Dr. Web и устойчивость к взлому
АрхивСтатьиВчера были опубликованы результаты исследования, участники которого попытались выяснить, какой антивирусный пакет наиболее устойчив к взлому. В течение часа были выведены из строя шесть бойцов. Не сдался только один - Dr. Web. Но заслуживают ли результаты доверия?
Отсутствие единых общепринятых средств и стандартов для оценки параметров конкурирующих продуктов, выпускаемых различными компаниями, порой приводит к курьёзным ситуациям. Верно и обратное: иногда такие средства как раз есть, но вот пользоваться ими компании по разным причинам не хотят. И в этом случае ситуация может стать уже не курьёзной, а весьма и весьма неприятной.
Скажем, Google объявила, что бета-версия четвертого браузера Chrome на 30% быстрее "Хрома" третьего, однако Андрей Крупин в ходе написания материала выяснил, что это далеко не так. Вполне может быть, что у компании есть собственные секретные бенчмарки для "внутреннего" использования, таки демонстрирующие заявленный результат, но ведь люди привыкли пользоваться совсем другими инструментами.
Противоположный пример: для оценки производительности Java-машин мобильных телефонов существует набор пакетов JBenchmark компании Kishonti Informatics. Производители трубок о скорости работы своих продуктов обычно молчат, а вот обозреватели используют (если используют) именно эти тесты, ставшие стандартом для отрасли. В итоге картина производительности мобильников в "яве" вполне прозрачна.
Вчера были опубликованы результаты исследования, проведенного конгрессом International Alternative Workshop on Aggressive Computing and Security под эгидой французской Высшей Школы Информатики, Электроники и Автоматики (ESIEA). Энтузиасты попытались выяснить, какой антивирусный пакет наиболее устойчив к взлому. Семь антивирусов были установлены на компьютеры под управлением операционной системы Windows с правами администратора, а само тестирование заняло один час.
Результаты таковы: продукт "Лаборатории Касперского" сдался через 40 минут, ESET NOD32 – через 33. Symantec Norton Antivirus продержался 4 минуты, а McAfee – всего 2. Антивирусы AVG и G Data натиска специалистов также не выдержали.
А выдержал его только Dr. Web, вывести который из строя не удалось. Но организаторы тестирования подчеркивают, что взлом этой программы – лишь вопрос времени (специалисты просто не уложились в отведённый час), так как "Dr. Web не умеет блокировать загрузку драйвера ядра" (оставим расшифровку этой фразы на откуп специалистам). Однако российский разработчик уже успел назвать свой продукт "единственным невзламываемым антивирусом в мире". Так ли это? Конечно, нет: как уже говорилось выше, всё возможно.
Во-вторых, здесь играет роль человеческий фактор: некие хакеры ломали антивирусы, но одинаково ли хорошо они знакомы со структурой каждого из них? Где гарантии, что в процессе подготовки к конференции они не успели хорошо изучить структуру "Нортона", а вот времени на освоение "Доктора Веба" им просто не хватило? Может такое быть? Да конечно! И потом: на нескольких слётах спецов по безопасности хакерам удавалось получить контроль над Mac OS X гораздо быстрее, чем над Windows. Но это не меняет сути дела: если быть объективным, первая система является в разы более защищённой и вирусоустойчивой, чем последняя.
Здесь так и хочется провести ещё одну аналогию. Небольшие компании второго эшелона, выпускающие различное железо, регулярно рассылают пресс-релизы, повествующие о победах своих устройств в конкурсах, тестах, сравнениях и так далее и тому подобное. Однако если копнуть глубже, то оказывается, что выставки и конференции, на которых эти продукты объявляются лауреатами премий, никому толком не известны и не пользуются сколько-нибудь значительным авторитетом на рынке и в мире: речь идет о небольших региональных мероприятиях и наградах типа "Лучший мобильный телефон на нашей выставке электрочайников". Но компаниям достаточно и такой "недопремии": она позволяет хорошенько пропиариться! Ведь средний пользователь едва ли знает что-либо о масштабах той или иной выставки и присуждаемой её организаторами награды.
