Итак, дамы и господа, скучающие по причине отсутствия новостей о нашем споре с Корпорацией добра и счастья Microsoft – их (новостей) есть у нас! Но для разминки напомню краткое содержание предыдущей серии сериала Санта-Барбара «антимонопольные разборки в софтверном семействе»:

Осенью прошлого года мы подали на Microsoft жалобу в Федеральную антимонопольную службу по факту нарушения законодательства. Прежде всего, как и ожидалось, ответчик всё отрицает. «Не создавали», «не ущемляли», и вообще «не доминируем». Но «факты – вещь упрямая»© и за фасадом официальной позиции Microsoft можно узнать гораздо больше, чем в записях судебных заседаний.

Несмотря на полугодовую тишину в эфире, дело медленно, но верно идёт. Не обращайте внимания на разные слухи — интервью брали в Германии и, видимо, забыли в конце фразы поставить немецкое «нихьт». Отказываться от расследования мы не только не собираемся, но и будем выводить его на международный уровень и бороться до победы.

Лучше послушайте историю от «первого лица» — сейчас я могу рассказать кое-какие подробности, озвучить планы, при этом не нарушив этические и процессуальные нормы. Внимание! Дальше будут очень интересные, но глубокие подробности. Приготовьтесь к «многобукв».

Несмотря на формальную «несознанку», на практике Microsoft сделал несколько важных шагов для исправления ситуации и – ура-ура! – нам очень приятно, что, вероятно, наши действия способствовали этому. Компания заняла гибкую позицию: формальное отрицание (что логично), но конкретные (пусть и небольшие) реальные шаги навстречу пользователям и независимым разработчикам.

Что же это за «важные шаги»? Рассмотрим три наглядных примера.

Пример 1: Очень Тревожное Окно.

Одна из претензий к Microsoft состоит в исправлении такого, вводящего в заблуждение окна:

Спросите: «что это и зачем?».

Дальше: отвечу…

«Тятя, тятя, наши сети притащили…» Да, уж, действительно, регулярно наши сети «притаскивают» на берег какие-нибудь непростые новости, от которых леденеет, седеет и даже иногда вызывает нервный смех и фейспалмы. Ну, что, готовы поулыбаться и пофейспалмить над уловом этой недели? Сегодня блюдо дня — уязвимости и разгильдяйство.

1. Пока гром не грянет, мужик не.

На днях мы опубликовали любопытное исследование, которое наглядно подтверждает, что каждый сам кузнец своего счастья и несчастья тоже. Вот например, такая больная тема, как уязвимости в программном обеспечении. Есть софт, в котором баги найдены, софт, в котором баги найдены и пропатчены и софт, в котором баги ещё не найдены. Т.е. уязвимости есть в каждом софте и никуда от этого не деться, поскольку не существует технологии создания абсолютно идеального программного кода. Errare humanum est (с). Ты видишь суслика? Нет? А он есть… (c)

Но! Как бы быстро и эффективно разработчики не патчили свой софт, в конечном счёте температуру по больнице определяют именно пользователи. Точнее — насколько быстро они устанавливают патчи. И вот здесь, увы, ситуация оказывается очень унылая. Выпускай, не выпускай патчи — пользователю, как показало исследование, это фиолетово :( Да, трудно себе представить, чтобы кому-то собственная безопасность была фиолетова, но это так и, причём, в гигантских масштабах.

Вот, например, уязвимость CVE-2010-2568, которую использовал червь Stuxnet. Эту дыру пропатчили семь лет назад, но, несмотря на это, она до сих пор в топе самых «популярных» векторов кибератак у серьёзных киберкриминальных/шпионских групп:

Дальше: не откладывай на завтра патч, который можно установить сегодня…

Так устроен homo sapiens, что ему постоянно и отчаянно хочется хоть одним глазком заглянуть за горизонт — увидеть какое будущее нам уготовано, как выглядит завтра? Да простится ему сие неразумное любопытство, поскольку homo sapiens «уготавливает» своё будущее сам, каждый божий день, своими собственными делами. Ну, если, конечно, не принимать в расчёт циклы Миланковича и другие силы природы :)

