Допрос под полным прикрытием.

Шестую части франшизы «Миссия невыполнима» я не смотрел, и не просите. Я и пятую-то видел только раз в зомби-состоянии в очередных перелётах и только из-за того, что одну из сцен снимали в нашем британском офисе. Честно говоря — мне хватило. «Пиф-паф-трах-бах» — не мой жанр, у меня есть другие планы для свободного времени (которого обычно и так не хватает).

Единственный эпизод, который я всё же «проглотил» по настоятельной рекомендации коллег: хорошие парни элегантно вынуждают плохого парня сдать других плохих парней, создав ему подходящую обстановку (точнее — фейковый прямой эфир об атомном Армагеддоне). Вроде как допрос, но не совсем.

Почему именно этот эпизод?

Он удивительно доходчиво и наглядно раскрывает один из методов выявления… неизвестных кибератак! На самом деле таких методов много — они различаются по области применения, эффективности, ресурсоёмкости и прочим параметрам (в моём ЖЖ о них регулярно рассказывается — смотрите по тегу technology). Но, пожалуй, одна из самых долгоиграющих технологий — эмулятор (про него я уже много раз писал).

В точности, как в этом эпизоде из «Миссии», эмулятор запускает исследуемый объект в изолированной искусственной среде, вынуждая его проявлять вредоносность.

Но у такого подхода есть существенный недостаток: искусственность той самой среды. Эмулятор создаёт окружение, максимально приближенное к реальной операционной системе, вредоносы учатся его распознавать, эмулятор распознаёт, что его распознали :), и вот мы уже входим в бесконечный цикл борьбы меча и щита, который регулярно открывает окно уязвимости на защищённом компьютере. Фундаментальная же проблема заключается в том, что предел функциональности эмулятора стремится к реальной операционной системе, но никогда её не достигнет!

С другой стороны, есть ещё одно решение задачи поведенческого анализа подозрительных объектов — анализ в… реальной операционной системе! Что-о-о? Прямо на «боевом» компьютере? Нет — на виртуальной машине! Ведь технологически эмулятор не способен так же полно и точно эмулировать работу операционной системы по сравнению с настоящей ОС под виртуальной машиной. Идеальный «допрос» под полным прикрытием!

Дальше: лекарство против вредоносной спячки…

Аудит SOC 2 пройден!

Ещё в прошлом году в рамках нашей Глобальной инициативы по информационной открытости мы говорили о планах на прохождение независимого аудита и получение отчёта SOC 2. И вот наконец мы можем объявить о том, что он пройден! Позади ого-го-го какая работа, в которой было задействовано очень много сотрудников компании! И я очень горжусь, что мы это сделали!

Что за таинственная аббревиатура этот SOC 2? Зачем этот зверь вообще нужен?

Service Organization Controls (SOC) – это aудит по контрольным процедурам в сервисных организациях; всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности, разработанный Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA). Его основная цель – информировать клиентов об эффективности создания и внедрения механизмов контроля безопасности.

Мы выбрали этот стандарт для подтверждения надёжности наших продуктов, чтобы доказать клиентам и партнёрам, что наши внутренние процессы соответствуют высочайшим международным стандартам и нам нечего скрывать. Аудит для нас проводила одна из компаний «большой четверки» (по условиям договора мы не можем раскрыть, какая именно). В течение прошедшего года наши сотрудники активно общались и делились всей необходимой информацией с аудиторами – R&D, IT, Information Security, команда внутреннего аудита.

Финальный отчет, который мы получили на этой неделе, подтверждает пригодность внутренних механизмов контроля над регулярными автоматическими обновлениями антивирусных баз и их корректную работоспособность, а также что процесс разработки и выпуска наших антивирусных баз защищен от неавторизованного вмешательства. Ура!

По запросу мы готовы предоставить этот отчет нашим партнерам, клиентам и госрегуляторам.

Всем привет из… :)

Фотоканал на Flickr

Instagram

Ай-да-новости: кибербревно в глазу, Linux-бэкдор и длинные руки Большого Брата.

Начнём с благостных новостей.

