За последние несколько лет я много всякого разного начитался в американской прессе и вышедшая в прошлый четверг статья Wall Street Journal поначалу показалась очередной конспирологической кляузой.  Согласно анонимным источникам, несколько лет назад русские госхакеры, якобы, при помощи взлома продуктов вашего покорного слуги похитили с домашнего компьютера сотрудника АНБ секретную документацию. Наш формальный комментарий этой истории тут.

Однако, если отбросить шелуху про «русских хакеров Кремля», то в этой истории проступают очертания другого вероятного сценария, названного в статье «агрессивной борьбой с киберугрозами». Что же на самом деле могло произойти?

Итак, читаем статью ещё раз.

В далёком 2015-м году некий сотрудник АНБ, разработчик американских кибершпионских операций, решил поработать на дому и для этого скопировал на домашний компьютер секретную документацию. Для безопасности домашнего компьютера он справедливо выбрал лучший антивирус (догадайтесь какой), а для пущей надёжности (всё правильно сделал) включил защиту из облака (KSN). Вот в таком ландшафте он продолжил допиливать гос-вредоноса.

Ещё раз.

Разработчик шпионского софта трудился над проектом у себя дома, имея весь необходимый для этого инструментарий и документацию, защищая себя от мирового компьютерного зловредства нашим продуктом с подключением в облако.

Что должно произойти дальше?

Правильно: гос-вредонос должен быть распознан как подозрительный и отослан в облако для дальнейшего анализа. Это стандартный процесс обработки новых зловредов – и не только у нас. Все наши коллеги-конкуренты используют подобную логику в том или ином виде. Практика доказала, что это очень эффективное средство для борьбы с кибер-угрозами.

Что же происходит с данными в облаке? В 99,99% случаев анализом подозрительных объектов занимаются технологии машинного обучения, зловреды отправляются на детект и в архив, остальное – в мусор. Прочее уходит на «ручную обработку» вирусным аналитикам, у которых жёсткая инструкция: если к нам помимо малвары попадут какие-либо конфиденциальные данные, то они будут категорически уничтожены вне зависимости от их происхождения. Здесь всё чисто.

Далее – как я оцениваю вероятность взлома наших продуктов русскими гос-хакерами?

Теоретическая возможность есть (программы пишутся людьми, а людям свойственно ошибаться), но её практическую реализацию я оцениваю как нулевую. В том же году, когда случилась описанная WSJ история, мы выпасли в своей сети атаку неизвестной кибервоенщины – Duqu2. По этой причине мы провели тщательный аудит исходных кодов, обновлений и других технологий и не нашли никаких признаков стороннего проникновения. Впрочем, мы очень серьёзно относимся к любым сведениям о возможных уязвимостях продуктов и поэтому аудит повторим.

Вывод:

Если история с обнаружением госвредоноса на домашнем компьютере сотрудника АНБ действительно имела место быть, то это, дамы и господа, предмет для гордости. Проактивно задетектить неизвестную кибервоенную малвару – это очень круто! Это лучшее доказательство превосходства наших технологий и подтверждение принципа защищать от любой киберугрозы, вне зависимости от её происхождения и целей. Даже если это кому-то не нравится.

Ну, за Агрессивный™ детект зловредов!

Вот ещё какую отметочку я решил поставить. Про одну рабочую неделю. Вернее, «длинную неделю» с выходными по краям.

Началась эта длинная трудо-туристическая неделя однажды в субботу (уже две с половиной недели назад) и закончилась в понедельник 18 сентября. Так вот, это вполне типичная активная неделя и выглядела она вот так.

В субботу мне надо было быть в Питере – и я там был. Иногда мне кажется, что слухи о дождливой погоде и мерзком климате в Петербурге — это какой-то мировой конспирологический заговор. Каждый раз сюда приезжаю — великолепная погода, солнышко в меру работает, население вокруг довольное и загорелое гуляет, кто-то даже в шортах. Это в Москве хмурь и слякоть, а в Питере —

«А в Питере — пить» (с)

Дальше: Хорошие новости!…

Всем привет,

Есть отличная новость – мы объявляем о глобальном всемирном запуске бесплатного антивируса Kaspersky Free! Для всех желающих, «безвозмездно, то есть даром» (с)

Позади полтора года разработки, пилотов, исследований, озарений и прочих сопутствующих решений, из которых мы сделали три вывода:

• Бесплатный антивирус не конкурирует с платными версиями. В платной версии есть много дополнительных фичей вроде родительского контроля, защиты онлайн-платежей, безопасного соединения и прайваси (VPN), которые на 100% оправдывают ~две тысячи рублей за премиальную защиту трёх любых устройств.
• Есть значительное количество пользователей, у которых нет ~двух тысяч рублей на премиальную защиту, из-за чего они вынуждены устанавливать дырявые поделки и даже использовать активно навязываемый Microsoft Windows Defender.
• Увеличение числа установок Free позитивно влияет на качество защиты для всех пользователей за счёт расширения big data базы для технологий машинного обучения.

