Перефразирую известный философский постулат: «профессия определяет бытие или бытие определяет профессию?». Рассказывают, что заруба по поводу ответа на этот (точнее, оригинальный) вопрос в философских кругах идёт уже полторы сотни лет, а с изобретением интернетов и в широких народных массах, регулярно охватывая неистовым холиваром разные слои сетевого населения в неожиданных концах мира. Я не претендую на поддержку какой-либо стороны, но хочу свидетельствовать личным опытом в пользу дуализма профессии и бытия, которые влияют друг на друга взаимно, многогранно и постоянно.

В конце далёких 80-е компьютерная вирусология возникла как ответ на распространение вредоносных программ. Через 30+ лет вирусология эволюционировала (точнее, слилась в экстазе с другими смежными отраслями) в индустрию кибербезопасности и зачастую диктует развитие бытия IT – в условиях конкуренции выживает технология с лучшей защитой.

За 30 лет как только нас не обзывали: санитары леса, патологоанатомы, бактериологический кордон… ассенизаторами тоже приходилось :) Но лучше всего, имхо, специфику нашей профессии и её связь с бытием на данном этапе характеризует мем «киберпалеонтолог».

Действительно, индустрия научилась бороться с массовыми эпидемиями: проактивно (как мы защитили пользователей от крупнейших эпидемий последних дцати лет Wannacry и ExPetr) или реактивно (при помощи облачного анализа и быстрой рассылки обновлений) — не суть разница. А вот с точечными, целевыми кибератаками пока что не очень: по технической зрелости и ресурсам с ними справляются единицы, а по принципиальной позиции разоблачать всех кибернегодяев вне зависимости от происхождения и целей воля есть, пожалуй, только у нас. И это немудрено – иметь такую волю дорого стОит, это непростая позиция в современном геополитическом шторме, но наш опыт показывает, что это правильная позиция — пользователь голосует за неё кошельком .

Кибершпионская операция – очень долгий, дорогостоящий и высокотехнологический проект. Разумеется, авторы таких операций сильно расстраиваются, когда их палят и есть мнение, что они пытаются устранить неугодных разработчиков разными грязными методами через манипуляции СМИ.

Но есть и другие мнения «откуда ноги растут», в том числе:

Впрочем, я отвлёкся.

Дальше: аутсорсинг киберпалеонтологических функций…

Сегодня разбираем свежие и знаковые новости кибербезопасности, и на повестке дня у нас угрозы от маленького устройства, с которым многие не расстаются даже в постели.

Каждый второй, если не каждый первый сейчас доверяет ой-как-много своему смартфону — банковские операции, доступ к важным рабочим и личным документам, переписку в мессенджерах порой с теми деталями, которые не очень-то хочется надо кому-то ещё показывать. Да вы сами всё знаете! Но как в старой поговорке – пока гром не грянет, мужик не перекрестится.

В конце августа наблюдался резкий рост распространения андройдного троянца Asacub, который бил по известной человеческой слабости – любопытству. Троян рассылал смс-ки типа: «Серёжа, и тебе не стыдно после этого?! (ссылка)» или «Серёга, тебе пришло MMS-сообщение от Васи: (ссылка)». Серёга чесал репу, удивлялся, что ж там за фото, кликал по ссылке, загружал приложение, а дальше невольно, веером заражал всю свою записную книжку, обращаясь к новым жертвам по имени записанному в своих же контактах. Хитрая малвара может ещё, например, читать входящие смс и отсылать их содержимое злоумышленникам или отправлять сообщения с указанным текстом на указанный номер. А возможность перехватывать и отправлять смс-ки позволяет авторам трояна, в том числе, переводить деньги с банковской карты жертвы, если эта карта привязана к ее номеру телефона. Ну, и счёт за отправку смс по всей адресной книге может быть очень нехилым.

Как себя обезопасить? 1. Не ходить по подозрительным ссылкам; 2. Внимательно проверять, какие права запрашивает скаченное приложение; 3. Ну, и самый очевидный и простой шаг — установить надёжную защиту для смартфона.

Картинки к этому выпуску не простые, а специально для нас нарисованные Васей Ложкиным, чьё творчество я давно люблю. Наслаждайтесь!

А вот ссылочка специально для тех, кто прочитал про Asacub и подумал: «Хорошо, что у меня айфон»:

Дальше: и ещё одна…

Вот и лето прошло. Но не у всех, в отличии от меня, его последний месяц прошёл на диване с гипсом. Вот наши ребята, например, снова напали на след группировки Lazarus из Северной Кореи. Это те, которые (среди прочих преступлений) увели 81млн долларов у Центрального банка Бангладеш. Хотели в десять раз больше, но с английской грамматикой не дружили. Теперь мошенники нацелились на лакомый рынок криптовалюты, запустив зловред в корпоративные сети криптовалютных бирж. Как часто бывает, сработал человеческий фактор. Подробнее про операцию Applejeus можно почитать тут.