Недавно уважаемая независимая тестовая лаборатория AV-Comparatives выпустила результаты своего ежегодного опроса. Он проводился в конце 2018, участие в нём приняли 3000+ респондентов по всему миру. Отвечая на вопрос «Каким защитным продуктом вы чаще всего пользуйтесь?», большинство пользователей (из аудитории AV-Comparatives) в Европе, Азии и Южной Америке назвало наш бренд. На втором месте мы оказались только в США (уверен, что второе место временно!). Кроме того, в Европе нас выбрали самым часто используемым защитным решением для смартфонов. Мы также возглавили список компаний, продукты которых пользователи чаще всего просят затестить, как в «домашнем» сегменте, так и среди антивирусных продуктов для бизнеса. И пусть тестят, мы готовы! Про независимые тесты и обзоры, которые проходят наши продукты можно почитать тут.

Дальше новость из рубрики «бревна-то я и не заметил».

В мае был обнаружен уженепомнюкакойпосчёту бэкдор с функциями очень полезными для шпионажа. У кого нашли бэкдор? У русских, китайцев? Ба, снова у Cisco! Слышали ли мы громкие разборы этого случая в СМИ, разговоры про угрозы нацбезопасности, обсуждение отказа от использования оборудования Cisco за пределами США и т.п.? Не-а! Хотя одновременно полным ходом идёт громкое международное линчевание Huawei, причём не только без подобных бэкдоров, но и убедительных доказательств вообще.

Источник

Дальше: Большой Брат подкрался незаметно…

Введите свой email, чтобы подписаться на блог

Умная пробирка для злобной малвары

Вы задавали себе вопрос, почему компьютерные вирусы назвали именно «вирусами»? Вопрос на самом деле риторический, но если для кого-то это не очевидно, то в нашей энциклопедии есть краткий и исчерпывающий ответ.

Эту подводку я использую с другой целью: а почему до сих пор всю компьютерную гадость многие так и называют «вирусами», хотя вирусов как таковых уже надцать лет не было замечено в «дикой цифровой природе»?

Дело в том, что по сей день технологии компьютерной безопасности вызывают ну уж очень сильные ассоциации с людьми в белых скафандрах, карантином, пробирками и прочей атрибутикой изучения микробиологических глубин мира. Именно так: вирусы уже давно повывелись, но методы их анализа и разработки защиты остались, развились и очень даже хорошо показывают себя в борьбе с современными вредоносами. Например, эмулятор.

Вкратце, эмулятор — это метод выявления неизвестных угроз, при котором подозрительный файл запускается в виртуальном пространстве, имитирующем реальный компьютер. Антивирус* смотрит за поведением файла «на лету» и при обнаружении опасных действий изолирует его от греха подальше для проведения дополнительных исследований.

Читать далее…

Ай-да-новости: дипшпионаж, ближневосток и краденые ай-личности.

Сегодняшний выпуск «ай-да-новостей» (с) — по мотивам только что отгремевшей конференции по кибер-безопасности SAS-2019. Конференции, которую мы проводим ежегодно в разных неожиданных местах, и которая постепенно становится одним из важнейших событий в ландшафтах глобальной кибербезопасности.

Заголовок сегодняшнего выпуска мрачноватый, но начать я хочу с приятной новости, напрямую к SAS-2019 не относящейся. Этакая «рекламная пауза перед главным выпуском новостей». А именно: по версии компании HeadHunter, которая ежегодно представляет «Рейтинг работодателей России», в этом году мы заняли почётное первое место среди работодателей отрасли «IT и интернет» и не менее почётное (а может даже более) 9-е место в общем зачёте Tоп-100 лучших работодателей.

А теперь – главные новости о SAS-2019.

Одной из главных фишек этой конференции являются доклады-расследования. В отличие от других геополиткорректных конференций здесь принципиально публикуются расследования любых киберугроз, вне зависимости от страны их происхождения. Потому что малвара есть малвара и надо защищать пользователей от всей кибернечисти, какой бы «благой» целью она не прикрывалась. И пусть за эту принципиальную позицию анонимные источники врут на нас в некоторых СМИ (действительно, с нами никто не сравнится по числу раскрытых кибершпионских операций). Мы не намерены менять эту позицию в ущерб пользователям.

Так вот: хочу поделиться с вами синопсисом самых крутых расследований наших экспертов, обнародованных на этом мероприятии. Самые яркие, актуальные, местами пугающие и отрезвляющие выступления.

1. TajMahal

Прошлой осенью мы выявили атаку на дипломатическую организацию из Центральной Азии. Сама по себе такая цель киберпреступников не удивительна. Информационными системами различных посольств, консульств и дипмиссий довольно часто интересуются их политические партнёры, недоброжелатели и все остальные, у кого на то есть мозги и средства. Но тут для атаки был построен настоящий TajMahal, а точнее APT-платформа с огромным количеством плагинов (столько в одной APT-платформе мы ещё не находили!) для самых разных сценариев атак с использованием различных инструментов.

