Опыт: «Доктор Веб» взломал песочницу «Касперского»

@mik-a-el · Регистрация: 10.04.2006

Студворк — интернет-сервис помощи студентам

Специалисты компании «Доктор Веб» сумели в ряде тестов обойти защиту «безопасной среды», реализованной в новом продукте «Лаборатории Касперского» - Kaspersky Internet Security 2010. Эксперты же говорят, что эффективность «песочницы» доказана рядом независимых тестовых лабораторий, а найти слабые места можно в любой, даже самой надежной технологии.

Технология Sandbox («песочницы», позиционируемой в рамках концепции Green Zone — «безопасной среды»), впервые появившаяся в комплексном решении Kaspersky Internet Security 2010 (антивирус, антиспам, защита от атак), привлекла пристальное внимание конкурентов «ЛК». Напомним, что «песочница» позволяет запускать подозрительные программы и веб-сайты в изолированном виртуальном пространстве. «Мы не могли удержаться от тестирования новой технологии наших коллег, — рассказали CNews в компании „Доктор Веб“. — Поскольку идея „песочниц“ не нова и довольно много антивирусных компаний уже долгое время имеют схожие разработки, а также в связи с тем, что наша антивирусная лаборатория постоянно ведет исследования в этой области, подобная информация, естественно, представляет для нас большой интерес».

«Для выполнения первого теста файловый менеджер FAR был помещен в «песочницу» и запущен на исполнение, — описывают свой эксперимент в «Доктор Веб». — Далее из Сети были взяты четыре эксплойта, использующие уязвимости ОС Windows. Вредоносные файлы не были задетектированы средствами KIS (не сработала ни эвристика, ни HIPS) и запущены на исполнение. В результате все эксплойты выполнили свое предназначение (переход в режим ядра ОС), а «песочница» так и не осуществила свою миссию, доказательством чему был синий экран смерти Windows (BSoD). Операционной системе был нанесен безусловный вред».

В другом тесте была произведена проверка на способность изолировать изменения файловой системы внутри Green Zone. «Обычные операции над файлами никак не повлияли на работоспособность основной системы, — продолжают в «Доктор Веб». — Но изменяя стандартный синтаксис имени файла на его аналог через сетевой редиректор (как это делал, например, вирус Win32.Ntldrbot), можно получить полный доступ к системе за пределами «песочницы» и способность изменять критически важные объекты. Так, простой командный файл (bat) из двух строк с легкостью удаляет файл c:\ntldr, что приводит к полной неработоспособности всей системы после перезагрузки». Таким образом, резюмируют в «Доктор Веб», Green Zone на самом деле совершенно не гарантирует, что вредоносные программы не смогут нанести вред операционной системе и файлам пользователя, как было заявлено при запуске KIS 2010.

В «Лаборатории Касперского» CNews заявили, что комментировать действия конкурента не станут. В свою очередь, Илья Шабанов, руководитель лаборатории Anti-Malware.ru, тестировавшей технологию «песочницы» от «ЛК» (в чьих тестах Sandbox показал очень высокую эффективность), рассказал CNews, что описанный эксперимент вызывает недоумение. «Во-первых, недостаточно деталей, какие именно эксплойты брались, какие были настройки ПО, какая платформа использовалась. — говорит он. — Во-вторых, ни одна технология просто не может гарантировать 100-процентной защиты: найти уязвимое место (подобрать специальный экземпляр вируса или эксплойта) можно всегда, тем более, если это делать целенаправленно для очернения конкурента».

Шабанов также отмечает, что Sandbox никогда и не позиционировался в качестве абсолютной защиты: «Это всего лишь еще один, последний уровень защиты, который в большем количестве случаем поможет клиенту защитить себя от вредоносных программ. Подобные „откровения“ от „Доктор Веб“ вызывают недоумение, так как в их продуктах ничего похожего нет и не анонсировано на ближайшую перспективу».

