@mik-a-el

Специалисты компании «Доктор Веб» сумели в ряде тестов обойти защиту «безопасной среды», реализованной в новом продукте «Лаборатории Касперского» - Kaspersky Internet Security 2010. Эксперты же говорят, что эффективность «песочницы» доказана рядом независимых тестовых лабораторий, а найти слабые места можно в любой, даже самой надежной технологии.

Технология Sandbox («песочницы», позиционируемой в рамках концепции Green Zone — «безопасной среды»), впервые появившаяся в комплексном решении Kaspersky Internet Security 2010 (антивирус, антиспам, защита от атак), привлекла пристальное внимание конкурентов «ЛК». Напомним, что «песочница» позволяет запускать подозрительные программы и веб-сайты в изолированном виртуальном пространстве. «Мы не могли удержаться от тестирования новой технологии наших коллег, — рассказали CNews в компании „Доктор Веб“. — Поскольку идея „песочниц“ не нова и довольно много антивирусных компаний уже долгое время имеют схожие разработки, а также в связи с тем, что наша антивирусная лаборатория постоянно ведет исследования в этой области, подобная информация, естественно, представляет для нас большой интерес».

«Для выполнения первого теста файловый менеджер FAR был помещен в «песочницу» и запущен на исполнение, — описывают свой эксперимент в «Доктор Веб». — Далее из Сети были взяты четыре эксплойта, использующие уязвимости ОС Windows. Вредоносные файлы не были задетектированы средствами KIS (не сработала ни эвристика, ни HIPS) и запущены на исполнение. В результате все эксплойты выполнили свое предназначение (переход в режим ядра ОС), а «песочница» так и не осуществила свою миссию, доказательством чему был синий экран смерти Windows (BSoD). Операционной системе был нанесен безусловный вред».

В другом тесте была произведена проверка на способность изолировать изменения файловой системы внутри Green Zone. «Обычные операции над файлами никак не повлияли на работоспособность основной системы, — продолжают в «Доктор Веб». — Но изменяя стандартный синтаксис имени файла на его аналог через сетевой редиректор (как это делал, например, вирус Win32.Ntldrbot), можно получить полный доступ к системе за пределами «песочницы» и способность изменять критически важные объекты. Так, простой командный файл (bat) из двух строк с легкостью удаляет файл c:\ntldr, что приводит к полной неработоспособности всей системы после перезагрузки». Таким образом, резюмируют в «Доктор Веб», Green Zone на самом деле совершенно не гарантирует, что вредоносные программы не смогут нанести вред операционной системе и файлам пользователя, как было заявлено при запуске KIS 2010.

В «Лаборатории Касперского» CNews заявили, что комментировать действия конкурента не станут. В свою очередь, Илья Шабанов, руководитель лаборатории Anti-Malware.ru, тестировавшей технологию «песочницы» от «ЛК» (в чьих тестах Sandbox показал очень высокую эффективность), рассказал CNews, что описанный эксперимент вызывает недоумение. «Во-первых, недостаточно деталей, какие именно эксплойты брались, какие были настройки ПО, какая платформа использовалась. — говорит он. — Во-вторых, ни одна технология просто не может гарантировать 100-процентной защиты: найти уязвимое место (подобрать специальный экземпляр вируса или эксплойта) можно всегда, тем более, если это делать целенаправленно для очернения конкурента».

Шабанов также отмечает, что Sandbox никогда и не позиционировался в качестве абсолютной защиты: «Это всего лишь еще один, последний уровень защиты, который в большем количестве случаем поможет клиенту защитить себя от вредоносных программ. Подобные „откровения“ от „Доктор Веб“ вызывают недоумение, так как в их продуктах ничего похожего нет и не анонсировано на ближайшую перспективу».

