Сегодня в интернете появилось 2 новости про Лабараторию Касперского,
одна как всегда положительная, другая как всегда отрицательная:
Первая история:
Компания «Лаборатория Касперского» запатентовала в России пять технологий в области информационной безопасности. Патенты зарегистрированы Федеральной службой по интеллектуальной собственности, патентам и товарным знакам (Роспатентом).
Upd: появился ответ от работников Касперского
Патент номер 2 363 045 описывает новый метод лечения компьютера от вредоносных программ, активно препятствующих удалению. Метод, автором которого является Михаил Павлющик, позволяет идентифицировать вредоносную программу, имеющую на одной машине несколько копий, запускающихся в разных процессах, блокировать активирование одних копий другими и полностью удалять их из ПЗУ и оперативной памяти.
Патент номер 2 363 047 описывает технологию обнаружения текстов и спама в растровых изображениях. Технология, разработанная Евгением Смирновым, не требует машинного распознавания графических образов и обеспечивает быстроту и высокий уровень детектирования нежелательных сообщений в изображениях. Метод устойчив к таким спамерским приёмам, как повороты текста и написание его волной, разбиение рамками и линиями, добавление различных шумовых элементов.
В патенте номер 85 249 описывается аппаратный антивирус, предназначенный для лечения компьютерных систем, заражённых вредоносными программами. Основная функция антивируса заключается в предотвращении распространения вредоносных программ путём фильтрации данных, поступающих на устройства внешней памяти. Автор запатентованного антивируса — Олег Зайцев.
Роспатент также выдал «Лаборатории Касперского» патент номер 85 247 на метод идентификации спама с помощью лексических векторов. Метод, автором которого является Андрей Калинин, позволяет эффективно находить спам в почтовых сообщениях, анализируя их словарный состав и вычисляя лексические векторы.
«Лаборатория Касперского» также получила патент номер 85 248 на технологию управления лицензионными ключами программных продуктов. Технология оптимизирует управление лицензионными ключами с изменяемым сроком действия при модификации количества компьютеров, на которые устанавливается лицензируемая программа. Авторы технологии — группа экспертов «Лаборатории Касперского» в составе Алексея Калгина, Андрея Кулаги, Дамира Шияфетдинова, Андрея Казачкова, Стефана Ле Хира, Филиппа Бодмера и Демьема М Билли.
«Важно понимать, что патент — это монополия на описанную в нём технологию, что является прямым запретом использовать её третьим лицам без какого-либо разрешения правообладателя. В России пока нет патентной судебной практики, как и самого патентного суда, но в скором времени, когда всё это появится, компании-производителю очень важно будет иметь охрану и защиту для своих технологий, именно поэтому «Лаборатория Касперского» патентует свои инновационные решения и в России», — комментирует получение патентов Надежда Кащенко, руководитель отдела по управлению интеллектуальной собственностью компании.
По словам представителя компании, в настоящее время патентные ведомства разных стран рассматривают более трех десятков патентных заявок «Лаборатории Касперского», описывающих уникальные инновационные технологии в области информационной безопасности.
Вторая история про находки конкурентов в новой линейке Kaspersky Internet Security 2010:
Технология Sandbox («песочницы» или Green Zone — «безопасной среды»), впервые появившаяся в комплексном решении Kaspersky Internet Security 2010 (антивирус, антиспам, защита от атак), привлекла пристальное внимание конкурентов ЛК. Напомним, что Sandbox позволяет запускать подозрительные программы и веб-сайты в изолированном виртуальном пространстве.
«Мы не могли удержаться от тестирования новой технологии наших коллег, — говорят представители компании. «Доктор Веб». — Поскольку идея «песочниц» не нова и довольно много антивирусных компаний уже долгое время имеют схожие разработки, а также в связи с тем, что наша антивирусная лаборатория постоянно ведет исследования в этой области, подобная информация, естественно, представляет для нас большой интерес».
«Для выполнения первого теста файловый менеджер FAR был помещен в «песочницу» и запущен на исполнение, — описывают свой эксперимент в «Доктор Веб». — Затем из Сети были взяты четыре эксплойта, использующие уязвимости ОС Windows. Вредоносные файлы не были задетектированы средствами KIS (не сработала ни эвристика, ни HIPS) и запущены на исполнение. В результате все эксплойты выполнили свое предназначение (переход в режим ядра ОС), а «песочница» так и не осуществила свою миссию, доказательством чему был синий экран смерти Windows (BSoD). Операционной системе был нанесен безусловный вред».
В другом тесте была произведена проверка на способность изолировать изменения файловой системы внутри Green Zone. «Обычные операции над файлами никак не повлияли на работоспособность основной системы, — продолжают в «Доктор Веб». — Но изменяя стандартный синтаксис имени файла на его аналог через сетевой редиректор (как это делал, например, вирус Win32.Ntldrbot), можно получить полный доступ к системе за пределами «песочницы» и способность изменять критически важные объекты. Так, простой командный файл (bat) из двух строк с легкостью удаляет файл c:\ntldr, что приводит к полной неработоспособности всей системы после перезагрузки».
