Cjdthityyj ctrhtnyj/

Как вы догадались из заголовка — сейчас речь пойдёт о криптографии.

Точнее — об очень полезных фичах нашего нового корпоративного продукта – полнодисковом и пофайловом шифровании. Предупреждаю сразу – здесь будет много специфической технологической информации, пусть и причёсано-разжёванной, но оттого не менее мозговыносящей. В общем, кому интересно по работе или ради расширения кругозора – читаем дальше. Если нет, то, например, познакомьтесь  с Новой Зеландией или Гавайями :)

Итак, шифрование.

Kaspersky Endpoint Security Cryptography

Дальше: зачем мы полезли на эту поляну?..

Дирижёр всея сети.

или Сага о сисадминах

Кто он такой — системный администратор, он же сисадмин?

Все мы, компьютерные пользователи, делимся на три категории и по-разному отвечаем на этот вопрос. Для кого-то сисадмины – злые бородатые черти, компьютерные колдуны и шаманы. Вторая категория тоже божественно относится к сисадминам, но наоборот – преклоняется перед ними и обязательно дарит какую-нибудь нужную мелочь на каждый достойный праздник (особенно на «День Сисадмина«), есть что-то в этом от язычества… Ну и третья категория компьютерных пользователей ничего такого не считает, они просто знают, что сисадмины – это в первую очередь такие же обычные люди, просто им в жизни повезло. Третья категория – это и есть те самые сисадмины. О них и пойдёт речь.

В действительности, шаманская работа сисадмина бесконечно интересна: крутить-вертеть новые железки с проводами и без оных, тыкать мышой в новые софтины и жать на клавишы, управляя при этом механизмами, подчас расположенными за тысячи километров от. Но одновременно эта работа тяжела, чудовищно ответственна и, увы, зачастую неблагодарна.

Сотни, тысячи «юзеров», каждый из которых умнее другого; раза в два больше компьютеров и разнообразных девайсов, которые тоже требуют внимания и заботы; зоопарк всякого софта, провода и роутеры, проблемы с безопасностью – всё это под обильным соусом вечных бюджетных ограничений и недовольства начальства и пользователей. Поэтому обычно выживают только сисадмины с железной психикой и здоровым циничным отношением к жизни.

Пожалуй, самая большая головная боль сисадмина – как управлять всем этим богатством? Ведь не набегаешься, пытаясь успеть и «офис» там поставить, и почту здесь починить, и новый компьютер подключить и ещё тридцать три задачи выполнить. И ведь вечно его ни там, ни сям не дождёшься! В таких условиях лень сисадминская понятна и логична – да и не лень это вовсе. На самом деле – это оптимизация рабочего времени во избежание неразумного возмущения пространства. При этом у оптимизации есть невидимый для обывательского глаза технологический фундамент – systems management или инструменты автоматизации системного администрирования.

Действительно – ведь большинство рутинных операций по управлению сетью можно если не полностью автоматизировать, то уж точно выполнять удалённо, не прибегая к избыточным перемещениям по офису. Накатить на новый компьютер операционку? Поставить какое-то приложение? Проверить что за софт установлен на ноутбуке бухгалтера? Обновить антивирус и сканировать компьютер на уязвимости? Продлить лицензии? Всё это и очень многое другое можно сделать, не выходя из комнаты, удалённо, при помощи этого самого systems management. Представляете, какой рост производительности труда и снижение затрат? А уж насколько проще становится жизнь сисадмина!

В начале 2000х в наших продуктах появилась система управления безопасностью сети. Мааааленькая такая (но очень важная) часть systems management, включающая мониторинг защищённых рабочих станций, инсталляцию и обновление антивируса и т.п.

AVP Network Control Centre

Дальше: 10 лет спустя…

Мобильный мир и мирные мобилки.

Согласитесь, вполне себе нормальная сцена –

в лифте, кафе, метро, такси, за рулём в пробках, да вообще везде  — а ещё на вечеринках и в ресторанах, в любом состоянии покоя и даже на ходу – там да сям мы видим людей, сосредоточенно тыкающих по тачскрину своих смартфонов. Да и сами частенько тоже.

Народ чатится, смотрит новости, твитит, заказывает билеты – ведёт активную личную мобильную жизнь. Но уже давно не только личную! И об этом будет разговор.

Всё чаще приходится наблюдать, что при любом удобном случае люди лезут в почту и решают самые что ни на есть рабочие вопросы. Ага, на своём собственном смартфоне. В нерабочее время. В любой ситуации. Без принуждения – и даже с энтузиазмом! Более того, некоторые, проверив почту, вздыхают «эх, что-то полковнику никто не пишет…».

