"Антивирусы не хотят отказываться от хакерских приемов"
Несмотря на то, что эксперты уже не раз обвиняли некоторых
производителей антивирусного ПО в использовании хакерских
руткит-технологий, последние не собираются отказываться от них. Чаще
других критике подвергаются "Лаборатория Касперского" и Symantec.
Термин
руткит (rootkit) исторически пришёл из мира UNIX, под ним понимается
набор программных средств, которые хакер устанавливает на взломанном
компьютере, чтобы закрепиться во взломанной системе и скрыть следы
своей деятельности. Этот набор, как правило, включает в себя
разнообразные утилиты для заметания следов и вторжения в систему. По
мнению Марка Руссиновича, главного архитектора программного обеспечения
Winternals Softwear, в антивирусных продуктах «Лаборатории Касперского»
используются руткит-технологии, непригодные с точки зрения экспертов по
компьютерной безопасности. Речь идет о продуктах, использующих NTFS
Alternate Data Streams для хранения контрольных сумм файлов,
находящихся на жестком диске компьютера.
Однако в «Лаборатории
Касперского» не согласны с обвинениями: «Думаю, нам следует четко
различать вредоносные руткит-технологии и технологии сокрытия, —
комментирует Евгений Касперский. — В наших продуктах действительно
используется технология iStreams, о которой и говорит Марк Руссинович,
но мы не считаем эту технологию руткитом и не верим, что ею могут
воспользоваться хакеры или вредоносные программы. Ведь если „Антивирус
Касперского“ запущен, то потоки скрыты, и ни один другой процесс,
включая системные, не может получить к ним доступа. Наши продукты
используют технологию iStreams для увеличения производительности.
Единственным негативным последствием применения этой технологии
является увеличение времени деинсталляции продукта, поскольку в
процессе деинсталляции необходимо удалить все данные из созданных
потоков».
Аналогичные упреки Марка Руссиновича были высказаны
и в адрес еще одного производителя защитных программных комплексов —
компании Symantec, регулярно рассказывающей в своих блогах о новых
хакерских руткит-приемах. Symantec использует методы маскировки для
сокрытия каталога, в котором хранятся резервные копии файлов. В
принципе, подобные приемы маскировки дают возможность хакерам скрыть
свои вредоносные программы в системе. Однако в Symantec уверяют, что
это сделано для того, чтобы предохранить файлы от случайного удаления
пользователем, и уже реализована функция отключения маскировки.
Впрочем,
не все компании используют руткит-технологии - например, российский
производитель антивирусного ПО — «Доктор Веб». Как прокомментировали
CNews в компании, «у нас нет целей скрывать наши файлы или процессы».
«Вообще говоря, такая технология может быть применена и антивирусными
продуктами с целью более эффективного обнаружения и лечения инфекции,
особенно так называемых руткитов и stealth-вирусов, — отмечают
разработчики из „Доктор Веба“. — В нашей компании ведутся исследования
по применению подобных технологий, но они не применяются в наших
коммерческих продуктах и носят, скорее, научный характер».