Вывод из выводов – надо немедленно выкатывать бесплатный антивирус в глобальном масштабе!

В прошлом году продукт успешно «отпилотировался» в регионе Россия-Украина-Белоруссия, в Китае, а также и в «Нордиксе» (это Дания, Норвегия, Швеция, Финляндия). При промо-активности близкой к полной тишине в эфире – наш Free неплохо разошёлся тиражом в несколько миллионов экземпляров и неплохо увеличил нашу рыночную долю. Впрочем, бесплатным антивирусом мы целим вовсе не в рыночную долю, а в улучшение общего уровня защищённости в Интернете и развитие технологий. Поздравляю и благодарю всех пользователей за участие и помощь в этой непростой миссии!

А 25 июля, к 20 годовщине компании продукт официально начинает выкатываться по всему миру!

Дальше: ну, приятного пользования!…

Новое – хорошо забытое старое. А ещё иногда новое – это антиутопии старого, которые наши отцы, деды и прадеды могли увидеть в кошмарном сне или запечатлеть в колких сатирических произведениях. O tempora, o mores: кошмары, сатира и антиутопии сегодня воплощаются в реальности, и где бы вы думали – в журналистике.

Мне с детства запомнился рассказ Марка Твена «Как я однажды редактировал сельскохозяйственную газету». Прочтите – это произведение за пять минут откроет вам глаза на компетенцию, мотивацию и методы работы некоторых современных уважаемых информационных агентств. И сразу же проведём практическое занятие – препарируем свежий пасквиль Блумберга, который ранее уже отметился на ниве «банной журналистики».

Упражнение первое.

Мальчик забирается на дерево, чтобы стрясти с неё брюкву, пока она не перезрела.

Как рыба гниёт с головы, так и статья с заголовка:

Враньё, замешанное на манипуляции значением слов.

Дальше: брюква, которая на самом деле растёт на кусте…

«Трудно найти в тёмной комнате чёрную кошку, особенно, если её там нет»

Народная мудрость, часто приписываемая Конфуцию.

Пять лет наша компания находится под перекрёстным огнём некоторых американских СМИ по теме тайных связей с правительственными организациями и угрозы национальной безопасности. Пять лет расследований, предположений, слухов, манипуляций общеизвестными данными, ссылок на анонимные источники, конспирологии и откровенных фальшивок. В сухом остатке – ноль доказательств и конкретных фактов. Я польщён таким вниманием и благодарен за столь тщательный аудит, который подтвердил нашу прозрачность.

В течение последних месяцев ситуация резко покрепчала и вот уже небольшая российская компания в центре сенатских слушаний, где уважаемые люди выражают недоверие продуктам «Лаборатории». И снова – отсутствие фактов и доказательств, но много пустых предположений. При этом я не вижу заинтересованности в прояснении вопроса: мы предложили любое содействие, вплоть до раскрытия исходных кодов и официального свидетельства перед уважаемым жюри. Но предложение осталось без ответа. Вместо этого в дома к сотрудникам нашего американского офиса приходят агенты спецслужб. Кстати, все сотрудники в порядке, команда от этого только сплотилась, компания оказывает всем желающим юридическую помощь. Скрывать нам нечего и просто рекомендовали рассказывать всё, что знают.

Итак, что же это был за спектакль?

Дальше: Лес рубят, щепки летят…

Иногда верится, что на человечество каким-то образом влияют звезды, солнечная активность и прочие неведомые космические силы. И конкретно сейчас по маршруту Россия-США курсируют какие-то очень уж злые, деструктивные силы, которые погрузили людей в состояние нездоровой подозрительности, снизив способность к разумному сотрудничеству, трезвому мышлению и критическому восприятию действительности.

В Вашингтоне сейчас творится что-то невообразимое. Медийный прессинг заставляет людей при слове «русские!» разбегаться в разные стороны или сразу падать в обморок на месте. За выступление на конференции российской компании бывшего госчиновника могут вызвать на ковёр в сенат (впрочем, других бывших госчиновников за ровно то же самое почему-то не трогают). Скоро так за поездку на такси с русским водителем или случайную встречу в лифте будут вызывать на допрос в Госдеп. Мне как-то казалось, что мир давно ушёл от подобных сценариев, но что происходит сейчас в российско-американских отношениях – это какой-то политический сюрреализм, достойный кисти Босха.

