Маканатомичка.

Всем привет!

Для посетителей этого блога – в особенности тех, кто не читает Securelist, не подписан на мой Твиттер и Фейсбук (да-да, там самое-самое важное дублируется!). Мы опубликовали, пожалуй, самый глубокий анализ Flashfake (Flashback) – того самого трояна, который недавно отметился созданием первого в истории Маковского ботнета. Да ещё какого ботнета – 700 тыс. машин! В общем, выкладываю сюда весь текст, а кому понравится – срочно подписывайтесь на Securelist.


Дальше: анатомия Flashfake. Часть I

Амбиции, лень и жадность в IT-бизнесе.

// или почему и как мы решили защищать виртуальные среды.

Амбиции, лень и жадность двигают технический прогресс. Ну, ещё случаются гениальные прозрения неизвестного происхождения — их можно списать на исключение, подтверждающее правило. За последние 10 лет в IT произошло много всего разного, но в основном надувались, лопались и снова надувались пузыри. На этом грустном фоне есть несколько примеров обратного – как технологии проходили все стадии от концепта до индустриального мейнстрима. Один из самых интересных случаев – виртуализация.

Для начала — ликбез. Кому неймётся сразу к главному – кликайте сюда.

Дальше: как мы решили главный косяк защиты от зловредов …

Графоспам.

Нарисовал он на листке
И подписал в уголке:

// интересно, этот пост с этим рисунком пролезет через антиспам-фильтры тем, кто подписан по e-mail?

Поговорим об очень любопытной разновидности почтового мусора – графическом спаме и соответствующих защитных технологиях.

Дальше: распознать спам за … 10 мс!

Предсказания в вирусологии или Сейфбокс для вируса.

Формула идеального антивируса выглядит примерно так:

  • 100% защита от всего зловредства,
  • 0% ложных срабатываний,
  • 0% нагрузки на систему
  • и никаких вопросов пользователю.

И, разумеется, в самом идеале – навсегда и забесплатно :)

Как и любая идеальная вещь это, конечно, недостижимая блажь, но ценность её в том, что она задаёт некий ориентир для компаний-разработчиков. Каждая компания старается максимально приблизиться к идеалу в рамках своих финансовых возможностей и профессиональных ресурсов.

Дальше: партия бубна в шаманском оркестре наших технологий …

Стой! Кто идёт? или Таблетка №3.

У безопасников, сисадминов, эникейщиков и вообще всех, кто по долгу службы холит и лелеет корпоративные сети — у них всех много головняка. ОЧЕНЬ много. И главный источник траблов, конечно, пользователи. Десятки, сотни, тысячи (это уже как кому повезёт) пользователей, у которых 24 часа в сутки есть проблемы. Ну, а мы в меру ресурсов, сферы компетенции и приоритетов всячески помогаем «фронтовикам» с головняком бороться. И сейчас расскажем об одной очень полезной таблетке, которая отлично вписывается в эту стратегию борьбы.

На самом деле таблетки целых три. Но все для одной и той же болячки – помощь в контроле над пользователями. Как полезный побочный эффект — исполнение централизованной политики IT-безопасности, защита от дурака и автоматизация «обезьяньей» работы (ура!). Ага, речь о трёх новых фичах новой версии нашего корпоративного продукта Endpoint Security 8: контроль над приложениями, контроль над подключаемыми устройствами и веб-контроль. Тема этого поста – контроль над приложениями (дальше «» — application control).

Вообще гигиена рабочего компьютера – тема больная. Пользователи склонны скачать какой-нибудь сомнительный «кул варез», поставить, погонять и забыть. В итоге через полгода компук превращается в немыслимый зоопарк всякого софта и начинает жутко глючить и тормозить. Это не говоря уже о том, что тот самый «кул варез» может быть завирусованным, пиратским или контрпродуктивным.

Борются с этой напастью по-разному. Кое-где грозят пальцем и на веру строго-настрого запрещают устанавливать программы самостоятельно. Кое-где разными способами просто отрубают такую возможность. Компромисс между этими двумя крайностями как раз и есть .

Дальше: как это работает и кто лучший?

Предвыборное ДДоС-обострение.

Есть на Руси такая традиция: как выборы — так сразу рунетовские новостные сайты уходят в даун из-за возросшей активности электората, а на оставшихся набрасывается страшный и ужасный ддос.

Не успело забыться декабрьское парламентское обострение, как «тёмная сторона силы» досрочно включила рубильник к выборам президентским. И то ли ещё будет – скорее всего это «ещё» не раз засветится в новостных заголовках (тех новостных сайтов, кто выстоит грядущий мартовский ддос).

Дальше: что мы имеем на данный момент …

Фичи невидимого фронта-4

Всем привет!

И снова о спаме.

В зависимости от «сезона» и «звёзд» его доля колеблется от 70 до 90% вообще всей почтовой корреспонденции.

Впечатляет, да? На самом деле, в глобальном Интернет-трафике это не так уж и много – на email приходится всего что-то около 1%. С другой стороны, это ни разу не значит, что на спам можно забить. Здесь хорошо написано о месте спама в киберкриминальной экосистеме. Так что борьба с этим злом есть часть масштабной войны, которую мы ведём с кибернегодяями. Проиграем этот фронт – обвалится всё остальное.