С вопросом о том, насколько достоверны результаты тестов, описанных «Доктор Веб», CNews обратился к еще одному отечественному разработчику защитных решений — компании Agnitum, известной на рынке благодаря персональному брандмауэру Outpost (в котором технология Sandbox была внедрена еще в 2003 г.) Павел Кунышев, руководитель отдела системного программирования Agnitum, как и его коллега из Anti-Malware.ru, отметил, что для повторения эксперимента необходимы точные данные о специфических эксплойтах и наличие их исполняемых образцов. «В идеале такие исследования делаются с записью видеодемонстрации, тщательным контролем состояния системы и работы защитного ПО, — объяснил он. — В данном случае мы не располагаем такими результатами тестов, что снижает их достоверность».

Однако, по словам Кунышева, в эксперименте действительно могли быть выявлены проблемы с алгоритмом классификации приложений, помещенных в «недоверенную зону» и в Green Zone соответственно. «Полагаем, что эта ошибка может быть оперативно исправлена и выпущена с обновлениями продуктов «Лаборатории Касперского», — считает специалист. — Описываемые уязвимости, скорее всего, относятся непосредственно к ядру Windows и не всегда могут быть закрыты за счет работы только антивирусных приложений, требуя инициативы Microsoft по закрытию данной „бреши“». Эксперт полагает, что судя по описываемым признакам («экранам смерти»), вызваны они, скорее, ошибкой в работе операционной системы — видимо, эксплуатировалась уязвимость одного из драйверов ОС, не связанная напрямую с работой защитного приложения.

Павел Кунышев, тем не менее, подчеркивает, что ситуация, смоделированная аналитиками «Доктор Веб» на конкретных эксплоитах, блокируемых их продуктом, не может являться основанием для столь принципиального отрицания эффективности технологии Sandbox. «Эффективность „песочницы“ доказана рядом независимых тестовых лабораторий — например, проектом Proactive Security Challenge портала Transparent Security Matousec.com и тестами лаборатории Anti-Malware.ru, проводимыми независимыми вирусными аналитиками и разработчиками защитного ПО», — напоминает он.

Виталий Янко, коммерческий директор Agnitum, в свою очередь, добавляет, что исследование «Доктор Веб» могло бы иметь существенный вес, если бы исходило от независимой тестовой лаборатории. «Вопрос же трактовки тестов конкурентов, проводимых компаниями самостоятельно, традиционно остается вне публичного поля, — говорит он. — Исключение, пожалуй, составляют тесты решений, выпускаемых разработчиками ОС (как Microsoft или Novell), также работающих в поле информационной безопасности. Мы с удивлением наблюдаем критику эффективности технологии, на базе которой осуществляется превентивная защита во всех ведущих комплексных антивирусных продуктах класса Internet Security Suite. Принципиальная нереализация в собственных продуктах „Доктор Веб“ технологий HIPS, не позволяющая им участвовать в тех же тестах Matousec.com, существенно снижает авторитетность заключения компании-ньюсмейкера».

cnews.ru

Humanoid · 01.09.2009, 11:14

ДрВебовцы лучше бы сделали антивирус для 64-битной операционки. А они ерундой какой-то занимаются. А то складывается впечатление, что они не могут сделать ничего лучше, поэтому решили доказать, что у конкурента тоже всё не так хорошо.

@mik-a-el · 01.09.2009, 11:17 **[ТС]**

Сообщение от Humanoid

ДрВебовцы лучше бы сделали антивирус для 64-битной операционки.

У них же есть бета-версия.

Сообщение от Humanoid

А то складывается впечатление, что они не могут сделать ничего лучше, поэтому решили доказать, что у конкурента тоже всё не так хорошо.

Конкурент им бы лучше спасибо сказал за бесплатное тестирование. Песочница оказалась дырявой.

Humanoid · 01.09.2009, 11:42

Сообщение от mik-a-el

У них же есть бета-версия.

