Внешний аудит пройден! Спасибо Блумбергу!

Оппа!

Только я тут решил немного оттянуться от изнурительных поездок, только я всего один (один!) денёк полежал на ровном пляже под пальмой на мягком песочке Южно-Китайского Хайнана, только-только мой организм начал избавляться от тлетворного влияния американских сендвичей-гамбургеров и уже приготовился к переходу на самую лучшую, диетическую, полезную и немыслимо вкусную еду Китая (тем более южного, морепродуктного Китая), только я (наконец-то!) нашёл время зайти в спортзал и немного приподнять штангу и прочие механизмы (чтобы мышцы верхней части тела вспомнили, что их ещё не забыли, а не только пробежки по горам нижнюю часть организма напрягали)…

Китайский каникулы

Китайский каникулы

Вот так, вроде бы, начинается идиллия, как тут…

Bloomberg лжёт

Дальше: эмоции танцевали джанго-джанго…

Отчёт о проделанной работе, год 2014.

Мы все постоянно делаем разную полезную работу. А у любой работы должна быть высшая цель, а у высшей цели – критерий её достижения.

Мы спасаем мир от кибер-нечисти – хорошо или плохо? Абсолютно высшей цели и относительно других спасальщиков.

Для оценки успешности этой амбициозной задачи мы используем различные метрики. Одна из главных – независимая экспертная оценка качества наших продуктов и технологий. Чем лучше показатели, тем наши технологии лучше давят цифровую заразу и, объективно, лучше спасают мир :)

И кто это может сделать? Разумеется, независимые тестовые лаборатории! Но вот вопрос – как это всё обобщить? Ведь в мире проводятся десятки, сотни тестов всеми кому не лень!

Как из этой каши выжать самое правильное — то, что отражает максимально правдоподобную картину способностей сотен антивирусных продуктов? И исключить возможность тестового говномаркетинга? И сделать эту метрику понятной широкому кругу пользователей для осознанного и аргументированного выбора защиты?

Счастье есть, его не может не есть быть! Несколько лет назад мы вывели для себя следующую формулу оценки – «TOP3-рейтинг».

Как она работает?

Во-первых, нужно учитывать все известные тестовые площадки, проводившие исследование анти-зловредной защиты за отчётный период. Во-вторых, нужно учесть весь спектр тестов выбранных площадок и всех участвовавших вендоров. В-третьих, нужно брать в расчёт а) количество тестов, в которых вендор принял участие; б) % абсолютных побед и в) % призовых мест (TOP3).

Вот так — просто, прозрачно и по каждому пункту нечистоплотного тестового маркетинга (а такое, увы, частенько бывает). Конечно, можно навернуть ещё 25 тысяч параметров для добавления 0,025% объективности, но это будет технологический нарциссизм и гик-занудство – и тут мы точно потеряем рядового читателя… да и не очень рядового тоже. Самое важное – мы берём конкретный период, всю совокупность тестов конкретных площадок и всех участников. Ничего не упускаем и никого не щадим (включая себя).

Интересно? Дык! Давайте теперь натянем эту методологию на реальную энтропию мира по состоянию за 2014-й год!

Технические подробности и disclaimers, кому интересно: 

  • Учтёнными в 2014 году оказались исследования от восьми тестовых лабораторий. Они имеют многолетний стаж, технологическую базу (сам проверял), внушительное покрытие как вендоров, так и различных защитных технологий) и являются членами AMTSO). Вот они: AV-Comparatives, AV-Test, Anti-malware, Dennis Technology Labs, MRG EFFITAS, NSS Labs, PC Security Labs и Virus Bulletin
  • Учитываются только вендоры, участвовавшие в 35% тестов и более, иначе можно получить «победителей» выигравших один единственный за всю свою «историю болезни» тест (а это гарантированный говно-маркетинг).
  • Подробное объяснение методологии в этом видео и в этом документе.
  • Если кто-то считает методики подсчёта результатов некорректными – добро пожаловать в комменты.
  • Если кто-то в комментах будет возбухать «а, сам себя не похвалишь – никто не похвалит», отвечаю: предложите и обоснуйте свою методику.

Итак, анализируем результаты тестов за 2014 год и – бьют барабаны, замирает и перестаёт дышать и моргать восхищённая публика… – и получаем вот такую картинку мира:

TOP3 рейтинг антивирусных продуктов: кто лучше всего выступает в тестах?

Дальше: пища для ума…

Уроки географии.

Каждый день мы выпускаем до 2 тысяч апдейтов (обновлений) для наших продуктов.

Каждую неделю наши пользователи со всего мира скачивают их более миллиарда раз.

Каждый месяц мы раздаём около 4 петабайт обновлений.