Прикольно. Вместо того, чтобы ровно «по звонку» забыть про всё, выбежать из офиса и погрузиться в свою частную жизнь – нет! Народ через свой маленький стеклянный девайсик продолжает «оставаться на работе», хотя бы частично. Это – парадокс современности. Эксплуатируемые хотят эксплуатироваться!

Некий источник не знаю какой сообщает, что в 2012г. 23% личных смартфонов (~150 млн штук!) использовались в рабочих целях. В 2014г. это число прогнозируют на уровне 350 млн.

Почему многие из нас с удовольствием используют свои личные мобильные устройства в рабочих целях – хороший вопрос. Наверное, причин там много. Но главное, мне кажется, то, что произошла «социально-сетевая-зация» подавляющей массы современного городского человека. И корпоративные информационные сети превратились в ещё одну соц-сеть – рабочую, — где мы находимся в постоянном контакте с нашими друзьями по работе, да и всеми остальными (иногда незнакомыми) сотрудниками. Социальная сеть «На работе» :)

Явление стало настолько массовым, что ему даже название придумали специальное: BYOD, «Bring your own device», оно же «возможность сотрудников использовать личные мобильные устройства для рабочих целей». По Форрестеру 53% людей уже используют своих мобильных «друзей» для выполнения должностных обязанностей.

Mobile Device Management

Дальше: обратная сторона BYOD…

«Лёд тронулся, господа присяжные заседатели!»

На проблему, о которой я регулярно пишу, звоню в колокола и говорю последние несколько лет, наконец-то, обратил внимание (и признал ее существование) Президент(!) США (!!!). Накануне President’s Day Барак Обама резко высказался против патентных троллей! Когда его попросили высказаться по текущей ситуации с охраной интеллектуальной собственности и злоупотреблениями патентами, он прямо заявил «есть компании, которые ничего не производят, а воруют чужие идеи и позже вымогают деньги, используя патент», «что является одной из основных проблем американской патентной системы». Затем он прокомментировал реформы, которые прошли в период его президентства, но особо отметил, что «наши усилия в патентной реформе ещё только на середине пути». Читать подробно здесь или смотреть это видео с 16й минуты:



Дальше: даёшь реформу патентной системы США!…

Каша из топора.

«Все животные равны, но некоторые равнее других», — так заключил кабан Наполеон в знаменитой Оруэлловской антиутопии. Гениальность этой фразы состоит в её универсальности – небольшая добавка выворачивает истину наизнанку. Увы, это встречается не только в фермерско- революционных сагах, но и в таких, казалось бы, очень отдалённых тематиках, как – не поверите! – антивирусные тесты. Точнее,  «грамотный» маркетинг этих самых тестов частенько вовсю использует эту же аргументацию.

Представим себе антивирусную компанию, не отличающуюся выдающимися технологическими достижениями и качеством защиты, но имеющую глобальные амбиции и внушительный сейлс-план. Что делать? Докручивать движки, базы данных, точить качество детекта и скорострельность? Ой, долго это, да и дорого… В принципе, до «середняка» дорасти не так уж и сложно. Но чем ближе к топ-позициям по уровню защиты, тем дороже обходится каждая сотая доля реального процента детекта и тем больше мозгов она требует. Гораздо дешевле, быстрее и эффективнее другой путь — не технологический, а маркетинговый. Недостаток технологического мастерства и качества антивирусного детекта нужно неким образом компенсировать хитрой стратегией.

Как именно?

А вот так. Что лучше всего свидетельствует о качестве защитных технологий антивирусного продукта? Правильно, независимое, объективное мнение со стороны. Аналитики, заказчики, партнёры… Но прежде всего — результаты сравнительных тестов. Однако тестеры – народ непростой, в технологиях неплохо, в общем-то, разбирающийся и провести их не так-то просто. И тут «на помощь» приходит тестовый маркетинг – хитрое манипулирование результатами тестов, а по сути дела – каша из топора, применение на практике восточной притчи про слона и слепцов. Только в данном случае «спепцы» умело и умышленно притворяются.

Слепые и слон

Дальше: 9 способов манипулирования результатами тестов…

Найти всё. Или Сено и Иголки.