Облазил всю файловую область на beta.drweb.com, но нашёл только 32-битный. Про 64 бита есть упоминание только для curenet... но это немного не то. Да и судя по постам разработчиков на их форуме, они вообще не хотят 64 бита делать... доказывают несостоятельность 64-битных ОС

@mik-a-el · 01.09.2009, 11:44 **[ТС]**

Сообщение от Humanoid

они вообще не хотят 64 бита делать... доказывают несостоятельность 64-битных ОС

Фигня какая-то...

@akok · 01.09.2009, 15:21

Как говорят на форуме drweb.... когда вредоносное ПО найдет пути заражения 64-битных операционок... будет и поддержка соответственного антивирусного ПО.

Humanoid · 01.09.2009, 19:18

А что мешает 32-битным троянам бекдорам и прочей нечести работать на 64-битной операционке?

@akok · 01.09.2009, 20:34

Humanoid, эффективно, недостаток прав. Хотя мое IMHO, что это время не за горами.

Новые блоги и статьи Все статьи Все блоги /
Модель микоризы: классовый агентный подход 3 anaschu 06.01.2026 aa0a7f55b50dd51c5ec569d2d10c54f6/ O1rJuneU_ls https:/ / vkvideo. ru/ video-115721503_456239114	Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ФедосеевПавел 06.01.2026 Owen Logic: О недопустимости использования связки «аналоговый ПИД» + RegKZR ВВЕДЕНИЕ Введу сокращения: аналоговый ПИД — ПИД регулятор с управляющим выходом в виде числа в диапазоне от 0% до. . .	Модель микоризы: классовый агентный подход 2 anaschu 06.01.2026 репозиторий https:/ / github. com/ shumilovas/ fungi ветка по-частям. коммит Create переделка под биомассу. txt вход sc, но sm считается внутри мицелия. кстати, обьем тоже должен там считаться. . . .	Расчёт токов в цепи постоянного тока igorrr37 05.01.2026 / * Дана цепь постоянного тока с сопротивлениями и напряжениями. Надо найти токи в ветвях. Программа составляет систему уравнений по 1 и 2 законам Кирхгофа и решает её. Последовательность действий:. . .
Новый CodeBlocs. Версия 25.03 palva 04.01.2026 Оказывается, недавно вышла новая версия CodeBlocks за номером 25. 03. Когда-то давно я возился с только что вышедшей тогда версией 20. 03. С тех пор я давно снёс всё с компьютера и забыл. Теперь. . .	Модель микоризы: классовый агентный подход anaschu 02.01.2026 Раньше это было два гриба и бактерия. Теперь три гриба, растение. И на уровне агентов добавится между грибами или бактериями взаимодействий. До того я пробовал подход через многомерные массивы,. . .	Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Programma_Boinc 28.12.2025 Советы по крайней бережливости. Внимание, это ОЧЕНЬ длинный пост. Налог на собак: https:/ / ********/ gallery/ V06K53e Финансовый отчет в Excel: https:/ / ********/ gallery/ bKBkQFf Пост отсюда. . .	Кто-нибудь знает, где можно бесплатно получить настольный компьютер или ноутбук? США. Programma_Boinc 26.12.2025 Нашел на реддите интересную статью под названием Anyone know where to get a free Desktop or Laptop? Ниже её машинный перевод. После долгих разбирательств я наконец-то вернула себе. . .

