Pull to refresh

Лаборатория Касперского или туда-сюда…

Information Security
image
Сегодня в интернете появилось 2 новости про Лабараторию Касперского,
одна как всегда положительная, другая как всегда отрицательная:

Первая история:
Компания «Лаборатория Касперского» запатентовала в России пять технологий в области информационной безопасности. Патенты зарегистрированы Федеральной службой по интеллектуальной собственности, патентам и товарным знакам (Роспатентом).

Upd: появился ответ от работников Касперского

Патент номер 2 363 045 описывает новый метод лечения компьютера от вредоносных программ, активно препятствующих удалению. Метод, автором которого является Михаил Павлющик, позволяет идентифицировать вредоносную программу, имеющую на одной машине несколько копий, запускающихся в разных процессах, блокировать активирование одних копий другими и полностью удалять их из ПЗУ и оперативной памяти.

Патент номер 2 363 047 описывает технологию обнаружения текстов и спама в растровых изображениях. Технология, разработанная Евгением Смирновым, не требует машинного распознавания графических образов и обеспечивает быстроту и высокий уровень детектирования нежелательных сообщений в изображениях. Метод устойчив к таким спамерским приёмам, как повороты текста и написание его волной, разбиение рамками и линиями, добавление различных шумовых элементов.

В патенте номер 85 249 описывается аппаратный антивирус, предназначенный для лечения компьютерных систем, заражённых вредоносными программами. Основная функция антивируса заключается в предотвращении распространения вредоносных программ путём фильтрации данных, поступающих на устройства внешней памяти. Автор запатентованного антивируса — Олег Зайцев.

Роспатент также выдал «Лаборатории Касперского» патент номер 85 247 на метод идентификации спама с помощью лексических векторов. Метод, автором которого является Андрей Калинин, позволяет эффективно находить спам в почтовых сообщениях, анализируя их словарный состав и вычисляя лексические векторы.

«Лаборатория Касперского» также получила патент номер 85 248 на технологию управления лицензионными ключами программных продуктов. Технология оптимизирует управление лицензионными ключами с изменяемым сроком действия при модификации количества компьютеров, на которые устанавливается лицензируемая программа. Авторы технологии — группа экспертов «Лаборатории Касперского» в составе Алексея Калгина, Андрея Кулаги, Дамира Шияфетдинова, Андрея Казачкова, Стефана Ле Хира, Филиппа Бодмера и Демьема М Билли.

«Важно понимать, что патент — это монополия на описанную в нём технологию, что является прямым запретом использовать её третьим лицам без какого-либо разрешения правообладателя. В России пока нет патентной судебной практики, как и самого патентного суда, но в скором времени, когда всё это появится, компании-производителю очень важно будет иметь охрану и защиту для своих технологий, именно поэтому «Лаборатория Касперского» патентует свои инновационные решения и в России», — комментирует получение патентов Надежда Кащенко, руководитель отдела по управлению интеллектуальной собственностью компании.

По словам представителя компании, в настоящее время патентные ведомства разных стран рассматривают более трех десятков патентных заявок «Лаборатории Касперского», описывающих уникальные инновационные технологии в области информационной безопасности.

Вторая история про находки конкурентов в новой линейке Kaspersky Internet Security 2010:
Технология Sandbox («песочницы» или Green Zone — «безопасной среды»), впервые появившаяся в комплексном решении Kaspersky Internet Security 2010 (антивирус, антиспам, защита от атак), привлекла пристальное внимание конкурентов ЛК. Напомним, что Sandbox позволяет запускать подозрительные программы и веб-сайты в изолированном виртуальном пространстве.

«Мы не могли удержаться от тестирования новой технологии наших коллег, — говорят представители компании. «Доктор Веб». — Поскольку идея «песочниц» не нова и довольно много антивирусных компаний уже долгое время имеют схожие разработки, а также в связи с тем, что наша антивирусная лаборатория постоянно ведет исследования в этой области, подобная информация, естественно, представляет для нас большой интерес».

«Для выполнения первого теста файловый менеджер FAR был помещен в «песочницу» и запущен на исполнение, — описывают свой эксперимент в «Доктор Веб». — Затем из Сети были взяты четыре эксплойта, использующие уязвимости ОС Windows. Вредоносные файлы не были задетектированы средствами KIS (не сработала ни эвристика, ни HIPS) и запущены на исполнение. В результате все эксплойты выполнили свое предназначение (переход в режим ядра ОС), а «песочница» так и не осуществила свою миссию, доказательством чему был синий экран смерти Windows (BSoD). Операционной системе был нанесен безусловный вред».

В другом тесте была произведена проверка на способность изолировать изменения файловой системы внутри Green Zone. «Обычные операции над файлами никак не повлияли на работоспособность основной системы, — продолжают в «Доктор Веб». — Но изменяя стандартный синтаксис имени файла на его аналог через сетевой редиректор (как это делал, например, вирус Win32.Ntldrbot), можно получить полный доступ к системе за пределами «песочницы» и способность изменять критически важные объекты. Так, простой командный файл (bat) из двух строк с легкостью удаляет файл c:\ntldr, что приводит к полной неработоспособности всей системы после перезагрузки».

