Ну, пора возвращаться с алтайских вершин на землю — как раз самое время поговорить о IT-безопасности.

Недавняя статья в New York Times о буме технологий искусственного псевдоинтеллекта в Кремниевой долине заставляют серьёзно задуматься о будущем секюрити-индустрии. Будущем как завтрашнем, так и послезавтрашнем.

К чему приведёт маниакальное увлечение тем, что пока существует только в фантазии футурологов? Сколько ещё миллиардов инвесторы вложат в проекты, которые в лучшем случае «изобретают» то, что изобретено дюжину лет назад, а в худшем — на поверку оказываются надувными маркетинговыми куклами? Какие реальные перспективы развития умных машинных секюрити-технологий и какая роль уготована в этом новом мире человеку эксперту?

То, что сейчас переживает область искусственного интеллекта весьма напоминает стремительно растущий мыльный пузырь, и новости о его росте заставляют слишком многих задумываться о том, что будет, когда он, наконец, лопнет..

Разумеется, без смелых шагов и рискованных инвестиций фантастическое будущее никогда не станет реальностью. Проблема, однако, в том, что на волне всеобщего энтузиазма начали процветать стартап-пустышки (в некоторых случаях стартап-воришки), которые привлекают миллиарды инвестиций для нагнетания эйфории вокруг давно известных технологий машинного обучения. Технологии снабжаются неоновой вывеской «artificial intelligence» со стробоскопами и оборачиваются в гламурные маркетинговые кампании, нацеленные на вечные уязвимости человеческой психологии, а именно – веру в чудо и теорию зáговора жадных ретроградов-разработчиков «традиционных» технологий. Не избежала этого, увы, и область ИТ-секюрити.

Дальше: неоновые куклы и реальный бизнес…

Привет, друзья, снова в эфире рубрика «Кошмарный сон сисадмина становится явью». Обычно у нас в ней звучит композиция в стиле «всё плохо и становится хуже». Там что-то взломали, здесь что-то обрушили. Видеокамеры устроили ДДоС, например, бетономешалкам. Повсюду черви, троянцы, вирусы, их всё больше, и они всё наглее и скрытнее. Так выглядит мир глазами специалиста по IT-безопасности.

Но на этот раз, удивительное дело, почти все новости хорошие. И в нашей параноидальной отрасли такое случается! И, что приятно, появляются хорошие новости не без нашей помощи.

Ударным трудом по вымогателям и шифрователям!

В понедельник мы запустили новый проект для помощи жертвам шифрователей-вымогателей. Называется он ‘No More Ransom’ и содержит новый бесплатный расшифровщик для вымогателя Shade. Кроме этого там лежат расшифровщики для некоторых других негодяйских программ включая CoinVault и TeslaCrypt. Проект этот совместный с голландской полицией, Европолом, а также с уважаемыми конкурентами из Интел Секьюрити, также известными человечеству как Макафи.

Что тут сказать? Эпидемия шифровальщиков захлестнула человечество. Больницы, коммунальные предприятия, полицейские участки, многие тысячи и тысячи бизнесов и без счёта обычных граждан пострадали от этой подлой дряни. Легко рекомендовать не платить вымогателям, но что делать, если вдруг бизнес без своих данных как будто на полном ходу въехал в стену? Если вы обычный пользователь и вдруг потеряли все семейные фотографии? Многие, к сожалению, вынуждены платить. Наша цель – чтобы этого делать не надо было в принципе. И в этот проект будут добавляться всё новые дешифраторы.

Дальше: кибер-олимпиада и вредные кибер-советы…

Как всегда в данной рубрике, у меня для вас несколько новостей. Как обычно, в основном они, конечно, плохие. Но поводы для оптимизма тоже есть, правда, немного.

Итак, история первая, о наступившем будущем.

Иногда будущее оказывается мрачным. Кадр из кинофильма Blade Runner

Многие авторы любят пофантазировать о том, как оно будет в будущем. Иногда произведения писателей-фантастов – это глубокие философские размышления о человеке и его месте во вселенной, как у братьев Стругацких. Часто это размышления невеселые.