Схожей точки зрения придерживается Анна Александрова, директор по маркетингу компании ESET. По словам Анны, Dr. Web уже давно не принимает участия в авторитетных тестированиях антивирусов – таких, как Virus Bulletin, Checkmark или AV-Comparatives. Неудивительно, что после целого ряда провалов на тестах компания обрадовалась результатам непрофессиональных исследователей, о которых антивирусная индустрия никогда не слышала. Г-жа Александрова не исключает, что следующим шагом будет пресс-релиз "Доктора Веба" о победе в турнире по перетягиванию каната или прыжкам в мешке. Хотя, казалось бы, причём здесь антивирусы? А они, как всегда, ни при чём.
Григорий Васильев, технический директор ESET, считает, что сегодня в мире есть достаточно много тестовых лабораторий с авторитетным именем и признанной специалистами по информационной безопасности методикой проведения тестирований, однако данную организацию вряд ли можно отнести к их числу. Маловероятно, чтобы кто-то вообще услышал о тестировании, если бы компания "Доктор Веб" не растиражировала о нём новость.
По словам Кирилла Керценбаума, руководителя группы технических специалистов Symantec в России и СНГ, данное исследование правильнее охарактеризовать как "убей антивирус", что, конечно же, может сделать сам пользователь, обладая определённым набором прав на своем ПК. Однако это не имеет ничего общего с реальной жизнью и с реальными угрозами. Система самозащиты, безусловно, играет не последнюю роль, но и не первую. Все компоненты должны работать взаимосвязано и эффективно. Если же задаться целью сломать что-то одно, то это вполне возможно сделать, используя при этом не совсем те средства, с которыми приходится сталкиваться в реальной жизни. Также из результатов тестирования не совсем понятно, какими настройками обладали продукты, в том числе Norton. Была ли у него, в частности, активирована система самозащиты. Это не значит, что данный модуль не требует совершенствования. Меняются условия, угрозы, что заставляет компании дорабатывать компоненты продуктов. Если говорить об уровне защиты продуктов Norton, то независимые тесты показывают, что он был достаточно высоким (об этом свидетельствует, например, тест Anti-Malware от января 2009 года). Основной вывод г-на Керценбаума таков: в каждой правде, конечно, есть доля правды, но всегда присутствует и субъективная часть, о чём нужно помнить, особенно применительно к подобным "тестам".
"Лаборатория Касперского" никак не оценивает свои результаты в данном конкурсе, поскольку не обладает информацией о методике его проведения и результатах. Непонятно даже, какой именно защитный продукт тестировался: KAV или KIS. Более того, у этих пакетов есть несколько версий. А это крайне важное обстоятельство, поскольку уровни их защиты отличаются.
По словам Александра Гостева, руководителя центра глобальных исследований и анализа угроз "Лаборатории Касперского", организаторы конкурса избрали довольно странный метод общения с антивирусными вендорами. Например, в исходном сообщении о результатах теста утверждается, что все производители были уведомлены об обнаруженных уязвимостях, однако "ЛК" не получала каких-либо сообщений. На просьбу предоставить информацию был получен ответ, что они не планируют сообщать детали и сейчас прорабатывают вопрос публикации информации сразу в общедоступных источниках с юристами. Этот факт говорит о том, что, судя по всему, по французским законам подобные действия (поиск уязвимостей, создание и публикация эксплоитов) могут подпадать под действие уголовного кодекса данной страны.
Печально знаменитый президент Уганды Иди Амин в свое время объявил себя королем Шотландии – просто потому, что ему понравилось это слово. Хотя в самой стране он никогда не был и не имел к ней никакого отношения. Если бы г-н Амин жил в наши времена, то он вполне бы мог назвать себя "Единственным невзламываемым антивирусом": как показывает практика, тщательно подбирать доказательную базу для этого сегодня вовсе не обязательно – достаточно результата исследования, полученного не слишком известной группой энтузиастов.
Но подчеркнём: мы ни в коем случае не хотим сказать, что Dr. Web выпускает плохой антивирусный продукт. Вовсе нет – у него есть немало почитателей, и этот факт говорит сам за себя. Но вот пиар-службе компании следовало бы задуматься о серьёзности подобных информационных поводов: есть мнение, что коллег по индустрии они могут только позабавить.