Kaspersky Labs non usa rootkit

[Redazione di Hardware Upg]

Link alla notizia: http://www.hwupgrade.it/news/sicurez...kit_16154.html

I rootkits sono uno degli argomenti preferiti ultimamente, anche Kaspersky Labs è stata accusata di fare uso di tali strumenti potenzialmente pericolosi ma giunge subito la smentita.

Click sul link per visualizzare la notizia.

[JohnPetrucci]

Non è che sia un rootkit fastidioso tipo quello Sony, iMHO.
Questa funzione anzi sembra avvantaggiare l'efficienza dell'antivirus stesso.

[sirus]

mamma mia che panico generale negli ultimi tempi tutti che parlano di DRM , TCPA e RootKit

[poaret]

mi sembra un panico, se non proprio giustificato, almeno comprensibile

[Pandrin2006]

E' un rootkit a tutti gli effetti dato che vengono nascosti file e tale caratteristica può benissimo essere usata da un virus. E infatti Kaspersky ha deciso che nella prossima versione dell'antivirus non userà più quel sistema che nasconde i file. C'è da chiedersi come mai Symantec SystemWorks dovrebbe avere un rootkit mentre Kaspersky no, visto che entrambi nascondono file.
http://www.hwupgrade.it/news/software/16141.html
Forse la redazione è un po' di parte?
These discrepancies are the ones exhibited by most rootkits, however, if you haven't checked the Hide NTFS metadata files you should expect to see a number of such entries on any NTFS volume since NTFS hides its metada files, such as $MFT and $Secure, from the Windows API. The metadata files present on NTFS volumes varies by version of NTFS and the NTFS features that have been enabled on the volume. There are also antivirus products, such as Kaspersky Antivirus, that use rootkit techniques to hide data they store in NTFS alternate data streams. If you are running such a virus scanner you'll see a Hidden from Windows API discrepancy for an alternate data stream on every NTFS file.
http://www.sysinternals.com

[matteo1]

la tecnologia istreams cmq è disabilitabile sin dall'inizio dell'installazione.

[matteo1]

e vai di altri rootkit,stavolta veritieri e segnalati da f-secure a symantec e prontamente risolti con update da quest'ultima:
http://www.cdrinfo.com/Sections/News...x?NewsId=16061

L'intelligenza del Sig. Mark Russinovich non brilla sicuramente di luce propria.
Evidentemente aveva voglia di "diventare famoso" per un qualche scoop, ma l'ha fatta davvero fuori dal vaso.

iStreams è stato semplicemente un sistema utilizzato da Kaspersky per migliorare le performance del proprio antivirus (non controllava i file il cui checksum non era stato modificato, memorizzando questo dato come stream nel filesystem).

Tecnologia per altro rimpiazzata da una nuova, iSwift, nell'imminente Kaspersky AntiVirus 2006 (credo che ora memorizzi questi dati in un proprio database interno).

[WarDuck]

Scusa pandrin ma se io fossi un programmatore di un antivirus farei in modo che solo la mia applicazione possa usare questo iStream... farei dei controlli anche su questo, nn penso che i russi (mi piace chiamarli così asd) nn l'abbiano fatto.

[haveacigar]

"Kaspersky Labs non usa rookits"

sarebbe meglio

"Kaspersky Labs non usa rootkits"

mi riferisco al titolo della news

Quote:

Originariamente inviato da Pandrin2006

E' un rootkit a tutti gli effetti dato che vengono nascosti file e tale caratteristica può benissimo essere usata da un virus. E infatti Kaspersky ha deciso che nella prossima versione dell'antivirus non userà più quel sistema che nasconde i file. C'è da chiedersi come mai Symantec SystemWorks dovrebbe avere un rootkit mentre Kaspersky no, visto che entrambi nascondono file.

Scusa... ma quale "caratteristica può benissimo essere usata da un virus"?

