16 stycznia 2006

W produktach Kaspersky Anti-Virus nie ma rootkita

Firma Kaspersky Lab, producent oprogramowania służącego do ochrony danych, odpowiada na zarzuty Marka Russinovicha dotyczące rzekomego wykorzystywania rootkita w technologii iStreams obecnej w produktach Kaspersky Anti-Virus.

Mark Russinovich, ekspert z dziedziny bezpieczeństwa IT, ogłosił niedawno, że firma Kaspersky Lab wykorzystuje w swoich produktach antywirusowych technologię "rootkit". Zarzuty te dotyczą mechanizmu iStreams, który jest obecny w oprogramowaniu Kaspersky Anti-Virus. Zdaniem ekspertów z firmy Kaspersky Lab mechanizm iStreams w żaden sposób nie może zostać wykorzystany przez cyberprzestępców i nazywanie tej technologii rootkitem jest błędem.

iStreams to technologia wprowadzona ponad dwa lata temu wraz z linią produktów Kaspersky Anti-Virus 5.x. Służy ona do zwiększenia wydajności skanowania antywirusowego. Mówiąc ogólnie, produkty Kaspersky Anti-Virus korzystają z alternatywnych strumieni NTFS do przechowywania sum kontrolnych plików zapisanych w komputerze. Jeżeli suma kontrolna obiektów nie zmienia się od jednego skanowania do drugiego, wówczas wiadomo, że nie wymagają one kolejnego testu antywirusowego.

Alternatywne strumienie NTFS nie są widoczne "gołym okiem". Do ich przeglądania potrzebne są specjalne narzędzia. Po uaktywnieniu Kaspersky Anti-Virus ukrywa swoje strumienie, ponieważ mają one wyłącznie wewnętrzne zastosowanie. To, że nie można ich zobaczyć, nie oznacza, że są one szkodliwe. Nie znaczy to także, że produkt wykorzystujący i ukrywający te strumienie korzysta z technologii rootkit.

Eksperci z firmy Kaspersky Lab mają pewność, że wykorzystywana przez nich technologia nie jest rootkitem oraz, że hakerzy i szkodliwe programy nie mogą jej użyć z poniższych powodów:

  1. Gdy produkt Kaspersky Anti-Virus jest aktywny, jego strumienie są ukryte i żadne procesy (włączając systemowe) nie mogą uzyskać do nich dostępu.
  2. Po wyłączeniu produktu jego strumienie będą widoczne dla specjalnych narzędzi (wykorzystywanych standardowo do pracy ze strumieniami NTFS).
  3. Jeżeli strumień zostanie zastąpiony innymi (potencjalnie szkodliwymi) danymi lub kodem (przykładowo po uruchomieniu komputera w trybie awaryjnym), podczas kolejnego uruchamiania systemu Kaspersky Anti-Virus odczyta ten strumień i nie rozpozna jego formatu. Program rozpocznie odbudowywanie bazy sum kontrolnych, niszcząc tym samym obcy kod oraz dane.

Kaspersky Lab wykorzystuje technologię iStreams wyłącznie w celu zwiększenia wydajności. Jedyną jej wadą jest zwiększenie czasu potrzebnego na ponowne zainstalowanie produktu - dane muszą zostać usunięte ze strumieni. Ze względu na to zwiększenie czasu reinstalacji, i z żadnych innych powodów, kolejna wersja produktu Kaspersky Anti-Virus będzie wykorzystywać inną technologię do osiągnięcia tych samych korzyści.

"Użytkownicy produktów Kaspersky Anti-Virus nie są w żaden sposób zagrożeni, ponieważ wykorzystanie strumieni KAV do szkodliwych celów jest po prostu niemożliwe", mówi Eugene Kaspersky, twórca programu Kaspersky Anti-Virus i szef laboratorium antywirusowego. "Uważam, że rozmawiając o bezpieczeństwie musimy zwracać uwagę na różnicę między szkodliwymi (lub niebezpiecznymi) rootkitami a technikami maskującymi, które nie mogą zostać wykorzystane przez szkodliwe aplikacje. Warto przypomnieć wszystkim ekspertom z branży IT oraz dziennikarzom, aby poprawnie i rozsądnie używali różnych terminów. Użytkownicy, którzy nie są w stanie samodzielnie przeanalizować podawanych informacji, nie mogą być wprowadzani w błąd."

Eugene Kaspersky skomentował tę kwestię w Dzienniku Analityków dostępnym w Encyklopedii Wirusów firmy Kaspersky Lab: http://viruslist.pl/weblog.html.