Как-то так сложилось, что «издревле» существует стереотип отношения ко всему компьютерно-сетевому. Вроде как это всё игрушечки, а вирусы – так, хулиганство. Подумаешь, буковки посыпались… Потом, после буковок, посыпались диски, начали красть данные, «троянить» компьютеры  для зомби сетей и распределённых атак, «доить» банковские счета, а сегодня вплотную подобрались к атакам на промышленные, инфраструктурные и военные объекты. В общем, на самом деле ни разу это не игрушечки и от такого стереотипа нужно как можно быстрее избавляться. Просто потому, что неверные представления о кибер-преступлениях создают вокруг них романтический ореол и привлекают молодую зелёную поросль, которая не представляет к чему их увлечение может привести и сколько за это лет они проведут в тюрьме.

Есть ещё один стереотип – мол, компьютерные преступления не раскрываются и, следовательно, дело это прибыльное и с минимальным риском. Романтика! Несколько лет назад в России действительно было не очень с раскрываемостью. Однако сейчас ситуация изменилась – органы накопили опыт, сильно продвинулись в экспертизе, наладили взаимодействие с профессионалами и щёлкают одно хайтек мошенничество за другим.

На днях МВД и ФСБ при экспертной помощи нашего отдела по расследованию компьютерных инцидентов (или просто ОРКИ, ага :) завершили дело о фишинге. Злодеи вычислены, наказаны, справедливость восстановлена, в гроб романтических представлений о кибер-мошенничестве вбит гвоздь. И это было бы «очередным делом», кабы не одно обстоятельство. Дело это – первое в России доведённое до конца расследование компьютерного фишинга. Раньше считалось, что довести такие дела до суда просто нереально и в лучшем случае можно поймать только низшее звено преступной иерархии — дропов. А вот и нет!

И вот как оно всё было.

Дальше: тонкий намёк компьютерному андерграунду …

Перечислять все «мняшки», которые принёс нам Интернет — впустую потратить жизнь, поскольку всё равно всего не вспомнишь, а завтра их прибудет ровно столько же. Но есть одна концептуальная вещь, которую переоценить никак не получится и потому она заслуживает отдельного внимания. Вещь эта – краудсорсинг.

Деталями грузить не буду – подробности читайте в Википедии по ссылке сверху (кстати, Википедия тоже краудсорсинговый проект) или яндеглите. Вкратце: всемирная сеть позволяет большому количеству людей из разных концов планеты очень быстро собираться для объединения усилий и решения какой-то сложной задачи. Коллективный разум, подкреплённый гигагерцами, гигабитами и терабайтами компьютеров и каналов связи. Технически – распределённые вычисления. Пример — хорошо помню, как в конце 90-х многие на ночь подключали свои машины к SETI@Home – некоммерческому проекту поиска радиосигналов внеземных цивилизаций. Проект до сих ещё как работает –1,2млн. участников суммарной процессорной мощностью 1,6 петафлопс.

Любопытно, что сетевой краудсорсинг (дословно – «толпотворение») применим практически в каждой области. И секюрити тому не исключение. Недавние примеры из нашей практики – международный мозговой штурм по поводу тайны зашифрованного вредоносного функционала Gauss и решение загадки фреймворка Duqu. За последнее, кстати, получили лестную оценку на darkreading.com. Однако эти случаи не показатель – догадываетесь как нам удаётся успешно обрабатывать 125тыс. образцов малвары каждый день? Ну, роботы и разные технологии автоматизации и потокового анализа, конечно, помогают, однако статистическо-аналитическую пищу для них поставляете… вы! Да! Это действительно так – по принципу «ты мне, я тебе» наши пользователи помогают нам и, разумеется, друг другу в деле борьбы с мировым кибер-злом, в частности с неизвестными угрозами! Причём помогают анонимно, добровольно, с явно выраженным согласием и без влияния на производительность компьютера.

Сейчас расскажу как…

Всем привет!

Новая версия KIS набирает обороты — за месяц+ со дня релиза в России (и за неделю после мировой премьеры) прибыло много хороших отзывов и рецензий (примеры: Ferra, 3DNews, PC Magazine). В общем, в них много рассказано и объяснено. Здесь тоже были посты про автоматическую защиту от уязвимостей и безопасные платежи. Но есть ещё один очень вкусный пласт фичей с прицелом на будущее, которые незаслуженно обходятся вниманием. Речь о поддержке новых технологий Windows 8. Что это за технологии и с чем их едят (читай: как мы их поддерживаем и что это значит для пользователя)?

Начну с самого наглядного – нового интерфейса Win8. Сам пока не пробовал, но слышал хорошие отзывы, что редизайненный интерфейс очень даже ничего, причём как в десктоповой, так и в таблеточно-тачскриново-мобильной инкарнации. Так что ждём релиза и реакции массового пользователя.

