Network World, США
Способ, которым корпорация Microsoft решила защитить ядро своей операционной системы в новой 64-разрядной версии Windows Vista, продолжает оставаться предметом спора поставщиков средств безопасности. Некоторые из них утверждают, что такое решение оказывает негативное влияние на эффективность функционирования продуктов обнаружения вторжения и защиты от вредоносного программного обеспечения.
«Функция Vista Kernel Patch Protection, реализованная в компоненте PatchGuard, была интегрирована Microsoft в новую ОС для защиты от перехвата системных вызовов и предотвращения модификации системных структур», — отметил инженер компании Symantec Брюс Маккоркендэйл. Однако в продуктах Symantec, предназначенных для обнаружения вторжения и борьбы с вредоносными программами, используются недокументированные методы, которые официально не утверждены Microsoft в качестве средства борьбы с программами-шпионами и организации противодействия атакам. Ограничения PatchGuard в Windows снижают эффективность механизмов Symantec.
«Блокирование вредоносных действий и организация противодействия вторжению, поддерживаемая нашими продуктами, в определенной степени ниве?лиру?ется PatchGuard, — подчеркнул Маккоркендэйл. — Дело в том, что продукты Symantec проектировались для выполнения тех операций, которые считались абсолютно необходимыми — для обнаружения и ликвидации вредоносных программ, а также для нейтрализации атак, использующих любые средства, чтобы подорвать безопасность Windows. Иногда для предотвращения атак подобного рода нам приходилось прибегать к модернизации ядра. С появлением PatchGuard ситуация заметно осложняется».
Маккоркендэйл признает наличие юридических причин, которые заставляют Microsoft защищать ядро, и не настаивает на изъятии PatchGuard из операционной системы. Однако, по его мнению, отрасль систем безопасности заметно выиграла бы от включения в 64-разрядную версию Vista интерфейсов прикладных программ, обеспечивающих документированные способы выполнения таких технических процедур как фильтрация загрузки изображений, фильтрация средств управления памятью и фильтрация событий, генерируемых именованными объектами.
Между тем, в Authentium, небольшой компании, специализирующейся на системах информационной безопасности, сообщили о том, что будто бы нашли способ, позволяющий отключить PatchGuard, загрузить свои антивирусные и антишпионские средства и повторно активировать PatchGuard. По словам представителей Microsoft, прямых свидетельств вскрытия специалистами Authentium компонента PatchGuard пока не обнаружено. Однако в корпорации замечают, что манипуляции с PatchGuard представляют потенциальную угрозу для пользователей 64-разрядной версии Vista.
Впрочем, далеко не все поставщики программных средств безопасности критикуют включение компонента PatchGuard в состав Vista. Взвесив все «за» и «против», руководство компании Sophos не стало предъявлять Microsoft обвинений.
«Мы выстраиваем нашу технологию на основе поддерживаемых Microsoft интерфейсов и не пытаемся их дискредитировать, — заявили в Sophos. — Вот почему мы заранее подготовились к выпуску 64-разрядной версии Vista, в то время как другие — нет».