У безопасников, сисадминов, эникейщиков и вообще всех, кто по долгу службы холит и лелеет корпоративные сети — у них всех много головняка. ОЧЕНЬ много. И главный источник траблов, конечно, пользователи. Десятки, сотни, тысячи (это уже как кому повезёт) пользователей, у которых 24 часа в сутки есть проблемы. Ну, а мы в меру ресурсов, сферы компетенции и приоритетов всячески помогаем «фронтовикам» с головняком бороться. И сейчас расскажем об одной очень полезной таблетке, которая отлично вписывается в эту стратегию борьбы.

На самом деле таблетки целых три. Но все для одной и той же болячки – помощь в контроле над пользователями. Как полезный побочный эффект — исполнение централизованной политики IT-безопасности, защита от дурака и автоматизация «обезьяньей» работы (ура!). Ага, речь о трёх новых фичах новой версии нашего корпоративного продукта Endpoint Security 8: контроль над приложениями, контроль над подключаемыми устройствами и веб-контроль. Тема этого поста – контроль над приложениями (дальше «AС» — application control).

Вообще гигиена рабочего компьютера – тема больная. Пользователи склонны скачать какой-нибудь сомнительный «кул варез», поставить, погонять и забыть. В итоге через полгода компук превращается в немыслимый зоопарк всякого софта и начинает жутко глючить и тормозить. Это не говоря уже о том, что тот самый «кул варез» может быть завирусованным, пиратским или контрпродуктивным.

Борются с этой напастью по-разному. Кое-где грозят пальцем и на веру строго-настрого запрещают устанавливать программы самостоятельно. Кое-где разными способами просто отрубают такую возможность. Компромисс между этими двумя крайностями как раз и есть AС.

Дальше: как это работает и кто лучший?

Есть на Руси такая традиция: как выборы — так сразу рунетовские новостные сайты уходят в даун из-за возросшей активности электората, а на оставшихся набрасывается страшный и ужасный ддос.

Не успело забыться декабрьское парламентское обострение, как «тёмная сторона силы» досрочно включила рубильник к выборам президентским. И то ли ещё будет – скорее всего это «ещё» не раз засветится в новостных заголовках (тех новостных сайтов, кто выстоит грядущий мартовский ддос).

Дальше: что мы имеем на данный момент …

Всем привет!

И снова о спаме.

В зависимости от «сезона» и «звёзд» его доля колеблется от 70 до 90% вообще всей почтовой корреспонденции.

Впечатляет, да? На самом деле, в глобальном Интернет-трафике это не так уж и много – на email приходится всего что-то около 1%. С другой стороны, это ни разу не значит, что на спам можно забить. Здесь хорошо написано о месте спама в киберкриминальной экосистеме. Так что борьба с этим злом есть часть масштабной войны, которую мы ведём с кибернегодяями. Проиграем этот фронт – обвалится всё остальное.

В общем, антиспам технологии мы любим и всячески развиваем. Но тут есть один нюанс по сравнению с антималварными технологиями. А точнее – у них разные критерии оценки качества защиты. С малварой всё просто: надо показать максимальный детект. А со спамом на первое место выходит что? Правильно! Чтобы не было ложных срабатываний! Вполне резонно: уж лучше потратить пару секунд на удаление нераспознанного спама, чем пропустить какое-нибудь важное деловое письмо. Так что в некотором смысле защита от этой гадости более сложная задача. Тут буквально приходится гнаться за двумя зайцами. И очень-очень нам в этом помогают … облачные технологии!

Как уже сказано, «облаками» мы «балуемся» давно и успешно. Но есть один любопытный факт, который незаслуженно и возмутительно малоизвестен. В нашей облачной системе KSN (видео, подробности) с 2006 г. есть и нефиговое такое антиспамовое облако. А началось оно с системы быстрого реагирования UDS (Urgent Detection System). И совпадение с похожей антималварной технологией тут неслучайно — обе работают по похожему принципу.

Дальше: облаком по спаму …

Всем привет из Мюнхена!

У нас тут опять новости, которые я бы назвал «Евро-дубак». Европа медленно коченеет от сибирских морозов. В восточной Европе (Румыния, Болгария) метровые снегопады, Германия стынет, Франция стонет, Англия тоже под снегом и отменяет авиарейсы; что творится в Скандинавии и Польше — можно только догадываться. Сегодня в Мюнхене -9С, ночью обещают -19С, но баварцы не сдаются!

Фотки не мои, поскольку я целый день был на Security Munich Conference. Я здесь новичок, на такой уровень пока не залезал (ну, если не считать London Conference on CyberSpace и Давос) — но вроде бы всё получилось! Выступление на панели (типа «круглый стол»), несколько встреч и интервью. Сам потихоньку остываю от произошедшего, отчитаться быстро не получается — попрошу свидетелей дать показания. Ага, вот что сообщает Т.Т. — а сообщает он очень развесисто. Итак, ему слово:

Дальше: рандеву для больших геополитических мальчиков и девочек …

Задача отфильтровать рекламу и прочий шлак может показаться тривиальной – это ж и ребёнок способен отличить «виагру» от нормального письма! На самом деле всё гораздо сложнее – нам ведь надо создать некое подобие искусственного интеллекта, который мог бы это делать. Причем не просто сделать, а соблюсти кучу всяких требований по эффективности, надёжности, совместимости и т.д. Ну, о ситуации с ИИ вы в курсе – много кто кидает пальцы, но реально никто ещё ничего не сделал. Или сделал, но не рассказал :)

Вообще, защита от спама ничем не менее сложная задача, чем защита от малвары. А может быть даже и сложнее (может потому, что я в вирусах больше понимаю?). В спам-бизнесе крутятся миллиарды долларов и над рассылкой всякой хрени работают десятки тысяч достаточно квалифицированных упырей. А эти черти очень изобретательны в своих лингвистических и не только экзерсисах. Тут расчёт прост – сочинить спам, протестировать на самых популярных анти-спамах и пульнуть в рассылку через ботнет. Гы-гы, заказчики-то не знают, что у такого письма жизненный цикл всего-то полчаса-час. 90% рассылки так и не дойдёт до адресата – застрянет в фильтрах, сработавших по обновлению или по статистическому триггеру.

