Ай-да-новости: дыры, где не должно, взлом на заказ и кто на чём летает?

Вот и пролетел первый месяц этого странного карантинно-самоизоляционного лета.

Полёт весьма нормальный! Мы приняли решение перестраховаться и пока остаться на удалёнке. Хоть киберпреступники не дремлют, но и мы не расслабляемся – работа отлажена. Крупных изменений в глобальной картине угроз сейчас не замечаем. А что там в мире интересного творилось за последний месяц?

0-day в «супер-безопасном» Linux Tails

В этом месяце всплыла история о том, что Facebook за очень круглую и вполне себе шестизначную сумму спонсировала создание уязвимости нулевого дня в ОС Tails (Linux, заточенный под privacy) для расследования ФБР, которые ловили какого-то местного педофила. Изначально было известно, что он «параноик» и пользуется именно этой осью.

Сначала FB включил свою мощь сопоставления аккаунтов и связал все, которыми преступник пользовался. Но вот перейти от них к реальному почтовому адресу всё равно не получалось. Утверждается, что дальше была заказана разработка эксплойта под видеоплеер. Неочевидный, но вполне логичный выбор софта, т.к. от своих жертв преступник требовал видеоролики и с большой долей вероятности включил бы их на том же компе.

Говорят, что разработчиков Tails о дыре не оповещали, а потом вдруг оказалось, что она уже и так закрыта. Сотрудники компании молчат об этом случае, как рыбы об лёд – оно и понятно, уязвимости под заказ – так себе паблисити. Остаётся надежда, что разработка была «индивидуально» под конкретного негодяя и для любого пользователя не подойдёт.

Тезис здесь следующий: любой супер-секьюрный проект на базе Линукса не гарантирует отсутствия дырок. Для этого требуется поменять принцип работы и архитектуру всей операционки. Да, это я «пользуясь случаем передаю привет» вот сюда.

Источник

Дальше: взлом — дешёво и ненадёжно…

Мухобойка, пылесос и хлорка. От нас не спрятаться!

Всем привет!

Частенько бывает так, что понятные и очевидные профессионалам истины достаточно сложно объяснить не специалистам. Но я попробую.

Вот, например, надо построить дом. И не просто какой-то типовой стандартный, а по собственным хотелкам. Для этого приглашается архитектор, который вместе с заказчиком рисует эскизы и чертежи, потом всё это просчитывается и согласовывается, появляется проектная документация, подрядчик на проведение работ, техническая инспекция следит за качеством, параллельно дизайнеры рисуют внутренние интерьеры – обычные процессы при строительстве любого объекта сложности выше чем «рай в шалаше». Многие работы уникальны, и они производятся конкретно под требования заказчика, но само строительство идёт из стандартных материалов и изделий: кирпичей, арматуры, бетона.

Так и в разработке программных продуктов.

Большое количество работ уникальны, требуют архитекторов, дизайнеров, технической документации, инженеров-программистов, часто специфических знаний и умений. Но в процессе разработки любого софта используется также огромное количество стандартных кирпичей-библиотек, выполняющих различные «повседневные» функции. Как при строительстве из типовых кирпичей можно сложить стену, забор или трубу – так и в программных продуктах модули с совершенно различным функционалом (потребительскими качествами) используют множество унифицированных библиотечных функций-кирпичей.

Так вроде должно быть понятно всем. Но при чём здесь кибербезопасность?

А вот при чём: цифровые зловреды под стать строительным дефектам. Если нанести повреждения на готовый к заселению дом – это полбеды. Поправить, отштукатурить, покрасить и плитку переложить. А вот если проблема глубоко внутри конструкции? – ага, а вот это дорого больненько. Тоже самое и с софтом. Если к нему сверху прилипнет какая-то зараза, то можно полечить-подчистить-восстановить – и все дела. Но если цифровая дрянь проникнет в библиотеки и модули, из которых собирается конечный продукт? – ай, это ой. Обнаружить такого зловреда может оказаться весьма и весьма непросто, а тем более его выковырять из рабочего бизнес-процесса.

