Идеологически безопасный руткит
В софтверной индустрии продолжают расходиться круги от кошмарного скандала, связанного с использованием антипиратской руткит-технологии XCP и испортившего музыкальному лейблу Sony BMG всю предновогоднюю торговлю (см. «КТ» ##614—616). Скандал и правда получился громким и вызвал у публики повышенный интерес к программам обнаружения руткитов — RootkitRevealer американца Марка Руссиновича (Mark Russinovich) и BlackLight финской компании F-Secure. Иначе говоря, народ поспешил обзавестись инструментами для более тщательного анализа «богатой внутренней жизни» своих компьютеров, а первыми пострадавшими от этого порыва стали Symantec и Лаборатория Касперского, в чьих продуктах обнаружились руткит-подобные элементы.
Явно памятуя о пиар-катастрофе, постигшей Sony BMG вследствие запоздалой и неадекватной реакции, Symantec сразу признала, что в ее программе Norton SystemWorks действительно применяется похожая технология (разумеется, только в благих целях — таким способом файлы прячутся в специальной папке, невидимой для пользователей, администратора и операционной системы, ради более надежного резервного копирования уничтоженных файлов в «защищенной корзине» — Protected Recycle Bin). Правда, объекты в скрытой папке также оказываются недоступны как для плановых автоматических, так и для проводимых вручную антивирусных сканирований. А это, признает Symantec, может предоставить злоумышленнику удобную площадку для сокрытия злонамеренных кодов. И хотя атаки такого рода пока не зафиксированы, в Symantec решили не дожидаться неприятностей и выпустили патч, снимающий маскировку «защищенной корзины» от операционной системы.
Основное различие между руткитами Symantec и Sony, говорит глава антивирусной фирмы F-Secure Микко Хиппонен (Mikko Hyppоnen), не столько техническое, сколько идеологическое. Руткит Symantec — это элемент документированной полезной функции, которую по желанию пользователя можно включить-выключить или вообще удалить из системы, а для руткита Sony ничего подобного предусмотрено не было.
Что же касается Лаборатории Касперского, тоже обвиненной Марком Руссиновичем в экспериментах со «шпионскими» технологиями, то здесь решили не то чтобы не признавать обвинения, а потопить их в терминологическом споре. Глава фирмы Евгений Касперский подчеркнул, что технология, используемая в их антивирусных продуктах для сокрытия внутренних данных, называется iStreams и руткитом не является. Главная задача iStreams — ускорение процессов сканирования, и, по мнению экспертов компании, не существует никаких возможностей для ее использования в злонамеренных целях. Поскольку такие заявления опровергаются лишь явной демонстрацией обратного, а подобных демонстраций пока никто не видел, клиентам Kaspersky Lab остается довериться авторитету гуру. Тем более что в том же заявлении Касперский сообщил о замене iStreams в следующих версиях продукта на другую технологию. Но не потому, что это руткит, а из-за слишком большого времени деинсталляции.