Правда, это новшество прибавило головной боли разработчикам софта. Теперь, чтобы накрыть весь спектр предпочтений пользователей надо делать два интерфейса – классический и новый. Посему мы одними из первых в антивирусной индустрии разработали специальное приложение, которое переводит систему управления KAV/KIS 2013 на новый виндово-интерфейсный язык. Приложение бесплатное, его можно установить из Windows Store.

Дальше: как мы боремся с руткитами в Win8…

Пролог

История социальных сетей – в чистом виде «Звездные войны». Без шуток: начались туманно и загадочно – мол,  «вот появились какие-то новые типы сайтов, с огромными потаёнными способностями, открыть и предсказать которые никто пока не может, однако, в будущем, именно они смогут сделать людей по-настоящему свободными и равными». Чистой воды Лукасовская тема про «баланс силы». И ведь правда сущая – при соблюдении ряда условий, соцсети могли бы стать Райским Садом и для людей, и компаний, и медиа.

Но, как вы понимаете, по такому скучному сценарию блокбастеры не снимаются :) Кому нужны счастливо живущие свободные и равноправные люди? Обязательно должен был возникнуть коварный инфернальный замысел тёмных сил. И он не заставил себя ждать – социальные сети стали площадкой для игр мировых спецслужб и манипуляций общественным мнением (о чём я неоднократно говорил).

Так закончилась «Новая надежда». И началась следующая серия:

Империя наносит ответный удар

«Формированием общественного мнения» через социальные сети уже несколько лет весьма успешно занимаются правительства всех стран, независимо от исторических ценностей и политических наклонностей. Слишком много открытой и бесплатной информации на поверхности – даже «копать» ничего не надо – люди сами сообщают свои новости, интересующую информацию, маршруты движения, списки коллег, друзей и профессиональных связей…  И смешно тут то, что пользоваться всеми этими данными может кто угодно – частные лица, компании, злоумышленники, свидетели Иеговы, члены кружка вышивания крестиком. Данные просто лежат на поверхности и люди упорно (вопреки предупреждениям) продолжают сливать их в сеть. А многочисленные API–интерфейсы «скрещивания» социальных сетей действуют как мутаген, ускоряющий эволюцию – информация, «сливавшаяся» вчера только в одну сеть, сегодня становится достоянием всех остальных и навсегда (буквально: навечно) индексируется на серверах всем известных поисковиков.

Спецслужбы всех стран мира – всего лишь особо заинтересованные «пользователи» социальных сетей. Ибо для простых людей информация – чтиво для мозга, для компаний – маркетинговая площадка, а для спецслужб – это защита государства и оружие против потенциальных противников.

Дальше: заколдованный круг и возвращение джедая…

Или «Деньги для сейфа». А также «Деньги для денег» и «Сейф для сейфа».

Где хранятся деньги? Если они вдруг есть или внезапно появились. Даже если их нет – а вдруг они материализуются откуда-нибудь и их надо будет куда-то надёжно перепрятать?

Да, волшебные бабушкины чулки и укромные подматрасья никто не отменял. Но это «олд скул». В остальном налицо тенденция превращения «хрустящих и звенящих» денег в деньги виртуальные, к которым прицепом идёт много полезных «плюшек» как онлайн-банкинг, онлайн-покупки и чего только «онлайн» сегодня не сыщешь. А на них как мухи слетаются кибер-негодяи, дюже охочие до чужих банковских счетов и пластиковых карточек. И это не угроза пары немыто-волосатых маргиналов из подвала, а масштабная проблема мирового масштаба. Это чётко работающая криминальная индустрия c многомиллиардным оборотом. Немудрено, что защита финансовых транзакций в Интернете стала проблемой №1 [PDF] для большинства пользователей.

Соответственно, для новых денег тоже нужен сейф. Такой же виртуальный, но от этого не менее надёжный. Поэтому расскажу про нашу новую технологию «Безопасные платежи» (в английской версии — Safe Money), которая появилась в новой версии KIS.

Чтобы понять тонкости и преимущества этой технологии сначала посмотрим какие приёмчики в ходу у кибер-криминала, чтобы поглубже засунуть руку в наш виртуальный карман. Точнее, как они добывают явки логины-пароли пользователей для доступа к онлайн-банкингу и другим денежным аккаунтам?

Есть три основных варианта, самых популярных в кибер-воровском мире:

• Заражение компьютера жертвы троянской программой для кражи данных и фонового сбора информации вроде скриншотов и нажатий клавиатуры. При этом заражают, как зачастую, через уязвимости в популярном софте.
• Фишинг и социальный инжиниринг – имитация настоящих онлайн-магазинов, банковских веб-сайтов, диалогов, даже телефонных звонков и др.
• Различные технологичные атаки вроде сниффинга, подмены DNS/Proxy-серверов, подмены сертификатов и др. для перехвата трафика по схеме Man-in-the-Middle, а также Man-in-the-Browser, вардрайвинг и др.