И примеры тому есть, да и немало.

Даже в глубокой древности, во времена Виндовз-98 был похожий инцидент, когда вирус CIH пробрался в дистрибутивы компьютерных игрушек нескольких производителей – и оттуда разлетелся по всему миру. Другая подобная засада произошла годами позже, когда в где-то в 2000х появилась кибер-зараза, проникавшая в библиотеки среды программирования Delphi.

Таким образом получается, что угрозу для личных устройств и корпоративных сетей могут представлять не только «залётные» кибер-негодяи, но и те злодеи, которые случайно или намеренно умудрились пролезть в «закрома» производителя программных продуктов, которым вы пользуетесь, и внедриться в «программные запчасти», из которых потом собирается готовый продукт. Вот так бывает.

«Ах вон оно что, Михалыч!» (с).

Чтобы стало ещё понятнее, давайте спроецируем тот же сценарий на всем нам знакомый поход в обычный продуктовый магазин. Да не просто так сходить, а во времена глобального пандемического шухера, когда от злобного биологического вируса потряхивает вообще всю нашу планету.

Так вот, выглядеть это событие будет примерно вот так. Взяли сумки, руки помыли, маску с перчатками надели, однако на этом ваши меры предосторожности заканчиваются. Далее начинается ответственность продавца и производителя, каждый из которых тоже должен следовать санитарным нормам. А ведь есть ещё и грузчики, упаковщики, кладовщики, системы хранения и транспортировки продукции и так далее! – и на каждом сегменте этой цепочки кто-то может случайно (или намеренно) чихнуть на вашу условную картошку!

Тоже самое и в нашем цифровом мире.

Цепочка поставок в современных гибридных экосистемах ИТ-разработки сложнее на пару порядков, а новых кибер-зловредов мы ловим более 300 тысяч КАЖДЫЙ ДЕНЬ! – причём их сложность постепенно возрастает. Проконтролировать то, насколько «чисто помыты руки и маска с перчатками» у разработчиков каждого отдельного софтверного компонента, и насколько эффективны системы киберзащиты многочисленных поставщиков облачных услуг в каждый конкретный момент – задача невероятно сложная. Особенно если используемый продукт опенсорсный, а сборка приложения – по-модному автоматизирована и работает совсем неразборчиво, на полном доверии, «на лету».

Тут стоить помнить, что атаки на цепочки поставок – это самый что ни на есть тренд продвинутого киберзлодейства! Например, группировка ShadowPad атаковала финансовые организации через решение популярного поставщика ПО для управления серверной инфраструктурой. Другие хитрецы атакуют библиотеки открытого кода, и коллеги из индустрии напоминают, что у разработчиков «крайне мало возможностей удостовериться, что устанавливаемые ими компоненты из различных библиотек не содержат зловредного кода».

Ещё пример – атака на библиотеки контейнеров, таких как Docker Hub. С одной стороны, использование контейнеров позволяет повысить удобство и скорость развертывания приложений и сервисов. С другой, некоторые разработчики ленятся создавать собственные контейнеры и скачивают их готовые образы – а там, сюрприз-сюрприз, как в шляпе волшебника может скрываться что угодно. Кролик, например. Вот такой:

В итоге, разработчики хотят выдать «на гора» работающий продукт как можно скорее, специалисты по автоматизации разработки (devops) ратуют за использование доступных компонентов и облачных платформ на всех этапах, безопасники пьют валерьянку (ну или чего покрепче), а пользователи продукта рискуют получить не одного троянского коня, а целый табун!

Но мы же не зря здесь существуем! :) Если есть сложные задачки – мы любим их решать… и не только математические :)

И – бьют барабаны, трубят трубы, свистят свистелки и сопят сопелки, оркестр играет туш, а восторженная публика в воздух чепчики кидает и аплодирует пока те в воздухе! – мы расширяем возможности нашего продукта Kaspersky Hybrid Cloud Security.

