Mark Russinovich, ekspert z dziedziny bezpieczeństwa IT, ogłosił niedawno, że firma Kaspersky Lab wykorzystuje w swoich produktach antywirusowych technologię „rootkit”. Zarzuty te dotyczą mechanizmu iStreams, który jest obecny w oprogramowaniu Kaspersky Anti-Virus. Zdaniem ekspertów z firmy Kaspersky Lab mechanizm iStreams w żaden sposób nie może zostać wykorzystany przez cyberprzestępców i nazywanie tej technologii rootkitem jest błędem.
Eksperci z firmy Kaspersky Lab mają pewność, że wykorzystywana przez nich technologia nie jest rootkitem oraz, że hakerzy i szkodliwe programy nie mogą jej użyć z poniższych powodów:
1. Gdy produkt Kaspersky Anti-Virus jest aktywny, jego strumienie są ukryte i żadne procesy (włączając systemowe) nie mogą uzyskać do nich dostępu.
2. Po wyłączeniu produktu jego strumienie będą widoczne dla specjalnych narzędzi (wykorzystywanych standardowo do pracy ze strumieniami NTFS).
3. Jeżeli strumień zostanie zastąpiony innymi (potencjalnie szkodliwymi) danymi lub kodem (przykładowo po uruchomieniu komputera w trybie awaryjnym), podczas kolejnego uruchamiania systemu Kaspersky Anti-Virus odczyta ten strumień i nie rozpozna jego formatu. Program rozpocznie odbudowywanie bazy sum kontrolnych, niszcząc tym samym obcy kod oraz dane.
Kaspersky Lab wykorzystuje technologię iStreams wyłącznie w celu zwiększenia wydajności. Jedyną jej wadą jest zwiększenie czasu potrzebnego na ponowne zainstalowanie produktu – dane muszą zostać usunięte ze strumieni. Ze względu na to zwiększenie czasu reinstalacji, i z żadnych innych powodów, kolejna wersja produktu Kaspersky Anti-Virus będzie wykorzystywać inną technologię do osiągnięcia tych samych korzyści.
Użytkownicy produktów Kaspersky Anti-Virus nie są w żaden sposób zagrożeni, ponieważ wykorzystanie strumieni KAV do szkodliwych celów jest po prostu niemożliwe – mówi Eugene Kaspersky, twórca programu Kaspersky Anti-Virus i szef laboratorium antywirusowego. Uważam, że rozmawiając o bezpieczeństwie musimy zwracać uwagę na różnicę między szkodliwymi (lub niebezpiecznymi) rootkitami a technikami maskującymi, które nie mogą zostać wykorzystane przez szkodliwe aplikacje. Warto przypomnieć wszystkim ekspertom z branży IT oraz dziennikarzom, aby poprawnie i rozsądnie używali różnych terminów. Użytkownicy, którzy nie są w stanie samodzielnie przeanalizować podawanych informacji, nie mogą być wprowadzani w błąd.