Отсюда следуют три основные проблемы защиты от финансового кибер-мошенничества. А именно: а) отсутствие надёжной идентификации сайтов, б) отсутствие доверенного соединения через интернет между клиентом и онлайн-сервисами, в) отсутствие гарантий, что программное обеспечение компьютера не содержит уязвимостей , которые могут эксплуатироваться зловредным ПО

На самом деле некоторые части этой проблематики закрывают современные продукты класса Internet Security. Например, только ленивый сейчас не предлагает встроенную защиту от фишинга (другой вопрос – качество защиты). Однако для рабочих сценариев из реальной жизни (о сценариях ниже) этого недостаточно. Мало того, что в большинстве продуктов отсутствуют все необходимые фичи. Хуже, что они не работают слаженно на решение конкретной проблемы. А тут требуется комплексное, многоуровневое  лекарство.

Здесь на сцену выходит технология «Безопасные платежи«.

В начале работы с новой версией KIS вы вводите адрес(а) онлайн-сервисов, которые требуется защитить (банкинг, магазины, платежные системы и пр.)  Кроме того в продукте есть нехилая база адресов таких сайтов, включающая более 1500 различных банков в 84 доменах. При входе на сайт достаточно ответить на один вопрос «хотите ли вы запустить сессию в защищенном режиме», после чего  при всех дальнейших операциях с этими адресами автоматически будет запускаться специальная защищённая сессия браузера.

Дальше: В чём состоит защищённый режим браузера? …

Это не совсем обычный пост. Ибо он не связан ни с киберпреступностью, ни с разбором зловредов, ни с бизнесом «ЛК» или моими бесконечными путешествиями. Он о правде.
В понедельник американский журнал Wired опубликовал статью, посвященную «Лаборатории» и мне лично. Сразу скажу, что с момента нашего знакомства я считал автора этого материала, журналиста Ноа Шахтмана, специалистом высочайшего уровня, способным анализировать информацию непредвзято и объективно, при этом соблюдая все этически нормы. И был крайне удивлен, прочитав его текст, изобилующий необоснованными обвинениями, клише эпохи холодной войны, ярко выраженным русофобством, псевдо-фактами, домыслами, но главное, — притянутыми за уши и неверными выводами. Поэтому я принял решение обратиться к читателям журнала лично и от лица более чем 2400 сотрудников нашей компании, работающих во всех регионах мира, дабы восстановить правду. Которая, увы, отличается от того, что явил миру Ноа Шахтман.

С Ноа Шахтманом мы познакомились достаточно давно, прошлой осенью. После этого встречались на пресс-мероприятиях, а также во время его визита в наш центральный офис в Москве. В ходе многочисленных встреч, мы довольно откровенно обменивались мнениями о ситуации на рынке информационной безопасности, говорили о проблемах и тенденциях. Причем общались совершенно открыто – и те из вас, кто меня знают, не дадут соврать – я человек откровенный, и не боюсь отвечать даже на самые заковыристые вопросы.

В результате, этих встреч Ноа Шахтман решил, что готов поведать аудитории планеты «всю правду» о «Лаборатории» и обо мне лично на страницах журнала Wired. Причем, надо сказать, описания у него вышли отличные – чего стоит хотя бы начало статьи: мой внешний вид после вынужденного 72-часового перелета Канкун-Мюнхен-Канкун, на который я пошел исключительно ради того, чтобы встретиться с журналистами, — действительно правдиво. Признаюсь, меня оно даже развеселило. Но, несмотря на попытку быть максимально подробным, Ноа Шахтман забыл включить в свой материал такие ключевые вещи, как подтвержденные факты, мнения независимых экспертов и объективные данные. Более того, местами он постарался написать практически полную противоположность тому, что я и мои сотрудники рассказали ему за последние 7 месяцев во время наших многочисленных встреч.

Я искренне надеюсь, что никакого коварного плана у Ноа Шахтмана не было, и представил он нас в таком виде не со зла. С другой стороны, причины здесь уже не важны – важно, что журналист утаил от вас ВСЮ правду.

И я решил ему помочь исправить сию ошибку.

Дальше…

Недавно прикинул сколько интервью с прессой у меня случается каждый месяц. Раз на раз не приходится, но в наиболее «жаркое» время это число добивает до 70. И это только «голосовых», т.е. при личной встрече или по телефону. Сколько с учётом e-mail интервью – вообще страшно подумать.