У нас в компании есть сокровенный цитатник с набором официальных цифр и фактов для использования в публичных выступлениях. Ну, вроде, сколько у нас сотрудников, где офисы, оборот … Одна из центральных цифр – ежедневное количество новых вредоносов. И динамика этой цифры удивила даже меня: год назад было 70тыс., в мае – 125тыс., а сейчас уже … 200тыс! Да-да! Мы каждый день анализируем и разрабатываем защиту против двухсот тысяч вредоносных программ!

Как мы это делаем – ещё тот производственный роман, который потихоньку пишется здесь под тэгом technology. Резонный вопрос: не боимся ли мы, что наши посты читают кибер-мерзавцы? Нисколько — пусть они нас боятся, а пользователи лучше понимают как работает защита, а также мотивацию и уловки кибер-негодяев.

Сегодня будет ещё один, очень важный штрих к этой картине – технология Astraea. Это одна из самых значимых частей нашей облачной системы KSN (видеоподробности), которая  автоматически анализирует события на защищённых компьютерах и помогает выявлять неизвестные угрозы. На самом деле у Astraea много других «бонусов», без которых наши вирусные аналитики уже не представляют себе трудовые будни. Но обо всём по порядку.

Дальше: Astraea убивает трёх зайцев …

ЛК пишет свою операционную систему? Подтверждаем слухи и опровергаем домыслы!

Привет всем!

Сегодня поговорим о будущем. О мрачном будущем массированных кибератак на атомные электростанции, системы управления энергоснабжением и транспортом, финансовые и телекоммуникационные системы и в целом то, что мы называем критически важными объектами. Если проще – о сценарии, показанном в четвертом «Крепком Орешке», когда атака на объекты инфраструктуры повергает в хаос чуть ли не всю страну.

Увы, решить проблему уязвимости промышленных систем методами Джона Макклейна не получится. Но мы работаем и над технологиями, а конкретно – над защищенной операционной системой, предназначенной именно для критически важных информационных систем (Industrial Control Systems, ICS). Слухов об этом проекте в сети появилось достаточно и поэтому мы решили немного приоткрыть завесу тайны и рассказать, что же на самом деле происходит.

Но сначала – немного о том, как мы докатились до такой жизни, и зачем собственно нужна такая «ось»?

Дальше: беззащитность индустриальных систем …

Разрешить всё запретить.

Всего за какую-то дюжину лет компьютерный андерграунд стремительно прошёл путь от хулиганствующих элементов формата «16 forever» до международных организованных кибер-банд и спонсируемых правительствами сложных целевых атак на промышленные системы. По разным причинам первые старались заразить как можно больше компьютеров — именно на такие атаки были нацелены традиционные антивирусы и, кстати, очень даже в этой борьбе преуспели. Новые угрозы прямо противоположны – кибер-негодяи прекрасно понимают анти-малварные технологии, стараются быть как можно незаметнее и всячески ограничивают ареал распространения своих зловредов. Что вполне резонно …

Да, андерграунд изменился, но секюрити-парадигма, увы, осталась там же: большинство компаний продолжают использовать «дедовский» способ противостояния современным угрозам при помощи технологий, «заточенных» под массовые эпидемии. В итоге, в борьбе против малвары они остаются на позициях реактивной защиты, которая всегда оказывается на шаг позади нападающего. Ведь мы говорим о неизвестных угрозах,  на которые еще не наложены файловые или поведенческие сигнатуры, антивирус может их просто не детектить. А сегодняшние кибер-негодяи (не говоря о кибер-военщине) в процессе разработки очень тщательно проверяют насколько их вредоносы детектятся антивирусами!

Такое положение вещей тем более парадоксально, что в арсенале секюрити индустрии есть реализованные в продуктах и «готовые к употреблению» альтернативные концепции защиты, способные совладать с новыми угрозами. Об обной из таких концепций сейчас и пойдёт речь.

В компьютерной безопасности разделяют два подхода к защите: «разрешено всё, что явно не запрещено» (Default Allow) и «всё запрещено, что явно не разрешено» (Default Deny – я уже кратко писал о нём). Как вы догадываетесь, это две противоположные позиции в балансе между функциональностью и безопасностью. При «Default Allow» у всех запускаемых приложений есть карт-бланш творить что угодно и антивирус тут выполняет функцию отца-спасителя – он контролирует эти действия и, если может, то лихорадочно затыкает новые «дыры» (а «дыры» разного уровня критичности, как известно, появляются регулярно). У «Default Deny» противоположный подход – по умолчанию приложениям запуск вообще запрещён, если они не находятся в списке доверенных.