Но иногда – это творчество в гораздо более легком жанре. Ваш покорный слуга иногда в 2000-е годы любил в своих презентациях пошутить и попугать слушателей рассказами о будущем, в котором кофеварка дидосит холодильник, а микроволновка сканирует заводские пароли у комбайна с соковыжималкой. Например, чтобы показывать на них рекламу для пылесоса с мультиваркой.

И вот, к сожалению, что-то в таком духе на глазах начинает сбываться. Маленький оффлайновый ювелирный магазин пожаловался на DDoS своего сайта. Выяснилось, что виноват ботнет, состоящий из 25 тысяч камер видеонаблюдения. И это не первый случай! Уже был еще один ботнет поменьше на камерах и холодильник-спаммер.

Дальше: дальше — больше…

Искусственный интеллект… Как много в этом звуке слилось для сердца программиста, любителя научной фантастики и просто интересующегося судьбами мира!

Благодаря лучшему другу человека роботу R2-D2 и зловещему Скайнету, Космической одиссее-2001 и андроидах, мечтающих об электроовцах, в мире очень много искусственного интеллекта. Его можно встретить в книжках, на киноэкранах, в комиксах и … в рекламных материалах недавно появившихся, но амбициозных секюрити-компаний. Единственное, где его (возможно, пока) нет даже близко – в нашей банальной повседневной реальности и реальной повседневности.

«Автоматизация – друг, а не враг». Что за история у картинки? Взял здесь

Со времен Алана Тьюринга и Норберта Винера вычислительные машины прошли огромный путь. Они научились (точнее их научили) играть в шахматы и го лучше людей. Они управляют самолётами и автомобилями, пишут газетные заметки, ловят вирусы, и делают массу других полезных и иногда не очень вещей. Они даже (вроде бы) прошли тест Тьюринга на способность мыслить. Однако чат-бот, изображающий 13-летнего подростка, и больше ничего не умеющий – это просто алгоритм и набор библиотек. Это не искусственный интеллект. Кто сомневается – см. определение «ИИ», потом см. определение «Алгоритма», а потом см. отличия.

Сейчас в мире очередная волна интереса к ИИ-теме, уж не знаю какая по счету.

Дальше: дилеры фуфла…

Продолжаем проводить параллели между развитием секюрити индустрии и эволюционной теорией. Сегодня подробнее про паразитов, но не тех, с которыми мы боремся, а тех, кто делает вид, что борется.

Современная индустрия IT-безопасности развивается стремительно, аж дух захватывает. Ещё совсем недавно, лет 10-15 назад, основной темой были «настольные антивирусы», файрволлы и бэкапы – сейчас же не протолкнуться от самых разных решений, направлений и идей. Иногда нам удаётся быть «впереди планеты всей», иногда приходится догонять, а иногда… от удивления случается ступор. Причём не от новых технологий, инноваций, свежих идей, а от наглости и беспринципности некоторых «коллег по цеху».

Но сначала надо немного пояснить технику развития событий.

Есть такой очень ценный и полезный ресурс – мультисканер VirusTotal. Там крутятся около 60 антивирусных движков, которые «натравливают» на входящие файлы и URLы и показывают результат. Например, кто-то нашёл на диске/флешке/Интернете подозрительное приложение или офисный документ. Свой «боевой» антивирус никак на этот файл не реагирует, но паранойя не дремлет… и хочется узнать, а вдруг файл таки заражён? Что делать? Для этого и есть этот самый бесплатный VirusTotal. Туда можно закинуть подозрительное и посмотреть какие антивирусы как на это реагируют. Вот так, например:

Сразу проясню ситуацию: ни люди работающие в VirusTotal, ни владеющий им Google к паразитам отношения не имеют. Проект ведёт очень профессиональная команда, которая очень давно и очень хорошо выполняет свою задачу. Обладатели награды MVP на Security Analyst Summit (SAS) просто не могут быть иными. Сегодня VirusTotal — один из важнейших источников новых образцов малвары и вредоносных URL, а также офигенный археологический инструмент.

Recognizing VirusTotal for enduring contribution to security research #SaveTheWorldMVP #TheSAS2015 pic.twitter.com/lZTjN30Xwg

— J. A. Guerrero-Saade (@juanandres_gs) February 16, 2015

Проблема в некоторых нечистоплотных пользователях мультисканера, которых, увы, становится всё больше и ведут они себя всё наглее.

Дальше: попахивает тухлятиной, но легально…

С вами снова передача «В мире животных» :) Мы продолжаем рассказ о теории эволюции и развитии защиты от кибер-угроз.

Пока точно неизвестно, что вызывает мутации живых организмов. Некоторые неодарвинисты полагают, что это работа вирусов, которые целенаправленно комбинируют гены (ага, вот кто управляет миром!). Как бы то ни было, в IT-безопасности происходят схожие процессы, иногда действительно с помощью вирусов.

В лучших традициях принципа борьбы за существование секюрити-технологии эволюционируют, появляются новые категории продуктов, некоторые из них оказываются тупиковыми ветками развития и вымирают, некоторые превращаются в фичи комплексных решений (например, ревизоры изменений – куски их ДНК используются в endpoint-решениях). Бывает вырастают новые рыночные сегменты, ниши (например, Anti-APT), удачно дополняющие арсенал защитных технологий. В общем, позитивный симбиоз на благо нормализации средней температуры по больнице. А бывает погреться на солнышке выползают паразиты. Се ля ви, и ничего тут не поделаешь.

В борьбе за рынок IT-безопасности регулярно появляются пророки, предрекающие скоропостижную кончину «традиционных» технологий и счастливое изобретение фуфло-продукта революционной панацеи (значительные скидки первым пяти заказчикам). И это тоже нормальный эволюционный процесс.

Дальше: Давид и Геббельс против Голиафа…

«Выживает не самый сильный, а самый восприимчивый к переменам».
Ч. Дарвин

Что-то давно мы не беседовали о будущем IT-безопасности (голосом Н.Н.Дроздова, ведущего программы «В мире животных» :) Поэтому приготовьтесь к «много букв» о технологиях, бизнесе и тенденциях под гарниром из фактов и размышлений. Запаситесь вниманием и попкорном.

Речь пойдёт об идеальной IT-безопасности, каким путём секюрити-индустрия эволюционирует в этом направлении, что происходит по дороге и как это можно объяснить согласно теории эволюции. Где и как происходит естественный отбор, какие виды становятся доминирующими, а какие материалом для палеонтологов, что такое симбиоз и паразиты?

Начну с определения.

Идеальное в несовершенном мире.

Строго говоря, «идеальной» IT-безопасности не бывает. Можно к ней бесконечно стремиться, создавая максимально защищённую систему, но каждое приближение к 100% будет стоить всё больших и больших, экспоненциально растущих расходов, которые рано или поздно превысят стоимость потенциального ущерба от самого жёсткого сценария успешной атаки. Не говоря уже о том, что 100% защитой обладает только сферический конь в вакууме, полностью оторванный от реалий практического использования.

Посему логично дать следующее определение «идеальной безопасности»: взлом системы должен стоить дороже потенциального ущерба (плюс, естественно, стоимость самой защиты). Или, если посмотреть с другой стороны баррикады, стоимость атаки должна быть выше получаемой выгоды.

Разумеется, будут случаи, когда атакующий пойдёт на любые расходы для достижения результата (например, кибер-военщина), но это не причина накрыться простынёй и ползти на кладбище.

А как именно строить максимально защищённую систему безопасности?

Начало координат.

Один из ключевых принципов дарвинизма – изменчивость. Из-за рекомбинации генов, мутаций и других неведомых причин живые организмы приобретают новые признаки. А дальше – кому с признаками повезло, те заполняют среду обитания и вытесняют других, менее везучих особей. Потому-то мишки в Арктике белые, а на Камчатке бурые.