Дальше: все довольны!…

Фотоканал на Flickr

Instagram

Свет мой, зеркальце! Скажи. Да всю правду доложи (с)

Текст в заголовок мне навеял недавно прошедший День Пушкина, но на этом поэтическая тема данного поста полностью исчерпывается :) Здесь и дальше снова будет про мировое кибер-зловредство и новые интересные технологии борьбы с ним.

Далеко не всегда защита кибер-инвентаря сводится только к отражению атак. Это особенно верно для корпоративного сектора (а здесь и далее будет как раз про APT-угрозы для крупных огранизаций). Частенько по результатам особо болезненных инцидентов необходимо проводить анализ последствий, оценивать ущерб, анализировать причины «пробоя» и планировать «ремонтные работы».

Если по какой-то досадной причине в сетевую инфраструктуру залетел случайный кибер-воришка — это ерунда. Вычистить, отмыть поражённые сектора «мылом и хлоркой», поставить на вид сотрудникам-неряхам, не соблюдающим элементарные правила цифровой гигиены – и всё на этом. Но если вдруг в святая святых обнаружено весьма хитроумное изделие, которое аккуратно шифруется и прячет свою активность, которое что-то подслушивает, поднюхивает, высматривает и отправляет мега/гигабайты сетевых пакетов куда-то за «тридевять земель» неведомому адресату, то это будет совершенно другая сказка. Скорее всего, счастливого конца у неё сложно ожидать, но зато можно сделать её интереснее.

А именно.

Помимо всех необходимых «очистных» работ любопытно и крайне полезно узнать – а откуда именно в наши сети прилетел этот незваный гость? Кто именно может стоять за данным конкретным инцидентом?

источник

(придумайте подпись!)

Сразу и прямо следует сказать, что атрибуция (указание на автора конкретной атаки) в кибер-пространстве – это весьма тонкая материя. Здесь крайне легко ошибиться, показать пальцем и обвинить совершенно непричастных к данному инциденту, да и ложные «отпечатки пальцев» налепить – дело несложное (и такое тоже бывает, пример будет ниже).

Так вот, технически говоря, по конкретному образцу зловредного кода обвинить кого-то именно в кибер-атаке – это крайне скользкая позиция. Для этого нужно быть настоящим джентельменом, которому всегда верят на слово… но такое в наше не самое спокойное время бывает нечасто и нерегулярно.

Но нет причины унывать! Ведь технически говоря (да-да, опять!) мы можем очень многое рассказать о практически любом кибер-зловреде. И, если без лишней скромности, – здесь нам нет равных. Мы держим под колпаком все достаточно крупные хакерские группы и их операции (600+ штук), причём вне зависимости от их аффилированности и намерений (потому что «вор должен сидеть в тюрьме» ©). Мы знаем про их технологии, привычки и поведение практически всё. За много лет наблюдений в наших архивах накопилось так много данных о цифровой гадости и её повадках, что мы решили ими поделиться. В хорошем смысле :) Ведь по этим сигналам (поведение, оформление кода, прочее другое и разное) – по таким не всегда заметным непрофессиональному взгляду мелочам можно выяснить очень многое. Включая направление на источник атаки.

Итак, о чём это. Внимание на следующую строчку ->

На днях мы выпустили новый сервис для экспертов по кибербезопасности — Kaspersky Threat Attribution Engine (далее KTAE – запомнить можно по «ктаэтатам?» :). Этот сервис анализирует подозрительные файлы и определяет из какой хакерской группы у данной кибератаки растут ноги. Да-да, именно так! По анализу зловредного кода мы можем вычислить конкретного исполнителя – с точностью до общепринятого названия конкретной хакерской аномалии.

