Kaspersky Labs non usa rootkit

Kaspersky Labs non usa rootkit

I rootkits sono uno degli argomenti preferiti ultimamente, anche Kaspersky Labs è stata accusata di fare uso di tali strumenti potenzialmente pericolosi ma giunge subito la smentita.

di pubblicata il , alle 08:22 nel canale Sicurezza
 
Qualche giorno fa Mark Russinovich ha accusato kaspersky Labs di utilizzare tecnologie potenzialmente pericolose, nell'occhio del ciclone ci sarebbe il componente iStreams™ technology che, per il fatto di rendersi invisibile al sistema, è accusato di essere un rootkit.

In estrema sintesi iStreams può essere pensato con un array in cui vengono inseriti i checksum relativi ai files controllati sul sistema. Qualora tali risultati tra una scansione e l'altra restino invariati la nuova scansione non viene effettuata.

Kasperky Lab intende precisare alcuni particolari, ovvero che qualora un prodotto antivirus di Kaspersky è in esecuzione il data stream è invisibile, ma appena l'antivirus viene disabilitato tali dati sono visibile e sotto controllo.

Nel caso in cui il data stream venga modificato, al successivo avvio dell'antivirus viene rilevata l'incoerenza e tale componente viene ricostruito.

Kaspersky ha precisato che la tecnologia iStream è implementata per aumentare le performance del software, ma in futuro verrà soppiantata da altri sistemi.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

42 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
JohnPetrucci14 Gennaio 2006, 10:32 #1
Non è che sia un rootkit fastidioso tipo quello Sony, iMHO.
Questa funzione anzi sembra avvantaggiare l'efficienza dell'antivirus stesso.
sirus14 Gennaio 2006, 10:32 #2
mamma mia che panico generale negli ultimi tempi tutti che parlano di DRM , TCPA e RootKit
poaret14 Gennaio 2006, 10:50 #3

viste le premesse e le promesse

mi sembra un panico, se non proprio giustificato, almeno comprensibile
Pandrin200614 Gennaio 2006, 10:55 #4

E' un rootkit a tutti gli effetti

E' un rootkit a tutti gli effetti dato che vengono nascosti file e tale caratteristica può benissimo essere usata da un virus. E infatti Kaspersky ha deciso che nella prossima versione dell'antivirus non userà più quel sistema che nasconde i file. C'è da chiedersi come mai Symantec SystemWorks dovrebbe avere un rootkit mentre Kaspersky no, visto che entrambi nascondono file.
http://www.hwupgrade.it/news/software/16141.html
Forse la redazione è un po' di parte?
These discrepancies are the ones exhibited by most rootkits, however, if you haven't checked the Hide NTFS metadata files you should expect to see a number of such entries on any NTFS volume since NTFS hides its metada files, such as $MFT and $Secure, from the Windows API. The metadata files present on NTFS volumes varies by version of NTFS and the NTFS features that have been enabled on the volume. There are also antivirus products, such as Kaspersky Antivirus, that use rootkit techniques to hide data they store in NTFS alternate data streams. If you are running such a virus scanner you'll see a Hidden from Windows API discrepancy for an alternate data stream on every NTFS file.
http://www.sysinternals.com
matteo114 Gennaio 2006, 10:56 #5
la tecnologia istreams cmq è disabilitabile sin dall'inizio dell'installazione.
matteo114 Gennaio 2006, 11:16 #6
e vai di altri rootkit,stavolta veritieri e segnalati da f-secure a symantec e prontamente risolti con update da quest'ultima:
http://www.cdrinfo.com/Sections/New...px?NewsId=16061
ekerazha14 Gennaio 2006, 12:30 #7
L'intelligenza del Sig. Mark Russinovich non brilla sicuramente di luce propria.
Evidentemente aveva voglia di "diventare famoso" per un qualche scoop, ma l'ha fatta davvero fuori dal vaso.

iStreams è stato semplicemente un sistema utilizzato da Kaspersky per migliorare le performance del proprio antivirus (non controllava i file il cui checksum non era stato modificato, memorizzando questo dato come stream nel filesystem).

Tecnologia per altro rimpiazzata da una nuova, iSwift, nell'imminente Kaspersky AntiVirus 2006 (credo che ora memorizzi questi dati in un proprio database interno).
WarDuck14 Gennaio 2006, 12:40 #8
Scusa pandrin ma se io fossi un programmatore di un antivirus farei in modo che solo la mia applicazione possa usare questo iStream... farei dei controlli anche su questo, nn penso che i russi (mi piace chiamarli così asd) nn l'abbiano fatto.
haveacigar14 Gennaio 2006, 13:47 #9
"Kaspersky Labs non usa rookits"

sarebbe meglio

"Kaspersky Labs non usa rootkits"

mi riferisco al titolo della news
ekerazha14 Gennaio 2006, 14:02 #10
Originariamente inviato da: Pandrin2006
E' un rootkit a tutti gli effetti dato che vengono nascosti file e tale caratteristica può benissimo essere usata da un virus. E infatti Kaspersky ha deciso che nella prossima versione dell'antivirus non userà più quel sistema che nasconde i file. C'è da chiedersi come mai Symantec SystemWorks dovrebbe avere un rootkit mentre Kaspersky no, visto che entrambi nascondono file.

Scusa... ma quale "caratteristica può benissimo essere usata da un virus"?

Qualsiasi programma può potenzialmente utilizzare gli Alternate Data Streams... sono una caratteristica di NTFS e questo non ha nulla a che fare con Kaspersky... semplicemente Kaspersky 5.0 vi memorizza il checksum dei file che scansiona per i suddetti motivi. Non vedo dove sia il problema.

Mi sembra inoltre si stia travisando MOLTO il significato di "rootkit".

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^