Форум программистов, компьютерный форум, киберфорум
Наши страницы
Компьютерная безопасность
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.75/8: Рейтинг темы: голосов - 8, средняя оценка - 4.75
mik-a-el
Администратор
71971 / 41242 / 241
Регистрация: 10.04.2006
Сообщений: 12,741
1

Опыт: «Доктор Веб» взломал песочницу «Касперского»

01.09.2009, 10:14. Просмотров 1371. Ответов 7
Метки нет (Все метки)

Специалисты компании «Доктор Веб» сумели в ряде тестов обойти защиту «безопасной среды», реализованной в новом продукте «Лаборатории Касперского» - Kaspersky Internet Security 2010. Эксперты же говорят, что эффективность «песочницы» доказана рядом независимых тестовых лабораторий, а найти слабые места можно в любой, даже самой надежной технологии.

Технология Sandbox («песочницы», позиционируемой в рамках концепции Green Zone — «безопасной среды»), впервые появившаяся в комплексном решении Kaspersky Internet Security 2010 (антивирус, антиспам, защита от атак), привлекла пристальное внимание конкурентов «ЛК». Напомним, что «песочница» позволяет запускать подозрительные программы и веб-сайты в изолированном виртуальном пространстве. «Мы не могли удержаться от тестирования новой технологии наших коллег, — рассказали CNews в компании „Доктор Веб“. — Поскольку идея „песочниц“ не нова и довольно много антивирусных компаний уже долгое время имеют схожие разработки, а также в связи с тем, что наша антивирусная лаборатория постоянно ведет исследования в этой области, подобная информация, естественно, представляет для нас большой интерес».

«Для выполнения первого теста файловый менеджер FAR был помещен в «песочницу» и запущен на исполнение, — описывают свой эксперимент в «Доктор Веб». — Далее из Сети были взяты четыре эксплойта, использующие уязвимости ОС Windows. Вредоносные файлы не были задетектированы средствами KIS (не сработала ни эвристика, ни HIPS) и запущены на исполнение. В результате все эксплойты выполнили свое предназначение (переход в режим ядра ОС), а «песочница» так и не осуществила свою миссию, доказательством чему был синий экран смерти Windows (BSoD). Операционной системе был нанесен безусловный вред».

В другом тесте была произведена проверка на способность изолировать изменения файловой системы внутри Green Zone. «Обычные операции над файлами никак не повлияли на работоспособность основной системы, — продолжают в «Доктор Веб». — Но изменяя стандартный синтаксис имени файла на его аналог через сетевой редиректор (как это делал, например, вирус Win32.Ntldrbot), можно получить полный доступ к системе за пределами «песочницы» и способность изменять критически важные объекты. Так, простой командный файл (bat) из двух строк с легкостью удаляет файл c:\ntldr, что приводит к полной неработоспособности всей системы после перезагрузки». Таким образом, резюмируют в «Доктор Веб», Green Zone на самом деле совершенно не гарантирует, что вредоносные программы не смогут нанести вред операционной системе и файлам пользователя, как было заявлено при запуске KIS 2010.

В «Лаборатории Касперского» CNews заявили, что комментировать действия конкурента не станут. В свою очередь, Илья Шабанов, руководитель лаборатории Anti-Malware.ru, тестировавшей технологию «песочницы» от «ЛК» (в чьих тестах Sandbox показал очень высокую эффективность), рассказал CNews, что описанный эксперимент вызывает недоумение. «Во-первых, недостаточно деталей, какие именно эксплойты брались, какие были настройки ПО, какая платформа использовалась. — говорит он. — Во-вторых, ни одна технология просто не может гарантировать 100-процентной защиты: найти уязвимое место (подобрать специальный экземпляр вируса или эксплойта) можно всегда, тем более, если это делать целенаправленно для очернения конкурента».

Шабанов также отмечает, что Sandbox никогда и не позиционировался в качестве абсолютной защиты: «Это всего лишь еще один, последний уровень защиты, который в большем количестве случаем поможет клиенту защитить себя от вредоносных программ. Подобные „откровения“ от „Доктор Веб“ вызывают недоумение, так как в их продуктах ничего похожего нет и не анонсировано на ближайшую перспективу».

С вопросом о том, насколько достоверны результаты тестов, описанных «Доктор Веб», CNews обратился к еще одному отечественному разработчику защитных решений — компании Agnitum, известной на рынке благодаря персональному брандмауэру Outpost (в котором технология Sandbox была внедрена еще в 2003 г.) Павел Кунышев, руководитель отдела системного программирования Agnitum, как и его коллега из Anti-Malware.ru, отметил, что для повторения эксперимента необходимы точные данные о специфических эксплойтах и наличие их исполняемых образцов. «В идеале такие исследования делаются с записью видеодемонстрации, тщательным контролем состояния системы и работы защитного ПО, — объяснил он. — В данном случае мы не располагаем такими результатами тестов, что снижает их достоверность».

Однако, по словам Кунышева, в эксперименте действительно могли быть выявлены проблемы с алгоритмом классификации приложений, помещенных в «недоверенную зону» и в Green Zone соответственно. «Полагаем, что эта ошибка может быть оперативно исправлена и выпущена с обновлениями продуктов «Лаборатории Касперского», — считает специалист. — Описываемые уязвимости, скорее всего, относятся непосредственно к ядру Windows и не всегда могут быть закрыты за счет работы только антивирусных приложений, требуя инициативы Microsoft по закрытию данной „бреши“». Эксперт полагает, что судя по описываемым признакам («экранам смерти»), вызваны они, скорее, ошибкой в работе операционной системы — видимо, эксплуатировалась уязвимость одного из драйверов ОС, не связанная напрямую с работой защитного приложения.

