Gli stessi esperti di sicurezza Windows che avevano reso pubblico il problema relativo a l'uso di tecniche di cloaking da parte di Sony BMG Music Entertainment stanno ora mettendo in discussione simili comportamenti nei software rilasciati dai security vendors Symantec e Kaspersky Lab.
Symantec SystemWorks con Rootkit
Mark Russinovich, chief software architect dell'azienda di software di sistema Winternals, definisce le tecniche usate dai prodotti Symantec Norton SystemWorks e Kaspersky Anti-Virus come "rootkits", un termine normalmente riservato alle tecniche usate da software nocivi per nascondersi ai software di sicurezza. Secondo Russinovich non esiste una "buona giustificazione" per l'uso di queste tecniche. "If the vendor believes that the implementation of their software requires a rootkit then I think they need to go back and re-architect it."
Sia Symantec sia Kaspersky hanno ammesso di aver rilasciato software che nascondeva certe informazioni al sistema, ma si sono dette contrarie alla definizione fatta da Russinovich di “rootkit”, evidenziando che i loro software non sono stati programmati con intenzionalità nocive quindi non andrebbero inseriti in quel tipo di categoria di software. Symantec ha già rilasciato una patch per SystemWorks per disabilitare la tecnica di cloaking e rendere visibile la cartella incriminata, senza intaccare comunque la funzionalità del suo Norton Protected Recycle Bin. Un portavoce di Kaspersky ha affermato che anche la sua azienda sta prendendo in considerazione tale contromisura. Al contrario del software Sony XCP, i prodotti Symantec e Kaspersky non usano le funzioni di cloaking con l'intento di nascondere l'esecuzione di certe parti del software sul sistema ma solo per nascondere semplici dati.
Symantec Norton SystemWorks include la funzione "Protected Recycle Bin", che rimpiazza il Microsoft Windows Recycle Bin standard con lo scopo di consentire agli utenti il recupero di files rimossi accidentalmente. Norton Protected Recycle Bin prevede la creazione di una cartella chiamata NProtect, che viene nascosta alle Windows APIs. Symantec ha rilasciato la patch perchè gli autori di software nocivi avrebbero potuto creare intenzionalmente virus e worm nella cartella "invisibile", per impedire in sostanza ai software di sicurezza installati di rilevare la presenza del codice nocivo sul PC. Symantec ha comunque descritto questa possibilità come un "rischio basso". L'uso del cloaking da parte del software di Kaspersky è recente. Con la versione 5 di Kaspersky Anti-Virus, rilasciato circa un anno fa, l'azienda ha introdotto tecniche di cloaking per nascondere le informazioni di "checksum" usate dal software per determinare quali files sul computer sono stati analizzati e quali invece no. Questa funzione, detta iStreams, serve a migliorare le performance del software e non dovrebbe poter generare alcun rischio di sicurezza. Russinovich concorda sul fatto che le tecniche di cloaking usate da Symantec e Kaspersky non sono pericolose come quelle utilizzate da Sony, poi sfruttate dai virus writers, ma evidenzia che le tre aziende stanno tutte usando una pratica deprecabile nei confronti di utenti e professionisti IT.
F-Secure, azienda antivirus impegnata fin dall'inizio nell'analisi delle tecniche hiding/cloaking/stealth, ha voluto prendere parte alla discussione riportando i dati finora raccolti tramite il suo software anti-rootkit BlackLight e relativi all'uso di queste tecniche in applicazioni “non-maliziose”. F-Secure divide questi ultimi casi in tre categorie: software che nascondono file e cartelle che gli utenti usano (per esempio contenuti per adulti), software di backup di sistema che nascondono i files di backup, software che proteggono i propri processi o dati di configurazione. Queste applicazioni non sono comunque molte, secondo F-Secure meno di una dozzina, e alcune sono anche molto "rare". Secondo l'azienda con base a Helsinki inoltre il rischio derivante dall'uso di queste tecniche è mitigato dalla facilità con cui i malware stessi possono integrare la tecnologia rootkit nel proprio codice. F-Secure comunque raccomanda: "If you want to prevent access to your files or processes you should use OS access controls or encryption - not rootkit cloaking techniques".