А зная врага в лицо, заказчикам гораздо проще с ним бороться: принимать осведомлённые решения, разрабатывать план действий, расставлять приоритеты, ну и в целом правильно реагировать на чрезвычайные ситуации с минимальным риском для бизнеса.

Как это делается?

Дальше: по секрету всему свету…

Ай-да-карантин. Ситуация на 92 марта 2020 года.

Мир уже третий, а где-то и в четвертый (в зависимости от географии) месяц сидит на карантине.

Хочется съязвить что-то на тему «кто сидел на карантине, тому «День сурка» совершенно не смешное кино». Особенно если погода за окном с марта вообще никак не поменялась! (в Москве как минимум). Короче, бытие наше «подтверждает старый тезис, что сегодня тот же день, что был вчера» (с). Но верно ли это утверждение по отношению к мировому кибер-злодейству? Интересно же, как у них там дела обстоят в наши неспокойные, но при этом совершенно однообразные карантинные времена? Чем там сейчас заняты кибернегодяи, пока мы все сидим по домам? Про это уже рассказывал две недели назад, но пора и обновить нашу кибер-стенгазету. // Кстати, если кто интересуется всей архивной подшивкой ай-новостей – тыкать вот сюда.

Для начала немного статистики. Позитивная динамика (в хорошем смысле этого слова) явно присутствует, и это радует. За прошедшие месяцы наблюдения апрель оказался самым вредоносным месяцем, когда мы действительно наблюдали наибольший всплеск киберпреступной активности. В мае цифры значительно снизились и вернулись плюс-минус к своим обычным среднемесячным значениям.

*Базы данных «Лаборатории Касперского» за 26.05.2020

Заодно мы видим и постепенный спад по всякой «коронавирусной» малваре:

*Базы данных «Лаборатории Касперского»

// Под «короновирусным» зловредством понимаются кибератаки, которые так или иначе маскируются под или ассоциируют себя с темой этого самого злобного биовируса, который уже несколько месяцев кошмарит популяцию хомосапиенсов на всей планете.

Дальше: браузер с сюрпризом…

Средний градус по кибер-больнице во времена биологического шухера. 

Один из самых частых вопросов, который мне задают в эти непростые самоизоляционные времена – как изменилась кибер-эпидемиологическая обстановка? Как отразился на «среднем градусе по больнице» переход миллионов людей на удалённую работу? Какие новые трюки изобрели кибер-негодяи и где пользователям нужно «подкрутить» и «прокачать», чтобы не стало мучительно больно?

Рассказываю и показываю.

Разумеется, криминал всегда следует за наживой и приспосабливается к изменяющейся обстановке, чтобы максимизировать прибыль. Пользователь перевёл большинство своих операций (работа, досуг, общение, покупки и т.д.) на «удалёнку» — и к ней тотчас же присосалась жирная кибер-пиявка.

А именно. Очень многие вынужденно проводят эти весенние дни по домам-квартирам-дачам. Дела все поделаны, книжки перечитаны, умения новые освоены, все иностранные языки выучены, пресс и бицепс прокачан до невозможности. Так?

Да и нет – конечно же большинство (подавляющее или очень многие) значительную часть времени проводят в интернетах – гораздо больше, чем до того. Что это означает для общего фона кибер-злодейства и безопасности? Правильно! В сети стало больше потенциальных жертв, которые проводят в сети всё больше времени.

Плюс к тому, большинство все из тех, кто с городостью называет себя «офисным планктоном» (а таких в эпоху непрекращающихся промышленных революций становится всё больше и больше) – вынужденно работают из дома. Увы, не все компании могут обеспечить надёжную защиту своих сотрудников. Что означает, что у кибер-преступников появляются новые шансы хакнуть офисные сети через домашние компы-мобилы. Чем они, увы, и не ленятся пользоваться.

Эту живописную тенденцию мы наблюдаем прежде всего по резко возросшему количеству брутфорс-атак на серверы баз данных и RDP (технология удалённого подключения к компьютерам).