@mik-a-el Администратор 87822 / 53143 / 249 Регистрация: 10.04.2006 Сообщений: 13,761

	Опыт: «Доктор Веб» взломал песочницу «Касперского» 01.09.2009, 10:14. Показов 2101. Ответов 7 Метки нет (Все метки) Специалисты компании «Доктор Веб» сумели в ряде тестов обойти защиту «безопасной среды», реализованной в новом продукте «Лаборатории Касперского» - Kaspersky Internet Security 2010. Эксперты же говорят, что эффективность «песочницы» доказана рядом независимых тестовых лабораторий, а найти слабые места можно в любой, даже самой надежной технологии. Технология Sandbox («песочницы», позиционируемой в рамках концепции Green Zone — «безопасной среды»), впервые появившаяся в комплексном решении Kaspersky Internet Security 2010 (антивирус, антиспам, защита от атак), привлекла пристальное внимание конкурентов «ЛК». Напомним, что «песочница» позволяет запускать подозрительные программы и веб-сайты в изолированном виртуальном пространстве. «Мы не могли удержаться от тестирования новой технологии наших коллег, — рассказали CNews в компании „Доктор Веб“. — Поскольку идея „песочниц“ не нова и довольно много антивирусных компаний уже долгое время имеют схожие разработки, а также в связи с тем, что наша антивирусная лаборатория постоянно ведет исследования в этой области, подобная информация, естественно, представляет для нас большой интерес». «Для выполнения первого теста файловый менеджер FAR был помещен в «песочницу» и запущен на исполнение, — описывают свой эксперимент в «Доктор Веб». — Далее из Сети были взяты четыре эксплойта, использующие уязвимости ОС Windows. Вредоносные файлы не были задетектированы средствами KIS (не сработала ни эвристика, ни HIPS) и запущены на исполнение. В результате все эксплойты выполнили свое предназначение (переход в режим ядра ОС), а «песочница» так и не осуществила свою миссию, доказательством чему был синий экран смерти Windows (BSoD). Операционной системе был нанесен безусловный вред». В другом тесте была произведена проверка на способность изолировать изменения файловой системы внутри Green Zone. «Обычные операции над файлами никак не повлияли на работоспособность основной системы, — продолжают в «Доктор Веб». — Но изменяя стандартный синтаксис имени файла на его аналог через сетевой редиректор (как это делал, например, вирус Win32.Ntldrbot), можно получить полный доступ к системе за пределами «песочницы» и способность изменять критически важные объекты. Так, простой командный файл (bat) из двух строк с легкостью удаляет файл c:\ntldr, что приводит к полной неработоспособности всей системы после перезагрузки». Таким образом, резюмируют в «Доктор Веб», Green Zone на самом деле совершенно не гарантирует, что вредоносные программы не смогут нанести вред операционной системе и файлам пользователя, как было заявлено при запуске KIS 2010. В «Лаборатории Касперского» CNews заявили, что комментировать действия конкурента не станут. В свою очередь, Илья Шабанов, руководитель лаборатории Anti-Malware.ru, тестировавшей технологию «песочницы» от «ЛК» (в чьих тестах Sandbox показал очень высокую эффективность), рассказал CNews, что описанный эксперимент вызывает недоумение. «Во-первых, недостаточно деталей, какие именно эксплойты брались, какие были настройки ПО, какая платформа использовалась. — говорит он. — Во-вторых, ни одна технология просто не может гарантировать 100-процентной защиты: найти уязвимое место (подобрать специальный экземпляр вируса или эксплойта) можно всегда, тем более, если это делать целенаправленно для очернения конкурента». Шабанов также отмечает, что Sandbox никогда и не позиционировался в качестве абсолютной защиты: «Это всего лишь еще один, последний уровень защиты, который в большем количестве случаем поможет клиенту защитить себя от вредоносных программ. Подобные „откровения“ от „Доктор Веб“ вызывают недоумение, так как в их продуктах ничего похожего нет и не анонсировано на ближайшую перспективу». С вопросом о том, насколько достоверны