Месячный архив: Сентябрь 2012

Всего за какую-то дюжину лет компьютерный андерграунд стремительно прошёл путь от хулиганствующих элементов формата «16 forever» до международных организованных кибер-банд и спонсируемых правительствами сложных целевых атак на промышленные системы. По разным причинам первые старались заразить как можно больше компьютеров — именно на такие атаки были нацелены традиционные антивирусы и, кстати, очень даже в этой борьбе преуспели. Новые угрозы прямо противоположны – кибер-негодяи прекрасно понимают анти-малварные технологии, стараются быть как можно незаметнее и всячески ограничивают ареал распространения своих зловредов. Что вполне резонно …

Да, андерграунд изменился, но секюрити-парадигма, увы, осталась там же: большинство компаний продолжают использовать «дедовский» способ противостояния современным угрозам при помощи технологий, «заточенных» под массовые эпидемии. В итоге, в борьбе против малвары они остаются на позициях реактивной защиты, которая всегда оказывается на шаг позади нападающего. Ведь мы говорим о неизвестных угрозах,  на которые еще не наложены файловые или поведенческие сигнатуры, антивирус может их просто не детектить. А сегодняшние кибер-негодяи (не говоря о кибер-военщине) в процессе разработки очень тщательно проверяют насколько их вредоносы детектятся антивирусами!

Такое положение вещей тем более парадоксально, что в арсенале секюрити индустрии есть реализованные в продуктах и «готовые к употреблению» альтернативные концепции защиты, способные совладать с новыми угрозами. Об обной из таких концепций сейчас и пойдёт речь.

В компьютерной безопасности разделяют два подхода к защите: «разрешено всё, что явно не запрещено» (Default Allow) и «всё запрещено, что явно не разрешено» (Default Deny – я уже кратко писал о нём). Как вы догадываетесь, это две противоположные позиции в балансе между функциональностью и безопасностью. При «Default Allow» у всех запускаемых приложений есть карт-бланш творить что угодно и антивирус тут выполняет функцию отца-спасителя – он контролирует эти действия и, если может, то лихорадочно затыкает новые «дыры» (а «дыры» разного уровня критичности, как известно, появляются регулярно). У «Default Deny» противоположный подход – по умолчанию приложениям запуск вообще запрещён, если они не находятся в списке доверенных.

На самом деле, помимо неизвестной малвары у компаний (в частности их IT-служб) есть и много другого «головняка», связанного с Default Allow. Во-первых, установка непродуктивного софта и сервисов (игрушки, коммуникаторы, P2P-клиенты … – список зависит от политики конкретной организации). Во-вторых, установка несертифицированного и потому потенциально опасного (уязвимого) софта, через который злоумышленники могут проникнуть в корпоративную сеть. В-третьих, установка служебных программ удалённого управления, допускающие доступ к компьютерам без подтверждения со стороны пользователя. С первыми двумя, вроде, всё понятно, а вот третье требует пояснения.

Мы недавно провели исследование вопроса: «какие действия сотрудников, связанные с самостоятельной установкой ПО нарушают принятые правила IT-безопасности?» Результаты в диаграмме ниже, при этом 50% — это именно разнообразные программы удалённого управления, установленные самими сотрудниками или сисадминами для удалённого доступа к внутренним ресурсам или, наоборот, для доступа к компьютерам для их диагностики и «ремонта».

Дальше: цифра говорящая, это действительно большая проблема …

Воистину — как год начнёшь, так его и проведёшь.

А начали мы этот год с почётного звания «продукт года» от австрийской испытательной лаборатории AV-Comparatives, абсолютного рекорда по количеству набранных баллов в AV-Test.org и очередной «плюшки» Virus Bulletin. За год количество медалек приятно росло – особо хочется выделить тесты проактивной защиты и защиты виртуальных сейфов от Matousec, тест функции Application Control от West Coast Labs и свежий тест мобильных секюрити-продуктов [PDF] от PCSL. Причём рвали конкурентов не только наши персональные продукты, но и корпоративные – например, в августовском раунде тестов AV-Test.org KIS и KES получили соответственно 17 и 16 баллов – больше, чем у всех остальных участников.