Дальше: они возвращаются!…

Откарантинить банкоматы! Без кибер-изоляции.

Каждый год в командировках и личных поездках я с моими попутчиками накручиваем до 100 полётных сегментов, покрывающих значительную часть планеты. Практически везде и за всё оплата карточкой или телефоном, кругом разгул бесконтактной оплаты, эпл и гугл пэи да пэйпассы, а в Китае и вовсе переводом через WeChat можно на любом рынке у любой бабушки купить хоть капусту, хоть летучую мышь. И печально известный биовирус переходу на виртуальные деньги только способствует.

// Кстати, приятно видеть Россию на пьедестале почёта по уровню проникновения финтех-услуг.

Рассказывали забавную сценку из Индии: на улице сидит человек, перед ним два кирпича, между ними костёрчик, кипятится вода – он чаем торгует. А рядом висит QR-код для онлайн-оплаты!

Разумеется, бывают исключения, в том числе из неожиданно высокоразвитых мест. Например, такси Гонконга (да! – только бумажный кэш, ничего прочего). А в прошлом году был неприятно удивлён во Франкфурте – в двух ресторанах принимали только бумажные деньги. Ну, пришлось гостям пометаться по близлежащим закоулкам в поисках банкомата. То есть, несмотря на развитие прогрессивных платёжных систем банкоматы были, есть и ещё долго будут есть.

источник

О чём это я? Конечно о кибербезопасности :) Банкоматы = деньги ⇒ их хакали, хакают и будут хакать. Увы, неприятную тенденцию роста подобных кибератак подтверждают исследования: с 2017 по 2019 год количество атакованных малварой устройств выросло аж в 2,5 раза.

Можно ли вести постоянный мониторинг безопасности вокруг и внутри банкомата? Конечно же, да! – наверняка подумали все вместе. Увы, это не так. Полно ещё уличных/магазинных/подземно-переходных денежных машинок с весьма узким интернет-горлышком. Не успевают они помимо транзакций ещё и за всей остальной окружающей ойкуменой следить!

И если гора не идет к Магомету, то рассчитывать надо только на свои силы. Поэтому мы применили лучшие практики оптимизации (в этом мы мастера с 25-плюс-летним стажем), да и радикально пригнули количество трафика, которое использует наша специализированная «таблетка» против банкоматной угрозы (Kaspersky Embedded Systems Security, далее KESS).

Дальше: где наличные, Наташ?…

Люблю, целую! — 20 лет спустя.

Зубры-динозавры-айтишники с минимум-20-летним опытом работы должны хорошо помнить одну из самых громких цифро-вирусных пандемий начала 2000-х. Сетевой червь LoveLetter (ILOVEYOU) в течение одного дня поставил раком парализовал весь мир. Хотите узнать где и чем сейчас живёт автор этого глобального перформанса?

Об этом чуть позже. На десерт. А сначала, для тех, кто не застал те «веселые» деньки, — почему и зачем LoveLetter получил такое название.

Эта зверюга очень быстро расползалась по электронной почте. Пользователю приходило письмо с, якобы, любовным посланием от знакомого человека…

источник

…он(а) кликал(а) на аттач с VBS-скриптом, вредонос получал управление и пересылал себя от имени владельца заражённого компьютера всем получателям из его адресной книги. Вот так, в безумной прогрессии LoveLetter за пару часов распространился по всему миру, вызвав неимоверно колоссальные убытки (ага, он ещё некоторые файлы портил). Любопытный факт: код рассылки писем был позаимствован у другого червя, Melissa, который годом ранее ничем  не меньше нагнул весь мир (Microsoft пришлось на время отключить корпоративную почту – читай уйти на самоизоляцию – чтобы приостановить распространение заразы).