А по-научному заглянуть в будущее можно внимательно проанализировав настоящее. Это, кстати, относится и к кибербудущему, а особенно безопасности этого кибербудущего. Именно таким анализом мы занимаемся каждый год на киберслёте лучших секюрити-умов планеты — Security Analyst Summit (SAS):

http://youtube.com/watch?v=0dNe0pASWGQ

Ой, не то. Вот:

http://youtube.com/watch?v=80F2GWFNjr8

Опс, вернее как-то так :)

http://youtube.com/watch?v=oBwlBOFuEgg

В общем, каждый год я не перестаю удивляться как оно хорошо получилось и недоумеваю как это можно превзойти. И таки в следующий раз мы превосходим и улучшаем, делаем мероприятие «быстрее, выше, сильнее», привлекая всё больше экспертов по кибербезопасности и наглядно улучшая качество контента в том числе эксклюзивными материалами.

Вот о материалах сейчас и пойдёт речь. Предлагаю топ-5 на мой вкус самых-самых презентаций. Это не значит, что остальные были «соу-соу»: во-первых, все презентации, особенно происходящие в разных залах, посетить невозможно. А во-вторых, на вкус и цвет все фломастеры разные (c)

Ну, поехали!

Дальше: угнать дрон за 11 милисекунд…

Есть такая фича человеческой натуры — докапываться до сути. Кибербезопасность тому не просто не исключение, а даже вдвойне подтверждение этого правила.

У нас тут «суть» — понятие вполне осязаемое и измеримое, влекущее за собой конкретные выводы и действия. Каждую кибератаку можно разобрать «по косточкам», проанализировать и при необходимости «прокачать» защиту. Причём лучше всего это делать проактивно, на чужих ошибках, не дожидаясь, когда грянет гром.

Для решения этой непростой задачи у нас есть корпоративные сервисы. В ассортименте киберхирургического инструментария много всего разного: от тренингов персонала и «сводок с полей» с подробной информацией об обнаруженных атаках до экспертных сервисов для тестирования на проникновение, аудита приложений и расследования инцидентов.

И вот арсенала прибыло! На вахту заступил новый сервис KTL (Kaspersky Threat Lookup) – умный микроскоп для анатомирования подозрительных объектов, выявления источников кибератаки, истории активности, многомерных корреляций и степени опасности для корпоративной инфраструктуры. Настоящий рентген против киберугроз.

На самом деле лайт-версия этого сервиса есть у каждого нашего пользователя. Проверить рейтинг опасности файла можно и в домашних продуктах, но для корпоративного заказчика требуется другая глубина и скрупулёзность анализа угрозы.

Прежде всего KTL даёт возможность проверять не только файлы, но и URL, IP-адреса и домены, анализировать объекты по специфическим признакам целевых атак, поведенческим и статистическим особенностям, WHOIS/DNS данным, атрибутам файлов, цепочкам загрузок и др.

Дальше: поисковик спецназначения…

Что общего между кибербезопасностью и палеонтологией?

Настолько много, что впору открывать новую науку «кибербез-палеонтологию». У нас даже есть отряд кибер-ниндзя (также известный как GReAT — Global Research and Analysis Team), который на ней специализируется. При этом анализ цифровых следов, останков и прочих костей невозможно переоценить. Наоборот — артефакты прошлого дают бесценные данные для изучения кибератак настоящего.

Об одном из таких случаев сейчас и пойдёт рассказ.

Не так давно в глобальном кибер-серпентарии буйным цветом расцвёл новый вид вредоносов под названием Wiper. Эта гадость действует довольно топорно – она полностью уничтожает данные на заражённых компьютерах, не оставляя шанса на их восстановление (если, конечно, нет резервной копии). Пожалуй, наиболее известным представителем этого вида является Shamoon, который в 2012г. уничтожил данные на 30+ тысяч девайсов в нефтяной компании Saudi Aramco. Только представьте себе тридцать тысяч неработающих компьютеров и разнообразных серверов в сети крупнейшего мирового производителя нефти.

