Суровые Челябинские хакеры.

Тут проскакивала маленькая незаметная новость, которая уже почти протухла — но новость забавная, не могу не отметиться по этому поводу.

Итак, некие голландские «эксперты» (подробности здесь) проанализировали зловредный трафик, который попал в их Инет-ловушки, определили географические источники зловредных сетевых пакетов, потом отсортировали улов по городам мира и разделили на население этих самых городов. В результате сих статистических махинаций они пришли к выводу, что городом с самой высокой концентрацией «зловредства на душу населения» является — … не поверите!

Челябинск! О как!! Там так и написано: «The Russian city of Chelyabinsk has the greatest concentration of cybercrime on the internet». На 2-3-м месте Куала-Лумпур и Буенос-Айрес.

Результаты эти, конечно, полная туфта. Во-первых, они видели только небольшую часть зараженного трафика, которая к ним попала. Во-вторых, источники — это либо боты, либо прокси (т.е. просто зараженные компы, а не логово преступника). Поскольку нормальные кибер-злодеи напрямую не работают. Вернее, бывает, что работают и без прокси — но не очень долго, потом — тюрьма. В третьих, ребятки забыли, что надо не только делить на население, но и умножать на процент интернетизации в данном конкретном городе. Короче — результаты забавные, но не более. Всё равно, что приехав в Москву в июле-августе, эти голландцы сделали бы вывод, что в России царит суровый тропический климат. Суровые голландские грибы… Или «Наша Раша по-голландски» :)

Короче, очень часто в Инете появляются весьма забавные «исследования», результаты которых так же далеки от действительности, как Челябинск от Амстердама.

Вопрос. А можно ли получить точную статистику — где именно «империя зловредства», откуда Сеть дербанят разные кибер-мерзавцы? Скорее всего — нет. Нельзя. Вернее — я не знаю как. Можно оценить «национальный признак», поскольку в троянах частенько попадаются текстовые строки. Больше всего вирья «говорит» по-китайски. На втором месте испанский/португальский. На третьем — русский. Но «китайский» может быть и Малайзия, и Сингапур, и Австралия. А «русский» может быть и Нью-Йорк тоже. Т.е. география весьма и весьма размазанная.

Что можно подсчитать/оценить еще? А вот что — количество заражений и попыток заражения компьютеров в Сети. С точностью до города. Как именно — сейчас расскажу.

У нас (да и не только у нас — но далеко не у всех :) есть «облачная антивирусная технология». У нас она называется KLoud Security Network. Сия штука есть в наших домашних продуктах (осенью будет и в корпоративных) уже несколько лет. Заключается она вот в чём. При установке продукта с согласия пользователя «антивирус имени меня» подключается к нашему «KLoud-облаку» и передаёт туда информацию о новых приложениях — откуда те попали на комп, «отпечаток пальца» этого софта, его поведение.
// на возможные вопросы отвечаю сразу: передаваемая информация незначительна и никак не влияет на приватность и защищённость личной информации. Неоднократно проверено с разными юристами.

В результате на наших «облачных» серверах собирается информация и о новых троянах тоже. Даже если мы не смогли остановить зловреда традиционными сигнатурами-эвристиками и прочими «мухтарами» — рано или поздно нарушитель проявит свою злобную сущность, информация об этом попадёт в облако — и данная софтина тут же попадает в «облачную» базу, к которой (напоминаю) подключены все пользователи KLoud. Которые после этого будут автоматически защищены от нового неизвестного трояна — скорость «облачной» реакции на большинство нового зловредства в Сети составляет две-три минуты(!). Круто, да.

У этой технологии есть полезный побочный эффект — мы собираем статистику срабатывания нашего продукта на компах пользователей. Т.е. если где-то что-то было отловлено, то оно попадает в нашу «копилку». Накопленное можно сортировать разными способами. Например, вот такая статистика — сколько процентов наших пользователей в разных странах столкнулись с реальным зловредством за последний месяц:

1.            Судан – 91,5%
2.            Бангладеш – 87,4%
3.            Ирак – 77,8%
…
31.          Россия – 52,6%
…
33.          Беларусь – 55,8%
…
38.          Казахстан — 50,3%
…
54.          Украина — 45,3%
…
101.       США – 30,5%
…
107.       Великобритания — 27,1%

В самом конце, если идти вверх по списку, — Япония, Дания, Люксембург, Швейцария, Германия, Чехия, Австрия. У них всех в районе 20%. Что интересненько! Географически и ментально-культурно (кроме Японии) близкие страны! Ага, значит статистика релевантная :) Смотрим дальше: Финляндия, Эстония, Швеция, Норвегия — тоже рядом! Значит, есть что-то близкое к истине в этих данных. Т.е. страны, где население ведёт себя на одном уровне опрометчивости и разгильдяйства, где национальные Инет-ресурсы очищены (или загажены) примерно одинаково — там и цифры получаются примерно одинаковые.

Конечно же, данная методология требует критики и полировки. Конечно же, это статистика только по нашим пользователям (но по странам, где не менее нескольких тысяч человек согласились подключиться к KLoud). Но штука очень интересная и забавная. (особенно если есть доступ к «живой» статистике в real-time, у меня есть :)

Кому интересно:

Полная статистика здесь.
Методология описана здесь.

А теперь еще раз о «Россия — 52,6%». Это говорит о том, что мы действительно спасли «от залёта» чуть больше половины наших пользователей. С другой стороны, это говорит о том, что почти половине антивирус вообще не нужен — они ведут себя достаточно осторожно. Левых линков и непроверенных флешек себе не позволяют :) Для полноты картины надо бы посмотреть статистику популярности нашего продукта «по всему зоопарку». Да, у нас примерно половина домашнего рынка в России — но есть и много бесплатных продуктов (которые в рыночных оценках не участвуют), есть также те, кто вообще не предохраняется по жизни.

Но это — отдельная тема будущих исследований. «Процент залёта в среднем по больнице» — в рамках Рунета. Например, так: на каком проценте компов мы отловили виря (или «букет») при первой установке — если комп уже не менее месяца отработал в Сети. Интересно? Мне тоже.