Но я ни разу не жалуюсь. Наоборот – я обожаю это дело. У Брэнсона есть одно правило: «Если в дверь постучался журналист CNN — бросьте всё и дайте интервью». И следую я этому правилу неспроста. В совсем небольшом проценте интервью имеешь дело с очень въедливыми и хорошо понимающими тему журналистами. Они за час буквально вынимают душу. Это самые тяжёлые и самые полезные моменты. Потому что в такие встречи мозг начинает работать, думать нестандартно, смотреть на обычные вещи с другой стороны. Причём даже по окончанию интервью работа по инерции продолжается и, порой, выходишь на очень интересные идеи.

Один из самых распространённых вопросов: самые актуальные проблемы IT-секюрити. Читай: какие профессиональные ночные кошмары меня мучают :) И это не только вопросы журналистов. Тема постоянно поднимается практически на каждой специализированной IT-конференции. Так вот: как обещал представляю список пяти главных проблем IT-секюрити в широком понимании этого слова. Известия уже опубликовали сжатую версию. Тут же будет без лирики, но максимально развёрнуто. И сразу скажу – у меня нет ответов на все вопросы. Задача этого поста – обозначить проблему, начать думать над ней самому и вовлечь в процесс всех заинтересованных, неравнодушных и сочувствующих.

Итак:

• Прайваси
• Интернет-паспортизация
• Социальные сети
• Киберпреступность
• Кибервойна

Дальше: по порядку …

В работе любой секюрити-компании иногда случаются неприятные косяки. Мы тоже люди и иногда допускаем ошибки. Здесь важно как можно быстрее во всём публично признаться, исправить, уведомить и скорректировать работу, чтобы в будущем косяк не повторялся (что мы и делаем). В общем, задача проста – минимизировать ущерб для пользователей.

Но есть одна проблема. С бородатых времён антивирусам сопутствует одна особенность – ложные срабатывания («фалсы»). Как вы догадываетесь, это когда чистый файл или сайт детектится как зараженный. И, увы, пока никто не смог эту проблему решить на 100%.

Технически в этом замешаны и пресловутый человеческий фактор, и недостатки технологий, и действия третьих разработчиков софта и веб-программеров. Самый простой пример — аналитик неправильно проанализировал код зловреда и добавил детект на кусок внедрённой библиотеки. А библиотекой той пользуется ещё 10тыс. других программ, в том числе бело-пушистых. В результате через пару десятков минут после выхода такого обновления с «кривым» детектом техподдержка ложится под напором писем от испуганных пользователей, аналитик аврально перевыпускает базу, а масс-медиа пишет разоблачительно-ругательные статьи. И это ещё что – представьте, что будет, если ошибочно задетектить Explorer, svchost или Kremlin.ru? :)

Дальше: как не задетектить Kremlin.ru …

Октоберфест образца 2010г. мне запомнится на всю жизнь. Да, пиво я люблю, особенно немецкое и особенно на Октоберфесте. Но в этот раз я пива вообще не помню и не потому, что его было много :) Тогда пришла первая весточка одной очень неприятной тенденции, которой я опасался уже много лет до этого. Дагадались? Ага, именно тогда случился тот самый Stuxnet – первый образец малвары, созданный при государственной поддержке и нацеленный на выполнение конкретной военной миссии. На пресс-конференции во время Октоберфеста мы так и сказали: «Добро пожаловать в эпоху кибер-войн». И уже тогда было очевидно, что Stuxnet — это только начало.

На самом деле, с тех пор вплоть до самого недавнего времени мало что поменялось. Несмотря на то, что всем было интуитивно понятно «откуда ноги» растут и кто может стоять за Stuxnet, ни одно государство не то, чтобы не взяло на себя ответственность, но и всячески открещивались от авторства. «Прорыв» состоялся в конце мая, когда мы обнаружили новую марвару, которая так же не оставляла сомнений в её кибер-военном происхождении и военной миссии.

Разумеется, речь о Flame.

Дальше: может ли вирус помешать съесть на завтрак свежую французскую булочку? …

Как уже сообщалось мы отметились на двух австралийских выставках-конференциях AusCERT и CeBIT Australia. Говорили о многом – в том числе о кибер-войнах, атаках на критическую инфраструктуру и промышленные объекты, перспективах развития кибер-преступности. Но одной из самых горячих тем оказалась безопасность продуктов Apple. И это вполне ожидаемо в свете первой глобальной эпидемии Мак-трояна Flashfake.

На самом деле мы сейчас находимся на очень интересном этапе. С одной стороны есть подтверждённый факт: Apple-софт не более безопасен, чем Винда и её экосистема. С другой стороны — мощнейшая инерция маркетинговой машины Apple, которая на протяжении многих лет питала обратное представление. Насколько пользователи смогут понять реальное положение вещей и принять соответствующие меры? Найдёт ли сама Apple силы изменить свой подход к реагированию на новые угрозы? Чему могла бы Apple научиться у Микрософт и секюрити-сообщества в плане решения актуальных проблем?

Дальше: сначала немного истории …