Служба новостей IDG, Сан-Франциско

Известный эксперт упрекает Symantec и «Лабораторию Касперского» в использовании методики rootkit

Марк Русинович, главный архитектор программного обеспечения компании Winternals Software, обнаруживший в конце прошлого года, что в программе Sony BMG Music Entertainment используется методика rootkit, теперь с теми же упреками обрушился на компании Symantec и «Лаборатория Касперского». Он утверждает, что методики, реализованные в Norton SystemWorks и в антивирусных продуктах «Лаборатории», относятся к категории rootkit. Этим термином, как правило, называют методы, часто используемые вредоносными программами для того, чтобы их нельзя было обнаружить на инфицированных ПК. Русинович настаивает, что ничто не может оправдать применение rootkit.

«Если производитель уверен, что реализация его программного обеспечения требует использования rootkit, то, как мне кажется, он должен изменить архитектуру своего решения», — заявил Русинович.

И в Symantec, и в «Лаборатории Касперского» признают, что их программное обеспечение скрывает информацию от системного инструментария, но они возражают против употребления самого термина rootkit, поскольку их программы изначально не предназначались для использования со злыми намерениями.

Русинович утверждает, что он обсуждал этот вопрос с представителями Symantec, и, хотя представители обеих сторон пришли к согласию о сути процесса маскировки, они по-разному определяют термин rootkit. В Symantec и «Лаборатории Касперского» предпочитают определение, которое учитывает истинные намерения автора такого кода, в то время как Русинович исходит из определения, описывающего только поведение программы.

Марк Русинович: «Если производитель уверен, что реализация его программного обеспечения требует использования rootkit, то, как мне кажется, он должен изменить архитектуру своего решения»

В Symantec не отрицают, что вопрос о том, что является rootkit, а что таковым не является, заслуживает серьезного внимания. Однако в компании хотели бы, чтобы в отрасли предприняли определенные шаги для того, чтобы дать точное определение термину rootkit, во многом так же, как это было сделано коалицией компаний и общественных организаций, получившей название Anti-Spyware Coalition, при введении в 2005 году термина «шпионская программа».

Пока же обе компании демонстрируют готовность реагировать на критику Русиновича.

В отличие от программного обеспечения Sony Extended Copy Protection, продукты Symantec и «Лаборатории Касперского» не скрывают того, что в компьютере работают определенные программные компоненты. Они скрывают лишь данные.

Программа настройки персональных компьютеров Symantec Norton SystemWorks использует методы маскировки для сокрытия каталога, в котором хранятся резервные копии файлов. По словам Вифера, такой метод применяется SystemWorks еще с 90-х годов для того, чтобы пользователи случайно не удалили эти файлы.

Компания Symantec уже выпустила заплату, отключающую функцию маскировки, поскольку хакеры теоретически могли использовать возможность маскировки SystemWorks для сокрытия файлов в системе. Вифер считает, что риск подобной угрозы минимален, поскольку большая часть программ защиты смогла бы без труда обнаружить эти скрытые файлы.

«Создавая эту возможность, мы руководствовались исключительно благими намерениями, — сказал он. — Но мы должны четко представлять себе, какова вероятность использования этой возможности во вред. Даже если риск невелик, правильнее было бы от такой функции отказаться».

«Лаборатория Касперского» использует программы сокрытия не столь давно. В версии Kaspersky Anti-Virus 5 компания реализовала этот метод для сокрытия информации о контрольной сумме, которая используется для определения того, какие файлы были просканированы, а какие нет.

Русинович согласился с тем, что методы маскировки, применяемые Symantec и «Лабораторией Касперского», не столь опасны, как технология Sony, которая была использована авторами вирусов, однако настаивает, что действия всех трех компаний не принесли ничего хорошего ни пользователям, ни ИТ-специалистам.

«Вы же не хотите, чтобы ваш администратор не знал, что есть в ваших системах, — сказал Русинович. — Отсутствие возможности проводить исчерпывающую инвентаризацию своего программного обеспечения и контролировать использование дискового пространства не сулит ничего хорошего».


Термин преткновения

После того как корпорация Symantec подверглась критике за то, что использовала rootkit-подобные механизмы в своем программном продукте Norton SystemWorks, ее представители обратились к участникам ИТ-отрасли с предложением совместными усилиями определить, что же на самом деле означает термин rootkit.

Подобная инициатива, по словам Винсента Вифера, директора по разработке Symantec Security Response, напоминает усилия, предпринятые отраслевой группой Anti-Spyware Coalition, попытавшейся дать определение программы-шпиона (spyware) и помочь разработчикам выявлять такое программное обеспечение.

Вифер пока не знает, какой именно орган будет использован для проведения этой дискуссии, однако он отметил, что одним из них может быть Information Technology Information Sharing and Analysis Center.

«Мы уже обратились к форуму производителей и исследователей систем защиты IT-ISAC с вопросом о том, могут ли они помочь нам в проведении такой открытой дискуссии, — сказал он. — По-видимому, они готовы этим заняться».

Как правило, под rootkit понимают набор средств, используемых хакерами для сокрытия присутствия в системе своих вредоносных файлов, но остается открытым вопрос о том, стоит ли все программы, которые используют методы сокрытия, называть rootkit.

То, как будет принято толковать термин rootkit, для Symantec, выпускающей программное обеспечение защиты, крайне важно, поскольку корпорация не хотела бы разделить участь Sony, которая в конце прошлого года подверглась жесткой критике за то, что использовала код rootkit в своем ПО управления цифровыми правами, поддерживающем расширенную защиту от копирования.

Эксперты по вопросам защиты согласны с тем, что программное обеспечение Sony значительно опаснее, чем решение Symantec, но, даже если программы Sony использовали методы сокрытия для усиления механизмов управления цифровыми правами, а не для захвата управления пользовательской системой, эта цель все же в большей степени ассоциируется с rootkit.

Марк Русинович, первым заявивший о том, что Sony использует rootkit, уверен, что необходимо дать более четкое техническое определение этого термина.

«Вопрос заключается в том, следует ли в определении учитывать намерение автора такого кода или не следует, — заметил Русинович, главный архитектор программного обеспечения компании Winternals Software. — Должно ли определение описывать только технологическую составляющую или оно должно учитывать и социальный компонент?»

Anti-Spyware Coalition добилась определенного успеха в своем начинании. В октябре она опубликовала предварительное определение шпионской программы и представила окончательные предложения относительно Risk Model Description, описания критериев, которые разработчики средств противодействия шпионским программам должны использовать для выявления этого злонамеренного кода.

Однако, как заметил Алан Паллер, директор по исследованиям института SANS Institute, готовящего специалистов по компьютерной защите, несмотря на то что инициатива Symantec может помочь специалистам в этой области, она никак не отразится на том, как данный термин используется.

«Не думаю, что можно запретить общественности и специалистам по маркетингу употреблять слова, вкладывая в них тот смысл, какой они хотят, — сказал он. — Поэтому, даже если бы существовало стандартное определение rootkit, оно не смогло бы исключить возможности иного использования этого термина».