Дальше: доппельгангеры атакуют!…

SAS-2019: есть 500!

Апрельская поездка продолжается. Её траектория уже пересекла такие замечательные города как Ганновер, Баку и Дубай. Следующая остановка – Сингапур. Город-сад, остров-сказка, но жарко, влажно, но это — город будущего. Уже бывал много раз, восторженно рассказывал и каждый раз снова убеждаюсь: самые первые впечатления никогда не обманывают. А также цитирую: «фильм ‘Незнайка в Солнечном городе можно снимать без декораций'» (с) точно мой, но найти оригинал никак не могу, как ни стараюсь

Немного хороших фоток (моих) и очень хороших фоток (нет, я так пока не умею) про город-сказку: Сингапур днём, Сингапур ночью, очередь в Сингапур-порт ->

А самое главное — у нас тут в Сингапуре только что отгремела 11-я по счёту конференция SAS = Security Analyst Summit. Что-то мне подсказывает, что получилось огогой как здорово, весело, успешно.

Дальше: рекорд по всем параметрам…

Индустриальный подъём.

Многие до сих пор думают, что мы – просто антивирусная компания, которая лучше всех гоняется за всевозможными кибер-зловредами и защищает наши и ваши компьютеры с телефонами от цифровой нечисти. Хочу развеять эти заблуждения! Мы уже давно не только антивирус для ваших личных и офисных девайсов. Кибербезобразия уже давно творятся не только в привычных всем нам компах и мобильниках, всё чаще и чаще случаются атаки на «Интернеты вещей» и индустриальные объекты. Так вот, «я не бездействовал, я сразу на капу нажал» (с)

Мы очень давно предсказывали возможность кибератак на индустриальные объекты и инфраструктуру. Даже раньше, чем об этом всему миру рассказал Голливуд. И не только говорили об этом, но всерьёз занимались технологиями защиты, о чём уже не раз было рассказано: промышленная, транспортная кибербезопасность, защита IoT девайсов, собственная операционная система.

Но всё равно в головах многих мы всё ещё жили с этой «антивирусной ассоциацией». И как же я рад, что ассоциативный ряд начал меняться. И сужу я не по каким-то субъективным ощущениям, а по  цифрам! Глобальные продажи наших решений для промышленной инфраструктуры (KICS – индустриальный «антивирус» :)) в 2018 году выросли на 162%! Этот рост наблюдается почти по всем регионам – Европа, Латинская Америка, Ближний Восток и Африка, Азиатско-тихоокеанский регион и Россия. Мы «отгрузили» заказчикам более 80 проектов по всему миру для самых разных отраслей промышленности, включая электростанции, добывающие предприятия, нефтепереработку и пищевую промышленность.

Растёт масштаб и сложность угроз в промышленной среде, причём здесь на кону критически важная инфраструктура вроде атомных станций, которые если бабахнут из-за кибератаки, то мало никому не покажется – в том числе тем, кто бабахнул. Наши заказчики понимают, что для решения этой проблемы необходим точечный, индивидуальный подход к каждому предприятию и к каждой отдельной автоматизированной системе управления техпроцессом.

Кстати в 2018 году наш KICS упоминался в отчёте аналитической компании Gartner «Безопасность операционных технологий», которая специализируется на исследовании рынка информационных технологий. Для меня всё это значит лишь одно – мы признанные лидеры рынка индустриальной кибербезопасности. Годы работы приносят свои плоды!

Кроме прорывной индустриалки, у нас много новых небанальных продуктов. Например, защита блокчейн технологий. Мы работаем по двум направлениям — защита для криптобирж (Crypto-Exchange Security) и для стартапов (ICO Security). Уже можем отчитаться по первым успешным проектам. А по прогнозам всё того же Gartner, суммарный объём рынка блокчейн к 2030 году может составить более 3 трлн (!) долларов. А уже сегодня оборот криптобирж — 318 млрд долларов, из которых 1,2 млрд было украдено всего 11 хакерскими атаками. Очевидно – работы у нас всегда будет невпроворот.

