Microsoft нет необходимости раскрывать секреты PatchGuard?!

В своем интервью BetaNews Рон О'Брайан, старший специалист по безопасности компании Sophos, высказал мнение, что несмотря на то, что компания Sophos планирует принять участие в программе Microsoft по созданию безопасных API для Windows Vista SP1, Microsoft совсем нет необходимости в создании обходного механизма для недавно анонсированной технологии PatchGuard, на чем настаивают другие вендоры, среди которых McAfee и Symantec...

"Два наших крупнейших конкурента, McAfee и Symantec, публично заявили, что технология PatchGuard каким-то образом мешает их инновационной политике" - отмечает О'Брайан.

"Я же с полной уверенностью могу сказать обратное: не занимаясь выбиванием из Microsoft способов доступа к ядру ОС, и, используя API, которые предоставлены компанией Microsoft, мы не столкнулись с проблемами, по словам наших конкурентов, вызванным технологией PatchGuard, при создании нашей технологии HIPS, нашего Sophos Anti-Virus или иных продуктов для обеспечения безопасности, предназначенных как для 32-битных, так и 64-битных версий Windows Vista".

Под технологией HIPS О'Брайан подразумевал систему защиты от атак - Host Intrusion Prevention System, которая должна появится одновременно с релизом Vista в январе будущего года. Система использует эвристический механизм для проверки поведения программного обеспечения, которое по какой-либо причине не было идентифицировано как вирус, что может быть использовано для оценки возможного негативного влияния на ОС.

Большинство вендоров этого рынка используют специальные торговые марки для названия своих эвристических механизмов и Sophos не стала исключением: свой механизм она назвала Behavioral Genotype Protection – защита по поведенческому генотипу. Sophos заявляет, что данный механизм может опознавать вредоносное ПО даже без сигнатур и уничтожить его до того, как оно успеет выполнится.

Несмотря на мудреную терминологию, это далеко не новая концепция и, как отметил Джордж Херон, главный аналитик McAfee в недавней публикации на блоге ZDNet (см.В чем ошиблась Microsoft, создавая систему безопасности Vista), сегодня такой механизм является стандартом де-факто для антивирусных пакетов.

Но как заметил Херон, для тех, кто желает снабдить свои антивирусные решения эвристическим механизмом, необходимо получить доступ к API, что на деле означает перехват обращений к ядру операционной системы.

Безусловно, это делается в благих намерениях – так идентифицируют вредоносный код. А так как Microsoft отключает возможность перехвата, как пишет Херон, вендоры более не могут обеспечивать безопасность таким же способом, как было раньше, то есть им необходимо кардинально менять подход, но, по словам Херона, это невозможно.

О’Брайан же говорит, что это совсем не проблема, по крайней мере, с точки зрения возможностей его компании. "Должен сказать, что другие вендоры уделяют слишком мало внимания 64-битным решениям" – говорит он нашему изданию - "но так как мы используем несколько иной подход для HIPS, уделяя особое внимание идентификации злонамеренного поведения кода до того, как он запустится, нам удалось создать отличное антивирусное решение, основываясь на тех интерфейсах, что любезно предоставила Microsoft. В свою очередь, мы не пытались получить доступ к ядру. Вот почему мы готовы к 64-битной Vista, а остальные - нет".

Как объяснил О’Брайан, созданный его компанией идентификация по поведенческому генотипу, хотя это и звучит слишком страшно, не требует перехвата обращений API. Вместо этого механизм оценивает код до того, как он будет запущен и, если код "подходит под генотип", тогда ему никогда не будет суждено выполнится. Его комментарии не противоречат тем, чтобы были даны им же в прошлом месяце BetaNews, когда Symantec впервые подняла вопрос о PatchGuard перед Европейской комиссией.


«Появление PatchGuard – уже состоявшийся факт, поэтому вендорам немного поздно сожалеть о нем» - считает О’Брайан. "Думаю, что Symantec и McAfee борются против PacthGuard, потому что, создавая свои решения, они не думали про Vista, и потому что Sophos использует другой подход...Мы создаем технологии, используя поддерживаемый интерфейсы Microsoft, а не пытаемся низвергнуть".

Даже если предположить, что все действительно так радужно, как говорит О’Брайан, зачем Sophos содействовать разработке безопасных API для Vista, в особенности если это поможет, скорее, конкурентам Sophos, чем самой Sophos? Ответ О’Брайна был размытым, но с другой стороны, достаточно правдоподобным: Microsoft работает над созданием API, которые потребуются всем вендорам, которые желают снабдить свои решения поддержкой Vista, поэтому каждая компания, включая Sophos заинтересована в данном вопросе.

"Честно говоря, меня мало заботит эффективность работы наших конкурентов" – отмечает О’Брайан. "Но очевидно, что Sophos и другие вендоры в ближайшие годы будут сильно зависеть от Microsoft в плане предоставления доступа к ядру для создания новых интерфейсов безопасности. Тем не менее, у нас уже имеется свое решение для Vista и я очень сомневаюсь, что другие компании смогут сегодня сделать аналогичное заявление".

"От меня никто и не ожидает лестных слов в сторону конкурентов – это в порядке вещей" – продолжил он. "Но в данном случае хочу порекомендовать корпоративным пользователям поинтересоваться у своих секьюрити-вендоров, готовы ли они к Windows Vista x64. И если ответ будет отрицателен, я бы как заказчик спросил 'Почему?' И если бы причина была такова: 'Мы не сотрудничали с Microsoft, чтобы достичь этой цели', мой следующий вопрос был бы 'Почему нет?"'

Источник: http://www.betanews.com
Перевод: deeper2k