В том числе благодаря апдейтам мы защищаем вас от новых троянов, сетевых атак и прочего мирового зловредства, которое в последние годы плодится уже не по дням и даже не по часам, а по минутам и секундам – ежегодно мы анализируем более ста миллионов экземпляров вредоносного кода.

Для обычного пользователя «обновление» — автоматический и незаметный процесс. А на самом деле там длиннющая «кроличья нора», которая связывает продукты с гигантской распределённой IT-системой нашего собственного изготовления, с целой кучей оригинальных идей и ноу-хау.

Интересно? Дальше будет ещё интереснее :)

Kaspersky Internet Security 2015

Интересный пост @e_kaspersky_ru про обновления антивирусных базTweet

Дальше: крольчья нора технологий…

Макость.2014 — эволюция яблочных паразитов.

Есть ли вирусы на Маке?

Да! Есть! Но что-то подозрительно давно ничего интересного на эту тему я здесь не рассказывал.

Прошло 2,5 года с момента глобальной эпидемии червя Flashback, заразившего 700 тыс. Маков по всему миру. Мы тогда немного пошумели по этому поводу для «поднятия тонуса» среди маководов – и потом тишина…

Для человека со стороны может показаться, что с тех пор на этом фронте было полнейшее затишье и ни один вредонос не потревожил спокойствие водной глади в яблочной бухте. Но это не совсем так.

Apple vs вирусы

Да, если сравнивать уровень зловредства на разных платформах, то в «лидерах», как обычно, — самая распространённая платформа Microsoft Windows. Со значительным отрывом за ней следует Android. За прошедшие пару-тройку лет компьютерные негодяи всерьёз взялись за зелёного робота и потрошат Android-устройства с экспоненциально нарастающей активностью. В мире Айфонов и Айпадов пока практически абсолютный ноль, за исключением редких шпионских атак, умудряющихся заражать сверхбезопасные гаджеты разными экзотическими способами. В среде Маков тоже пока тишь да благодать… но уже не столь безмятежная. И про это будет рассказ.

Краткое содержание:

  • количество новых мак-зловредов за год исчисляется уже сотнями;
  • за 8 месяцев 2014г. обнаружено 25 семейств мак-зловредов;
  • вероятность подхватить мак-неприятность составляет приблизительно 3%.
Есть ли вирусы на Маках? В 2013 было обнаружено ~1700 вредоносных файлов для Mac OS XTweet

Дальше: Надкусим глубже?…

Новинки нашего автосалона.

У нас есть традиция: каждый год в конце лета мы выпускаем новую версию домашних продуктов. Ага, на дворе осень! Значит самое время на пальцах, доходчиво, от первого лица :) рассказать о самых вкусных фичах 2015й версии, точнее – о последних пакостях кибер-негодяев, которые мы успешно накрыли.

Ну, поехали!

Kaspersky Internet Security 2015 - главное окно

Что нового в Kaspersky Internet Security 2015? Информация из 1 рук @e_kaspersky_ruTweet

Дальше: Всевидящее Око Саурона…

Ай-да-новости 25.07.2014

Крепче за баранку держись, шофер (с)

Новости о новых взломах, таргетированных атаках и эпидемиях как-то уже публике приелись. Что не приелось? Увы, много чего ещё можно хакнуть и потихоньку хакают. На прошлой неделе пришла депеша из Китая, где на очередном хакерском «фестивале» поломали Теслу (машину :). А чем хороша Тесла? Ну, экологичность, внешний вид, прочие обычные автомобильные ТТХ — это да. А что ещё? Ага! Электронная начинка и обилие возможностей удалённого управления со всяких умных девайсов! Увы, любая функциональность (особенно разработанная без привлечения спецов по IT-безопасности) тащит за собой новые угрозы. И вот, одну такую угрозу нашли ребята из одной китайской компании.

Теслу хакнули?

Суть хака в следующем: злоумышленник может управлять тормозами, сигналом и освещением автомобиля, в том числе находящимся в движении. Вот вам и Watch_Dogs! Правда, никаких деталей как это сделать опубликовано не было. В полном соответствии с принципом «responsible disclosure», сии детали были направлены прямиком в Теслу для изучения и исправления. Ну, что ж, посмотрим-поглядим, вообще «был ли мальчик». Уж сколько раз оказывалось, что взлом или невозможен или возможен при каких-нибудь нечеловеческих условиях. Впрочем, я не удивлюсь, если дыра будет реальной. Мы тут недавно провели любопытное исследование умной начинки BMW: возможностей для хака там предостаточно.

Дальше: проклятие рода Баскервилей…

Что такое хорошо и что такое плохо?

Несколько дней назад Микрософт заявил о масштабном наезде на сервис динамических DNS No-IP, в результате которого было прикрыто 22 домена. По словам ребят из Редмонда было за что – там хостилась всякая неприятная малварь, да и вообще No-IP оказался рассадником киберкриминала и эпицентром таргетированных атак, при этом от сотрудничества категорически отказывался.

