В блоге Лаборатории Касперского появилась статья с обоснованием позиции этой антивирусной компании по поводу мнения эксперта в области компьютерной безопасности Марка Руссиновича об использовании rootkit-технологий в антивирусных продуктах "Лаборатории Касперского".
Приводим полный текст этой статьи:
Марк Руссинович, известный эксперт в области компьютерной безопасности, активно участвовавший в скандале вокруг руткита Sony, предположил, что в наших продуктах также используются руткит-технологии. Его комментарии были приведены, например, сайтом PCWorld. Марк заявил следующее: «the techniques used by ... Kaspersky's Anti-Virus products are rootkits, a term usually reserved for the techniques that malicious software uses to avoid detection on an infected PC» («технологии, используемые в ... Антивирусе Касперского, являются руткитами, которые обычно применяются вредоносными программами для сокрытия своего присутствия на зараженном ПК»).В наших продуктах действительно используется технология iStreams, о которой и говорит Руссинович. Но это никак не руткит.
Уже два года технология iStreams используется нами для увеличения скорости сканирования. Грубо говоря, наши продукты с технологией iStreams используют NTFS Alternate Data Streams для хранения контрольных сумм файлов, находящихся на жестком диске компьютера. Если контрольная сумма остается неизменной между двумя сканированиями файла, то это означает, что файл не изменялся с момента предыдущей проверки, и повторное сканирование не требуется.
Для просмотра альтернативных потоков данных NTFS необходимы специальные утилиты. Если антивирус запущен, то он скрывает созданные им потоки, поскольку они являются внутренней служебной информацией программы. Тот факт, что вы не можете увидеть эти потоки даже при помощи специальной утилиты, не делает их опасными. Это также не означает, что продукт, использующий подобные скрытые потоки содержит в себе руткит-технологии.
Мы не считаем эту технологию руткитом и не верим, что ей могут воспользоваться хакеры или вредоносные программы по следующим причинам:
- Если Антивирус Касперского запущен, то потоки скрыты, и ни один другой процесс (включая системные) не может получить к ним доступа.
- Если антивирус выгружен, то потоки становятся видимыми и их можно просмотреть при помощи соответствующих утилит (это стандартное поведение потоков NTFS).
- Если поток переписан какими-либо (потенциально вредоносными) данными или кодом (например, после перезагрузки в безопасном режиме), то при следующей загрузке системы Антивирус Касперского прочитает потоки, не сумеет распознать их формат и построит базу контрольных сумм заново, удалив любые незнакомые ему данные и код.
В статье PCWorld также говорится следующее: «Хоть Руссинович и соглашается с тем, что применяемые Symantec и Kaspersky технологии сокрытия не так опасны, как технология Sony, которую довольно быстро начали использовать вирусописатели, он утверждает, что все три компании прибегают к методам, опасным для пользователей и непригодным с точки зрения экспертов по компьютерной безопасности».
Никакой опасности для пользователей Антивируса Касперского нет, поскольку нет возможности использовать создаваемые потоки данных иначе, чем задумано авторами антивируса. Думаю, нам следует четко различать вредоносные (или опасные) руткит-технологии и технологии сокрытия, которые не могут быть использованы вредоносными программами.
Наши продукты используют технологию iStreams для увеличения производительности. Единственным негативным последствием применения этой технологии является увеличение времени деинсталляции продукта, поскольку в процессе деинсталляции необходимо удалить все данные из созданных потоков. Только поэтому в следующей версии наших продуктов будет использоваться иная технология, обладающая аналогичными плюсами, но лишенная этого минуса.
Руссинович также сказал: «You don't want IT not knowing what's on the systems. ... Not being able to go to the system to do software inventory and disk space inventory, that's just not a good idea» («Нельзя, чтобы IT-профессионалы не знали, что содержится на их компьютерах. ... Невозможность установить, какие программы есть в вашем компьютере, чем заполнен ваш жесткий диск — это просто не самая хорошая идея»).
Я считаю, что никто не имеет возможности доподлинно знать, что находится в его компьютере. Единственный способ быть в этом уверенным — отформатировать жесткий диск. В этом случае вы точно знаете, что на диске нет ничего, кроме загрузочных секторов.
Разные программные продукты используют собственные форматы хранения данных, включая собственные форматы сжатия и шифрации. Таким образом, даже IT-профессионалы не знают, что находится внутри файлов подобных форматов. Я не знаю, что находится внутри каждого файла данных на моем собственном компьютере, как не знаю и всех слов из всех книг своей домашней библиотеки.
Суммируя: я считаю, что проблема «руткитов» чрезмерно раздута. Нам всем — и специалистам-экспертам, и журналистам — следует внимательнее относиться к используемым нами терминам. Нельзя дезинформировать обычных пользователей, неспособных самостоятельно разобраться в сути проблемы.