Похожее происходит в IT-безопасности: кибер-негодяи постоянно находят новые уязвимости в системах, изобретают новые методы атак и совершенствуют «четыреста сравнительно честных способов отъёма денег у населения» ©. Кто преуспел – тот подминает под себя андеграунд и захватывает денежные потоки. Только в отличие от биологической эволюции скорость изменений здесь зашкаливает: за год может смениться несколько поколений угроз.

Создание успешной секюрити-системы требует ориентации на самый адский из самых адских сценариев. Вероятность его реализации мала, но построение защиты на таком допущении позволяет избавиться от опасного оптимизма, розовых очков и «авосей». Размышления из этой отправной точки помогают не просто признать проблему, но понять её масштаб и разработать оптимальную стратегию решения. Вы знаете свою уязвимость, вы больше не жертва, вы – охотник.

Но что конкретно делать дальше? Как быть на шаг впереди этих упырей, предугадывать их следующий шаг?

Modern defenders vs traditional: think about adversaries not incidents, by @johnlatwc #TheSAS2016 pic.twitter.com/gss5MITuO1

— Eugene Kaspersky (@e_kaspersky) February 8, 2016

Дальше: адаптируйся или умри…

Иногда от текущего новостного фона рука тянется проверить фон радиационный. Тревожные какие-то сообщения попадаются последнее время. Или это я эмоционально реагирую? Вот, например:

История первая, ядрёная.

Баварская, а точнее швабская АЭС, фото с просторов Википедии

Немецкая Гундреммингенская АЭС в солнечной Баварии, а точнее даже в Швабии, аккурат в 30-ю годовщину аварии в Чернобыле докладывает, что одна из её внутренних IT-систем, обслуживающих реактор Б, была заражена гадкими зловредами. Также сообщают, что волноваться не стоит, опасности никакой, все нормально, спите спокойно, дорогие граждане, всё под контролем, уровень опасности самый низкий, практически отрицательный.

Ну, хорошо, думаешь, и читаешь дальше.

По мере чтения новостей, однако, в сообщениях об этом инциденте появляются некоторые дополнительные подробности. Вроде бы всё хорошо, и фон радиационный не изменился. Но как-то неуютно. Поточил добрый дедушка бритву и убрал в коробочку. А мог бы и полоснуть.

Например, заражение произошло в изолированной от интернета системе, которая управляет движением топливных (ядерных) стержней. Тут останавливаешься, трёшь глаза, перечитываешь…

Дальше: ЕМНИХВОХЧЛЫЫВЛО!!!!!!!??…

Весной прошлого года мы обнаружили Duqu2 – очень профессиональную и дорогостоящую кибершпионскую операцию с господдержкой какой-то дружественной страны. И вычислили мы её тогда при тестировании бета-версии Kaspersky Anti Targeted Attack Platform – специального решения против подобных целевых атак.

И вот, ура! — продукт официально зарелизен и готов к употреблению!

Но вначале немного лирики о том, как мы дошли до жизни такой и почему потребовалась такая специфическая защита.

Дальше: Раньше не только солнце было ярче и небо синéе…

Каждый год в феврале несколько сот человек со всего мира едут в тёплые морские края. Они едут туда не ради овощного пляжного отдыха (как могло подуматься), но токмо ради борьбы с кибер-негодяями. На вопрос знакомых и родных о цели поездки в райские края они виновато отводят взгляд и скромно отвечают «работать».

В этом году невиносимые условия работы на Security Analyst Summit (SAS) предоставили Канарские острова. SAS – это наша ежегодная конференция для экспертов по IT-секюрити. Сюда приезжают люди из разных компаний и с разными специализациями, чтобы вместе, формально и неформально, в кондиционированном подвале и на пляжном лежаке – как угодно, но понять куда и как развиваются IT-угрозы, обменяться опытом, наладить общение и доступно, популярно рассказать всему свету о проблеме.

Дальше: душевно, расслабленно, по делу…