В общем, за год много всего хорошего напроисходило, но, несмотря на обилие хороших новостей ни разу не надоело каждый раз хвалить наш вируслаб. Ему, похоже, это тоже понравилось :) поэтому ждите ещё победных сводок с фронта!

На этом оптимистичном фоне возникает резонный вопрос: ну, ОК, наши антивирусные технологии лидируют, а как же технологии НЕантивирусные – например, антиспам? А вот именно это и есть предмет сего поста: на днях пришли результаты теста VBSpam нашего нового KLMS, где мы внезапно для конкурентов, но вполне ожидаемо для нас заняли [тадам!] второе место с потрясающим результатом 99,93% spam catch rate и 0,01% ложных срабатываний! «Подумаешь, всего-то второе место!», — скажет привыкший к нашим победам пользователь :) Не соглашусь! И вот почему …

Дальше: слово «потрясающе» выделено не случайно…

Вчера в Университете Плимута мне присвоили степень. Теперь я Почётный Доктор. Принимаю поздравления!

Дальше: кому аплодируют пассажиры при посадке самолёта? …

Еще Тяньцзинь-Москва-Симферополь-Ялта.. . .

Всем привет (из Домодедово у нас тут пересадка),

Как и было обещано — начались сезонные миграции туда-сюда по северной половинке глобуса. Первым в списке оказался Китай, город Тяньцзинь (天津, «Небесная переправа, брод»), что примерно в 100км от Пекина на юго-восток, в сторону моря.

Город (вернее, его центральная часть, вдоль набережной) производит очень приятное впечатление — не по-китайски чисто, опрятно — некоторые местные парки и садики вообще какие-то прям японские. Народу мало, я бы сказал — как-то даже безлюдно для Китая.

Вдоль реки какое-то смешение стилей — глядя на новые здания и мосты через реку ощущаешь себя то в Париже, потом в Лондоне, слева стоит совершенно Токийский небоскрёб, за углом был Итальянский квартал — но туда и много куда еще я не успел добраться, на пробежку всего час был. А речка местная называется Хайхе (海河), что дословно означает «море-река».

Дальше: смешение стилей, прыжки с

Как-то так сложилось, что «издревле» существует стереотип отношения ко всему компьютерно-сетевому. Вроде как это всё игрушечки, а вирусы – так, хулиганство. Подумаешь, буковки посыпались… Потом, после буковок, посыпались диски, начали красть данные, «троянить» компьютеры  для зомби сетей и распределённых атак, «доить» банковские счета, а сегодня вплотную подобрались к атакам на промышленные, инфраструктурные и военные объекты. В общем, на самом деле ни разу это не игрушечки и от такого стереотипа нужно как можно быстрее избавляться. Просто потому, что неверные представления о кибер-преступлениях создают вокруг них романтический ореол и привлекают молодую зелёную поросль, которая не представляет к чему их увлечение может привести и сколько за это лет они проведут в тюрьме.

Есть ещё один стереотип – мол, компьютерные преступления не раскрываются и, следовательно, дело это прибыльное и с минимальным риском. Романтика! Несколько лет назад в России действительно было не очень с раскрываемостью. Однако сейчас ситуация изменилась – органы накопили опыт, сильно продвинулись в экспертизе, наладили взаимодействие с профессионалами и щёлкают одно хайтек мошенничество за другим.