Интересна и другая особенность LoveLetter: червяк скачивал из Интернета троянскую программу, которая тырила с заражённого компьютера логины-пароли доступа к Интернету (а тогда это был в основном dial-up соединение по космическим авиационным ценам и почасовой тарификацией) и отсылал их на заданный адрес. Кстати, до этого практически всё кибер-зло было сделано исключительно из хулиганства, геростратовой мании величия или по причине детского идиотизма (16 forever). Автор же этого червя впоследствии признался, что его целью была кража кодов доступа к Интернету. Вот так коммерческая кибер-преступность делала свои первые шаги.

В общем, обозревая события тех лет с высоты 2020, невольно посещают очень противоречивые чувства и соображения от «какие же идиоты» до «как молоды мы были» :)

Дальше: незаслуженное неправосудие…

Экономьте трафик!

Эх, как же хорошо жить в условиях безлимитного интернета! Теперь, наверное, никто уже и не вспомнит когда исчезли тарифы на кабельный доступ в Интернет с повременной или «помегабайтной» оплатой. Уже где-то лет 15 мы купаемся в «нон-стоп анлиме» формата 24-7-365. При этом скорости обычного домашнего подключения вплотную приблизились к гигабиту. Ай хо-ро-шо!

Особенно в наши тревожные времена – понимаю, что далеко не все, но многие смогли полноценно трудиться в карантинных условиях. И всё спасибо скорости современных сетевых соединений! Представьте себе, что эта биологическая хрень случилась бы в до-интернетные времена или же где-то в 90х, уже с интернетами, но на каналах тех лет пропускной способности.

Да, можно возразить, что на карантине Шекспир написал несколько великих пьес, Боккаччо — Декамерон, у Пушкина случилась Болдинская осень, а Ньютон догадался о теории всемирного тяготения. С интернетами и онлайнами у них бы ничего этого могло и не случиться! :)

Но не суть. Я сегодня о другом хотел рассказать. А именно.

Все мы рады скоростному «анлиму» — как пользователи. Но для бизнеса, особенно больших компаний внутрикорпоративный «анлим» означает распухание бюджетов и снижение прибыли (оборудование, провода, вентиляция, обслуживание этого хозяйства, плюс электричество и прочее другое). Посему у хорошего хозяина сисадмин постоянно смотрит на динамику трафика, прогнозирует пиковые нагрузки, создаёт резервные каналы и многое другое, чтобы обеспечить бизнесу гарантированное потребление всех необходимых сетевых прелестей. Чтобы ничто не останавливалось и не «лагало».

И, разумеется, любая организация будет стремиться сопутствующие «расходы и расходики» как можно сильнее утрамбовать к нулю, при этом сохранив (а лучше даже повысив) эффективность работы всей системы.

О как! Невозможное = возможно? Рассказываю…

источник

Дальше: апдейт пошёл!…

Сиди дома, слушай и смотри — домашний SAS!

Как многие из вас наверняка слышали, раз в год мы в разных неожиданных местах проводим супер-конференцию по безопасности Security Analyst Summit (SAS). Мероприятие это совершенно не скучное от слова «ни разу», гостей приглашаем весьма именитых, проводится она в «клубном» формате (только по приглашениям), наполняем её только самыми свежими и громкими новостями, исследованиями, историями и так далее. Без политики, только профессионально о кибербезопасности, весело, громко, дружно! И постепенно SAS становится одной из важнейших конференций в индустриальных ландшафтах. Для примера — отчёт о прошлогодней конференции в Сингапуре см. здесь.

Так вот, очередная, уже 12-я по счёту конференция SAS, должна была торжественно открыться в солнечной весенней Барселоне завтра, 28 апреля. К большому сожалению и по понятным причинам, завтра никакого открытия в Барселоне не произойдёт.

Но мы решили, что интеллектуальному добру пропадать не стоит и зовём всех абсолютно бесплатно на премьерную онлайн-версию нашего саммита: SAS@Home, который стартанёт завтра в 18:00  по Москве. Мы видим, что спрос большой, зарегистрировалось больше 1000 участников. Возможно, теперь придётся каждый год выдавать две версии SAS – в онлайне и офлайне!

