Софтодром   
Windows Программы для Windows
Linux Программы для Linux
Android Приложения для Android
iOS Приложения для iPhone

Новости  Форумы

В Антивирусе Касперского руткитов нет



Новости    Безопасность


В блоге Лаборатории Касперского появилась статья с обоснованием позиции этой антивирусной компании по поводу мнения эксперта в области компьютерной безопасности Марка Руссиновича об использовании rootkit-технологий в антивирусных продуктах "Лаборатории Касперского".
Приводим полный текст этой статьи:


Марк Руссинович, известный эксперт в области компьютерной безопасности, активно участвовавший в скандале вокруг руткита Sony, предположил, что в наших продуктах также используются руткит-технологии. Его комментарии были приведены, например, сайтом PCWorld. Марк заявил следующее: «the techniques used by ... Kaspersky's Anti-Virus products are rootkits, a term usually reserved for the techniques that malicious software uses to avoid detection on an infected PC» («технологии, используемые в ... Антивирусе Касперского, являются руткитами, которые обычно применяются вредоносными программами для сокрытия своего присутствия на зараженном ПК»).

В наших продуктах действительно используется технология iStreams, о которой и говорит Руссинович. Но это никак не руткит.

Уже два года технология iStreams используется нами для увеличения скорости сканирования. Грубо говоря, наши продукты с технологией iStreams используют NTFS Alternate Data Streams для хранения контрольных сумм файлов, находящихся на жестком диске компьютера. Если контрольная сумма остается неизменной между двумя сканированиями файла, то это означает, что файл не изменялся с момента предыдущей проверки, и повторное сканирование не требуется.

Для просмотра альтернативных потоков данных NTFS необходимы специальные утилиты. Если антивирус запущен, то он скрывает созданные им потоки, поскольку они являются внутренней служебной информацией программы. Тот факт, что вы не можете увидеть эти потоки даже при помощи специальной утилиты, не делает их опасными. Это также не означает, что продукт, использующий подобные скрытые потоки содержит в себе руткит-технологии.

Мы не считаем эту технологию руткитом и не верим, что ей могут воспользоваться хакеры или вредоносные программы по следующим причинам:

  • Если Антивирус Касперского запущен, то потоки скрыты, и ни один другой процесс (включая системные) не может получить к ним доступа.
  • Если антивирус выгружен, то потоки становятся видимыми и их можно просмотреть при помощи соответствующих утилит (это стандартное поведение потоков NTFS).
  • Если поток переписан какими-либо (потенциально вредоносными) данными или кодом (например, после перезагрузки в безопасном режиме), то при следующей загрузке системы Антивирус Касперского прочитает потоки, не сумеет распознать их формат и построит базу контрольных сумм заново, удалив любые незнакомые ему данные и код.

В статье PCWorld также говорится следующее: «Хоть Руссинович и соглашается с тем, что применяемые Symantec и Kaspersky технологии сокрытия не так опасны, как технология Sony, которую довольно быстро начали использовать вирусописатели, он утверждает, что все три компании прибегают к методам, опасным для пользователей и непригодным с точки зрения экспертов по компьютерной безопасности».

Никакой опасности для пользователей Антивируса Касперского нет, поскольку нет возможности использовать создаваемые потоки данных иначе, чем задумано авторами антивируса. Думаю, нам следует четко различать вредоносные (или опасные) руткит-технологии и технологии сокрытия, которые не могут быть использованы вредоносными программами.

Наши продукты используют технологию iStreams для увеличения производительности. Единственным негативным последствием применения этой технологии является увеличение времени деинсталляции продукта, поскольку в процессе деинсталляции необходимо удалить все данные из созданных потоков. Только поэтому в следующей версии наших продуктов будет использоваться иная технология, обладающая аналогичными плюсами, но лишенная этого минуса.

Руссинович также сказал: «You don't want IT not knowing what's on the systems. ... Not being able to go to the system to do software inventory and disk space inventory, that's just not a good idea» («Нельзя, чтобы IT-профессионалы не знали, что содержится на их компьютерах. ... Невозможность установить, какие программы есть в вашем компьютере, чем заполнен ваш жесткий диск — это просто не самая хорошая идея»).

Я считаю, что никто не имеет возможности доподлинно знать, что находится в его компьютере. Единственный способ быть в этом уверенным — отформатировать жесткий диск. В этом случае вы точно знаете, что на диске нет ничего, кроме загрузочных секторов.

Разные программные продукты используют собственные форматы хранения данных, включая собственные форматы сжатия и шифрации. Таким образом, даже IT-профессионалы не знают, что находится внутри файлов подобных форматов. Я не знаю, что находится внутри каждого файла данных на моем собственном компьютере, как не знаю и всех слов из всех книг своей домашней библиотеки.

Суммируя: я считаю, что проблема «руткитов» чрезмерно раздута. Нам всем — и специалистам-экспертам, и журналистам — следует внимательнее относиться к используемым нами терминам. Нельзя дезинформировать обычных пользователей, неспособных самостоятельно разобраться в сути проблемы.

Автор: Softodrom.ru
Дата:

21.11.2024 20:13

Роскомнадзор раскрыл, какую информацию о VPN запретит в России

С 30 ноября в России вступают в силу новые ограничения, касающиеся распространения информации о VPN


06.11.2024 20:44

VK впервые проводит месяц борьбы с кибербуллингом

VK запускает «Месяц борьбы с кибербуллингом» — информационную кампанию, посвященную борьбе с травлей в интернете и за его пределами


23.10.2024 19:52

Роскомнадзор пригрозил блокировкой звонков в мессенджерах

В России будет разработан комплекс требований к иностранными мессенджерам


09.10.2024 14:05

Яндекс увеличил награду для охотников за ошибками в мобильных приложениях до 1 млн рублей

Яндекс выделил направление мобильных приложений в отдельную категорию программы «Охота за ошибками» и увеличил размер максимальной выплаты с 300 тысяч до 1 млн рублей


08.10.2024 23:10

Приложения «Лаборатории Касперского» больше не доступны в Google Play

Решение Google основано на недавнем запрете правительства США на распространение и продажу продуктов «Лаборатории Касперского», пояснили в компании


Популярное: Безопасность
29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


15.01.2023 09:34

15 бесплатных антивирусов для компьютера на Windows

Софтодром составил подборку из 15 бесплатных антивирусных программ для компьютера на Windows


07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


29.11.2017 23:52

Как защитить файл или папку паролем в Windows

Что делать, если вы используете компьютер под управлением Windows и вдруг решили защитить какой-либо файл или папку паролем, чтобы посторонние не могли узнать, что у вас там находится


20.06.2008 22:23

Самые популярные антивирусы в России по версии Comcon

Компания Comcon провела исследование распространения антивирусных решений среди российских пользователей



Ищете, где скачать бесплатные программы?

Скачать бесплатные программы для компьютера на Windows и смартфона на iOS или Android можно на Софтодроме. На данный момент в каталоге Софтодрома представлено более 13 000 бесплатных программ для Windows, iOS, Android и Linux.
Все рубрики статей (3790 / 212):


Программы для Windows | Приложения для Android | Приложения для iPhone | Программы для Linux
Статистика | Рейтинги | Авторам | Рассылки
Copyright © 1999-2024 Softodrom.ru
Реклама | О проекте | О перепечатках | Пользовательское соглашение | Политика конфиденциальности | Карта сайта