Перейти к содержанию
VladB

Лаборатория Касперского комментирует обвинение в использован

Recommended Posts

VladB

13 января, 2006

http://www.securitylab.ru/news/254796.php?...amp;R2=Sitenews

Марк Руссинович, известный эксперт в области компьютерной безопасности, активно участвовавший в скандале вокруг руткита Sony, предположил, что в продуктах Лаборатории Касперского также используются руткит-технологии. Его комментарии были приведены, например, сайтом PCWorld. Марк заявил следующее: «the techniques used by ... Kaspersky's Anti-Virus products are rootkits, a term usually reserved for the techniques that malicious software uses to avoid detection on an infected PC» («технологии, используемые в ... Антивирусе Касперского, являются руткитами, которые обычно применяются вредоносными программами для сокрытия своего присутствия на зараженном ПК»).

В продуктах ЛК действительно используется технология iStreams, о которой и говорит Руссинович. Но это никак не руткит.

Уже два года технология iStreams используется ЛК для увеличения скорости сканирования. Грубо говоря, продукты с технологией iStreams используют NTFS Alternate Data Streams для хранения контрольных сумм файлов, находящихся на жестком диске компьютера. Если контрольная сумма остается неизменной между двумя сканированиями файла, то это означает, что файл не изменялся с момента предыдущей проверки, и повторное сканирование не требуется.

Для просмотра альтернативных потоков данных NTFS необходимы специальные утилиты. Если антивирус запущен, то он скрывает созданные им потоки, поскольку они являются внутренней служебной информацией программы. Тот факт, что вы не можете увидеть эти потоки даже при помощи специальной утилиты, не делает их опасными. Это также не означает, что продукт, использующий подобные скрытые потоки содержит в себе руткит-технологии.

ЛК не считает эту технологию руткитом и не верит, что ей могут воспользоваться хакеры или вредоносные программы по следующим причинам:

Если Антивирус Касперского запущен, то потоки скрыты, и ни один другой процесс (включая системные) не может получить к ним доступа.

Если антивирус выгружен, то потоки становятся видимыми и их можно просмотреть при помощи соответствующих утилит (это стандартное поведение потоков NTFS).

Если поток переписан какими-либо (потенциально вредоносными) данными или кодом (например, после перезагрузки в безопасном режиме), то при следующей загрузке системы Антивирус Касперского прочитает потоки, не сумеет распознать их формат и построит базу контрольных сумм заново, удалив любые незнакомые ему данные и код.

В статье PCWorld также говорится следующее: «Хоть Руссинович и соглашается с тем, что применяемые Symantec и Kaspersky технологии сокрытия не так опасны, как технологии Sony, которую довольно быстро начали использовать вирусописатели, он утверждает, что все три компании прибегают к методам, опасным для пользователей и непригодным с точки зрения экспертов по компьютерной безопасности».

ЛК считает, что никакой опасности для пользователей Антивируса Касперского нет, поскольку нет возможности использовать создаваемые потоки данных иначе, чем задумано авторами антивируса.

Единственным негативным последствием применения этой технологии является увеличение времени деинсталляции продукта, поскольку в процессе деинсталляции необходимо удалить все данные из созданных потоков. Только поэтому в следующей версии наших продуктов будет использоваться иная технология, обладающая аналогичными плюсами, но лишенная этого минуса.

Руссинович также сказал: «You don't want IT not knowing what's on the systems. ... Not being able to go to the system to do software inventory and disk space inventory, that's just not a good idea» («Нельзя, чтобы IT-профессионалы не знали, что содержится на их компьютерах. ... Невозможность установить, какие программы есть в вашем компьютере, чем заполнен ваш жесткий диск — это просто не самая хорошая идея»).

ЛК считает, что никто не имеет возможности доподлинно знать, что находится в его компьютере. Единственный способ быть в этом уверенным — отформатировать жесткий диск. В этом случае вы точно знаете, что на диске нет ничего, кроме загрузочных секторов.

Разные программные продукты используют собственные форматы хранения данных, включая собственные форматы сжатия и шифрации. Таким образом, даже IT-профессионалы не знают, что находится внутри файлов подобных форматов. Я не знаю, что находится внутри каждого файла данных на моем собственном компьютере, как не знаю и всех слов из всех книг своей домашней библиотеки.