Наряду с рубриками про удивительный мир «умных» кофеварок и дырявых роутеров пора вводить новую про убегающие данные. Что ни неделя, то новый взлом, утечка и т.п. Вот и на прошлой неделе пришла новость о похищении данных 2 миллионов пользователей мобильного оператора T-Mobile. Преступники получили целый набор полезностей: имена пользователей, почтовые адреса, номера телефонов, почтовые индексы и доступ к зашифрованным паролям. Это уже не первый взлом T-Mobile, что говорит о том, что даже такие большие гиганты не гарантируют своим клиентам стопроцентную безопасность данных.

Дальше: как избежать гиперопеки…

Народные сказки давно развенчали миф о неуязвимости мировой злодейской закулисы (а мы вот уже больше 20 лет развенчиваем этот миф в киберпространстве). У каждого Кощея Бессмертного найдётся игла, которая в яйце, которое в утке, которая в зайце, который… ну, дальше вы знаете. При этом успех борьбы с любым злодейством – сказочным или виртуальным – зависит от двух главных качеств: настойчивости и ума (читай технологий). Сегодня я расскажу, как настойчивость и ум, а также нейросети, машинное обучение, облачная безопасность и экспертные знания в наших продуктах позволяют защитить от киберугроз, которые могут появиться в будущем.

На самом деле про технологии защиты от будущих киберугроз здесь уже было, неоднократно, очень неоднократно и даже в шутку. Вы спросите – что это мы так зациклились на них?

Потому что именно эти технологии отличают хорошую защиту от фейкового артифишл интелидженса и продуктов на краденном детекте. Распознать последовательность кода по известной сигнатуре, уже после того, как зловред проник в систему и напакостил пользователю – это нафиг никому не нужно. Как говорится «мёртвому припарки».

А вот предугадать образ мыслей кибернегодяев, оценить, в какие уязвимости их понесёт, и расставить невидимые сети, способные автоматически, сразу и наповал обнаружить атаку – вот это, увы, в нашей индустрии под силу немногим. А посмотреть на независимые тесты – так вообще единицам. И случай с WannaCry, крупнейшей эпидемией десятилетия, тому наглядный пример: благодаря технологии System Watcher наши продукты защитили пользователей от этой кибератаки проактивно.

И что самое важное: технологий защиты от будущих киберугроз много не бывает. Накрыть, скажем, эмулятором или экспертной системой анализа Big Data все возможные векторы угроз невозможно. Невидимые сети должны по максимуму накрывать все уровни и каналы, учитывать всю активность объектов в системе, чтобы уж точно ничто и никак. Причём делать это с минимальным потреблением ресурсов, нулевыми «фалсами», и стопроцентной совместимостью с другими приложениями во избежание «синьки».

Да и зловредостроение тоже не стоит на месте: кибернегодяи научили (и продолжают учить) свои поделки эффективно скрываться в системе: изменять структуру и поведение, вести «неторопливую» вредоносную активность (практически не используя вычислительных ресурсов, работать по расписанию, не начинать вредоносную активность сразу после внедрения на компьютере жертвы и так далее), глубоко внедряться в систему, удалять следы активности, использовать «чистые» и практически «чистые» методы. Но если есть Кощей, то есть и игла, вопрос — как её найти?

Для защиты от продвинутых кибератак несколько лет назад в арсенал проактивных технологий защиты наши продукты приняли на вооружение интересное изобретение (патент RU2654151). При помощи обучаемой модели поведения объектов изобретение позволяет с высокой точностью выявлять подозрительные аномалии в системе, локализовывать источник и предотвращать вредоносную активность даже самых «осторожных» зловредов.

Как это работает?

Дальше: по невидимым следам…

В чём секрет успеха компании?

Этот вопрос мне задают периодически, регулярно и в разных вариациях. Простого ответа на него, конечно же, нет и быть не может. Формула «как сделать максимально много и чтобы получилось хорошо» — она не бывает простой. Ну, наверное, за исключением мега-выигрыша в лотерею или внезапно свалившегося миллионного наследства. Но это не мой случай. У нас успех сложился из многих факторов, в основном – технологических. И сейчас я расскажу про одну из самых основных/базовых технологий, которая помогает нам уже много лет создавать прорывные продукты самых разных категорий, которые при этом гарантируют высочайший уровень защиты от всевозможных кибер-вредоносных угроз.

Краткое изложение последующих рассказов =>

Эта технология называется «Прага».

Почему так? – очень просто.

Она была придумана в городе Прага, где мы однажды весной 1998-го года собрались небольшой компанией попить пива и поесть чешских вкусностей подумать о перспективной архитектуре наших будущих продуктов. «Пражские посиделки» оказались чрезвычайно успешными — в результате была синтезирована новая компонентная технология, которая до сих пор продолжает эволюционировать и является «скелетом» практически всех наших продуктов. Более того, на эту «Единую Компонентную Архитектуру» (кратко «ЕКА») поглядывают и другие компании, которые столкнулись с проблемой «разноязыких» проектов и разработок, а такое случается частенько – особенно когда на сложном проекте работают независимые (или частично независимые) команды, а иногда даже компании. Или же они сливаются вместе в результате поглощений.