Таким образом, как утверждают представители «Доктор Веб», Green Zone на самом деле совершенно не гарантирует, что вредоносные программы не смогут нанести вред операционной системе и файлам пользователя, как было заявлено при запуске KIS 2010.
И вот сидишь и думаешь, что же лучше, всё новое что для нас готовит разработчик, или лучше когда разработчики дорабатывают старое?

А вот и сам ответ от одног из работников Кас

Сегодня на CNEWS вышел материал под названием взломал песочницу. Как следует из текста, в Лаборатории Касперского заявили, что комментировать действия конкурента не станут.

От себя лично же скажу, что в приличном обществе общепризнанными правилами этики является сначала отправка уведомления об обнаруженной уязвимости вендору, получение от него ответа, возможно исправления, а уж потом слив информации в паблик.
О том, что некоторым товарищам из DrWeb на этику давно наплевать — мы помним (клепание эксплоитов для нашего веб-антивирусами ручками г-на Гладких ~ с тех пор кстати прошло уже 3(?)4(?) года, а аналогичного по функционалу решения у DrWeb и поныне нет, что понятно — ломать, не строить), поэтому никаких особых удивлений у меня это все не вызывает.
Поэтому, как и сказано — никаких комментариев. Всего лишь одна история. Одна из…
Ее результаты здесь. А о том, как это было — под катом.

From: Василий Бердников
Sent: Tuesday, June 16, 2009 2:26 PM
Subject: drweb и CreateProcess

Всем привет!
Нашел забавный и в тоже время серьезный баг у самых крутых аверов Ж))

Бага у них заключается в неправильном использовании функции CreateProcess.

У них чета подобное используется:
.data
CommandLine db «C:\Program Files\DrWeb\drwebupw.exe»,0
CommandLine2 db «C:\Program Files\DrWeb\drwebupw.exe /go»,0
.code
_start:
invoke CreateProcess, offset CommandLine, offset CommandLine2,…
Что есть не правильно :)

В итоге, если есть файл C:\Program.exe — то и он будет запущен :)
Как только он начнет обновляться помимо апдейтера будет запущен и наш файлик :). Причем пока процесс Program.exe не завершится — обновы не установятся :)
Енто все верно для 4.44 версии

В 5-ке видать они там исправили частично эту багу (видать просто параметры не передаются), но при установки обновлений запускается drwreg.exe -check и снова таки C:\Program.exe запускается.

Бага — огонь :)
From: Alexander Gostev
Sent: Tuesday, June 16, 2009 2:29 PM

Ну ты напишешь им vulnerability notification?

From: Василий Бердников
Sent: Tuesday, June 16, 2009 3:19 PM

Чет мне им вообще ниче писать не хочется :) С таким отношением к тестам на ам и высказываниями Шарова как то на синьюс -я могу их тока послать Ж)

сброшу о проблеме и что будет на ам опубликовано, если не уложатся в неделю.

From: Василий Бердников
Sent: Tuesday, June 16, 2009 4:01 PM

ок.
И куда засылать им не в курсе?

From: Alexander Gostev
Sent: Tuesday, June 16, 2009 4:05 PM

А на какой адрес — а на их сайте указан должен быть :)

From: Василий Бердников
Sent: Tuesday, June 16, 2009 5:04 PM

У них походу реально нет такого емейла, куда бы можно было с багой письмо отправить :)

Сейчас в ольку загнал обновлятор их, вот бага:

0107F4C0 0042B96B /CALL to CreateProcessA from drwebupw.0042B965
0107F4C4 00000000 |ModuleFileName = NULL
0107F4C8 00D0A650 |CommandLine = «C:\Program Files\DrWeb\drwreg.exe -check»
0107F4CC 00000000 |pProcessSecurity = NULL
0107F4D0 00000000 |pThreadSecurity = NULL
0107F4D4 00000000 |InheritHandles = FALSE
0107F4D8 00000000 |CreationFlags = 0
0107F4DC 00000000 |pEnvironment = NULL
0107F4E0 003F4CE8 |CurrentDir = «C:\Program Files\DrWeb\»
0107F4E4 0107F510 |pStartupInfo = 0107F510
0107F4E8 0107F500 \pProcessInfo = 0107F500

То есть я ранее чуток ошибся -визуально показалось что бага именно
при создании процесса drwebupw.exe, оказалось же при создании процесса
drwreg.exe самим обновлятором. Но енто дело не меняет

From: Alexander Gostev
Sent: Tuesday, June 16, 2009 5:33 PM

Значит пиши на общеизвестные:
support@
vms@

+ возможные (общепринятые в индустрии для таких кейсов).
security@
vulnerability@

2 июля, через две с лишним недели, DrWeb выпустил патч, исправляющий данную уязвимость. (окончание ответа работника КАС)

А моё личное мнение, что не и не ответ, а просто указание на другие ошибки.
Нет что бы написать как и что будет делаться для устранения, и что щас делать пользователем 10 версии KIS (как наприме в статье google в которой признали ошибки и рассказали почему всё это произошло.
Tags:Доктор ВебЛаборатория КасперскогоKaspersky Internet Security 2010Sandboxпатентинформационная безопасность
Hubs: Information Security
Rating +18
Views 2.3k Add to bookmarks 3
Comments
Comments 98

Popular right now