Все и всё уже давно покупают\продают, ведут дела в онлайне. Именно поэтому большой популярностью пользуется решение для защиты от сложного мошенничества – наш KFP. Он нафарширован крутыми технологиями: поведенческая биометрия, методы машинного обучения (подробнее и доступнее здесь). Ещё один маст-хэв для бизнеса – KDP – защита от DDoS атак. У нас есть специальное приложение-сенсор для внедрения в IT-инфраструктуре клиентов. Оно мониторит трафик, тихой сапой накапливает данные для поведенческого анализа, совершенствует алгоритмы выявления самых мааааленьких и незаметных аномалий. Но вообще там полный all inclusive: отправки уведомлений о возможной атаке, круглосуточный анализ трафика, его перенаправление, очистка. В конце еще и отчёт с результатами анализа прошедшей атаки пришлём.

В какой-то момент мы поняли, что не только мастерски штампуем IT-продукты. У нас еще и очень сильная PR-команда, которая отлично понимает все репутационные риски атак на IT-инфраструктуру. В такие кризисные моменты пиарщики пострадавших компаний зачастую принимают далеко не самые верные решения, потому что сами не понимают, что произошло и что с этим дальше делать. Вместо того, чтобы минимизировать потери, они их усугубляют некорректными заявлениями или, наоборот, игрой в молчанку. KACIC – это набор антикризисных коммуникационных инструментов. Предупреждён — вооружён!

Следующий прорыв я ожидаю в транспортной кибербезопасности (об авто-будущем как раз совсем недавно рассуждал здесь) и защиты IoT девайсов. Мы много сил и средств вкладываем в это направление. Мир переживает новый виток промышленной революции. Стремительно растёт IoT рынок, меняя каждую отрасль экономики: производство, сельское хозяйство, городскую инфраструктуру, торговлю, транспорт и многое другое. В последнее время я много говорю о «кибериммунитете», который должен прийти на смену «кибербезопасности». Для этого защитный слой должен стоять в основе системной архитектуры, а не надстраиваться сверху, как это происходит сейчас. И мы уже научились это делать для IoT гаджетов. Дальше — больше!

Автобудущее сегодня.

Поскольку совсем недавно я потрогал авто-спортивную тему предстоящего сезона Формулы-1, то снова захотелось поговорить об авто и о будущем. Об авто-будущем, которое не далёкий для многих автоспорт, а о том самом о чень близком будущем, которое коснётся каждого и откроет новую страницу в ~350-летней истории автомобиля. Да, да, и вашего автомобиля тоже (или же ваших автомобилей, если их несколько).

Читая недавние знаковые заголовки у меня слетает шляпа (почти (с) из Чехова) -> «Калифорния легализует тестирование беспилотных автомобилей», «Беспилотные самосвалы Вольво обслуживают рудник» (кстати, интересная сервисная бизнес-модель!), «Беспилотный КАМАЗ идёт в серию!» «Cognitive Technologies превысила 99% в точности распознавания кадра«. Google, Яндекс, Baidu и неизвестно большое количество других компаний из разных сфер и стран разрабатывают свои беспилотные проекты. Конечно, заголовки иногда получаются не очень, но эти исключения лишь доказывают тенденцию.

Да только что сам лично совершенно недавно на заводе Barilla (кстати наш клиент) видел как автоматическая линия выдаёт тонны макароно-спагетти, как роботы раскладывают это по коробкам и пакуют в пачки, а потом авто-электро-кары отвозят их к грузовикам… которые пока ещё не автоматические. Но очень скоро будут. Кто-то сомневается?

А совсем недавно, всего-то в начале этого тысячелетия, в своих выступлениях я отвлечённо шутил «кто купит автомобиль, который ездит ровно с положенной скоростью?». (здесь я немного лукавлю… я говорил не об автономном авто, а об управляемом :)

Теперь совсем чуть-чуть авто-техно-политкорректного текста, без которого мои рассуждения могут быть безжаластно порезаны интернет-цензурой… ой, о чём я?

</нужный блок on>
Так вот: такой автомобиль уже почти здесь и сейчас. Завтра – везде. И скажу без тени сарказма – это офигительно. Потому что система, работающая чётко по правилам, не испытывает деградации производительности. Посему не только с положенной скоростью, но быстро, безопасно, комфортно, автоматически. Сначала выделенные магистрали только для автомобилей в беспилотном режиме, дальше – целые города и страны, совсем дальше… ну вы догадываетесь :) Чувствуете перспективы рынка апгрейда старых машин?
</нужный блок off>

А теперь моя мысль и пальцы на клавиатуре пойдут выдавать самое интересное, ради чего и создаются эти многобукв. Поехали ->

Дальше: светлое беспилотное будущее…

Ай-да новости: взлом в законе, дырявые SMS и неожиданное содержимое тюленя.