Павел Кунышев, тем не менее, подчеркивает, что ситуация, смоделированная аналитиками «Доктор Веб» на конкретных эксплоитах, блокируемых их продуктом, не может являться основанием для столь принципиального отрицания эффективности технологии Sandbox. «Эффективность „песочницы“ доказана рядом независимых тестовых лабораторий — например, проектом Proactive Security Challenge портала Transparent Security Matousec.com и тестами лаборатории Anti-Malware.ru, проводимыми независимыми вирусными аналитиками и разработчиками защитного ПО», — напоминает он.

Виталий Янко, коммерческий директор Agnitum, в свою очередь, добавляет, что исследование «Доктор Веб» могло бы иметь существенный вес, если бы исходило от независимой тестовой лаборатории. «Вопрос же трактовки тестов конкурентов, проводимых компаниями самостоятельно, традиционно остается вне публичного поля, — говорит он. — Исключение, пожалуй, составляют тесты решений, выпускаемых разработчиками ОС (как Microsoft или Novell), также работающих в поле информационной безопасности. Мы с удивлением наблюдаем критику эффективности технологии, на базе которой осуществляется превентивная защита во всех ведущих комплексных антивирусных продуктах класса Internet Security Suite. Принципиальная нереализация в собственных продуктах „Доктор Веб“ технологий HIPS, не позволяющая им участвовать в тех же тестах Matousec.com, существенно снижает авторитетность заключения компании-ньюсмейкера».

cnews.ru
1
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
01.09.2009, 10:14
Ответы с готовыми решениями:

Как удалить доктор веб?
ребя такая херня меня задолбала , пытаюсь повторно установить доктор веб...

"Доктор Веб" информирует о широком распространении нового трояна-вымогателя
Вирусные аналитики компании "Доктор Веб" сообщают о широком распространении...

Псих взломал Пентагон
В новостях показывали. больной психой взломал 100 компов в пентагоне, и...

Посоветуйте песочницу
Доброго всем времени суток! Нужна песочница, система Win7 Home x64

Сайт касперского и доктор веба заблокирован
Помогите плиз.Заблокировались сайты каспера и др.вэба. Также время от времени...

7
Humanoid
Почетный модератор
9962 / 3848 / 344
Регистрация: 12.06.2008
Сообщений: 11,363
01.09.2009, 11:14 2
ДрВебовцы лучше бы сделали антивирус для 64-битной операционки. А они ерундой какой-то занимаются. А то складывается впечатление, что они не могут сделать ничего лучше, поэтому решили доказать, что у конкурента тоже всё не так хорошо.
0
mik-a-el
Администратор
71971 / 41242 / 241
Регистрация: 10.04.2006
Сообщений: 12,741
01.09.2009, 11:17  [ТС] 3
Цитата Сообщение от Humanoid Посмотреть сообщение
ДрВебовцы лучше бы сделали антивирус для 64-битной операционки.
У них же есть бета-версия.
Цитата Сообщение от Humanoid Посмотреть сообщение
А то складывается впечатление, что они не могут сделать ничего лучше, поэтому решили доказать, что у конкурента тоже всё не так хорошо.
Конкурент им бы лучше спасибо сказал за бесплатное тестирование. Песочница оказалась дырявой.
0
Humanoid
Почетный модератор
9962 / 3848 / 344
Регистрация: 12.06.2008
Сообщений: 11,363
01.09.2009, 11:42 4
Цитата Сообщение от mik-a-el
У них же есть бета-версия.
Облазил всю файловую область на beta.drweb.com, но нашёл только 32-битный. Про 64 бита есть упоминание только для curenet... но это немного не то. Да и судя по постам разработчиков на их форуме, они вообще не хотят 64 бита делать... доказывают несостоятельность 64-битных ОС
0
mik-a-el
Администратор
71971 / 41242 / 241
Регистрация: 10.04.2006
Сообщений: 12,741
01.09.2009, 11:44  [ТС] 5
Цитата Сообщение от Humanoid Посмотреть сообщение
они вообще не хотят 64 бита делать... доказывают несостоятельность 64-битных ОС
Фигня какая-то...
0
akok
Вирусоборец
2670 / 701 / 16
Регистрация: 01.09.2009
Сообщений: 851
01.09.2009, 15:21 6
Как говорят на форуме drweb.... когда вредоносное ПО найдет пути заражения 64-битных операционок... будет и поддержка соответственного антивирусного ПО.
0
Humanoid
Почетный модератор
9962 / 3848 / 344
Регистрация: 12.06.2008
Сообщений: 11,363
01.09.2009, 19:18 7
А что мешает 32-битным троянам бекдорам и прочей нечести работать на 64-битной операционке?
0
akok
Вирусоборец
2670 / 701 / 16
Регистрация: 01.09.2009
Сообщений: 851
01.09.2009, 20:34 8
Humanoid, эффективно, недостаток прав. Хотя мое IMHO, что это время не за горами.
0
01.09.2009, 20:34
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
01.09.2009, 20:34

Не запускается ни касперский ни доктор веб после атаки вируса
не запускается ни касперский ни доктор веб после атаки вируса.касперский после...

Антевирусник Касперский не видит вирусы, а доктор веб видит их, но не может удалить
Включаю полную проверку компьютера на вирусы при помощи антивирусника...

Доктор веб
Пришли лицензионные ключи agent. Key enterprise. Key я понял агент на...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
8
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru