Чёрный ящик и Иллюзия безопасности.

Конец августа принёс несколько очень интересных связанных новостей на предмет кибербезопасности мобильных операционок. Точнее об их небезопасности.

Кратко напомню: во-первых, серия дыр в iOS, которые позволяли заражать вредоносами умные Apple-девайсы (зашёл на сайт ⇒ ой), а во-вторых, симметричные атаки тех же хакеров против той же группы жертв, но уже через уязвимости в Android и Windows.

Ситуация, казалось бы, рабочая: идеальных продуктов не бывает, зато бывает жгучее желание определённых лиц, групп лиц и даже государств этой неидеальностью злоупотребить. «Казалось бы» – потому что, на самом деле, этот случай снова возвращает нас к дискуссии о преимуществах-недостатках закрытых платформ вроде iOS. И для начала хочу процитировать вот этот твит, который очень точно характеризует статус кибербезопасности в яблочной экосистеме:

«Итак, кто-то в течение многих лет незаметно заражал айфоны. Почему-то меня это не удивляет. Я всегда говорил, что иллюзия безопасности iOS основана на том, что никто не может исследовать эти девайсы и поэтому у пользователей практически нулевые шансы узнать о заражении»

В данном случае Apple сильно повезло: атаку обнаружили цивилизованные «белые» хакеры из Google, которые приватно передали подробности разработчикам, те пофиксили свой софт и через полгода, когда большинство пользователей обновились, рассказали об произошедшем миру.

Вопрос#1: как быстро компания смогла бы решить проблему, если бы информация ушла в «паблик» до выпуска патча?

Вопрос#2: на сколько месяцев или лет раньше эти дыры нашли бы независимые эксперты, допущенные к нужным диагностическим свойствам операционной системы?

По сути дела, мы наблюдаем «монополию на исследования» в iOS. Поиск уязвимостей и анализ приложений сильно осложнён избыточной закрытостью системы, из-за чего в эфире стоит практически полная тишина, и кажется, что «в Багдаде всё спокойно». Но тишина эта иллюзорная – что там на самом деле творится в этой красивой стеклянной коробочке за 50-100тыс.рублей просто никто не знает! И даже сама Apple…

С одной стороны, такое положение вещей позволяет Apple двигать маркетинговую отстройку о самой безопасной ОС, а с другой сотни миллионов пользователей живут буквально на пороховой бочке. Примерно вот так:

Причём Apple, надо отдать ей должное, действительно вкладывает большие усилия и деньги в повышение безопасности и конфиденциальности своих продуктов и экосистемы в целом. Но никакая, даже самая мощная компания, не сможет сделать больше, чем всё мировое сообщество исследователей кибербезопасности. Самый убийственный аргумент в пользу закрытости iOS для сторонних специализированных средств защиты состоит в том, что «доступ независимых разработчиков к системе = потенциальный вектор атаки». Фигня!

Обнаружение уязвимостей и плохих приложений можно проводить при помощи read-only диагностических технологий, которые смогут выявлять вредоносные аномалии при анализе системных событий. Но нет. Такие приложения жёстко изгоняются из AppStore. Я не вижу другой причины такой позиции, кроме как опасение потерять «монополию на исследования» и маркетинговую отстройку.

 

 

Ай-да-новости: ядрёный криптомайнинг.

Всем привет!

С летних каникул возвращается рубрика «Ай-да-новости». И сразу бахнем нетривиальной темой промышленной кибербезопасности.

Если кто-то пропустил посты о том, как я провёл это лето, то ознакомится можно здесь. А вот как провели лето некоторые сотрудники Южно-Украинской АЭС стало известно из… криминальной хроники. Служба безопасности Украины этим летом пресекла майнинг криптовалюты (sic!) в режимных помещениях этой станции. Результатом этого внештатного хобби стала утечка сведений о физической защите станции, которые составляют гостайну. А это уже не только печально, но даже как-то страшновато.

источник

Дальше: цифры говорят…>

Допрос под полным прикрытием.

Шестую части франшизы «Миссия невыполнима» я не смотрел, и не просите. Я и пятую-то видел только раз в зомби-состоянии в очередных перелётах и только из-за того, что одну из сцен снимали в нашем британском офисе. Честно говоря — мне хватило. «Пиф-паф-трах-бах» — не мой жанр, у меня есть другие планы для свободного времени (которого обычно и так не хватает).

