Марк Руссинович использует те же приемы нагнетания напряженности, которыми нередко пользовались антивирусные компании. Теперь маркетинговая агрессия обернулась против них самих

В конце 2005 года Марк Русинович, известный эксперт в области системного ПО, обнаружил скрытую функциональность в музыкальных дисках компании Sony. Хотя эта функциональность всего лишь контролировала количество копий, сделанных с диска, и сама не выполняла никаких вредоносных действий, ее наличие возмутило покупателей музыкальных записей, поскольку защитное ПОневозможно было корректным образом удалить из системы. Как только история со скрытым функционалом выплыла наружу, появилась троянская программа, которая использовала защиту от копирования Sony для сокрытия собственного присутствия в системе. В итоге американский суд признал незаконность действий Sony.

Марк Русинович обнаружил, что инструментарий Norton SystemWorks скрывал каталог NPROTECT, в который сам же помещал резервные копии файлов.

Впрочем, история с Sony оказалась лишь первой ласточкой процесса переоценки отношения пользователей к допустимому поведению функций защиты, которая временами может оказаться не менее опасной, чем атаки. Так, скрытая программа Sony постоянно расходовала вычислительные ресурсы компьютера. Однако любой антивирус, работающий в фоновом режиме, так же расходует вычислительные ресурсы, периодически обращается в Internet за обновлениями, иногда конфликтуя с другими приложениями. Время от времени разработчики антивирусов встраивают в свои продукты скрытые функции, которые могли бы использоваться для нанесения ущерба. Так и Марк Русинович обнаружил скрытые возможности в антивирусах Symantec и «Лаборатории Касперского». Он вступил в переписку с Symantec, и в начале января появилась заплата к инструментарию Norton SystemWorks. Этот инструментарий скрывал каталог NPROTECT, в который сам же помещал резервные копии файлов. Однако оказалось, что антивирус не проверяет этот каталог на наличие вирусов, что позволяет поместить туда вредоносный код, который ни пользователь, ни даже антивирусные программы не смогут обнаружить. Аналогично действовали троянские программы, которые паразитировали на защите Sony. Выпущенная Symantec заплата позволяет пользователям снять невидимость папки резервного копирования.

В антивирусах «Лаборатории Касперского» был обнаружен механизм iStreams, с помощью которого скрывалась служебная информация антивируса в потоках файловой системы NTFS. Впрочем, по заверениям экспертов «Лаборатории Касперского», эту функциональность невозможно использовать посторонними, поскольку антивирус контролирует целостность скрываемого им потока NTFS. Тем не менее в «Лаборатории» не исключают, что откажутся от этой технологии в новой версии своего программного продукта, поскольку, хотя он и ускоряет проверку целостности файлов, но затрудняет удаление антивируса из системы.

Понятно, что инструменты защиты должны использовать те же технологические приемы, что и средства нападения, но становятся ли они при этом вредоносными? Сегодня вопрос о том, что считать опасным, а что нет, решает разработчик средств защиты, который очень неохотно посвящает пользователей в свои секреты. Но лучше, если ответ на этот вопрос даст ИТ-сообщество, а производители лишь будут придерживаться общепризнанных стандартов.

Хронология

Краткая история жаркого диспута Марка Русиновича и антивирусных компаний Symantec и «Лаборатория Касперского»

Ноябрь 2005 Обнаружена программа невидимка от Sony

10 января 2006 Опубликованы исправления для Norton SystemWorks

12 января 2006 В журнале PC World вышла статья, где Русинович предъявляет претензии к Symantec и «Лаборатории Касперского»

13 января 2006 Распространен пресс-релиз «Лаборатории Касперского»