С тех пор о Shamoon ничего не было слышно – казалось кибер-негодяи ушли в глубокое подполье. Новая инкарнация зловреда Shamoon 2.0 появилась только в конце 2016г. и всё там же – на Ближнем Востоке. Угрозу отловили, проанализировали, настроили защиту, начали изучать «останки и кости» вокруг и… немного прифигели. На поверхность всплыл принципиально новый «вайпер» — StoneDrill.

StoneDrill основан на своём оригинальном коде, отличном от Shamoon, и использует более продвинутые методы сокрытия в заражённой системе. Что самое неприятное в этой истории – StoneDrill целит за границы региона. На данный момент наши сенсоры нашли две жертвы, одна из которых находится в Европе. Это очень тревожный звонок, который свидетельствует о выходе серьёзного игрока кибервоенной сцены на глобальный уровень. К этому звонку необходимо прислушаться правительственным и коммерческим организациям во всём мире – мы видим, что ближневосточные «вайперы» расширяют свою географию.

Но вернёмся к киберпалеонтологии.

Дальше: неожиданная кульминация!…

Немецкий автопром — он как обычно. Он рулит впереди планеты всей. На днях сей автопром совсем рядом с «Москвой» :) представил первый устойчивый к кибератакам автомобиль!

Почему это очень важная новость?

Устройство современных автомобилей достаточно простое: все элементы управления (руль, педали, кнопки и рычаги разные, даже ручной тормоз) являются лишь «симуляторами», они напрямую не подсоединены к колёсам, тормозным дискам и впрыску горючего в цилиндры двигателя. Вместо этого их положение фиксируется датчиками, переводится в цифру, передаётся по дата-шине в бортовой компьютер, который всё это дело обсчитывает и по той же шине раздаёт команды «авто-периферии»: движку, колёсам, фарам и поворотникам, дворникам и прочим запчастям. Вот так устроен современный автомобиль.

Что это означает с точки зрения кибер-безопасности? Да ничего хорошего! (по приведённой ссылке очень показательная история, не поленитесь, клик туда прямо сейчас — вдруг спасёт вас в будущем?)

Современные автомобили, увы, уязвимы. Они не защищены от кибератак (как и всякие прочие «умные» цифровые гаджеты семейства IoT). Нет, конечно же, там внутри автомобильных «мозгов» встроены многочисленные защиты от взлома. Но против профессионального, изощрённого, целенаправленного хака они, к большому сожалению, бессильны.

Что может произойти, если в автомобиль пролезло злоумышленное кибер-жало неведомого паразита? Да всё что угодно — см. абзац выше про «дата-шину» и «периферию». Надеюсь, объяснять не надо?

«Какой ужас!» — воскликнет впечатлительный читатель, а тем паче читательница. «А то!» — хором ответит IT-секюрити-индустрия. И именно по этой причине появление на улицах городов кибер-неуязвимых автомобилей является, наверное, самым значительным шагом в современной транспортной кибербезопасности. С чем всех вас и поздравляю!

Вот он, красавец… или «она, красавица»? Неважно — это ура! В любом случае:

Дальше: ароматные слухи…

Мальчики и девочки! Сегодня слишком прекрасный день, чтобы три раза не сказать «ура!». Вот так: УРА, УРА, УРАААА!!!

А почему?

Потому что мы – следите за слогами! – прото-типи-рова-ли, прототипировали и наконец выпрототепировали (а теперь попробуйте повторить по-трезвому! :) Да, мы официально выпустили нашу безопасную операционную систему для сетевых устройств, автоматизированных систем управления и прочего Интернета Вещей! И, да, мы долго запрягали — позади 14 лет кропотливой работы (проект начался 11 ноября – отсюда и название такое – 11-11) и даже успели совершить практическое внедрение. Теперь же ОСь готова к потреблению доступна для внедрения всеми заинтересованными сторонами, в различных вариантах.

Не буду грузить вас техническими подробностями, тем более, что о них вот здесь исчерпывающе уже сказано. Лучше сосредоточусь на том, что осталось «за скобками», а именно – отвечу на самые распространённые вопросы и развею самые невероятные заблуждения вокруг этой операционной системы.