Единственный эпизод, который я всё же «проглотил» по настоятельной рекомендации коллег: хорошие парни элегантно вынуждают плохого парня сдать других плохих парней, создав ему подходящую обстановку (точнее — фейковый прямой эфир об атомном Армагеддоне). Вроде как допрос, но не совсем.

Почему именно этот эпизод?

Он удивительно доходчиво и наглядно раскрывает один из методов выявления… неизвестных кибератак! На самом деле таких методов много — они различаются по области применения, эффективности, ресурсоёмкости и прочим параметрам (в моём ЖЖ о них регулярно рассказывается — смотрите по тегу technology). Но, пожалуй, одна из самых долгоиграющих технологий — эмулятор (про него я уже много раз писал).

В точности, как в этом эпизоде из «Миссии», эмулятор запускает исследуемый объект в изолированной искусственной среде, вынуждая его проявлять вредоносность.

Но у такого подхода есть существенный недостаток: искусственность той самой среды. Эмулятор создаёт окружение, максимально приближенное к реальной операционной системе, вредоносы учатся его распознавать, эмулятор распознаёт, что его распознали :), и вот мы уже входим в бесконечный цикл борьбы меча и щита, который регулярно открывает окно уязвимости на защищённом компьютере. Фундаментальная же проблема заключается в том, что предел функциональности эмулятора стремится к реальной операционной системе, но никогда её не достигнет!

С другой стороны, есть ещё одно решение задачи поведенческого анализа подозрительных объектов — анализ в… реальной операционной системе! Что-о-о? Прямо на «боевом» компьютере? Нет — на виртуальной машине! Ведь технологически эмулятор не способен так же полно и точно эмулировать работу операционной системы по сравнению с настоящей ОС под виртуальной машиной. Идеальный «допрос» под полным прикрытием!

Дальше: лекарство против вредоносной спячки…

Аудит SOC 2 пройден!

Ещё в прошлом году в рамках нашей Глобальной инициативы по информационной открытости мы говорили о планах на прохождение независимого аудита и получение отчёта SOC 2. И вот наконец мы можем объявить о том, что он пройден! Позади ого-го-го какая работа, в которой было задействовано очень много сотрудников компании! И я очень горжусь, что мы это сделали!

Что за таинственная аббревиатура этот SOC 2? Зачем этот зверь вообще нужен?

Service Organization Controls (SOC) – это aудит по контрольным процедурам в сервисных организациях; всемирно признанный стандарт отчёта для системы управления рисками кибербезопасности, разработанный Американским институтом дипломированных общественных бухгалтеров (American Institute of Certified Public Accountants, AICPA). Его основная цель – информировать клиентов об эффективности создания и внедрения механизмов контроля безопасности.

Мы выбрали этот стандарт для подтверждения надёжности наших продуктов, чтобы доказать клиентам и партнёрам, что наши внутренние процессы соответствуют высочайшим международным стандартам и нам нечего скрывать. Аудит для нас проводила одна из компаний «большой четверки» (по условиям договора мы не можем раскрыть, какая именно). В течение прошедшего года наши сотрудники активно общались и делились всей необходимой информацией с аудиторами – R&D, IT, Information Security, команда внутреннего аудита.

Финальный отчет, который мы получили на этой неделе, подтверждает пригодность внутренних механизмов контроля над регулярными автоматическими обновлениями антивирусных баз и их корректную работоспособность, а также что процесс разработки и выпуска наших антивирусных баз защищен от неавторизованного вмешательства. Ура!

По запросу мы готовы предоставить этот отчет нашим партнерам, клиентам и госрегуляторам.

Всем привет из… :)

Ай-да-новости: кибербревно в глазу, Linux-бэкдор и длинные руки Большого Брата.

Начнём с благостных новостей.

Недавно уважаемая независимая тестовая лаборатория AV-Comparatives выпустила результаты своего ежегодного опроса. Он проводился в конце 2018, участие в нём приняли 3000+ респондентов по всему миру. Отвечая на вопрос «Каким защитным продуктом вы чаще всего пользуйтесь?», большинство пользователей (из аудитории AV-Comparatives) в Европе, Азии и Южной Америке назвало наш бренд. На втором месте мы оказались только в США (уверен, что второе место временно!). Кроме того, в Европе нас выбрали самым часто используемым защитным решением для смартфонов. Мы также возглавили список компаний, продукты которых пользователи чаще всего просят затестить, как в «домашнем» сегменте, так и среди антивирусных продуктов для бизнеса. И пусть тестят, мы готовы! Про независимые тесты и обзоры, которые проходят наши продукты можно почитать тут.

Дальше новость из рубрики «бревна-то я и не заметил».

В мае был обнаружен уженепомнюкакойпосчёту бэкдор с функциями очень полезными для шпионажа. У кого нашли бэкдор? У русских, китайцев? Ба, снова у Cisco! Слышали ли мы громкие разборы этого случая в СМИ, разговоры про угрозы нацбезопасности, обсуждение отказа от использования оборудования Cisco за пределами США и т.п.? Не-а! Хотя одновременно полным ходом идёт громкое международное линчевание Huawei, причём не только без подобных бэкдоров, но и убедительных доказательств вообще.

Источник

Дальше: Большой Брат подкрался незаметно…

Умная пробирка для злобной малвары

Вы задавали себе вопрос, почему компьютерные вирусы назвали именно «вирусами»? Вопрос на самом деле риторический, но если для кого-то это не очевидно, то в нашей энциклопедии есть краткий и исчерпывающий ответ.

Эту подводку я использую с другой целью: а почему до сих пор всю компьютерную гадость многие так и называют «вирусами», хотя вирусов как таковых уже надцать лет не было замечено в «дикой цифровой природе»?

Дело в том, что по сей день технологии компьютерной безопасности вызывают ну уж очень сильные ассоциации с людьми в белых скафандрах, карантином, пробирками и прочей атрибутикой изучения микробиологических глубин мира. Именно так: вирусы уже давно повывелись, но методы их анализа и разработки защиты остались, развились и очень даже хорошо показывают себя в борьбе с современными вредоносами. Например, эмулятор.

Вкратце, эмулятор — это метод выявления неизвестных угроз, при котором подозрительный файл запускается в виртуальном пространстве, имитирующем реальный компьютер. Антивирус* смотрит за поведением файла «на лету» и при обнаружении опасных действий изолирует его от греха подальше для проведения дополнительных исследований.

Читать далее…

Ай-да-новости: дипшпионаж, ближневосток и краденые ай-личности.

Сегодняшний выпуск «ай-да-новостей» (с) — по мотивам только что отгремевшей конференции по кибер-безопасности SAS-2019. Конференции, которую мы проводим ежегодно в разных неожиданных местах, и которая постепенно становится одним из важнейших событий в ландшафтах глобальной кибербезопасности.

Заголовок сегодняшнего выпуска мрачноватый, но начать я хочу с приятной новости, напрямую к SAS-2019 не относящейся. Этакая «рекламная пауза перед главным выпуском новостей». А именно: по версии компании HeadHunter, которая ежегодно представляет «Рейтинг работодателей России», в этом году мы заняли почётное первое место среди работодателей отрасли «IT и интернет» и не менее почётное (а может даже более) 9-е место в общем зачёте Tоп-100 лучших работодателей.

А теперь – главные новости о SAS-2019.

Одной из главных фишек этой конференции являются доклады-расследования. В отличие от других геополиткорректных конференций здесь принципиально публикуются расследования любых киберугроз, вне зависимости от страны их происхождения. Потому что малвара есть малвара и надо защищать пользователей от всей кибернечисти, какой бы «благой» целью она не прикрывалась. И пусть за эту принципиальную позицию анонимные источники врут на нас в некоторых СМИ (действительно, с нами никто не сравнится по числу раскрытых кибершпионских операций). Мы не намерены менять эту позицию в ущерб пользователям.

Так вот: хочу поделиться с вами синопсисом самых крутых расследований наших экспертов, обнародованных на этом мероприятии. Самые яркие, актуальные, местами пугающие и отрезвляющие выступления.

1. TajMahal

Прошлой осенью мы выявили атаку на дипломатическую организацию из Центральной Азии. Сама по себе такая цель киберпреступников не удивительна. Информационными системами различных посольств, консульств и дипмиссий довольно часто интересуются их политические партнёры, недоброжелатели и все остальные, у кого на то есть мозги и средства. Но тут для атаки был построен настоящий TajMahal, а точнее APT-платформа с огромным количеством плагинов (столько в одной APT-платформе мы ещё не находили!) для самых разных сценариев атак с использованием различных инструментов.

Дальше: доппельгангеры атакуют!…

SAS-2019: есть 500!

Апрельская поездка продолжается. Её траектория уже пересекла такие замечательные города как Ганновер, Баку и Дубай. Следующая остановка – Сингапур. Город-сад, остров-сказка, но жарко, влажно, но это — город будущего. Уже бывал много раз, восторженно рассказывал и каждый раз снова убеждаюсь: самые первые впечатления никогда не обманывают. А также цитирую: «фильм ‘Незнайка в Солнечном городе можно снимать без декораций'» (с) точно мой, но найти оригинал никак не могу, как ни стараюсь

Немного хороших фоток (моих) и очень хороших фоток (нет, я так пока не умею) про город-сказку: Сингапур днём, Сингапур ночью, очередь в Сингапур-порт ->

А самое главное — у нас тут в Сингапуре только что отгремела 11-я по счёту конференция SAS = Security Analyst Summit. Что-то мне подсказывает, что получилось огогой как здорово, весело, успешно.

Дальше: рекорд по всем параметрам…

Индустриальный подъём.

Многие до сих пор думают, что мы – просто антивирусная компания, которая лучше всех гоняется за всевозможными кибер-зловредами и защищает наши и ваши компьютеры с телефонами от цифровой нечисти. Хочу развеять эти заблуждения! Мы уже давно не только антивирус для ваших личных и офисных девайсов. Кибербезобразия уже давно творятся не только в привычных всем нам компах и мобильниках, всё чаще и чаще случаются атаки на «Интернеты вещей» и индустриальные объекты. Так вот, «я не бездействовал, я сразу на капу нажал» (с)

Мы очень давно предсказывали возможность кибератак на индустриальные объекты и инфраструктуру. Даже раньше, чем об этом всему миру рассказал Голливуд. И не только говорили об этом, но всерьёз занимались технологиями защиты, о чём уже не раз было рассказано: промышленная, транспортная кибербезопасность, защита IoT девайсов, собственная операционная система.

Но всё равно в головах многих мы всё ещё жили с этой «антивирусной ассоциацией». И как же я рад, что ассоциативный ряд начал меняться. И сужу я не по каким-то субъективным ощущениям, а по  цифрам! Глобальные продажи наших решений для промышленной инфраструктуры (KICS – индустриальный «антивирус» :)) в 2018 году выросли на 162%! Этот рост наблюдается почти по всем регионам – Европа, Латинская Америка, Ближний Восток и Африка, Азиатско-тихоокеанский регион и Россия. Мы «отгрузили» заказчикам более 80 проектов по всему миру для самых разных отраслей промышленности, включая электростанции, добывающие предприятия, нефтепереработку и пищевую промышленность.

Растёт масштаб и сложность угроз в промышленной среде, причём здесь на кону критически важная инфраструктура вроде атомных станций, которые если бабахнут из-за кибератаки, то мало никому не покажется – в том числе тем, кто бабахнул. Наши заказчики понимают, что для решения этой проблемы необходим точечный, индивидуальный подход к каждому предприятию и к каждой отдельной автоматизированной системе управления техпроцессом.

Кстати в 2018 году наш KICS упоминался в отчёте аналитической компании Gartner «Безопасность операционных технологий», которая специализируется на исследовании рынка информационных технологий. Для меня всё это значит лишь одно – мы признанные лидеры рынка индустриальной кибербезопасности. Годы работы приносят свои плоды!

Кроме прорывной индустриалки, у нас много новых небанальных продуктов. Например, защита блокчейн технологий. Мы работаем по двум направлениям — защита для криптобирж (Crypto-Exchange Security) и для стартапов (ICO Security). Уже можем отчитаться по первым успешным проектам. А по прогнозам всё того же Gartner, суммарный объём рынка блокчейн к 2030 году может составить более 3 трлн (!) долларов. А уже сегодня оборот криптобирж — 318 млрд долларов, из которых 1,2 млрд было украдено всего 11 хакерскими атаками. Очевидно – работы у нас всегда будет невпроворот.