Дальше: попкорну всем!…

Топ-3, топ-2, топ-1 = топаем наверх, и вот мы там!

Если честно и откровенно, то с самого-самого начала моей нашей антивирусной деятельности мы я сразу поставил вполне себе всем нам достаточно амбициозную цель. Она была озвучена когда-то в 1992м году, когда мы с моим древне-давним другом-подельником Алексеем Николаевичем «Графом» Де-Мондериком стояли на остановке (где-то где Волоколамка мостом проходит над другой дорогой) и ждали трамвая номер 6 (к чему такие подробности? — да я и сам не знаю, просто всклерозилось). Так вот, глядя на мои тогдашние активности по поводу антивирусной темы – а я тогда впахивал по 12-14 часов в день («папанаработе» — так меня звали дети, а не просто «папа»). Так вот, глядя на это Граф спросил меня: а какая цель, зачем всё это и с таким упорством? Я ему ответил, что цель = сделать самый крутой в мире кибер-антивирус. Это было в 1992 году. Граф над этим хихикал, но работал. И оно получилось!

Как оно получалось? Тяжким трудом, изобретательством, да выживанием в те самые недобрые 199x-е года. Мы впахивали каждый по своему направлению. Я «долбал» новые вирусы, Граф кодил «морду» и редактор антивирусных баз, Вадим Богданов (джедай ассемблера) виртуозил разнообразный инструментарий для моих нужд. Да-да, нас в начале 90х было всего три человека! Потом четыре, затем пять… и – понеслось.

Но пора выруливать повествование в главное русло. Так какую я там цель поставил? Ага, самый крутой в природе антивирус. И тут вдруг случились самые первые в истории «антивирусные Олимпийские Игры». 1994 год, обширные тесты в Гамбургском университете. Победитель… Угадайте кто? :)

Да-да, с самого раннего начала – да! Мы сразу начали показывать самые лучшие результаты в различных независимых антивирусных тестах. Ура нам! (Граф, Андрей Крюков, я – слева направо).

// Режим «педант»: на самом деле были тестирования и ранее, но не «олимпийские», а по ограниченным сценариям. Как те или другие антивирусы детектят наиболее зловредных и поганых кибер-бацилл. Например, за месяц до упомянутого выше Гамбургского университета ICARO (Italian Computer Antivirus Research Organization — было такое) проводили тесты по паре супер-мутирующих вирусов. У нас, естественно, 100% детекта «живых» заражений. Само собой, оба виря были под MS-DOS, 16 бит, сейчас не актуальны совершенно.

Короче, с самого-самого начала своего существования наша команда, потом ставшая компанией – мы ставили перед собой амбициозную задачу: делать самый крутой антивирус в мире, с самым лучшим качеством защиты. Конечно, доверять заверениям вендоров пользователь никогда не спешил. Поэтому в параллели с развитием рынка антивирусов, появилась индустрия независимого тестирования этих самых антивирусных решений.

Но, начав участвовать вообще во всех тестах, мы столкнулись с неожиданной сложностью. Не секрет, что разные тестовые лаборатории используют разные методики тестирования и разные системы оценки, которые напрямую сравнивать сложно. Кроме того, всегда полезно ориентироваться на лучшие результаты в индустрии, в том числе и результаты конкурентов. Ведь полученный уровень детектирования или защиты в 99% можно трактовать как высокое достижение в случае сложных угроз, когда все конкуренты достигли кратно меньших результатов. Так и наоборот, этот результат может быть драматически низким показателем в случае, если большинство конкурентов показали 100%.

Именно поэтому внутри нашего подразделения по исследованию киберугроз начали применять агрегированную метрику под названием TOP3, которая объединила как абсолютные, так и относительные результаты во всех тестах для всех вендоров.

Дальше: Большой Зелёный Шар…