Fonte
Symantec SystemWorks con Rootkit
Mark Russinovich, chief software architect dell'azienda di software di sistema Winternals, definisce le tecniche usate dai prodotti Symantec Norton SystemWorks e Kaspersky Anti-Virus come "rootkits", un termine normalmente riservato alle tecniche usate da software nocivi per nascondersi ai software di sicurezza. Secondo Russinovich non esiste una "buona giustificazione" per l'uso di queste tecniche. "If the vendor believes that the implementation of their software requires a rootkit then I think they need to go back and re-architect it."
Sia Symantec sia Kaspersky hanno ammesso di aver rilasciato software che nascondeva certe informazioni al sistema, ma si sono dette contrarie alla definizione fatta da Russinovich di “rootkit”, evidenziando che i loro software non sono stati programmati con intenzionalità nocive quindi non andrebbero inseriti in quel tipo di categoria di software. Symantec ha già rilasciato una patch per SystemWorks per disabilitare la tecnica di cloaking e rendere visibile la cartella incriminata, senza intaccare comunque la funzionalità del suo Norton Protected Recycle Bin. Un portavoce di Kaspersky ha affermato che anche la sua azienda sta prendendo in considerazione tale contromisura. Al contrario del software Sony XCP, i prodotti Symantec e Kaspersky non usano le funzioni di cloaking con l'intento di nascondere l'esecuzione di certe parti del software sul sistema ma solo per nascondere semplici dati.
Symantec Norton SystemWorks include la funzione "Protected Recycle Bin", che rimpiazza il Microsoft Windows Recycle Bin standard con lo scopo di consentire agli utenti il recupero di files rimossi accidentalmente. Norton Protected Recycle Bin prevede la creazione di una cartella chiamata NProtect, che viene nascosta alle Windows APIs. Symantec ha rilasciato la patch perchè gli autori di software nocivi avrebbero potuto creare intenzionalmente virus e worm nella cartella "invisibile", per impedire in sostanza ai software di sicurezza installati di rilevare la presenza del codice nocivo sul PC. Symantec ha comunque descritto questa possibilità come un "rischio basso". L'uso del cloaking da parte del software di Kaspersky è recente. Con la versione 5 di Kaspersky Anti-Virus, rilasciato circa un anno fa, l'azienda ha introdotto tecniche di cloaking per nascondere le informazioni di "checksum" usate dal software per determinare quali files sul computer sono stati analizzati e quali invece no. Questa funzione, detta iStreams, serve a migliorare le performance del software e non dovrebbe poter generare alcun rischio di sicurezza. Russinovich concorda sul fatto che le tecniche di cloaking usate da Symantec e Kaspersky non sono pericolose come quelle utilizzate da Sony, poi sfruttate dai virus writers, ma evidenzia che le tre aziende stanno tutte usando una pratica deprecabile nei confronti di utenti e professionisti IT.
F-Secure, azienda antivirus impegnata fin dall'inizio nell'analisi delle tecniche hiding/cloaking/stealth, ha voluto prendere parte alla discussione riportando i dati finora raccolti tramite il suo software anti-rootkit BlackLight e relativi all'uso di queste tecniche in applicazioni “non-maliziose”. F-Secure divide questi ultimi casi in tre categorie: software che nascondono file e cartelle che gli utenti usano (per esempio contenuti per adulti), software di backup di sistema che nascondono i files di backup, software che proteggono i propri processi o dati di configurazione. Queste applicazioni non sono comunque molte, secondo F-Secure meno di una dozzina, e alcune sono anche molto "rare". Secondo l'azienda con base a Helsinki inoltre il rischio derivante dall'uso di queste tecniche è mitigato dalla facilità con cui i malware stessi possono integrare la tecnologia rootkit nel proprio codice. F-Secure comunque raccomanda: "If you want to prevent access to your files or processes you should use OS access controls or encryption - not rootkit cloaking techniques".
Fonte