Все и всё уже давно покупают\продают, ведут дела в онлайне. Именно поэтому большой популярностью пользуется решение для защиты от сложного мошенничества – наш KFP. Он нафарширован крутыми технологиями: поведенческая биометрия, методы машинного обучения (подробнее и доступнее здесь). Ещё один маст-хэв для бизнеса – KDP – защита от DDoS атак. У нас есть специальное приложение-сенсор для внедрения в IT-инфраструктуре клиентов. Оно мониторит трафик, тихой сапой накапливает данные для поведенческого анализа, совершенствует алгоритмы выявления самых мааааленьких и незаметных аномалий. Но вообще там полный all inclusive: отправки уведомлений о возможной атаке, круглосуточный анализ трафика, его перенаправление, очистка. В конце еще и отчёт с результатами анализа прошедшей атаки пришлём.

В какой-то момент мы поняли, что не только мастерски штампуем IT-продукты. У нас еще и очень сильная PR-команда, которая отлично понимает все репутационные риски атак на IT-инфраструктуру. В такие кризисные моменты пиарщики пострадавших компаний зачастую принимают далеко не самые верные решения, потому что сами не понимают, что произошло и что с этим дальше делать. Вместо того, чтобы минимизировать потери, они их усугубляют некорректными заявлениями или, наоборот, игрой в молчанку. KACIC – это набор антикризисных коммуникационных инструментов. Предупреждён — вооружён!

Следующий прорыв я ожидаю в транспортной кибербезопасности (об авто-будущем как раз совсем недавно рассуждал здесь) и защиты IoT девайсов. Мы много сил и средств вкладываем в это направление. Мир переживает новый виток промышленной революции. Стремительно растёт IoT рынок, меняя каждую отрасль экономики: производство, сельское хозяйство, городскую инфраструктуру, торговлю, транспорт и многое другое. В последнее время я много говорю о «кибериммунитете», который должен прийти на смену «кибербезопасности». Для этого защитный слой должен стоять в основе системной архитектуры, а не надстраиваться сверху, как это происходит сейчас. И мы уже научились это делать для IoT гаджетов. Дальше — больше!

Автобудущее сегодня.

Поскольку совсем недавно я потрогал авто-спортивную тему предстоящего сезона Формулы-1, то снова захотелось поговорить об авто и о будущем. Об авто-будущем, которое не далёкий для многих автоспорт, а о том самом о чень близком будущем, которое коснётся каждого и откроет новую страницу в ~350-летней истории автомобиля. Да, да, и вашего автомобиля тоже (или же ваших автомобилей, если их несколько).

Читая недавние знаковые заголовки у меня слетает шляпа (почти (с) из Чехова) -> «Калифорния легализует тестирование беспилотных автомобилей», «Беспилотные самосвалы Вольво обслуживают рудник» (кстати, интересная сервисная бизнес-модель!), «Беспилотный КАМАЗ идёт в серию!» «Cognitive Technologies превысила 99% в точности распознавания кадра«. Google, Яндекс, Baidu и неизвестно большое количество других компаний из разных сфер и стран разрабатывают свои беспилотные проекты. Конечно, заголовки иногда получаются не очень, но эти исключения лишь доказывают тенденцию.

Да только что сам лично совершенно недавно на заводе Barilla (кстати наш клиент) видел как автоматическая линия выдаёт тонны макароно-спагетти, как роботы раскладывают это по коробкам и пакуют в пачки, а потом авто-электро-кары отвозят их к грузовикам… которые пока ещё не автоматические. Но очень скоро будут. Кто-то сомневается?

А совсем недавно, всего-то в начале этого тысячелетия, в своих выступлениях я отвлечённо шутил «кто купит автомобиль, который ездит ровно с положенной скоростью?». (здесь я немного лукавлю… я говорил не об автономном авто, а об управляемом :)

Теперь совсем чуть-чуть авто-техно-политкорректного текста, без которого мои рассуждения могут быть безжаластно порезаны интернет-цензурой… ой, о чём я?

</нужный блок on>
Так вот: такой автомобиль уже почти здесь и сейчас. Завтра – везде. И скажу без тени сарказма – это офигительно. Потому что система, работающая чётко по правилам, не испытывает деградации производительности. Посему не только с положенной скоростью, но быстро, безопасно, комфортно, автоматически. Сначала выделенные магистрали только для автомобилей в беспилотном режиме, дальше – целые города и страны, совсем дальше… ну вы догадываетесь :) Чувствуете перспективы рынка апгрейда старых машин?
</нужный блок off>

А теперь моя мысль и пальцы на клавиатуре пойдут выдавать самое интересное, ради чего и создаются эти многобукв. Поехали ->

Дальше: светлое беспилотное будущее…