Qualsiasi programma può potenzialmente utilizzare gli Alternate Data Streams... sono una caratteristica di NTFS e questo non ha nulla a che fare con Kaspersky... semplicemente Kaspersky 5.0 vi memorizza il checksum dei file che scansiona per i suddetti motivi. Non vedo dove sia il problema.

Mi sembra inoltre si stia travisando MOLTO il significato di "rootkit".

[archibald tuttle]

Quote:

Originariamente inviato da haveacigar

"Kaspersky Labs non usa rookits"

sarebbe meglio

"Kaspersky Labs non usa rootkits"

mi riferisco al titolo della news

non si usa il plurale delle parole straniere nelle frasi italiane anche se plurali, per esempio è corretto dire "i suoi fan" parlando di un artista e non "i suoi fans"

[schwalbe]

C'è da dire, nel caso di Norton, che il Cestino protetto da Norton, fa parte da tempo di SystemWorks e ancora prima delle Utilities. È proprio intrinseco nella filosofia del programma il suo comportamento.
Insomma, adesso che c'è la bufera "rootkit" e affini, Symantec ha messo le mani avanti per eventuali polemiche future.

Quote:

Originariamente inviato da archibald tuttle

non si usa il plurale delle parole straniere nelle frasi italiane anche se plurali, per esempio è corretto dire "i suoi fan" parlando di un artista e non "i suoi fans"

Yes. Quindi due "errori" :P

[ABCcletta]

Quote:

Originariamente inviato da ekerazha

L'intelligenza del Sig. Mark Russinovich non brilla sicuramente di luce propria.
Evidentemente aveva voglia di "diventare famoso" per un qualche scoop, ma l'ha fatta davvero fuori dal vaso.

Evidentemente sei uno dei molti che legge il suo blog solo da quando è scoppiato il caso Sony. Russinovich ha sempre trattato argomenti del genere e non capisco perchè imputargli il bisogno di fama.
Per quanto riguarda l'argomento non è la buona fede di Kaspersky ad essere in dubbio (persino a Sony, che ha palesemente violato l'EULA, è stata data ben più che una possibilità di risposta), bensì le pericolose potenzialità della tecnologia utilizzata. Inoltre da utente mi da fastidio sapere che un software si installi a mia insaputa e interagisca col sistema operativo...

Quote:

Originariamente inviato da ABCcletta

Evidentemente sei uno dei molti che legge il suo blog solo da quando è scoppiato il caso Sony. Russinovich ha sempre trattato argomenti del genere e non capisco perchè imputargli il bisogno di fama.
Per quanto riguarda l'argomento non è la buona fede di Kaspersky ad essere in dubbio (persino a Sony, che ha palesemente violato l'EULA, è stata data ben più che una possibilità di risposta), bensì le pericolose potenzialità della tecnologia utilizzata. Inoltre da utente mi da fastidio sapere che un software si installi a mia insaputa e interagisca col sistema operativo...

A dire il vero non l'ho mai letto, ho solo giudicato queste sue affermazioni.

Il punto non è la buona fede o meno di Kaspersky, ma il fatto che la tecnologia di Kaspersky non è assolutamente "pericolosa"

Nessun software si installa a tua insaputa, Kaspersky AntiVirus lo devi appunto installare e la suddetta tecnologia ha l'unico scopo di migliorare le performance dell'antivirus e non è assolutamente pericolosa ed è comunque opzionale e può essere disattivata durante la stessa installazione.

Non capisco poi cosa c'entri "interagire col sistema operativo", qualunque software interagisce col sistema operativo... se eliminassi qualunque interazione "non umana" non avresti un computer bensì un pallottoliere (già la calcolatrice quando moltiplichi fa delle somme a tua insaputa ).

Kaspersky utilizza semplicemente una funzionalità messa a disposizione dal filesystem NTFS... gli ADStreams sono una caratteristica di NTFS non di Kaspersky, Kaspersky si limita ad utilizzarla in maniera innoqua... non riesco dunque davvero a capire quale sia il problema di Kaspersky, che si comporta in modo del tutto innoquo e lecito.

