Pēdējie pētījumi atklājuši dīvainus drošības caurumus Symantec produktos. Windows sistēmu drošības eksperts – slavenais [url=http://www.sysinternals.com/Blog/]Marks Rusinovičš[/url] ( [i]Mark Russinovich[/i] ) nesen nāca klajā ar pētijumu rezultātiem, kuros minēts, ka [url=http://www.symantecstore.com/dr/sat4/ec_Main.Entry17C?SID=49997&SP=10023&CID=0&PID=754928&PN=1&V1=754928&CUR=840&DSP=&PGRP=0&ABCODE=&CACHE_ID=194922]Norton SystemWorks[/url] ir iebuvētas rūtkitam lidzīgas funkcijas. Symantec iesaka saviem lietotājiem nekavējoties atjaunināt produktu.
Šī rūtkita funkcija ir paslēpt no Windows [url=http://en.wikipedia.org/wiki/API]API[/url] noteiktas direktorijas un failus, kas tajās atrodas. Tas tiek darīts, apejot [url=http://msdn.microsoft.com/library/default.asp?url=/library/en-us/fileio/fs/findfirstfile.asp]FindFirstFile[/url] un [url=http://msdn.microsoft.com/library/default.asp?url=/library/en-us/fileio/fs/findnextfile.asp]FindNextFile[/url] API funkcijas. Tādejādi neviena programma un neviens vīrusu skaneris netiek šiem failiem klāt.
Paslēptā direktorija saucas NProtect un [i]Norton Protected Recycle Bin[/i] tajā glabā nodzēstos failus. Tai ir škietami nekaitīgs uzdevums – pasargāt lietotāja failus no nodzēšanas.
Bet, ja uzbrucējs iekļūtu jūsu sistēmā, tas varētu šajā direktorijā uzglabāt savus failus un programmas un jūs nevarētu tos nodzēst. Lai piekļūtu failiem, ļaundarim nav jāizmanto minētās API funkcijas, bet tikai jāzin pilns ceļš uz failu, bet, tā kā jūs faila nosaukumu nezināt un arī nevarat uzzināt, jums vairs nav pilnīgi nekādas kontroles pār failiem uz jūsu pašu cietā diska.
Symantec ļoti ātri reaģēja uz Rusinviča brīdinājumiem un izlaida [url=http://securityresponse.symantec.com/avcenter/security/Content/2006.01.10.html]atjauninājumus[/url], kas šo kļūdu novērš. Jums tikai jāpalaiž LiveUpdate.
Vienīgā lieta, ko pārdomāt ir – Symantec paši ir drošības eksperti, kā tas nākas, ka citiem drošības ekspertiem no ārpuses nākas viņus brīdināt par viņu kļūdām un mācīt, kā vajag un kā nevajag darīt.
Avoti:
[url=http://www.realtechnews.com/posts/2478]Symantec Admits Rootkit Usage in SystemWorks[/url], (Symantec atzīstas, ka izmanto rūtkitus)
Citi raksti par šo tēmu:
[url=http://news.zdnet.com/2100-1009_22-6026203.html]Symantec provides hiding place for hackers[/url], (Symantec dod paslēptuvi hakeriem)
[url=http://www.eweek.com/article2/0,1895,1910077,00.asp]Symantec Caught in Norton ‘Rootkit’ Flap[/url] (Symantec pieķerti rūtkitu skandālā)