На днях МВД и ФСБ при экспертной помощи нашего отдела по расследованию компьютерных инцидентов (или просто ОРКИ, ага :) завершили дело о фишинге. Злодеи вычислены, наказаны, справедливость восстановлена, в гроб романтических представлений о кибер-мошенничестве вбит гвоздь. И это было бы «очередным делом», кабы не одно обстоятельство. Дело это – первое в России доведённое до конца расследование компьютерного фишинга. Раньше считалось, что довести такие дела до суда просто нереально и в лучшем случае можно поймать только низшее звено преступной иерархии — дропов. А вот и нет!

И вот как оно всё было.

Дальше: тонкий намёк компьютерному андерграунду …

Перечислять все «мняшки», которые принёс нам Интернет — впустую потратить жизнь, поскольку всё равно всего не вспомнишь, а завтра их прибудет ровно столько же. Но есть одна концептуальная вещь, которую переоценить никак не получится и потому она заслуживает отдельного внимания. Вещь эта – краудсорсинг.

Деталями грузить не буду – подробности читайте в Википедии по ссылке сверху (кстати, Википедия тоже краудсорсинговый проект) или яндеглите. Вкратце: всемирная сеть позволяет большому количеству людей из разных концов планеты очень быстро собираться для объединения усилий и решения какой-то сложной задачи. Коллективный разум, подкреплённый гигагерцами, гигабитами и терабайтами компьютеров и каналов связи. Технически – распределённые вычисления. Пример — хорошо помню, как в конце 90-х многие на ночь подключали свои машины к SETI@Home – некоммерческому проекту поиска радиосигналов внеземных цивилизаций. Проект до сих ещё как работает –1,2млн. участников суммарной процессорной мощностью 1,6 петафлопс.

Любопытно, что сетевой краудсорсинг (дословно – «толпотворение») применим практически в каждой области. И секюрити тому не исключение. Недавние примеры из нашей практики – международный мозговой штурм по поводу тайны зашифрованного вредоносного функционала Gauss и решение загадки фреймворка Duqu. За последнее, кстати, получили лестную оценку на darkreading.com. Однако эти случаи не показатель – догадываетесь как нам удаётся успешно обрабатывать 125тыс. образцов малвары каждый день? Ну, роботы и разные технологии автоматизации и потокового анализа, конечно, помогают, однако статистическо-аналитическую пищу для них поставляете… вы! Да! Это действительно так – по принципу «ты мне, я тебе» наши пользователи помогают нам и, разумеется, друг другу в деле борьбы с мировым кибер-злом, в частности с неизвестными угрозами! Причём помогают анонимно, добровольно, с явно выраженным согласием и без влияния на производительность компьютера.

Сейчас расскажу как…

Всем привет!

Новая версия KIS набирает обороты — за месяц+ со дня релиза в России (и за неделю после мировой премьеры) прибыло много хороших отзывов и рецензий (примеры: Ferra, 3DNews, PC Magazine). В общем, в них много рассказано и объяснено. Здесь тоже были посты про автоматическую защиту от уязвимостей и безопасные платежи. Но есть ещё один очень вкусный пласт фичей с прицелом на будущее, которые незаслуженно обходятся вниманием. Речь о поддержке новых технологий Windows 8. Что это за технологии и с чем их едят (читай: как мы их поддерживаем и что это значит для пользователя)?

Начну с самого наглядного – нового интерфейса Win8. Сам пока не пробовал, но слышал хорошие отзывы, что редизайненный интерфейс очень даже ничего, причём как в десктоповой, так и в таблеточно-тачскриново-мобильной инкарнации. Так что ждём релиза и реакции массового пользователя.

Правда, это новшество прибавило головной боли разработчикам софта. Теперь, чтобы накрыть весь спектр предпочтений пользователей надо делать два интерфейса – классический и новый. Посему мы одними из первых в антивирусной индустрии разработали специальное приложение, которое переводит систему управления KAV/KIS 2013 на новый виндово-интерфейсный язык. Приложение бесплатное, его можно установить из Windows Store.

