Oświadczenie Kaspersky Lab w sprawie sugestii Russinovicha

Mark Russinovich, ekspert z zakresu bezpieczeństwa IT, którynamierzył głośnego rootkita firmy Sony, zasugerował niedawno,że także firma Kaspersky Lab wykorzystuje w swoich produktachantywirusowych technologię rootkit. Zarzuty te dotyczą mechanizmuiStreams, który jest obecny w oprogramowaniu Kaspersky Anti-Virus.Poniżej prezentujemy oficjalne stanowisko producenta. Zdaniem ekspertów z firmy Kaspersky Lab mechanizm iStreams wżaden sposób nie może zostać wykorzystany przez cyberprzestępców inazywanie tej technologii rootkitem jest błędem. iStreams totechnologia wprowadzona ponad dwa lata temu wraz z linią produktówKaspersky Anti-Virus 5.x. Służy ona do zwiększenia wydajnościskanowania antywirusowego. Mówiąc ogólnie, produkty KasperskyAnti-Virus korzystają z alternatywnych strumieni NTFS doprzechowywania sum kontrolnych plików zapisanych w komputerze.Jeżeli suma kontrolna obiektów nie zmienia się od jednegoskanowania do drugiego, wówczas wiadomo, że nie wymagają onekolejnego testu antywirusowego. Alternatywne strumienie NTFS nie są widoczne "gołym okiem". Do ichprzeglądania potrzebne są specjalne narzędzia. Po uaktywnieniuKaspersky Anti-Virus ukrywa swoje strumienie, ponieważ mają onewyłącznie wewnętrzne zastosowanie. To, że nie można ich zobaczyć,nie oznacza, że są one szkodliwe. Nie znaczy to także, że produktwykorzystujący i ukrywający te strumienie korzysta z technologiirootkit. Eksperci z firmy Kaspersky Lab mają pewność, że wykorzystywanaprzez nich technologia nie jest rootkitem oraz, że hakerzy iszkodliwe programy nie mogą jej użyć z poniższych powodów: 1. Gdy produkt Kaspersky Anti-Virus jest aktywny, jego strumieniesą ukryte i żadne procesy (włączając systemowe) nie mogą uzyskać donich dostępu. 2. Po wyłączeniu produktu jego strumienie będą widoczne dlaspecjalnych narzędzi (wykorzystywanych standardowo do pracy zestrumieniami NTFS). 3. Jeżeli strumień zostanie zastąpiony innymi (potencjalnieszkodliwymi) danymi lub kodem (przykładowo po uruchomieniukomputera w trybie awaryjnym), podczas kolejnego uruchamianiasystemu Kaspersky Anti-Virus odczyta ten strumień i nie rozpoznajego formatu. Program rozpocznie odbudowywanie bazy sumkontrolnych, niszcząc tym samym obcy kod oraz dane. Kaspersky Lab wykorzystuje technologię iStreams wyłącznie w celuzwiększenia wydajności. Jedyną jej wadą jest zwiększenie czasupotrzebnego na ponowne zainstalowanie produktu - dane muszą zostaćusunięte ze strumieni. Ze względu na to zwiększenie czasureinstalacji, i z żadnych innych powodów, kolejna wersja produktuKaspersky Anti-Virus będzie wykorzystywać inną technologię doosiągnięcia tych samych korzyści. "Użytkownicy produktów Kaspersky Anti-Virus nie są w żaden sposóbzagrożeni, ponieważ wykorzystanie strumieni KAV do szkodliwychcelów jest po prostu niemożliwe", mówi Eugene Kaspersky, twórcaprogramu Kaspersky Anti-Virus i szef laboratorium antywirusowego."Uważam, że rozmawiając o bezpieczeństwie musimy zwracać uwagę naróżnicę między szkodliwymi (lub niebezpiecznymi) rootkitami atechnikami maskującymi, które nie mogą zostać wykorzystane przezszkodliwe aplikacje. Warto przypomnieć wszystkim ekspertom z branżyIT oraz dziennikarzom, aby poprawnie i rozsądnie używali różnychterminów. Użytkownicy, którzy nie są w stanie samodzielnieprzeanalizować podawanych informacji, nie mogą być wprowadzani wbłąd." Eugene Kaspersky skomentował tę kwestię w Dzienniku Analitykówdostępnym w Encyklopedii Wirusów firmy Kaspersky Lab.