Разработчиков антивирусов приравняли к вирусописателям
Как пояснил Алексей Калгин, заместитель директора по продуктам «Лаборатории Касперского», до выхода Windows Vista и создатели вирусов, и борцы с ними имели равные возможности в плане модификации ядра операционной системы. Причем каждый пользовался имеющейся возможностью в своих интересах: вирусописатели создавали новые руткиты, антивирусы модифицировали ядро для защиты от различных типов угроз. Теперь Microsoft решила избавиться от руткитов раз и навсегда путем полного запрета на доступ к ядру как вредоносным программам, так и антивирусам. «Запретив доступ к ядру всем, Microsoft не только защитилась от руткитов, внедряющихся глубоко в ядро, но и лишила security-вендоров возможности реализовать в своих продуктах часть функционала, - прокомментировал Алексей Калгин. - Причем не только связанного с борьбой с руткитами. Пострадали также, например, и проактивные технологии защиты от неизвестных угроз, уже реализованные в продуктах антивирусных компаний для предыдущих ОС».
По его мнению, хотя правила изменились одинаково для всех, разработчики антивирусных решений потеряли больше, чем вирусописатели. Антивирусы вынуждены работать с Patch Guard, для руткитов это необязательно. Сложившаяся ситуация привела к том, что в Windows Vista в настоящий момент нельзя использовать в полной мере все эффективные наработки в области защиты. Часть модулей «Лаборатории Касперского» придется полностью или частично переделывать.
Способно ли появление API серьезно улучшить ситуацию? Пока доступен лишь первый черновой вариант. «С одной стороны, это лучше чем ничего, однако, с другой стороны, Microsoft накладывает ограничения на разработку антивирусных продуктов, позволяя делать только то, что не запрещено. Не стоит забывать, что до Windows Vista x64 разработчикам вообще не было предоставлено никаких средств для создания дополнительных модулей, работающих в режиме ядра», - высказал свое мнение Сергей Комаров, начальник отдела антивирусных разработок и исследований компании «Доктор Веб».
Он считает, что с выходом API для доступа к ядру некоторые разработчики антивирусов могут оказаться в более выгодном положении, чем вирусописатели. Насколько долго продлится такое положение – неизвестно. Сергей Комаров также обратил внимание на еще один момент: рано или поздно API попадет в руки создателей вредоносного ПО.
«API – запоздалая реакция Microsoft дать антивирусным вендорам то, что им необходимо для обеспечения в их продуктах полноценной и всесторонней защиты пользователей, - сказал Алексей Калгин, представляющий «Лабораторию Касперского». - Это попытка дать антивирусным компаниям преимущество перед вирусописателями. Опять же, нет полной уверенности, что это преимущество будет долгосрочным. API, c одной стороны, упорядочивает и систематизирует процесс разработки ПО, может увеличить стабильность security-решений и их совместимость. C другой стороны, он накладывает и определенные рамки, за которые разработчики, возможно, не смогут выйти. Угрозы меняются очень динамично, возможно, потребуются дополнительные методы их детектирования и предотвращения». Кроме того, тот факт, что PatchGuard присутствует только в 64-битной версии Windows Vista, может создать у пользователей 32-разрядных систем иллюзию, что они тоже надежно защищены от руткитов.
Никаких трудностей с Patch Guard не испытывает западный игрок – компания “Sophos”. «Антивирус Sophos Anti-Virus и встроенная в него технология HIPS будет отлично работать и на 32- и на 64-битных версиях Windows Vista. Microsoft обеспечила разработчиков Sophos всеми интерфейсами, необходимыми для работы HIPS (Host Intrusion Prevention System) – работающего как в предвыполняемом режиме (в «песочнице»), так и в реальном времени», - сообщил Грэм Клули (Graham Cluley), главный технологический консультант компании в интервью TelNews.
Таким образом, ПО от “Sophos” не осуществляет загрузки ядра операционной системы, а использует интерфейсы, поддерживаемые Microsoft. Грэм Клули подчеркнул, что “Sophos” считает Patch Guard положительной инициативой, не нарушающей принципы конкуренции.
«Очевидно, что это тот самый случай, когда мы и некоторые другие поставщики становимся несколько зависимыми от Microsoft в отношении предоставления интерфейсов ядра для разработки инноваций безопасности, что может замедлить нашу работу. Тем не менее, это более чем компенсируется дополнительным уровнем безопасности новой операционной системы Vista», - добавил он.
- 15.01.2007 в 16:36
- 2 голоса
- одобрить
- утопить
- 0 комментариев
на своём сайте!