|
|
Антивирусы не хотят отказываться от хакерских приемов
Несмотря на то, что эксперты уже не раз обвиняли некоторых производителей антивирусного ПО в использовании хакерских
руткит-технологий, последние не собираются отказываться от них. Чаще других критике подвергаются "Лаборатория
Касперского" и Symantec.
|
Термин руткит (rootkit) исторически пришёл из мира UNIX, под ним понимается набор программных средств, которые хакер
устанавливает на взломанном компьютере, чтобы закрепиться во взломанной системе и скрыть следы своей деятельности.
Этот набор, как правило, включает в себя разнообразные утилиты для заметания следов и вторжения в систему. По мнению
Марка Руссиновича, главного архитектора программного обеспечения Winternals Softwear, в антивирусных продуктах
"Лаборатории Касперского" используются руткит-технологии, непригодные с точки зрения экспертов по компьютерной
безопасности. Речь идет о продуктах, использующих NTFS Alternate Data Streams для хранения контрольных сумм файлов,
находящихся на жестком диске компьютера.
Однако в "Лаборатории Касперского" не согласны с обвинениями: "Думаю, нам следует четко различать вредоносные
руткит-технологии и технологии сокрытия, - комментирует Евгений Касперский. - В наших продуктах действительно
используется технология iStreams, о которой и говорит Марк Руссинович, но мы не считаем эту технологию руткитом
и не верим, что ею могут воспользоваться хакеры или вредоносные программы. Ведь если "Антивирус Касперского" запущен,
то потоки скрыты, и ни один другой процесс, включая системные, не может получить к ним доступа. Наши продукты используют
технологию iStreams для увеличения производительности. Единственным негативным последствием применения этой технологии
является увеличение времени деинсталляции продукта, поскольку в процессе деинсталляции необходимо удалить все данные из
созданных потоков".
Аналогичные упреки Марка Руссиновича были высказаны и в адрес еще одного производителя защитных программных комплексов
- компании Symantec, регулярно рассказывающей в своих блогах о новых хакерских руткит-приемах. Symantec использует
методы маскировки для сокрытия каталога, в котором хранятся резервные копии файлов. В принципе, подобные приемы
маскировки дают возможность хакерам скрыть свои вредоносные программы в системе. Однако в Symantec уверяют, что
это сделано для того, чтобы предохранить файлы от случайного удаления пользователем, и уже реализована функция
отключения маскировки.
Впрочем, не все компании используют руткит-технологии - например, российский производитель антивирусного ПО -
"Доктор Веб". Как прокомментировали CNews в компании, "у нас нет целей скрывать наши файлы или процессы".
"Вообще говоря, такая технология может быть применена и антивирусными продуктами с целью более эффективного
обнаружения и лечения инфекции, особенно так называемых руткитов и stealth-вирусов, - отмечают разработчики из
"Доктор Веба". - В нашей компании ведутся исследования по применению подобных технологий, но они не применяются
в наших коммерческих продуктах и носят, скорее, научный характер".
Источник информации - CNews.ru
|
| | |
