В работе любой секюрити-компании иногда случаются неприятные косяки. Мы тоже люди и иногда допускаем ошибки. Здесь важно как можно быстрее во всём публично признаться, исправить, уведомить и скорректировать работу, чтобы в будущем косяк не повторялся (что мы и делаем). В общем, задача проста – минимизировать ущерб для пользователей.

Но есть одна проблема. С бородатых времён антивирусам сопутствует одна особенность – ложные срабатывания («фалсы»). Как вы догадываетесь, это когда чистый файл или сайт детектится как зараженный. И, увы, пока никто не смог эту проблему решить на 100%.

Технически в этом замешаны и пресловутый человеческий фактор, и недостатки технологий, и действия третьих разработчиков софта и веб-программеров. Самый простой пример — аналитик неправильно проанализировал код зловреда и добавил детект на кусок внедрённой библиотеки. А библиотекой той пользуется ещё 10тыс. других программ, в том числе бело-пушистых. В результате через пару десятков минут после выхода такого обновления с «кривым» детектом техподдержка ложится под напором писем от испуганных пользователей, аналитик аврально перевыпускает базу, а масс-медиа пишет разоблачительно-ругательные статьи. И это ещё что – представьте, что будет, если ошибочно задетектить Explorer, svchost или Kremlin.ru? :)

Дальше: как не задетектить Kremlin.ru …

Октоберфест образца 2010г. мне запомнится на всю жизнь. Да, пиво я люблю, особенно немецкое и особенно на Октоберфесте. Но в этот раз я пива вообще не помню и не потому, что его было много :) Тогда пришла первая весточка одной очень неприятной тенденции, которой я опасался уже много лет до этого. Дагадались? Ага, именно тогда случился тот самый Stuxnet – первый образец малвары, созданный при государственной поддержке и нацеленный на выполнение конкретной военной миссии. На пресс-конференции во время Октоберфеста мы так и сказали: «Добро пожаловать в эпоху кибер-войн». И уже тогда было очевидно, что Stuxnet — это только начало.

На самом деле, с тех пор вплоть до самого недавнего времени мало что поменялось. Несмотря на то, что всем было интуитивно понятно «откуда ноги» растут и кто может стоять за Stuxnet, ни одно государство не то, чтобы не взяло на себя ответственность, но и всячески открещивались от авторства. «Прорыв» состоялся в конце мая, когда мы обнаружили новую марвару, которая так же не оставляла сомнений в её кибер-военном происхождении и военной миссии.

Разумеется, речь о Flame.

Дальше: может ли вирус помешать съесть на завтрак свежую французскую булочку? …

Как уже сообщалось мы отметились на двух австралийских выставках-конференциях AusCERT и CeBIT Australia. Говорили о многом – в том числе о кибер-войнах, атаках на критическую инфраструктуру и промышленные объекты, перспективах развития кибер-преступности. Но одной из самых горячих тем оказалась безопасность продуктов Apple. И это вполне ожидаемо в свете первой глобальной эпидемии Мак-трояна Flashfake.

На самом деле мы сейчас находимся на очень интересном этапе. С одной стороны есть подтверждённый факт: Apple-софт не более безопасен, чем Винда и её экосистема. С другой стороны — мощнейшая инерция маркетинговой машины Apple, которая на протяжении многих лет питала обратное представление. Насколько пользователи смогут понять реальное положение вещей и принять соответствующие меры? Найдёт ли сама Apple силы изменить свой подход к реагированию на новые угрозы? Чему могла бы Apple научиться у Микрософт и секюрити-сообщества в плане решения актуальных проблем?

Дальше: сначала немного истории …

Интернет, конечно, штука интересная и мега-полезная. Но обратная сторона его открытости и неконтролируемости – зоопарк всякой гадости, нечисти и подлости, поджидающей пользователей не только на сомнительных «порно-варезных» ресурсах, но и вполне себе легитимных «бело-пушистых» сайтах. Действительно, уже много лет как Интернет прочно и безальтернативно оккупировал место в списке главных источников кибер-заразы: по нашим данным в 2012г. на 33% пользователей хотя бы раз совершалась атака через веб.

Если копнуть глубже в состав этой сетевой «гадости, нечисти и подлости», то всплывает три основных группы угроз. По данным нашей облачной системы KSN (видео, подробности) угрозы эти распределяются следующим образом:

В этом «пирожке» больше всего привлекают с первого взгляда малозаметные 10% атак через т.н. эксплойты (на самом деле их доля будет побольше, т.к. зачастую многие трояны тоже питают слабость к использованию этих угроз). Довольно специфическое явление для непрофессионалов и реальная головная боль для секюрити-специалистов. Кто в курсе – можно сразу сюда. Остальным – ниже микро-ликбез.