Как в любой похожей заварушке стороны обменялись противоречивыми заявлениями формата «дурак сам дурак».

В частности, No-IP заявил, что они белые-пушистые, всегда были рады сотрудничеству в гашении источников кибератак, а сейчас их клиенты, задетые этим наездом страдают и вообще это неправомерный наезд на легальный бизнес, поскольку малвару можно найти где угодно и приостанавливать из-за этого сервис через суд – никак не кошерно.

Как бы то ни было, результат налицо — отвалилось более 4млн сайтов (1,8млн клиентов), как вредоносных, так и чистых. Микрософт пытается отсеять зерна от плевел и вернуть чистым сайтам работоспособность, однако многие пользователи до сих пор жалуются на перебои.

Разбираться кто больше виноват – дело бесперспективное и неблагодарное. Оставлю журналистские расследования журналистам. Вместо этого даю пищу для ума, сухие и веские цифры и факты, чтобы каждый мог сам для себя сделать вывод о правомерности и этичности действий Микрософт.

1)      Отключение 22 доменов No-IP затронуло операции около 25% таргетированных атак, которые мы отслеживаем. Это тысячи шпионских и криминальных операций за последние 3 года. Примерно четверть из них имели хотя бы один управляющий центр (C&C) у этого хостера. Например, такие хакерские группы как Syrian Electronic Army и Gaza Team используют только No-IP, у группы Turla в этом сервисе было 90% хостов.

2)      Мы подтверждаем, что среди всех крупных провайдеров динамических DNS No-IP был наиболее закрытым для сотрудничества. Они игнорировали наши обращения по поводу синкхола ботнетов.

3)      Наш анализ актуальной малвари показывает, что No-IP чаще всего используется кибер-негодяями для центров управления ботнетами. Поиск через агрегатор Virustotal красноречиво подтверждает этот факт – у 4,5млн (sic!) уникальных самплов вредоносов ноги растут именно оттуда.

4)      Но напоследок вот такая табличка из нашей облачной системы KSN о детектах кибератак с десяти крупнейших сервисов динамических DNS.

Название сервиса % вредоносных хостов

Количество срабатываний

антивируса (за неделю)

000webhost.com 89,47% 18163
changeip.com 39,47% 89742
dnsdynamic.org 37,04% 756
sitelutions.com 36,84% 199
no-ip.com 27,50% 29382
dtdns.com 17,65% 14
dyn.com 11,51% 2321
smartdots.com 0,00% 0
oray.com 0,00% 0
dnserver.com 0,00% 0

Вроде «ужос-ужос», но вот вам информация для сравнения:

(i) % вредоносных хостов по зоне .COM составляет 0,03%, а в зоне .RU 0,39%, в No-IP этот показатель составляет 27,5%;

(ii) за неделю вредоносные домены в No-IP нагенерили около 30 тыс. срабатываний, в то время как у одного самого вредоносного домена в зоне .COM этот показатель составил 429тыс (почти в 14 раз больше). А вот домен под номером 10 в зоне .RU нагенерил 146 тыс. срабатываний, т.е. примерно столько же, сколько вся десятка провайдеров динамических DNS вместе взятая.

Итого.

С одной стороны, блокировка популярного сервиса, которым пользуются тысячи (миллионы) обычных людей — сиё есть неправильно. С другой стороны, закрытие рассадника малвары есть дело правильное и богоугодное.

Но тут «адвокатом дьявола» начинает выступать математика, которая свидетельствует:  в количественном отношении, закрытие всех доменов No-IP не более эффективно для противодействия распространению малвары, чем закрытие одного-единственного топового вредоносного домена в одной из популярных зон – .COM, .NET или даже .RU. Проще говоря, даже если прикрыть вообще всех провайдеров динамических DNS, то Интернет от этого сильно чище не станет.

Вот такая вот неоднозначная история, и у меня нет чёткого понимания хорошо это или плохо. «Кроха сын к отцу пришел, и спросила кроха…».

Но «прицепом» вылезает попутная мысль вот о чём.

Как только количество контрафакта/криминала превышает какой-то порог, то «силовики» закрывают сервисы, несмотря на «интернет-свободу» и свободу предпринимательства. Это правило жизни, человеческого социума. Если «воняет», то рано или поздно «чистят».

Список заблокированных сервисов достаточно длинный: Napster, KaZaA, eMule, Pirate’s Bay и т.п. Сейчас No-IP.

Кто следующий?

// Неужели Биткоин? Начало положено.

Ай-да-новости 20.06.2014

Говорит и показывает…

Сводки с фондовых рынков. Для начала немного ликбеза, если кому-то он нужен.