С вопросом о том, насколько достоверны результаты тестов, описанных «Доктор Веб», CNews обратился к еще одному отечественному разработчику защитных решений — компании Agnitum, известной на рынке благодаря персональному брандмауэру Outpost (в котором технология Sandbox была внедрена еще в 2003 г.) Павел Кунышев, руководитель отдела системного программирования Agnitum, как и его коллега из Anti-Malware.ru, отметил, что для повторения эксперимента необходимы точные данные о специфических эксплойтах и наличие их исполняемых образцов. «В идеале такие исследования делаются с записью видеодемонстрации, тщательным контролем состояния системы и работы защитного ПО, — объяснил он. — В данном случае мы не располагаем такими результатами тестов, что снижает их достоверность».

Однако, по словам Кунышева, в эксперименте действительно могли быть выявлены проблемы с алгоритмом классификации приложений, помещенных в «недоверенную зону» и в Green Zone соответственно. «Полагаем, что эта ошибка может быть оперативно исправлена и выпущена с обновлениями продуктов «Лаборатории Касперского», — считает специалист. — Описываемые уязвимости, скорее всего, относятся непосредственно к ядру Windows и не всегда могут быть закрыты за счет работы только антивирусных приложений, требуя инициативы Microsoft по закрытию данной „бреши“». Эксперт полагает, что судя по описываемым признакам («экранам смерти»), вызваны они, скорее, ошибкой в работе операционной системы — видимо, эксплуатировалась уязвимость одного из драйверов ОС, не связанная напрямую с работой защитного приложения.

Павел Кунышев, тем не менее, подчеркивает, что ситуация, смоделированная аналитиками «Доктор Веб» на конкретных эксплоитах, блокируемых их продуктом, не может являться основанием для столь принципиального отрицания эффективности технологии Sandbox. «Эффективность „песочницы“ доказана рядом независимых тестовых лабораторий — например, проектом Proactive Security Challenge портала Transparent Security Matousec.com и тестами лаборатории Anti-Malware.ru, проводимыми независимыми вирусными аналитиками и разработчиками защитного ПО», — напоминает он.

Виталий Янко, коммерческий директор Agnitum, в свою очередь, добавляет, что исследование «Доктор Веб» могло бы иметь существенный вес, если бы исходило от независимой тестовой лаборатории. «Вопрос же трактовки тестов конкурентов, проводимых компаниями самостоятельно, традиционно остается вне публичного поля, — говорит он. — Исключение, пожалуй, составляют тесты решений, выпускаемых разработчиками ОС (как Microsoft или Novell), также работающих в поле информационной безопасности. Мы с удивлением наблюдаем критику эффективности технологии, на базе которой осуществляется превентивная защита во всех ведущих комплексных антивирусных продуктах класса Internet Security Suite. Принципиальная нереализация в собственных продуктах „Доктор Веб“ технологий HIPS, не позволяющая им участвовать в тех же тестах Matousec.com, существенно снижает авторитетность заключения компании-ньюсмейкера».

cnews.ru

1

Humanoid

ДрВебовцы лучше бы сделали антивирус для 64-битной операционки. А они ерундой какой-то занимаются. А то складывается впечатление, что они не могут сделать ничего лучше, поэтому решили доказать, что у конкурента тоже всё не так хорошо.

0

@mik-a-el

У них же есть бета-версия.
Конкурент им бы лучше спасибо сказал за бесплатное тестирование. Песочница оказалась дырявой.

0

Humanoid

Облазил всю файловую область на beta.drweb.com, но нашёл только 32-битный. Про 64 бита есть упоминание только для curenet... но это немного не то. Да и судя по постам разработчиков на их форуме, они вообще не хотят 64 бита делать... доказывают несостоятельность 64-битных ОС

0

@mik-a-el

Фигня какая-то...

0

@akok

Как говорят на форуме drweb.... когда вредоносное ПО найдет пути заражения 64-битных операционок... будет и поддержка соответственного антивирусного ПО.

0

Humanoid

А что мешает 32-битным троянам бекдорам и прочей нечести работать на 64-битной операционке?

0

@akok

Humanoid, эффективно, недостаток прав. Хотя мое IMHO, что это время не за горами.

0