Дальше: неЛинукс по цене значительно ниже крыла от самолёта…

Примерно ровно год назад мы выпустили первую совершенно бесплатную версию «Антивируса-имени-меня», который содержит основные защитные функции, определённые открытым голосованием пользователей. Прошёл год — можно и нужно поговорить о результатах, поделиться любопытными наблюдениями и выводами, сообща найти ответы на возникшие вопросы, рассказать о планах.

Во-первых, можно смело утверждать, что бесплатным продуктом (скачать здесь) мы заметно увеличили рыночную долю и количество пользователей в России. Вот какая картина вырисовывается: в таблице ниже — данные по динамике самых популярных домашних продуктов (платным и бесплатным) за три года:

Источник: B2B International

Дальше: есть вопросы к пользователям…

Само собой разумеется, что мой e-mail весьма подвержен спаму. Долгие годы раздачи визиток направо и налево, «засвечивания» адреса в публикациях, на выступлениях, каталогах и пр. Ну и, конечно, его простота. Иногда мы такие «спалившиеся» адреса умышленно переделываем в ловушки для спама, а сотрудникам выдаём новые, похожие. Но, сами понимаете, это не мой случай – надо не только знать врага в лицо, но и лично следить о качестве нашей антиспам защиты. А ещё иногда бывает очень смешно :)

Как энтомолог бабочек, так и я складываю входящий спам в отдельную папку, смотрю на вердикты, выявляю тенденции, ложные срабатывания, а пропущенные образцы пересылаю в нашу антиспам лабораторию.

Что любопытно – после НГ просто прорвало! Спам мутными реками начал заливаться в мой ящик, причём, судя по структуре и уловкам, – всё это из одного источника. Почти все рассылки английские (было только два письма на японском) и, что самое главное, 100% этого спама было выловлено нашими решениями! Обратился к нашим спецам – и точно: зафиксировали всплеск рассылки специфического спама по методу snowshoe («снегоступ»). А ведь обычно всё наоборот — на НГ-праздники активность спамеров падает!

* данные за 1-10 января

А вот как интересно изменялась доля snowshoe-спама в самый активный день, 7 января, в почтовых ящиках нашего корпоративного домена:

Что это за снегоступ и как против него защищаться?

Дальше: гербалайф в коробочках…

Снова в эфире уже традиционная рубрика про хрупкость нашего всемирного цифрового дома. Интересных новостей про киберзловредство накопилось много! Да что там, поток таких новостей постепенно переходит из режима горного ручейка в масштаб полноценной Ниагары.

Как ветеран киберобороны скажу, что раньше катаклизмы планетарного масштаба обсуждались по полгода. А сейчас поток сообщений как лососи на нересте — толком и поговорить не о чем. «Слышал, хакнули Мегасуперкорпорацию, украли всё, и даже хомячка гендиректора самоуправляемый дрон унёс в неизвестном направлении?» — «Вчера ещё! А вот ты слышал…?»

Обычно в этой рубрике было в среднем по три новости зараз. Но приходится подстраиваться под обстоятельства, и сегодня будет горячая семёрка по-своему важных и интересных историй из мира цифровой опасности.

«Зарази братуху — получи скидку»

Киберпреступники давно ведут свою криминальную деятельность как бизнес. До нас доходили истории про «партнёрские конференции», когда одни преступные группы собирали другие, чтобы обсуждать сотрудничество и стратегию. Не чужды, в общем, негодяи учебников по менеджменту и маркетингу. А о чём надо думать, строя бизнес? О продуктах и услугах, разработке, организационной структуре, каналах — да много о чём!

Вот некие вымогатели почесали голову и предложили сделать своих жертв прямыми соучастниками в деле распространения малвары. Злобный сетевой маркетинг в худшем виде: зарази двух знакомых и получи ключ от своих файлов бесплатно.

Наступив в какую-нибудь гадость, ты получаешь предложение: плати или подгадь двум людям из списка контактов — пусть они платят (или дальше распространяют). И каждый будет потом чесать голову, то ли сам кликнул не на ту ссылку или забрёл в глубокие и заразные дебри без адекватной защиты, то ли какой-то друг сволочь виновата. Хорошо, что о реальных заражениях ничего неизвестно — это пока полуфабрикат, найденный исследователями в мутных тёмных глубинах даркнета.

Дальше: хэдхантинг по-хакерски…