Давным-давно профессия биржевого брокера была не только почётной, но и чрезвычайно тяжелой. Труженики биржевых фронтов, не зная сна и отдыха, от рассвета до заката, в невыносимых условиях финансовых цифр, в поте лица покупали и продавали Очень Ценные Бумаги, пытаясь узреть будущее и попасть в правильные моменты пиков и днов биржевых котировок, зарабатывая себе бессонницы и инфаркты. А иногда и просто выпрыгивая из окон, чтобы разом избавиться от всех несчастий, выпавших на их долю.

Всё это давно в прошлом. На смену ручному неблагодарному труду пришла автоматика. Теперь думать и потеть не надо – бОльшую часть работы выполняют роботы — специальные программы, которые автоматически определяют наиболее оптимальные моменты «купи-продай». Т.е. профессия биржевого брокера свелась к тренировке ботов. Причём важно не только правильно принять решение, но и важна скорость реакции на фондовые скачки. А скорость зависит от качества Интернет-коннекта к электронной бирже. Т.е. чем ближе к бирже находится робот, тем выше у него шанс быть первым с заявкой. И наоборот – роботы на периферии всегда будут аутсайдерами, если не используют алгоритмы, более «продвинутые» чем у конкурентов.

А вот тут-то и возникает возможность «подкрутки», которой воспользовались неизвестные злоумышленники. Путём несложного хака конкурирующих систем они внедрили в них небольшую задержку.

bae

Дальше: шоколад против капусты…

Червяк длиною в 10 лет.

Всё началось вот с этих вот гаджетов (тогда их называли «девайсы»). Тогда они были пределом мечтаний каждого уважаемого хипстера :) И именно на них мы в чисто научных целых спасения мира анализировали первого мобильного зловреда. Он был обнаружен 15 июня 2004 г. в 19:17 по московскому времени, т.е. ровно 10 лез назад от момента публикации этого самого поста.

На этих мобилках разбирался первый мобильный вирус

Это был Cabir, червяк для Symbian, расползавшийся по другим мобилкам через Bluetooth и даже успевший через год после появления, в августе 2005, вызвать локальную эпидемию на чемпионате мира по лёгкой атлетике в Финляндии :) Думаю, не стоит сейчас углубляться и рассказывать как далеко скакнула мобильная вирусология с тех пор. Лучше послушаем из «первых рук» широко известного анонимного вирусного эксперта А.Г. захватывающую историю как мы его задетектили, почему у нас в офисе появилась экранированная комната, кто стоял за Cabir’ом и вообще почему этого червя так назвали.

Дальше: загадочный файл, не предвещавший ничего хорошего…

Ай-да-новости 30.05.2014

Как было обещано, продолжаю традицию еженедельных ой-ай-новостей.

Сегодня — о безопасности критической инфраструктуры. Вернее – о проблемах и опасностях, её подстерегающих. Атаки на промышленные системы, ядерные объекты и прочие АСУ ТП.

На самом деле это не совсем новости прошедшей недели – к счастью, не так уж часто по этой теме что-то всплывает на поверхность. Как мне думается, в основном их скрывают (что немудрено) или просто «не в курсе» (бабахнет в будущем по сигналу красной кнопки). Так что ниже, скорее, подборка любопытных фактов, чтобы показать нынешнюю ситуацию и тренды и приготовиться адекватно воспринимать последствия угроз.

А удивляться в критической инфраструктуре есть чему.

Главное кредо инженеров по АСУ – «работает — не трогай!». Дырка в контроллере, через которую хакер может получить управление системой? Подключение к Интернету? Отсутствие проверки стойкости паролей? Да, пофиг — система-то работает! А если поставить патч или там какие другие манипуляции произвести, то система может и перестать работать, и вот тогда будет мучительно больно. Да, критическая инфраструктура частенько всё ещё мыслит категориями релюшек.

В сентябре прошлого года мы сделали специальный honeypot, который «торчал» в Интернет и прикидывался промышленной системой. Так вот- за месяц его успешно поломали 422 раза, при этом злодеи 7 раз добрались прямо до PLC-контроллера, а 1 раз даже удаленно перепрограммировали его.

Ну, то есть вы понимаете, да? Непатченная АСУ с подключением к Сети – это практически 100% гарантия её взлома в первый же день. А уж что потом негодяи будут делать с объектом – ойййй…Сценарий для Голливуда Мосфильма. Да и объекты бывают разные, например, вот такие:

Ядрёна малвара

Атомный реактор Мондзю, ЯпонияИсточник

Незабываемо встретили Новый год в Японии. Один из компьютеров центра управления атомным реактором «Мондзю» оказался заражён неким зловредом, проникшим туда в процессе обновления бесплатного софта.

Дальше: мы ходим по краю, но выхода не может не быть…