Это не совсем обычный пост. Ибо он не связан ни с киберпреступностью, ни с разбором зловредов, ни с бизнесом «ЛК» или моими бесконечными путешествиями. Он о правде.
В понедельник американский журнал Wired опубликовал статью, посвященную «Лаборатории» и мне лично. Сразу скажу, что с момента нашего знакомства я считал автора этого материала, журналиста Ноа Шахтмана, специалистом высочайшего уровня, способным анализировать информацию непредвзято и объективно, при этом соблюдая все этически нормы. И был крайне удивлен, прочитав его текст, изобилующий необоснованными обвинениями, клише эпохи холодной войны, ярко выраженным русофобством, псевдо-фактами, домыслами, но главное, — притянутыми за уши и неверными выводами. Поэтому я принял решение обратиться к читателям журнала лично и от лица более чем 2400 сотрудников нашей компании, работающих во всех регионах мира, дабы восстановить правду. Которая, увы, отличается от того, что явил миру Ноа Шахтман.

С Ноа Шахтманом мы познакомились достаточно давно, прошлой осенью. После этого встречались на пресс-мероприятиях, а также во время его визита в наш центральный офис в Москве. В ходе многочисленных встреч, мы довольно откровенно обменивались мнениями о ситуации на рынке информационной безопасности, говорили о проблемах и тенденциях. Причем общались совершенно открыто – и те из вас, кто меня знают, не дадут соврать – я человек откровенный, и не боюсь отвечать даже на самые заковыристые вопросы.

В результате, этих встреч Ноа Шахтман решил, что готов поведать аудитории планеты «всю правду» о «Лаборатории» и обо мне лично на страницах журнала Wired. Причем, надо сказать, описания у него вышли отличные – чего стоит хотя бы начало статьи: мой внешний вид после вынужденного 72-часового перелета Канкун-Мюнхен-Канкун, на который я пошел исключительно ради того, чтобы встретиться с журналистами, — действительно правдиво. Признаюсь, меня оно даже развеселило. Но, несмотря на попытку быть максимально подробным, Ноа Шахтман забыл включить в свой материал такие ключевые вещи, как подтвержденные факты, мнения независимых экспертов и объективные данные. Более того, местами он постарался написать практически полную противоположность тому, что я и мои сотрудники рассказали ему за последние 7 месяцев во время наших многочисленных встреч.

Я искренне надеюсь, что никакого коварного плана у Ноа Шахтмана не было, и представил он нас в таком виде не со зла. С другой стороны, причины здесь уже не важны – важно, что журналист утаил от вас ВСЮ правду.

И я решил ему помочь исправить сию ошибку.

Дальше…

Недавно прикинул сколько интервью с прессой у меня случается каждый месяц. Раз на раз не приходится, но в наиболее «жаркое» время это число добивает до 70. И это только «голосовых», т.е. при личной встрече или по телефону. Сколько с учётом e-mail интервью – вообще страшно подумать.

Но я ни разу не жалуюсь. Наоборот – я обожаю это дело. У Брэнсона есть одно правило: «Если в дверь постучался журналист CNN — бросьте всё и дайте интервью». И следую я этому правилу неспроста. В совсем небольшом проценте интервью имеешь дело с очень въедливыми и хорошо понимающими тему журналистами. Они за час буквально вынимают душу. Это самые тяжёлые и самые полезные моменты. Потому что в такие встречи мозг начинает работать, думать нестандартно, смотреть на обычные вещи с другой стороны. Причём даже по окончанию интервью работа по инерции продолжается и, порой, выходишь на очень интересные идеи.

Один из самых распространённых вопросов: самые актуальные проблемы IT-секюрити. Читай: какие профессиональные ночные кошмары меня мучают :) И это не только вопросы журналистов. Тема постоянно поднимается практически на каждой специализированной IT-конференции. Так вот: как обещал представляю список пяти главных проблем IT-секюрити в широком понимании этого слова. Известия уже опубликовали сжатую версию. Тут же будет без лирики, но максимально развёрнуто. И сразу скажу – у меня нет ответов на все вопросы. Задача этого поста – обозначить проблему, начать думать над ней самому и вовлечь в процесс всех заинтересованных, неравнодушных и сочувствующих.

Итак:

• Прайваси
• Интернет-паспортизация
• Социальные сети
• Киберпреступность
• Кибервойна

Дальше: по порядку …

В работе любой секюрити-компании иногда случаются неприятные косяки. Мы тоже люди и иногда допускаем ошибки. Здесь важно как можно быстрее во всём публично признаться, исправить, уведомить и скорректировать работу, чтобы в будущем косяк не повторялся (что мы и делаем). В общем, задача проста – минимизировать ущерб для пользователей.

Но есть одна проблема. С бородатых времён антивирусам сопутствует одна особенность – ложные срабатывания («фалсы»). Как вы догадываетесь, это когда чистый файл или сайт детектится как зараженный. И, увы, пока никто не смог эту проблему решить на 100%.