результаты тестов, описанных «Доктор Веб», CNews обратился к еще одному отечественному разработчику защитных решений — компании Agnitum, известной на рынке благодаря персональному брандмауэру Outpost (в котором технология Sandbox была внедрена еще в 2003 г.) Павел Кунышев, руководитель отдела системного программирования Agnitum, как и его коллега из Anti-Malware.ru, отметил, что для повторения эксперимента необходимы точные данные о специфических эксплойтах и наличие их исполняемых образцов. «В идеале такие исследования делаются с записью видеодемонстрации, тщательным контролем состояния системы и работы защитного ПО, — объяснил он. — В данном случае мы не располагаем такими результатами тестов, что снижает их достоверность». Однако, по словам Кунышева, в эксперименте действительно могли быть выявлены проблемы с алгоритмом классификации приложений, помещенных в «недоверенную зону» и в Green Zone соответственно. «Полагаем, что эта ошибка может быть оперативно исправлена и выпущена с обновлениями продуктов «Лаборатории Касперского», — считает специалист. — Описываемые уязвимости, скорее всего, относятся непосредственно к ядру Windows и не всегда могут быть закрыты за счет работы только антивирусных приложений, требуя инициативы Microsoft по закрытию данной „бреши“». Эксперт полагает, что судя по описываемым признакам («экранам смерти»), вызваны они, скорее, ошибкой в работе операционной системы — видимо, эксплуатировалась уязвимость одного из драйверов ОС, не связанная напрямую с работой защитного приложения. Павел Кунышев, тем не менее, подчеркивает, что ситуация, смоделированная аналитиками «Доктор Веб» на конкретных эксплоитах, блокируемых их продуктом, не может являться основанием для столь принципиального отрицания эффективности технологии Sandbox. «Эффективность „песочницы“ доказана рядом независимых тестовых лабораторий — например, проектом Proactive Security Challenge портала Transparent Security Matousec.com и тестами лаборатории Anti-Malware.ru, проводимыми независимыми вирусными аналитиками и разработчиками защитного ПО», — напоминает он. Виталий Янко, коммерческий директор Agnitum, в свою очередь, добавляет, что исследование «Доктор Веб» могло бы иметь существенный вес, если бы исходило от независимой тестовой лаборатории. «Вопрос же трактовки тестов конкурентов, проводимых компаниями самостоятельно, традиционно остается вне публичного поля, — говорит он. — Исключение, пожалуй, составляют тесты решений, выпускаемых разработчиками ОС (как Microsoft или Novell), также работающих в поле информационной безопасности. Мы с удивлением наблюдаем критику эффективности технологии, на базе которой осуществляется превентивная защита во всех ведущих комплексных антивирусных продуктах класса Internet Security Suite. Принципиальная нереализация в собственных продуктах „Доктор Веб“ технологий HIPS, не позволяющая им участвовать в тех же тестах Matousec.com, существенно снижает авторитетность заключения компании-ньюсмейкера». cnews.ru 1

Humanoid Почетный модератор 11554 / 4349 / 452 Регистрация: 12.06.2008 Сообщений: 12,453
	01.09.2009, 11:14
	ДрВебовцы лучше бы сделали антивирус для 64-битной операционки. А они ерундой какой-то занимаются. А то складывается впечатление, что они не могут сделать ничего лучше, поэтому решили доказать, что у конкурента тоже всё не так хорошо. 0

@akok 2837 / 855 / 29 Регистрация: 01.09.2009 Сообщений: 1,043
	01.09.2009, 15:21
	Как говорят на форуме drweb.... когда вредоносное ПО найдет пути заражения 64-битных операционок... будет и поддержка соответственного антивирусного ПО. 0

Humanoid Почетный модератор 11554 / 4349 / 452 Регистрация: 12.06.2008 Сообщений: 12,453
	01.09.2009, 19:18
	А что мешает 32-битным троянам бекдорам и прочей нечести работать на 64-битной операционке? 0

@akok 2837 / 855 / 29 Регистрация: 01.09.2009 Сообщений: 1,043
	01.09.2009, 20:34
	Humanoid, эффективно, недостаток прав. Хотя мое *IMHO*, что это время не за горами. 0