ЛК считает, что проблема «руткитов» чрезмерно раздута. Всем — и специалистам-экспертам, и журналистам — следует внимательнее относиться к используемым нами терминам. Нельзя дезинформировать обычных пользователей, неспособных самостоятельно разобраться в сути проблемы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вот оригинал статьи http://www.pcworld.com/news/article/0,aid,124365,00.asp

Кстати, она также касается продуктов Symantec, но в русской версии, почему-то это умалчивается :clever:

Автор просто решил пропиариться на гребне волны, возникшей после скандала с руткитом Sony.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Вот оригинал статьи http://www.pcworld.com/news/article/0,aid,124365,00.asp

Кстати, она также касается продуктов Symantec, но в русской версии, почему-то это умалчивается :clever:

Автор просто решил пропиариться на гребне волны, возникшей после скандала с руткитом Sony.

Выложить официальный ответ ЛК?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Выложить официальный ответ ЛК?

У них преза вышла на этой счет на той неделе.

http://www.kaspersky.ru/news?id=177713739

Или есть что-то еще?

В последнее время широкий резонанс в СМИ начинает получать сообщение эксперта в области компьютерной безопасности Марка Руссиновича (Mark Russinovich) об использовании rootkit-технологий в антивирусных продуктах «Лаборатории Касперского». Учитывая пристальное внимание компьютерного сообщества, «Лаборатория Касперского» считает необходимым предоставить официальные комментарии по данному инциденту.

Марк Руссинович считает, что «Лаборатория Касперского» использует некоторые особенности rootkit-технологий в своих продуктах. «Лаборатория Касперского» сообщает, что технология iStreams™, используемая в Антивирусе Касперского, не может быть применена злоумышленниками с целью нанесения вреда пользователям, у которых установлен данный продукт, и использование термина «rootkit» для ее описания не является корректным.

Данная технология впервые была представлена в пятой версии антивирусных продуктов «Лаборатории Касперского» два года назад. iStreams позволяет повышать производительность процесса сканирования на компьютере пользователя за счет использования альтернативных потоков данных NTFS для хранения данных о контрольных суммах файлов в системе пользователя. Если контрольная сумма файла остается неизменной со времени последнего сканирования, антивирусная программа понимает, что никаких действий с файлом не производилось и повторное сканирование осуществлять не нужно.

Для просмотра альтернативных потоков данных NTFS требуются специальные программы. Тот факт, что эти потоки данных не являются видимыми в автоматическом режиме, не означает, что технология, их использующая, является вредоносной.

По мнению экспертов «Лаборатории Касперского», технология iStreams не содержит в себе rootkit, позволяющий злоумышленнику нанести вред компьютерам пользователей. Если Антивирус Касперского активен, потоки скрыты и к ним нет доступа со стороны любых процессов, включая системные. Если продукт отключен, то потоки становятся видимыми при помощи специальных программ. Если поток перезаписан какими-либо (возможно, вредоносными) данными (например, после перезагрузки компьютера в безопасном режиме), то в момент следующей перезагрузки системы Антивирус Касперского при чтении потока не распознает формат и начинает формирование базы данных контрольных сумм файлов заново. Таким образом, вредоносные данные уничтожаются.

Технология iStreams предоставляет пользователям Антивируса Касперского ощутимые преимущества в плане производительности, при этом не представляя собой никакой опасности при использовании продукта. Единственным небольшим недостатком данной технологии является то, что на деинсталляцию антивирусной программы требуется больше времени, так как необходимо удалить данные из потоков. По этой причине специалисты «Лаборатории Касперского» планируют внедрение в следующей версии Антивируса Касперского альтернативного механизма, не использующего технологию iStreams, для обеспечения того же уровня производительности.

Более подробные комментарии Евгения Касперского, руководителя антивирусных исследований «Лаборатории Касперского», доступны по адресу www.viruslist.com/ru/weblog?weblogid=177713438.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

Обратите внимание на:

По этой причине специалисты «Лаборатории Касперского» планируют внедрение в следующей версии Антивируса Касперского альтернативного механизма, не использующего технологию iStreams, для обеспечения того же уровня производительности.