[Pandrin2006]

Quote:

Originariamente inviato da ekerazha

Qualsiasi programma può potenzialmente utilizzare gli Alternate Data Streams... sono una caratteristica di NTFS e questo non ha nulla a che fare con Kaspersky...

Se fossero solo semplici Alternate Data Streams di NTFS sarebbero sempre visibili invece sono protetti e nascosti dal driver di kaspersky e finchè non disabiliti kaspersky, non puoi in alcun modo vederli. Un Alternate Data Stream di NTFS invece si può sempre vedere, anche con il notepad di windows o può essere accessibile via programmazione da un qualsiasi altro programma per mezzo di una chiamata API di Windows. E' per questo motivo che gli streams di kaspersky sono a tutti gli effetti dei rootkit.
Cosa succederebbe se uno spyware riuscisse a installarsi in uno stream protetto da kaspersky? Un antispyware non sarebbe più in grado di rilevarlo. Chi ci dice che kaspersky non usi iStream per nascondere qualcosa di poco ortodosso in uno di quei file nascosti? Sono tutte domande lecite

Quote:

Originariamente inviato da Pandrin2006

Se fossero solo semplici Alternate Data Streams di NTFS sarebbero sempre visibili invece sono protetti e nascosti dal driver di kaspersky e finchè non disabiliti kaspersky, non puoi in alcun modo vederli. Un Alternate Data Stream di NTFS invece si può sempre vedere, anche con il notepad di windows o può essere accessibile via programmazione da un qualsiasi altro programma per mezzo di una chiamata API di Windows. E' per questo motivo che gli streams di kaspersky sono a tutti gli effetti dei rootkit.
Cosa succederebbe se uno spyware riuscisse a installarsi in uno stream protetto da kaspersky? Un antispyware non sarebbe più in grado di rilevarlo. Chi ci dice che kaspersky non usi iStream per nascondere qualcosa di poco ortodosso in uno di quei file nascosti? Sono tutte domande lecite

Non molto lecite a dire il vero.

Se sono protetti è perchè non vengano alterati (compromettendo dunque le funzionalità del programma).

Non vedo come "uno spyware riesca ad installarsi" in uno stream di Kaspersky:
1) Affermi che è protetto da un driver kernel-level.
2) Kaspersky memorizza come stream un solo banale dato: il checksum dei file.

Per la cronaca inoltre, non mi risulta (eventualmente correggetemi) che gli antispyware in circolazione eseguino un controllo degli ADStream, quindi il problema è un po' più a monte. Ma questo non c'entra nulla con questo discorso... è solo una precisazione.

Se poi non ti fidi di Kaspersky è inutile installarlo... ha davvero poco senso pensare che possa "nascondere qualcosa" (e cosa? ) negli stream... se volesse "fregarti" in qualche modo, lo potrebbe fare in migliaia di modi, con o senza stream e completamente a tua insaputa. E' un po' come quelli che non fanno il Windows Update perchè non vogliono inviare informazioni a Microsoft a questo punto, come già detto, tantovale non installare il prodotto.

Sottolineo inoltre il continuo utilizzo improprio della parola "rootkit".

[Pandrin2006]

Quote:

Originariamente inviato da ekerazha

Per la cronaca inoltre, non mi risulta (eventualmente correggetemi) che gli antispyware in circolazione eseguino un controllo degli ADStream

E sbagli, per esempio Ad-Aware fa il controllo anche sugli ADStream, pure Spy Sweeper e tantissimi altri programmi antispyware!

Quote:

Originariamente inviato da Pandrin2006

E sbagli, per esempio Ad-Aware fa il controllo anche sugli ADStream, pure Spy Sweeper e tantissimi altri programmi antispyware!

Avevo detto che potevo sbagliarmi
Comunque come già premesso questa cosa è abbastanza irrilevante.
Vedi tutte le altre argomentazioni