Технически в этом замешаны и пресловутый человеческий фактор, и недостатки технологий, и действия третьих разработчиков софта и веб-программеров. Самый простой пример — аналитик неправильно проанализировал код зловреда и добавил детект на кусок внедрённой библиотеки. А библиотекой той пользуется ещё 10тыс. других программ, в том числе бело-пушистых. В результате через пару десятков минут после выхода такого обновления с «кривым» детектом техподдержка ложится под напором писем от испуганных пользователей, аналитик аврально перевыпускает базу, а масс-медиа пишет разоблачительно-ругательные статьи. И это ещё что – представьте, что будет, если ошибочно задетектить Explorer, svchost или Kremlin.ru? :)

Дальше: как не задетектить Kremlin.ru …

Октоберфест образца 2010г. мне запомнится на всю жизнь. Да, пиво я люблю, особенно немецкое и особенно на Октоберфесте. Но в этот раз я пива вообще не помню и не потому, что его было много :) Тогда пришла первая весточка одной очень неприятной тенденции, которой я опасался уже много лет до этого. Дагадались? Ага, именно тогда случился тот самый Stuxnet – первый образец малвары, созданный при государственной поддержке и нацеленный на выполнение конкретной военной миссии. На пресс-конференции во время Октоберфеста мы так и сказали: «Добро пожаловать в эпоху кибер-войн». И уже тогда было очевидно, что Stuxnet — это только начало.

На самом деле, с тех пор вплоть до самого недавнего времени мало что поменялось. Несмотря на то, что всем было интуитивно понятно «откуда ноги» растут и кто может стоять за Stuxnet, ни одно государство не то, чтобы не взяло на себя ответственность, но и всячески открещивались от авторства. «Прорыв» состоялся в конце мая, когда мы обнаружили новую марвару, которая так же не оставляла сомнений в её кибер-военном происхождении и военной миссии.

Разумеется, речь о Flame.

Дальше: может ли вирус помешать съесть на завтрак свежую французскую булочку? …

Как уже сообщалось мы отметились на двух австралийских выставках-конференциях AusCERT и CeBIT Australia. Говорили о многом – в том числе о кибер-войнах, атаках на критическую инфраструктуру и промышленные объекты, перспективах развития кибер-преступности. Но одной из самых горячих тем оказалась безопасность продуктов Apple. И это вполне ожидаемо в свете первой глобальной эпидемии Мак-трояна Flashfake.

На самом деле мы сейчас находимся на очень интересном этапе. С одной стороны есть подтверждённый факт: Apple-софт не более безопасен, чем Винда и её экосистема. С другой стороны — мощнейшая инерция маркетинговой машины Apple, которая на протяжении многих лет питала обратное представление. Насколько пользователи смогут понять реальное положение вещей и принять соответствующие меры? Найдёт ли сама Apple силы изменить свой подход к реагированию на новые угрозы? Чему могла бы Apple научиться у Микрософт и секюрити-сообщества в плане решения актуальных проблем?

Дальше: сначала немного истории …

Интернет, конечно, штука интересная и мега-полезная. Но обратная сторона его открытости и неконтролируемости – зоопарк всякой гадости, нечисти и подлости, поджидающей пользователей не только на сомнительных «порно-варезных» ресурсах, но и вполне себе легитимных «бело-пушистых» сайтах. Действительно, уже много лет как Интернет прочно и безальтернативно оккупировал место в списке главных источников кибер-заразы: по нашим данным в 2012г. на 33% пользователей хотя бы раз совершалась атака через веб.

Если копнуть глубже в состав этой сетевой «гадости, нечисти и подлости», то всплывает три основных группы угроз. По данным нашей облачной системы KSN (видео, подробности) угрозы эти распределяются следующим образом:

В этом «пирожке» больше всего привлекают с первого взгляда малозаметные 10% атак через т.н. эксплойты (на самом деле их доля будет побольше, т.к. зачастую многие трояны тоже питают слабость к использованию этих угроз). Довольно специфическое явление для непрофессионалов и реальная головная боль для секюрити-специалистов. Кто в курсе – можно сразу сюда. Остальным – ниже микро-ликбез.

Дальше: эксплойта бояться — в Инет не ходить …

Всем привет!

Для посетителей этого блога – в особенности тех, кто не читает Securelist, не подписан на мой Твиттер и Фейсбук (да-да, там самое-самое важное дублируется!). Мы опубликовали, пожалуй, самый глубокий анализ Flashfake (Flashback) – того самого трояна, который недавно отметился созданием первого в истории Маковского ботнета. Да ещё какого ботнета – 700 тыс. машин! В общем, выкладываю сюда весь текст, а кому понравится – срочно подписывайтесь на Securelist.

Дальше: анатомия Flashfake. Часть I

// или почему и как мы решили защищать виртуальные среды.

Амбиции, лень и жадность двигают технический прогресс. Ну, ещё случаются гениальные прозрения неизвестного происхождения — их можно списать на исключение, подтверждающее правило. За последние 10 лет в IT произошло много всего разного, но в основном надувались, лопались и снова надувались пузыри. На этом грустном фоне есть несколько примеров обратного – как технологии проходили все стадии от концепта до индустриального мейнстрима. Один из самых интересных случаев – виртуализация.

Для начала — ликбез. Кому неймётся сразу к главному – кликайте сюда.

Дальше: как мы решили главный косяк защиты от зловредов …

Нарисовал он на листке
И подписал в уголке:

// интересно, этот пост с этим рисунком пролезет через антиспам-фильтры тем, кто подписан по e-mail?

Поговорим об очень любопытной разновидности почтового мусора – графическом спаме и соответствующих защитных технологиях.

Дальше: распознать спам за … 10 мс!

Формула идеального антивируса выглядит примерно так:

• 100% защита от всего зловредства,
• 0% ложных срабатываний,
• 0% нагрузки на систему
• и никаких вопросов пользователю.

И, разумеется, в самом идеале – навсегда и забесплатно :)

Как и любая идеальная вещь это, конечно, недостижимая блажь, но ценность её в том, что она задаёт некий ориентир для компаний-разработчиков. Каждая компания старается максимально приблизиться к идеалу в рамках своих финансовых возможностей и профессиональных ресурсов.

Дальше: партия бубна в шаманском оркестре наших технологий …