Ну не верю я, что будут отказываться от данной технологии (которая дает реальные преимущества по словам г-на Касперского) из-за

увеличения времени деинсталляции

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Обратите внимание на:
По этой причине специалисты «Лаборатории Касперского» планируют внедрение в следующей версии Антивируса Касперского альтернативного механизма, не использующего технологию iStreams, для обеспечения того же уровня производительности.

Ну не верю я, что будут отказываться от данной технологии (которая дает реальные преимущества по словам г-на Касперского) из-за

увеличения времени деинсталляции

Согласен. Да и в конце-концов, ну дольше деинсталляция и что? Что каждый день деинсталлируешь???

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
Ну не верю я' date=' что будут отказываться от данной технологии (которая дает реальные преимущества по словам г-на Касперского) из-за
увеличения времени деинсталляции

Я тоже слышал, что от нее отказываются.

На эту технологию много нареканий, основное - после нее остаются хвосты, хотя уже начиная с первого MP (KAV Personal) при сносе антивируса есть опция - удалить файлы-потоки NTFS или оставить.

Но все равно один только этот вопрос многих юзеров пугает :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lex

т.е. знает кошка, чье мясо съела...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
т.е. знает кошка, чье мясо съела...

И что? Работает! Вот что главное! А после себя при деинсталляции сносит корректно все хвосты. И я считаю это нормальным!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Обратите внимание на:
По этой причине специалисты «Лаборатории Касперского» планируют внедрение в следующей версии Антивируса Касперского альтернативного механизма, не использующего технологию iStreams, для обеспечения того же уровня производительности.

Ну не верю я, что будут отказываться от данной технологии (которая дает реальные преимущества по словам г-на Касперского) из-за

увеличения времени деинсталляции

Уже отказались, в 6-ке стримы не используются совсем

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Andrew

А чем компенсируется отказ от стримов?

Я знаю в 6-ке есть оптимизация через проверку только новых и измененных файлов, ограничение области мониторинга, исключение процессов из проверки (очень актуально).

Если ли что-то еще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Andrew
Andrew

А чем компенсируется отказ от стримов?

Я знаю в 6-ке есть оптимизация через проверку только новых и измененных файлов, ограничение области мониторинга, исключение процессов из проверки (очень актуально).

Если ли что-то еще?

Используется БД, т.е. стримовые данные упакованны в отдельный файл

Причина перехода - жалобы пользователей на стримы (хотя при инсталляции есть возможность отказаться от использования) - просто не нравится пользователям, конфликты с некоторыми системами бакапа, предупреждения эксплорера что при копировании на фат могут теряться данные (т.е. этот стрим не может быть скопирован).

Добавлено спустя 2 минуты 15 секунд:

Andrew

Я знаю в 6-ке есть оптимизация через проверку только новых и измененных файлов, ограничение области мониторинга, исключение процессов из проверки (очень актуально).

Если ли что-то еще?

Угу, всё правильно. Добавлены режимы работы OAS - стандартная проверка (старый режим), смарт (текущий), по запуску, по открытию

К сожалению последние два пока только в серверных версиях...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Кстати улучшение быстродействия на лицо, у меня сейчас дома стоит KIS 2006 бета-2, работает заметно быстрее чем старая связка Outpost Pro + Kaspersky Personal 5.0

Прямо вторая жизнь моего совсем не нового ноута :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Кстати улучшение быстродействия на лицо, у меня сейчас дома стоит KIS 2006 бета-2, работает заметно быстрее чем старая связка Outpost Pro + Kaspersky Personal 5.0

внушительно, надо испытать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
AM_Bot

Посты про проверку заблокированных (sharing/lock) файлов я выделил для удобства в отдельную ветку

http://www.anti-malware.ru/phpbb/viewtopic.php?t=452

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
VladB
Кстати улучшение быстродействия на лицо, у меня сейчас дома стоит KIS 2006 бета-2, работает заметно быстрее чем старая связка Outpost Pro + Kaspersky Personal 5.0

внушительно, надо испытать.

Действительно, работает значительно быстрее

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×