Таким образом, как утверждают представители «Доктор Веб», Green Zone на самом деле совершенно не гарантирует, что вредоносные программы не смогут нанести вред операционной системе и файлам пользователя, как было заявлено при запуске KIS 2010.
И вот сидишь и думаешь, что же лучше, всё новое что для нас готовит разработчик, или лучше когда разработчики дорабатывают старое?
А вот и сам ответ от одног из работников Кас
Сегодня на CNEWS вышел материал под названием взломал песочницу. Как следует из текста, в Лаборатории Касперского заявили, что комментировать действия конкурента не станут.
От себя лично же скажу, что в приличном обществе общепризнанными правилами этики является сначала отправка уведомления об обнаруженной уязвимости вендору, получение от него ответа, возможно исправления, а уж потом слив информации в паблик.
О том, что некоторым товарищам из DrWeb на этику давно наплевать — мы помним (клепание эксплоитов для нашего веб-антивирусами ручками г-на Гладких ~ с тех пор кстати прошло уже 3(?)4(?) года, а аналогичного по функционалу решения у DrWeb и поныне нет, что понятно — ломать, не строить), поэтому никаких особых удивлений у меня это все не вызывает.
Поэтому, как и сказано — никаких комментариев. Всего лишь одна история. Одна из…
Ее результаты здесь. А о том, как это было — под катом.
From: Василий Бердников
Sent: Tuesday, June 16, 2009 2:26 PM
Subject: drweb и CreateProcess
Всем привет!
Нашел забавный и в тоже время серьезный баг у самых крутых аверов Ж))
Бага у них заключается в неправильном использовании функции CreateProcess.
У них чета подобное используется:
.data
CommandLine db «C:\Program Files\DrWeb\drwebupw.exe»,0
CommandLine2 db «C:\Program Files\DrWeb\drwebupw.exe /go»,0
.code
_start:
invoke CreateProcess, offset CommandLine, offset CommandLine2,…
Что есть не правильно :)
В итоге, если есть файл C:\Program.exe — то и он будет запущен :)
Как только он начнет обновляться помимо апдейтера будет запущен и наш файлик :). Причем пока процесс Program.exe не завершится — обновы не установятся :)
Енто все верно для 4.44 версии
В 5-ке видать они там исправили частично эту багу (видать просто параметры не передаются), но при установки обновлений запускается drwreg.exe -check и снова таки C:\Program.exe запускается.
Бага — огонь :)
From: Alexander Gostev
Sent: Tuesday, June 16, 2009 2:29 PM
Ну ты напишешь им vulnerability notification?
From: Василий Бердников
Sent: Tuesday, June 16, 2009 3:19 PM
Чет мне им вообще ниче писать не хочется :) С таким отношением к тестам на ам и высказываниями Шарова как то на синьюс -я могу их тока послать Ж)
сброшу о проблеме и что будет на ам опубликовано, если не уложатся в неделю.
From: Василий Бердников
Sent: Tuesday, June 16, 2009 4:01 PM
ок.
И куда засылать им не в курсе?
From: Alexander Gostev
Sent: Tuesday, June 16, 2009 4:05 PM
А на какой адрес — а на их сайте указан должен быть :)
From: Василий Бердников
Sent: Tuesday, June 16, 2009 5:04 PM
У них походу реально нет такого емейла, куда бы можно было с багой письмо отправить :)
Сейчас в ольку загнал обновлятор их, вот бага:
0107F4C0 0042B96B /CALL to CreateProcessA from drwebupw.0042B965
0107F4C4 00000000 |ModuleFileName = NULL
0107F4C8 00D0A650 |CommandLine = «C:\Program Files\DrWeb\drwreg.exe -check»
0107F4CC 00000000 |pProcessSecurity = NULL
0107F4D0 00000000 |pThreadSecurity = NULL
0107F4D4 00000000 |InheritHandles = FALSE
0107F4D8 00000000 |CreationFlags = 0
0107F4DC 00000000 |pEnvironment = NULL
0107F4E0 003F4CE8 |CurrentDir = «C:\Program Files\DrWeb\»
0107F4E4 0107F510 |pStartupInfo = 0107F510
0107F4E8 0107F500 \pProcessInfo = 0107F500
То есть я ранее чуток ошибся -визуально показалось что бага именно
при создании процесса drwebupw.exe, оказалось же при создании процесса
drwreg.exe самим обновлятором. Но енто дело не меняет
From: Alexander Gostev
Sent: Tuesday, June 16, 2009 5:33 PM
Значит пиши на общеизвестные:
support@
vms@
+ возможные (общепринятые в индустрии для таких кейсов).
security@
vulnerability@
2 июля, через две с лишним недели, DrWeb выпустил патч, исправляющий данную уязвимость. (окончание ответа работника КАС)
А моё личное мнение, что не и не ответ, а просто указание на другие ошибки.
Нет что бы написать как и что будет делаться для устранения, и что щас делать пользователем 10 версии KIS (как наприме в статье google в которой признали ошибки и рассказали почему всё это произошло.