В общем, антиспам технологии мы любим и всячески развиваем. Но тут есть один нюанс по сравнению с антималварными технологиями. А точнее – у них разные критерии оценки качества защиты. С малварой всё просто: надо показать максимальный детект. А со спамом на первое место выходит что? Правильно! Чтобы не было ложных срабатываний! Вполне резонно: уж лучше потратить пару секунд на удаление нераспознанного спама, чем пропустить какое-нибудь важное деловое письмо. Так что в некотором смысле защита от этой гадости более сложная задача. Тут буквально приходится гнаться за двумя зайцами. И очень-очень нам в этом помогают … облачные технологии!

Как уже сказано, «облаками» мы «балуемся» давно и успешно. Но есть один любопытный факт, который незаслуженно и возмутительно малоизвестен. В нашей облачной системе KSN (видео, подробности) с 2006 г. есть и нефиговое такое антиспамовое облако. А началось оно с системы быстрого реагирования UDS (Urgent Detection System). И совпадение с похожей антималварной технологией тут неслучайно — обе работают по похожему принципу.

Дальше: облаком по спаму …

Евро-дубак.

Всем привет из Мюнхена!

У нас тут опять новости, которые я бы назвал «Евро-дубак». Европа медленно коченеет от сибирских морозов. В восточной Европе (Румыния, Болгария) метровые снегопады, Германия стынет, Франция стонет, Англия тоже под снегом и отменяет авиарейсы; что творится в Скандинавии и Польше — можно только догадываться. Сегодня в Мюнхене -9С, ночью обещают -19С, но баварцы не сдаются!

Фотки не мои, поскольку я целый день был на Security Munich Conference. Я здесь новичок, на такой уровень пока не залезал (ну, если не считать London Conference on CyberSpace и Давос) — но вроде бы всё получилось! Выступление на панели (типа «круглый стол»), несколько встреч и интервью. Сам потихоньку остываю от произошедшего, отчитаться быстро не получается — попрошу свидетелей дать показания. Ага, вот что сообщает Т.Т. — а сообщает он очень развесисто. Итак, ему слово:

Дальше: рандеву для больших геополитических мальчиков и девочек …

Чёрный ящик.

Задача отфильтровать рекламу и прочий шлак может показаться тривиальной – это ж и ребёнок способен отличить «виагру» от нормального письма! На самом деле всё гораздо сложнее – нам ведь надо создать некое подобие искусственного интеллекта, который мог бы это делать. Причем не просто сделать, а соблюсти кучу всяких требований по эффективности, надёжности, совместимости и т.д. Ну, о ситуации с ИИ вы в курсе – много кто кидает пальцы, но реально никто ещё ничего не сделал. Или сделал, но не рассказал :)

Вообще, защита от спама ничем не менее сложная задача, чем защита от малвары. А может быть даже и сложнее (может потому, что я в вирусах больше понимаю?). В спам-бизнесе крутятся миллиарды долларов и над рассылкой всякой хрени работают десятки тысяч достаточно квалифицированных упырей. А эти черти очень изобретательны в своих лингвистических и не только экзерсисах. Тут расчёт прост – сочинить спам, протестировать на самых популярных анти-спамах и пульнуть в рассылку через ботнет. Гы-гы, заказчики-то не знают, что у такого письма жизненный цикл всего-то полчаса-час. 90% рассылки так и не дойдёт до адресата – застрянет в фильтрах, сработавших по обновлению или по статистическому триггеру.

Вот об этом чёрном ящике, который любезно принимает на себя почтовые грехи, фильтрует спам и содержит ваши инбоксы в чистоте и порядке и пойдёт речь.

Для начала – историческая справка. С 2002 г. в нашем антиспаме (KAS) сменилось 4 поколения движков. Сейчас выкатываем пятое. Так что в одном посте обо всём не расскажешь – за 10 лет KAS оброс десятками всяких рюшечек и фишечек. Одних только методов анализа спама – больше десятка. Поэтому начну с технологии «Мёбиус» — как раз под её дебют в новой версии для Exchange.

Дальше: антиспамовый ботлнек и его решение …

Спам и кролики.

Кролики — это не только ценный мех, но и три, четыре килограмма легкоусвояевомого мяса!

(c) Моисеенко & Данилец

Да, предыдущий опрос был риторическим. Действительно 250 млрд. – это именно столько каждый день рассылается спам-писем.

А теперь спросите себя и соседа в чём опасность спама? Ну? Ага, скорее всего – виагра и прочая назойливая хрень, которая забивает почтовые ящики и не даёт нормально работать. Так вот: спам – он как кролики. Это не только ценный мех… тьфу, — это ни разу не только всякая реклама. Реклама – это только вершина айсберга. Спам — часть огромной киберпреступной экосистемы. И его видимая невинность – типичная иллюзия, которую я сейчас буду развенчивать :)

Техническая основа этой экосистемы – т.н. ботнеты или зомби-сети. Это сети компьютеров, зараженных зловредами (ботами), с помощью которых кибернегодяи удалённо управляют этими компьютерами без ведома их владельцев.

Экономика тут довольно проста. В ботнет «вербуются» компьютеры и потом их мощности монетизируются разными способами: ддос-атаки, рассылка рекламы, фишинг, кража данных и пр. Примерно как показано ниже:

Дальше: и в чём же тут душераздирающая роль спама?