Все защитное ПО уязвимо?

10 май, 2010 - 16:32Игорь Дериев

О безопасности сегодня не пишет только ленивый. А мы могли бы поддерживать нашу ленту новостей почти исключительно за счет компаний-разработчиков антивирусов. Но есть такие события, о которых действительно нужно трубить на каждом углу.

Несколько лет назад я лично видел случаи, когда какое-то злоумышленное ПО отключало защитные механизмы антивируса, и тем самым не только могло преспокойно исполняться, но и максимально затрудняло последующее лечение системы. Затем в моду вошла «самозащита» антивирусов, методы HIPS, поведенческий контроль и пр., и проблема вроде бы сошла на нет. Однако участники проекта matousec.com утверждают обратное, более того, по их мнению, практически все современное защитное ПО уязвимо к специфическим атакам.

Генеральная идея основывается на возможности подмены определенных параметров злоумышленного ПО (причем, непривилегированного, выполняющегося в пользовательском режиме) в моменты приостановки проверяющей процедуры, до того, как управление будет передано стандартному системному обработчику – за счет этого, к примеру, все же удается загрузить опасный драйвер или остановить нужный процесс, далее дело только за фантазией. Подробности – в первоисточнике.

Даже из этого краткого описания понятно, что предложенный метод не дает гарантированных результатов (из-за слабо предсказуемой последовательности действий системного планировщика), хотя вероятность его срабатывания существенно повышается при использовании многоядерных процессоров, где программные процессы действительно выполняются параллельно. Тем не менее, в тесте, проведенном matousec.com, многое ПО «ломалось» буквально с первой попытки. А ведь это были современные комплексные пакеты! Их список можно найти по указанной выше ссылке, однако отсутствие в нем конкретного ПО вовсе не свидетельствует о его надежности, скорее всего, исследователи до него просто не добрались.

Конечно, свое слово еще должны сказать эксперты, лучше меня разбирающиеся в системном программировании для Windows, но пока что все выглядит очень правдоподобно, да и нет повода не доверять matousec.com – все их прежние результаты (в первую очередь, в области тестов-утечек для персональных брандмауэров) и открытия соответствовали действительности. Во всяком случае, дыма без огня не бывает, и теперь важно понять, что случится первым: массовое обновление пользовательского защитного ПО или появление нового класса злоумышленных программ.