Дальше: эксплойта бояться — в Инет не ходить …

Всем привет!

Для посетителей этого блога – в особенности тех, кто не читает Securelist, не подписан на мой Твиттер и Фейсбук (да-да, там самое-самое важное дублируется!). Мы опубликовали, пожалуй, самый глубокий анализ Flashfake (Flashback) – того самого трояна, который недавно отметился созданием первого в истории Маковского ботнета. Да ещё какого ботнета – 700 тыс. машин! В общем, выкладываю сюда весь текст, а кому понравится – срочно подписывайтесь на Securelist.

Дальше: анатомия Flashfake. Часть I

// или почему и как мы решили защищать виртуальные среды.

Амбиции, лень и жадность двигают технический прогресс. Ну, ещё случаются гениальные прозрения неизвестного происхождения — их можно списать на исключение, подтверждающее правило. За последние 10 лет в IT произошло много всего разного, но в основном надувались, лопались и снова надувались пузыри. На этом грустном фоне есть несколько примеров обратного – как технологии проходили все стадии от концепта до индустриального мейнстрима. Один из самых интересных случаев – виртуализация.

Для начала — ликбез. Кому неймётся сразу к главному – кликайте сюда.

Дальше: как мы решили главный косяк защиты от зловредов …

Нарисовал он на листке
И подписал в уголке:

// интересно, этот пост с этим рисунком пролезет через антиспам-фильтры тем, кто подписан по e-mail?

Поговорим об очень любопытной разновидности почтового мусора – графическом спаме и соответствующих защитных технологиях.

Дальше: распознать спам за … 10 мс!

Формула идеального антивируса выглядит примерно так:

• 100% защита от всего зловредства,
• 0% ложных срабатываний,
• 0% нагрузки на систему
• и никаких вопросов пользователю.

И, разумеется, в самом идеале – навсегда и забесплатно :)

Как и любая идеальная вещь это, конечно, недостижимая блажь, но ценность её в том, что она задаёт некий ориентир для компаний-разработчиков. Каждая компания старается максимально приблизиться к идеалу в рамках своих финансовых возможностей и профессиональных ресурсов.

Дальше: партия бубна в шаманском оркестре наших технологий …

У безопасников, сисадминов, эникейщиков и вообще всех, кто по долгу службы холит и лелеет корпоративные сети — у них всех много головняка. ОЧЕНЬ много. И главный источник траблов, конечно, пользователи. Десятки, сотни, тысячи (это уже как кому повезёт) пользователей, у которых 24 часа в сутки есть проблемы. Ну, а мы в меру ресурсов, сферы компетенции и приоритетов всячески помогаем «фронтовикам» с головняком бороться. И сейчас расскажем об одной очень полезной таблетке, которая отлично вписывается в эту стратегию борьбы.

На самом деле таблетки целых три. Но все для одной и той же болячки – помощь в контроле над пользователями. Как полезный побочный эффект — исполнение централизованной политики IT-безопасности, защита от дурака и автоматизация «обезьяньей» работы (ура!). Ага, речь о трёх новых фичах новой версии нашего корпоративного продукта Endpoint Security 8: контроль над приложениями, контроль над подключаемыми устройствами и веб-контроль. Тема этого поста – контроль над приложениями (дальше «AС» — application control).

Вообще гигиена рабочего компьютера – тема больная. Пользователи склонны скачать какой-нибудь сомнительный «кул варез», поставить, погонять и забыть. В итоге через полгода компук превращается в немыслимый зоопарк всякого софта и начинает жутко глючить и тормозить. Это не говоря уже о том, что тот самый «кул варез» может быть завирусованным, пиратским или контрпродуктивным.

Борются с этой напастью по-разному. Кое-где грозят пальцем и на веру строго-настрого запрещают устанавливать программы самостоятельно. Кое-где разными способами просто отрубают такую возможность. Компромисс между этими двумя крайностями как раз и есть AС.

Дальше: как это работает и кто лучший?

Есть на Руси такая традиция: как выборы — так сразу рунетовские новостные сайты уходят в даун из-за возросшей активности электората, а на оставшихся набрасывается страшный и ужасный ддос.

Не успело забыться декабрьское парламентское обострение, как «тёмная сторона силы» досрочно включила рубильник к выборам президентским. И то ли ещё будет – скорее всего это «ещё» не раз засветится в новостных заголовках (тех новостных сайтов, кто выстоит грядущий мартовский ддос).

Дальше: что мы имеем на данный момент …