Вот об этом чёрном ящике, который любезно принимает на себя почтовые грехи, фильтрует спам и содержит ваши инбоксы в чистоте и порядке и пойдёт речь.

Для начала – историческая справка. С 2002 г. в нашем антиспаме (KAS) сменилось 4 поколения движков. Сейчас выкатываем пятое. Так что в одном посте обо всём не расскажешь – за 10 лет KAS оброс десятками всяких рюшечек и фишечек. Одних только методов анализа спама – больше десятка. Поэтому начну с технологии «Мёбиус» — как раз под её дебют в новой версии для Exchange.

Дальше: антиспамовый ботлнек и его решение …

Кролики — это не только ценный мех, но и три, четыре килограмма легкоусвояевомого мяса!

(c) Моисеенко & Данилец

Да, предыдущий опрос был риторическим. Действительно 250 млрд. – это именно столько каждый день рассылается спам-писем.

А теперь спросите себя и соседа в чём опасность спама? Ну? Ага, скорее всего – виагра и прочая назойливая хрень, которая забивает почтовые ящики и не даёт нормально работать. Так вот: спам – он как кролики. Это не только ценный мех… тьфу, — это ни разу не только всякая реклама. Реклама – это только вершина айсберга. Спам — часть огромной киберпреступной экосистемы. И его видимая невинность – типичная иллюзия, которую я сейчас буду развенчивать :)

Техническая основа этой экосистемы – т.н. ботнеты или зомби-сети. Это сети компьютеров, зараженных зловредами (ботами), с помощью которых кибернегодяи удалённо управляют этими компьютерами без ведома их владельцев.

Экономика тут довольно проста. В ботнет «вербуются» компьютеры и потом их мощности монетизируются разными способами: ддос-атаки, рассылка рекламы, фишинг, кража данных и пр. Примерно как показано ниже:

Дальше: и в чём же тут душераздирающая роль спама?

1. На первое – самое вкусное (и приятное!). Гартнер выкатил новую версию своего «Магического Квадрата» по защите эндпоинтов. Мы наконец-то вошли в секцию лидеров! Ура!

2. Кибервоенщина наращивает обороты. Израиль создаёт элитное хакерское подразделение.

3. Корпорация Фуджицу по заказу японского правительства разрабатывает некий супер-вирус для кибер-войны.

А теперь подробнее по пунктам…

Еще Индо-скандал.. . .

Костин Райу, один из наших самых главных борцов со зловредством (смотреть здесь), давеча опубликовал любопытный пост по 10 самым громким событиям в области секюрити в прошедшем году. Пока только на английском – Российский офис сейчас парализован Новогодними днями и подготовкой к Рождеству :)

Я тут подумал-подумал – да и решил тоже сделать свой топ-10. Но не только и не столько по происшествиям, а немного шире – тенденции, секюрити рынок и про безопасность вообще. Такой неофициальный, расслабленный взгляд на вещи за горизонтом и внутри тоже. Кратко он выглядит вот так:

1. Хактивизм.

2. Милитаризация Интернета и кибероружие.

3. Соцсети и политика.

4. Кибер-бомба Duqu.

5. Громкие хаки и промышленный шпионаж.

6. Сертификационные центры: начало конца.

7. Киберпреступность: совсем неромантично.

8. Android-малварь.

9. Макость — малварь для Мака.

10. Интел-Макафи — Паровоз на запасном пути или Эпик фэйл десятилетия?

Дальше: А теперь подробнее по пунктам …

Всем привет!

Политические события декабря 2011 резко повысили в рунетовских соцсетях градус холиварности. А по российским сетевым СМИ внезапно прошёлся Призрак — Призрак Ддоса. Эдакая зловещая хакерская атака, один за другим накрывшая отечественные веб-сайты (или вот так? — см.пассаж про Коммерсантъ). Причём несколько одновременных атак – некоторые были организованы при помощи традиционных криминальных бот-сетей и за ними, как мне кажется, стояли маргинальные политические группы – жертвами атак были и сайты оппозиции (включая КПРФ) и сайты Единой России.

Вторая же атака была более изощрённой, пока у нас нет никакой достоверной информации о её «происхождении» — как техническом (как именно ддосили), так и о тех, кто её заказал. Не уверен, узнаем ли мы когда-нибудь 100% правду. Моё мнение по мере прояснения ситуации будет периодически публиковаться здесь, в блоге.

Рунетовский ддос в цифрах:

Но я задержался на теории. Перехожу к практике.

А пока расскажу как мы мониторим ботнеты и боремся с ддосом, а заодно попиарю нашу таблетку от этой напасти – анти-ддос проект KDP.

Дальше: ддос — проблема и решение …