Мальчики и девочки, всем привет!

С вами наша регулярная рубрика «удивительное рядом» или выжимка самых интересных, абсурдных, громких IT-новостей и находок.

Японское правительство планирует взломать 200 млн IoT девайсов граждан. Это не заголовок из научной фантастики. Так японцы готовятся к проведению Олимпиады. Госслужащим законодательно разрешили взламывать гаджеты граждан любимым методом киберпреступников — подбором паролей. Обнаружив девайс со слабым паролем, госслужащие внесут его в специальный список небезопасных гаджетов, который передадут интернет-провайдеру, а владельца попросят сменить пароль. Делают это, чтобы проверить, хорошо ли защищены IoT устройства в стране и предотвратить их использование для атак на олимпийскую инфраструктуру. О методах защиты можно поспорить, но сам факт подготовки очень правильный. Напоминаю, что случилось на последних Играх у их соседей.

Дальше: Ну, тюлень!…

Выборы будущего. Сегодня, сейчас.

«Онлайн-голосование — это единственное, что спасёт демократию, потому что молодёжь только так и будет голосовать», — уже давно твержу я. Они просто не хотят ногами идти в избирательный участок! В каком-то смысле здесь даже просматривается элемент неравенства. Старшее поколение просто привыкло голосовать в избирательных участках, так уж сложилось. А нынешнее «выборопригодное» поколение 16+ привыкло жить онлайн. Мир так устроен, что всё (ну, почти всё) делается (или будет делаться) через цифру и сéти с личного экрана! То есть, если не придумать онлайн-голосование, то через N-дцать лет на выборы придут только старички и старушки в явно недостаточном количестве и уж никак не за самого современно-продвинутого кандидата.

Беспощадная статистика врёт показывает, что начиная с 80-х годов наблюдается спад явки избирателей во всех мировых демократиях. Однозначной причины этому нет: тут и кризис доверия к власти, где-то сложный доступ к голосованию. Появился даже новый социальный подвид участника политической системы: «заинтересованный наблюдатель» (interested observer). Если очень вкратце, это тот, которому всё интересно, но он ничего не хочет делать, по-нашему — «диванный наблюдатель». По сути это идеальная целевая аудитория для онлайн выборов: те, кто привык получать информацию из интернетов, нынешнее подрастающее поколение миллениалов. Для них выборы должны быть естественным дополнением к их ежедневной онлайн-рутине. Соцсети проверил, фоточку запилил, продукты заказал, поработал, поиграл, проголосовал.

Система онлайн-голосования безусловно развивается. Когда были проведены первые онлайн-выборы мне неизвестно, но помнится что ещё аж в январе 2003-го года вирус-червь Хелкерн (он же «Slammer») чуть было не сорвал внутрипартийные выборы какой-то из канадских политических партий. Первые е-выборы высшего государственного уровня были запущены в 2007 году в Эстонии. Потихоньку онлайн-голосования запустили и в ряде других стран для разного уровня выборов, но и с разной степенью успешности. Почему? Да потому что есть очевидный вопрос безопасности — высокий риск взлома и прямого манипулирования процессом голосовалки, который кстати неоднократно поднимался критиками онлайн-голосования. В 2014 году группа экспертов провела пентест эстонской системы голосования, который показал, что они смогли с лёгкостью не только установить вредоносное ПО на серверы системы, но и теоретически могут изменить итоги голосования, а также стереть любые следы своих действий. В 2015 году скандал с онлайн-голосовалкой разгорелся и в Австралии. Там в штате Новый Южный Уэльс проводились онлайн-выборы с использованием системы iVote. Выяснилось, что примерно 66 000 голосов могли быть скомпрометированы в ходе возможной атаки на сайт для голосования.

Напрашивается очевидный вывод — нужно защитить выборный процесс (авторизация, коннект, транзакция), хранение и подсчёт результатов (серверно-облачная часть). Эта мысль зародилась и в нашем собственном бизнес-инкубаторе пару лет назад. В результате, в конце 2017 года появился новый проект Polys — платформа электронного голосования на базе блокчейна.

Дальше: все на в!…