На самом деле, помимо неизвестной малвары у компаний (в частности их IT-служб) есть и много другого «головняка», связанного с Default Allow. Во-первых, установка непродуктивного софта и сервисов (игрушки, коммуникаторы, P2P-клиенты … – список зависит от политики конкретной организации). Во-вторых, установка несертифицированного и потому потенциально опасного (уязвимого) софта, через который злоумышленники могут проникнуть в корпоративную сеть. В-третьих, установка служебных программ удалённого управления, допускающие доступ к компьютерам без подтверждения со стороны пользователя. С первыми двумя, вроде, всё понятно, а вот третье требует пояснения.

Мы недавно провели исследование вопроса: «какие действия сотрудников, связанные с самостоятельной установкой ПО нарушают принятые правила IT-безопасности?» Результаты в диаграмме ниже, при этом 50% — это именно разнообразные программы удалённого управления, установленные самими сотрудниками или сисадминами для удалённого доступа к внутренним ресурсам или, наоборот, для доступа к компьютерам для их диагностики и «ремонта».

Дальше: цифра говорящая, это действительно большая проблема …

Страйк!

Воистину — как год начнёшь, так его и проведёшь.

А начали мы этот год с почётного звания «продукт года» от австрийской испытательной лаборатории AV-Comparatives, абсолютного рекорда по количеству набранных баллов в AV-Test.org и очередной «плюшки» Virus Bulletin. За год количество медалек приятно росло – особо хочется выделить тесты проактивной защиты и защиты виртуальных сейфов от Matousec, тест функции Application Control от West Coast Labs и свежий тест мобильных секюрити-продуктов [PDF] от PCSL. Причём рвали конкурентов не только наши персональные продукты, но и корпоративные – например, в августовском раунде тестов AV-Test.org KIS и KES получили соответственно 17 и 16 баллов – больше, чем у всех остальных участников.

В общем, за год много всего хорошего напроисходило, но, несмотря на обилие хороших новостей ни разу не надоело каждый раз хвалить наш вируслаб. Ему, похоже, это тоже понравилось :) поэтому ждите ещё победных сводок с фронта!

На этом оптимистичном фоне возникает резонный вопрос: ну, ОК, наши антивирусные технологии лидируют, а как же технологии НЕантивирусные – например, антиспам? А вот именно это и есть предмет сего поста: на днях пришли результаты теста VBSpam нашего нового KLMS, где мы внезапно для конкурентов, но вполне ожидаемо для нас заняли [тадам!] второе место с потрясающим результатом 99,93% spam catch rate и 0,01% ложных срабатываний! «Подумаешь, всего-то второе место!», — скажет привыкший к нашим победам пользователь :) Не соглашусь! И вот почему …

Дальше: слово «потрясающе» выделено не случайно…

Вне закона.

Как-то так сложилось, что «издревле» существует стереотип отношения ко всему компьютерно-сетевому. Вроде как это всё игрушечки, а вирусы – так, хулиганство. Подумаешь, буковки посыпались… Потом, после буковок, посыпались диски, начали красть данные, «троянить» компьютеры  для зомби сетей и распределённых атак, «доить» банковские счета, а сегодня вплотную подобрались к атакам на промышленные, инфраструктурные и военные объекты. В общем, на самом деле ни разу это не игрушечки и от такого стереотипа нужно как можно быстрее избавляться. Просто потому, что неверные представления о кибер-преступлениях создают вокруг них романтический ореол и привлекают молодую зелёную поросль, которая не представляет к чему их увлечение может привести и сколько за это лет они проведут в тюрьме.

Есть ещё один стереотип – мол, компьютерные преступления не раскрываются и, следовательно, дело это прибыльное и с минимальным риском. Романтика! Несколько лет назад в России действительно было не очень с раскрываемостью. Однако сейчас ситуация изменилась – органы накопили опыт, сильно продвинулись в экспертизе, наладили взаимодействие с профессионалами и щёлкают одно хайтек мошенничество за другим.

На днях МВД и ФСБ при экспертной помощи нашего отдела по расследованию компьютерных инцидентов (или просто ОРКИ, ага :) завершили дело о фишинге. Злодеи вычислены, наказаны, справедливость восстановлена, в гроб романтических представлений о кибер-мошенничестве вбит гвоздь. И это было бы «очередным делом», кабы не одно обстоятельство. Дело это – первое в России доведённое до конца расследование компьютерного фишинга. Раньше считалось, что довести такие дела до суда просто нереально и в лучшем случае можно поймать только низшее звено преступной иерархии — дропов. А вот и нет!

И вот как оно всё было.

Дальше: тонкий намёк компьютерному андерграунду …