Дальше: как мы боремся с руткитами в Win8…

Пролог

История социальных сетей – в чистом виде «Звездные войны». Без шуток: начались туманно и загадочно – мол,  «вот появились какие-то новые типы сайтов, с огромными потаёнными способностями, открыть и предсказать которые никто пока не может, однако, в будущем, именно они смогут сделать людей по-настоящему свободными и равными». Чистой воды Лукасовская тема про «баланс силы». И ведь правда сущая – при соблюдении ряда условий, соцсети могли бы стать Райским Садом и для людей, и компаний, и медиа.

Но, как вы понимаете, по такому скучному сценарию блокбастеры не снимаются :) Кому нужны счастливо живущие свободные и равноправные люди? Обязательно должен был возникнуть коварный инфернальный замысел тёмных сил. И он не заставил себя ждать – социальные сети стали площадкой для игр мировых спецслужб и манипуляций общественным мнением (о чём я неоднократно говорил).

Так закончилась «Новая надежда». И началась следующая серия:

Империя наносит ответный удар

«Формированием общественного мнения» через социальные сети уже несколько лет весьма успешно занимаются правительства всех стран, независимо от исторических ценностей и политических наклонностей. Слишком много открытой и бесплатной информации на поверхности – даже «копать» ничего не надо – люди сами сообщают свои новости, интересующую информацию, маршруты движения, списки коллег, друзей и профессиональных связей…  И смешно тут то, что пользоваться всеми этими данными может кто угодно – частные лица, компании, злоумышленники, свидетели Иеговы, члены кружка вышивания крестиком. Данные просто лежат на поверхности и люди упорно (вопреки предупреждениям) продолжают сливать их в сеть. А многочисленные API–интерфейсы «скрещивания» социальных сетей действуют как мутаген, ускоряющий эволюцию – информация, «сливавшаяся» вчера только в одну сеть, сегодня становится достоянием всех остальных и навсегда (буквально: навечно) индексируется на серверах всем известных поисковиков.

Спецслужбы всех стран мира – всего лишь особо заинтересованные «пользователи» социальных сетей. Ибо для простых людей информация – чтиво для мозга, для компаний – маркетинговая площадка, а для спецслужб – это защита государства и оружие против потенциальных противников.

Дальше: заколдованный круг и возвращение джедая…

Всем привет!

Всё как обычно. Медленно, но неотвратимо как… как любая неотвратимость — на меня накатывает осенний сезон путешествий. В этом полугодии ожидаются очередные мотания туда-сюда по верхней части глобуса в самые разнообразные его точки. Намечаются и новые для меня страны и новые мероприятия. Загадывать наперёд не буду — планы вдруг могут и резко поменяться, как это уже не раз случалось. Не исключено, что придётся поставить очередной рекорд… эээ, лучше сказать «сомнительный рекорд» — 100 перелётов за год. Сейчас на счётчике уже 59… (я их считаю и аккуратно записываю на всякий случай).

Но после Камчатки и перед очередными забегами очень захотелось отсидеться немного в Москве, никуда далеко не отбывая, а то я уже начал забывать какой кнопкой правильно свет на кухне включать :) Посему сегодня рассказ о местной поездке в очень-очень интересное место — в подмосковный Звёздный Городок. Настоятельно всем рекомендуется! «На правах рекламы» — информация об экскурсиях здесь. Всё покажут, расскажут, дадут потрогать и залезть внутрь некоторых космических изделий, на которых реально тренируются самые настоящие космонавты — они периодически появляются в зале и ходят туда-сюда мимо изумлённых экскурсантов.

Модули Союз, можно залезть в Спускаемый аппарат. Именно в нём космонавты возвращаются в мир гравитации. Рассказывают ещё очень много подробностей о деталях полёта и спуска на Землю, про особенные ситуации и прочее-прочее-прочее — рассказывать всё не буду, сами туда поезжайте и всё узнаете «из первых рук».

Дальше: центрифуга, бассейн, планетарий и