Перейти к содержанию

Можете ли прокомментировать поведение Dr.Web


Самогонщик

Рекомендуемые сообщения

Специалисты компании «Доктор Веб» сумели в ряде тестов обойти защиту «безопасной среды», реализованной в новом продукте «Лаборатории Касперского» - Kaspersky Internet Security 2010. Эксперты же говорят, что эффективность «песочницы» доказана рядом независимых тестовых лабораторий, а найти слабые места можно в любой, даже самой надежной технологии.

 

Технология Sandbox («песочницы» или Green Zone — «безопасной среды»), впервые появившаяся в комплексном решении Kaspersky Internet Security 2010 (антивирус, антиспам, защита от атак), привлекла пристальное внимание конкурентов «ЛК». Напомним, что «песочница» позволяет запускать подозрительные программы и веб-сайты в изолированном виртуальном пространстве. «Мы не могли удержаться от тестирования новой технологии наших коллег, — рассказали CNews в компании „Доктор Веб”. — Поскольку идея „песочниц” не нова и довольно много антивирусных компаний уже долгое время имеют схожие разработки, а также в связи с тем, что наша антивирусная лаборатория постоянно ведет исследования в этой области, подобная информация, естественно, представляет для нас большой интерес».

 

«Для выполнения первого теста файловый менеджер FAR был помещен в «песочницу» и запущен на исполнение, — описывают свой эксперимент в «Доктор Веб». — Далее из Сети были взяты четыре эксплойта, использующие уязвимости ОС Windows. Вредоносные файлы не были задетектированы средствами KIS (не сработала ни эвристика, ни HIPS) и запущены на исполнение. В результате все эксплойты выполнили свое предназначение (переход в режим ядра ОС), а «песочница» так и не осуществила свою миссию, доказательством чему был синий экран смерти Windows (BSoD). Операционной системе был нанесен безусловный вред».

 

В другом тесте была произведена проверка на способность изолировать изменения файловой системы внутри Green Zone. «Обычные операции над файлами никак не повлияли на работоспособность основной системы, — продолжают в «Доктор Веб». — Но изменяя стандартный синтаксис имени файла на его аналог через сетевой редиректор (как это делал, например, вирус Win32.Ntldrbot), можно получить полный доступ к системе за пределами «песочницы» и способность изменять критически важные объекты. Так, простой командный файл (bat) из двух строк с легкостью удаляет файл c:\ntldr, что приводит к полной неработоспособности всей системы после перезагрузки». Таким образом, резюмируют в «Доктор Веб», Green Zone на самом деле совершенно не гарантирует, что вредоносные программы не смогут нанести вред операционной системе и файлам пользователя, как было заявлено при запуске KIS 2010.

 

В «Лаборатории Касперского» CNews заявили, что комментировать действия конкурента не станут. В свою очередь, Илья Шабанов, руководитель лаборатории Anti-Malware.ru, тестировавшей технологию «песочницы» от «ЛК» (в чьих тестах Sandbox показал очень высокую эффективность), рассказал CNews, что описанный эксперимент вызывает недоумение. «Во-первых, недостаточно деталей, какие именно эксплойты брались, какие были настройки ПО, какая платформа использовалась. — говорит он. — Во-вторых, ни одна технология просто не может гарантировать 100-процентной защиты: найти уязвимое место (подобрать специальный экземпляр вируса или эксплойта) можно всегда, тем более, если это делать целенаправленно для очернения конкурента».

 

Шабанов также отмечает, что Sandbox никогда и не позиционировался в качестве абсолютной защиты: «Это всего лишь еще один, последний уровень защиты, который в большем количестве случаем поможет клиенту защитить себя от вредоносных программ. Подобные „откровения” от „Доктор Веб” вызывают недоумение, так как в их продуктах ничего похожего нет и не анонсировано на ближайшую перспективу».

 

С вопросом о том, насколько достоверны результаты тестов, описанных «Доктор Веб», CNews обратился к еще одному отечественному разработчику защитных решений — компании Agnitum, известной на рынке благодаря персональному брандмауэру Outpost (в котором технология Sandbox была внедрена еще в 2003 г.) Павел Кунышев, руководитель отдела системного программирования Agnitum, как и его коллега из Anti-Malware.ru, отметил, что для повторения эксперимента необходимы точные данные о специфических эксплойтах и наличие их исполняемых образцов. «В идеале такие исследования делаются с записью видеодемонстрации, тщательным контролем состояния системы и работы защитного ПО, — объяснил он. — В данном случае мы не располагаем такими результатами тестов, что снижает их достоверность».

 

Однако, по словам Кунышева, в эксперименте действительно могли быть выявлены проблемы с алгоритмом классификации приложений, помещенных в «недоверенную зону» и в Green Zone соответственно. «Полагаем, что эта ошибка может быть оперативно исправлена и выпущена с обновлениями продуктов «Лаборатории Касперского», — считает специалист. — Описываемые уязвимости, скорее всего, относятся непосредственно к ядру Windows и не всегда могут быть закрыты за счет работы только антивирусных приложений, требуя инициативы Microsoft по закрытию данной „бреши”». Эксперт полагает, что судя по описываемым признакам («экранам смерти»), вызваны они, скорее, ошибкой в работе операционной системы — видимо, эксплуатировалась уязвимость одного из драйверов ОС, не связанная напрямую с работой защитного приложения.