Российские технологии и компании (мы, например) тоже «попали под раздачу» — они автоматически, по умолчанию и без доказательств считаются «рукой Кремля». Но об этом попозже, сейчас же о самом неприятном.

У киберпреступности нет границ. Более того, в последние годы мы наблюдаем разделение труда в международных группировках. Одни создают технологии, другие распространяют вредоносные программы, третьи собирают дань, четвёртые её обналичивают. Причём каждый этап отрабатывается в разных странах, имеющих для того свои преимущества. И, разумеется, всегда есть «мозг», который всем этим управляет.

Бороться с таким монстром можно только если так же преодолеть национальные границы.

Только совместные действия правоохранительных органов разных стран, работающих несмотря ни на что и для единой цели могут привести к успеху. И действительно – за последние годы благодаря этому сотрудничеству за решётку отправились многие кибернегодяи. Именно поэтому мы плотно сотрудничаем с киберполицейскими разных стран, а также международными организациями вроде ИНТЕРПОЛа и Европола. Нет сотрудничества – нет обмена информацией, нет согласованных действий против киберпреступности; как следствие безнаказанности – кибератаки плодятся и множатся, люди страдают, убытки бизнеса растут.

Достигнутый в прошлом уровень взаимодействия между Россией и США был далёк от идеала, но всё с чего-то должно начинаться. На этом фундаменте в будущем можно было бы построить более жизнеспособную и эффективную систему. Я не случайно написал «было бы», потому что сейчас я вижу как этот хрупкий фундамент разваливается. В кибербезопасность пришла геополитика, у которой совсем другие цели, нежели защита пользователей и развитие бизнеса.

Я вижу как схлопываются налаженные связи между странами, наглухо закрываются двери, рвутся контакты, которые обеспечивали совместные кибероперации. Эта заметно как на межгосударственном уровне, так и во взаимодействии с индустрией. При этом «схлопывание» и «закрывание» происходит вне рамок разумного поведения.

Существовавший хрупкий фундамент международного сотрудничества в кибербезопасности строился с начала тысячелетия. Медленно, маленькими шажками, постепенно преодолевая взаимное недоверие и стереотипы. Мне кажется, что сейчас Россия и США откатились назад лет на пятнадцать. И что самое неприятное – неясно когда закончится этот геополитический шторм и сколько времени потребуется на восстановление контактов.

Кто выигрывает от балканизации в кибербезопасности? Это риторический вопрос.

Сегодняшний новостной выпуск в этой традиционной рубрике посвящен одной особенно противной и неприятной проблеме в киберпростанстве. Проблеме гопников шифровальщиков-вымогателей, также известных как ransomware.

Поток неприятных новостей про этот крайне подлый вид криминальной деятельности не просто не иссякает, а как раз наоборот. Причем, надежды на кардинальное улучшение ситуации в ближайшее время немного. Скорее наоборот: победная поступь информатизации и «Интернета вещей» пока что приводит к тому, что количество дырявых устройств и систем, соединенных с Интернетом растёт как на дрожжах. И вот к чему это приводит в нынешней неблагоприятной киберэпидемиологической обстановке:

Как заработать 140 тысяч долларов, наломав дров на миллиард

Дальше: межконтинентальная рансомварь стратегического назначения…

На прошлой неделе мы попали под новую струю новостных «сенсаций». Ссылки на статьи специально не даю, чтобы не кормить троллей, но, уверен, гуглояндексы безошибочно их вам порекомендуют.

Если кратко, то основной «мессадж» такой:

— Русский софт крайне опасен для американских госучреждений.
— Русские — все агенты Кремля и ФСБ.
— У нас нет никаких доказательств (и быть не может — Е.К.), но это правда.

Нам как бы не привыкать. Нас «полоскали» уже и вайреды, и рейтерсы разных мастей и степени желтизны. Круче всех однажды выступил Блумберг, который заявил, что «Касперский парится в бане с русскими шпионами», а также «все топ-менеджеры были уволены и заменены силовиками». Полный параноидальный ахтунг, пароксизм воспалённой мысли на неизведанных веществах.

Все эти потуги объединяют несколько особенностей: отсутствие доказательств, манипуляция общеизвестными фактами для искажения реальной картины, анонимные источники, теория заговора и раскрутка с помощью соцмедийных троллей и ботов, добавляющих в коктейль новые «шокирующие подробности». Каждый раз мы по пунктам разносим в пух и прах всю «доказательную базу», так что со временем эти сюжеты стали напоминать бесплатную рекламу, что, кстати, тоже хороший повод для разоблачающей статьи :) Ну, и каждый раз даже консервативные западные парни удивляются аргументации сюжетов и публично высказывают однозначное несогласие и возмущение.

