесс, включая системные, не может получить к ним доступа. Наши продукты используют технологию iStreams для увеличения производительности. Единственным негативным последствием применения этой технологии является увеличение времени деинсталляции продукта, поскольку в процессе деинсталляции необходимо удалить все данные из созданных потоков".
Аналогичные упреки Марка Руссиновича были высказаны и в адрес еще одного производителя защитных программных комплексов - компании Symantec, регулярно рассказывающей в своих блогах о новых хакерских руткит-приемах. Symantec использует методы маскировки для сокрытия каталога, в котором хранятся резервные копии файлов. В принципе, подобные приемы маскировки дают возможность хакерам скрыть свои вредоносные программы в системе. Однако в Symantec уверяют, что это сделано для того, чтобы предохранить файлы от случайного удаления пользователем, и уже реализована функция отключения маскировки.
Впрочем, не все компании используют руткит-технологии - например, российский производитель антивирусного ПО - "Доктор Веб". Как прокомментировали CNews в компании, "у нас нет целей скрывать наши файлы или процессы". "Вообще говоря, такая технология может быть применена и антивирусными продуктами с целью более эффективного обнаружения и лечения инфекции, особенно так называемых руткитов и stealth-вирусов, - отмечают разработчики из "Доктор Веба". - В нашей компании ведутся исследования по применению подобных технологий, но они не применяются в наших коммерческих продуктах и носят, скорее, научный характер".
|