 

Павел Кунышев, тем не менее, подчеркивает, что ситуация, смоделированная аналитиками «Доктор Веб» на конкретных эксплоитах, блокируемых их продуктом, не может являться основанием для столь принципиального отрицания эффективности технологии Sandbox. «Эффективность „песочницы” доказана рядом независимых тестовых лабораторий — например, проектом Proactive Security Challenge портала Transparent Security Matousec.com и тестами лаборатории Anti-Malware.ru, проводимыми независимыми вирусными аналитиками и разработчиками защитного ПО», — напоминает он.

 

Виталий Янко, коммерческий директор Agnitum, в свою очередь, добавляет, что исследование «Доктор Веб» могло бы иметь существенный вес, если бы исходило от независимой тестовой лаборатории. «Вопрос же трактовки тестов конкурентов, проводимых компаниями самостоятельно, традиционно остается вне публичного поля, — говорит он. — Исключение, пожалуй, составляют тесты решений, выпускаемых разработчиками ОС (как Microsoft или Novell), также работающих в поле информационной безопасности. Мы с удивлением наблюдаем критику эффективности технологии, на базе которой осуществляется превентивная защита во всех ведущих комплексных антивирусных продуктах класса Internet Security Suite. Принципиальная нереализация в собственных продуктах „Доктор Веб” технологий HIPS, не позволяющая им участвовать в тех же тестах Matousec.com, существенно снижает авторитетность заключения компании-ньюсмейкера».

 

Источник: CNews

 

 

Хотя в статье компания отказалась от комментариев, хотеться слышать ваше мнение, как IT эксперта

Изменено пользователем Самогонщик
Ссылка на комментарий
Поделиться на другие сайты

1. Продукт KIS 2010 и "песочница" в нём - бэта-тестовые, в них полно ошибок.

2. Антивирусная компания(Др. Веб) чтобы заниматься своими прямыми обязанностями, занимается ерундой - тестированием "песочницы" на бэта-тестовой сборке другой антивирусной программе(хотя они подсказали разрабам "АК" где их недочёт).

3. Этот баг был бы выявлен рано или поздно сотрудниками Антивируса Касперского, и, думаю исправлен, чем, собственно и занимаются разработчики(я не сомневаюсь).

Плиз мессаге не удаляйте, может Е.К. процитирует...

Изменено пользователем ROME'D'ROS
Ссылка на комментарий
Поделиться на другие сайты

Можно я скажу?...

"Специалисты Тверского завода пиво-безалкогольных напитков протестировали Гинесс и пришли к выводу, что данный напиток..." ну и так далее.

 

Честно говоря - жалко. Поверьте, нет никакого удовольствия наблюдать деградацию бывшего конкурента. Нас и так осталось немного... Прям как в "Заповеднике гоблинов", в переводе Саймака... Увы.

  • Согласен 2
Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • InMix
      От InMix
      Здравствуйте, помогите пожалуйста, проверился CureIt, был (Автопилот, майнер какой то к сожалению не сохранил..
      CollectionLog-2024.05.09-00.00.zip
    • LapkaDrapka
      От LapkaDrapka
      Пробовал удалить с помощью adwcleaner, не помогло.  Перед тем как я нашёл вирус, некоторые мои аккаунты были украдены.
      Как себя обезопасить и убрать эту штуку?CollectionLog-2024.04.13-22.10.zip
    • mmaazzik
      От mmaazzik
      Помогите удалить вирус, уже все облазил. На 2х устройствах одна и та же беда. Улита Касперского и доктор веб что-то удаляет, но вирус никуда не девается. 
    • Георгий Батурин
      От Георгий Батурин
      Доброго времени суток! Имеем на предприятии KSC14 и 200+ контролируемых устройств. Жизнь заставила буквально вчера активировать функционал Контроль устройств и запретить использование съемных носителей. Почти сразу же возникли весьма странные проблемы с некоторыми USB флешками. 
      Проблема возникает при попытке добавить флешку в доверенные устройства. Суть в чем. При подключении флешки Kaspersky Endpoint security 11.8 выдает сообщение о запрете флешки с одним ID оборудования (назовем его А), в журнале событий сервера администрирования компьютер записывает совсем другой ID (назовем его Б). И при этом я не могу найти ни один из этих ID, чтобы добавить флешку в доверенные устройства. Поиск по маске компьютера на закладке добавления доверенных устройств Контроля устройств также результата не дает - там вообще нет никаких флешек по этому компьютеру. Аналогичная проблема возникла с подключенным по USB переходником SATA-USB. Прошу подсказать выход из ситуации
    • 2xCh4k
      От 2xCh4k
      Буквально сегодня переустановил ОС и сразу же поймал вирусы. Удалилось 4 из 6 угроз.
      CollectionLog-2023.02.23-01.09.zip
×
×
  • Создать...