На этот раз буря в медиа-стакане любопытным образом совпала со слушаниями в Сенате США (смотреть с 42й минуты) об использовании наших продуктов и технологий в американских госучреждениях.

Это какой-то полный абсолютный концентрированный охренец… СССР 2.0. Но, с другой стороны, если наши продукты и технологии вот так серьёзно обсуждают в Сенате США, то, значит, спроектировали, сделали, улучшали, бились и изобретали… Добились и вышли на такой улётный уровень, что… вот :)

Ну, если серьёзно, эта конспирологическая свистопляска вот что напоминает: недобрые старые времена —>

Дальше: жил да был сенатор…

Итак, дамы и господа, скучающие по причине отсутствия новостей о нашем споре с Корпорацией добра и счастья Microsoft – их (новостей) есть у нас! Но для разминки напомню краткое содержание предыдущей серии сериала Санта-Барбара «антимонопольные разборки в софтверном семействе»:

Осенью прошлого года мы подали на Microsoft жалобу в Федеральную антимонопольную службу по факту нарушения законодательства. Прежде всего, как и ожидалось, ответчик всё отрицает. «Не создавали», «не ущемляли», и вообще «не доминируем». Но «факты – вещь упрямая»© и за фасадом официальной позиции Microsoft можно узнать гораздо больше, чем в записях судебных заседаний.

Несмотря на полугодовую тишину в эфире, дело медленно, но верно идёт. Не обращайте внимания на разные слухи — интервью брали в Германии и, видимо, забыли в конце фразы поставить немецкое «нихьт». Отказываться от расследования мы не только не собираемся, но и будем выводить его на международный уровень и бороться до победы.

Лучше послушайте историю от «первого лица» — сейчас я могу рассказать кое-какие подробности, озвучить планы, при этом не нарушив этические и процессуальные нормы. Внимание! Дальше будут очень интересные, но глубокие подробности. Приготовьтесь к «многобукв».

Несмотря на формальную «несознанку», на практике Microsoft сделал несколько важных шагов для исправления ситуации и – ура-ура! – нам очень приятно, что, вероятно, наши действия способствовали этому. Компания заняла гибкую позицию: формальное отрицание (что логично), но конкретные (пусть и небольшие) реальные шаги навстречу пользователям и независимым разработчикам.

Что же это за «важные шаги»? Рассмотрим три наглядных примера.

Пример 1: Очень Тревожное Окно.

Одна из претензий к Microsoft состоит в исправлении такого, вводящего в заблуждение окна:

Спросите: «что это и зачем?».

Дальше: отвечу…

«Тятя, тятя, наши сети притащили…» Да, уж, действительно, регулярно наши сети «притаскивают» на берег какие-нибудь непростые новости, от которых леденеет, седеет и даже иногда вызывает нервный смех и фейспалмы. Ну, что, готовы поулыбаться и пофейспалмить над уловом этой недели? Сегодня блюдо дня — уязвимости и разгильдяйство.

1. Пока гром не грянет, мужик не.

На днях мы опубликовали любопытное исследование, которое наглядно подтверждает, что каждый сам кузнец своего счастья и несчастья тоже. Вот например, такая больная тема, как уязвимости в программном обеспечении. Есть софт, в котором баги найдены, софт, в котором баги найдены и пропатчены и софт, в котором баги ещё не найдены. Т.е. уязвимости есть в каждом софте и никуда от этого не деться, поскольку не существует технологии создания абсолютно идеального программного кода. Errare humanum est (с). Ты видишь суслика? Нет? А он есть… (c)

Но! Как бы быстро и эффективно разработчики не патчили свой софт, в конечном счёте температуру по больнице определяют именно пользователи. Точнее — насколько быстро они устанавливают патчи. И вот здесь, увы, ситуация оказывается очень унылая. Выпускай, не выпускай патчи — пользователю, как показало исследование, это фиолетово :( Да, трудно себе представить, чтобы кому-то собственная безопасность была фиолетова, но это так и, причём, в гигантских масштабах.

Вот, например, уязвимость CVE-2010-2568, которую использовал червь Stuxnet. Эту дыру пропатчили семь лет назад, но, несмотря на это, она до сих пор в топе самых «популярных» векторов кибератак у серьёзных киберкриминальных/шпионских групп:

Дальше: не откладывай на завтра патч, который можно установить сегодня…