Если кратко, то «Единая Компонентная Архитектура», связывающая воедино самые разнообразные продукты на всевозможных платформах (операционках) выросла из относительно небольшого технологического проекта «Прага». О чём я сейчас и расскажу подробнее.

Дальше: пражские посиделки…

Кто догадается, что это такое?

Это не кликбейтерский риторический вопрос :) Догадаться можно, если внимательно присмотреться к чёрному полотну. Ну, а у кого разрешение, глубина цвета и другие параметры монитора, а также встроенная любознательность не позволяют решать головоломки с цветовыми намёками скажу сразу… под катом…

Дальше: и вот зачем…

У меня для вас новый обзор новостей из мира кибербезопасности.

Начнём с двойных стандартов.

Гендиректор компании FireEye Кевин Мандиа на форуме по кибербезопасности выступил с интересным заявлением. Мол, малвара, от «Пяти глаз» (альянс разведок США, Великобритании, Новой Зеландии, Австралии и Канады) – это уже и не малвара вовсе, это «nice malware», то есть буквально – «хороший зловред».

Вот такие оксюмороны живут нынче в мире кибербезопасности!

То есть некоторые вредоносы бывают «хорошими», а некоторые, очевидно, не очень. В зависимости от страны происхождения. Удивительно! Не само по себе удивительно, а крайне странно слышать такое от руководителя компании, которая разрабатывает защитное ПО.

Я молчу, что в целом в рамках курса истории последнего столетия такая диалектика ни к чему хорошему не приводила. А вообще любая малвара – это бумеранг, который рано или поздно прилетает обратно (привет, WannaCry, NotPetya, Stuxnet и им подобным). Если не детектировать и не расследовать какой-то определённый тип малвары по территориальному признаку, то потом твоим же заказчикам прилетит от тех, кто сумел раздобыть и использовать технологии этой малвары. Именно так, например, Stuxnet «прилетел» в энергетическую компанию Chevron.

Для нас нет, не было и не будет оправданий кибератакам, вне зависимости от того, кто является их разработчиком. Нам, на самом деле, вообще фиолетово кто разработчик. И мы будем продолжать защищать от всех угроз, включая «nice malware», пользуясь термином Мандиа. Мы первые рассказываем про малвару, говорящую по-русски, по-китайски, по-английски, по-всякому. Наши пользователи спят лучше всех :)

Дальше: от политики к футболу…

Пожалуй, в индустрии кибербезопасности нет компании, наевшейся медийного вранья больше, чем мы. Почти 4 года как по команде некоторые американские СМИ накладывают в уши публике невероятные истории о киберзаговоре спецслужбистов-банщиков с вашим покорным слугой во главе против «свободного мира».

Эти истории лепятся по шаблону – их архитектура и риторика похожи как две капли воды:

• Слив спецслужбами «шокирующих подробностей» о [нужное вписать] в узкий круг изданий,
• искажение реальности по принципу Парето (80% правда, 20% вранья, результат – чудовищная ложь),
• отсутствие доказательств противоправного поведения, апелляция к анонимным источникам и некомпетентным лицам,
• обоснование этими медийными историями политических решений (пруф).

Вот такая получается «медиакратия» с «фейкньюсом» в главной роли для создания образа врага и управления общественным мнением.

Насколько медиакратия эффективна, настолько она и заразна — увы, её запах сейчас можно слышать по всему миру. Недавно она «накрыла» (простите за двусмысленность) Голландию.

3 февраля крупнейшая газета страны De Telegraaf публикует сенсационную статью о хакерше (или «хакерессе»?), в прямом эфире заявившей о головокружительном взломе нашего голландского офиса и обнаружении там ужасных ужасов, доказывающих всё-всё.

Ну, как бы, дальше у хакерши выбор был невелик – штраф за клевету или в тюрьму за несанкционированный доступ. Второе исключалось – внутреннее расследование показало, что никакого взлома не было. Однако дальнейшее развитие событий увело эту вилку совсем в другую сторону.

Оказывается, хакерша никому ничего подобного не говорила! Журналисты опубликовали сфабрикованные данные, что подтверждено свидетельством хакерши под присягой, другим свидетелем, а также заверенными записями телефонных разговоров и электронной перепиской.

Дальше – больше.

Дальше ой как больше…

Дамы и господа, мальчики и девочки.

В недавне прошедшую пятницу наш московский офис с деловым визитом посетил Глава киберадминистрации Китая Сюй Линь.

Мы в Китае работаем уже очень давно, уже лет 15. За это время мы с нуля добились заметного присутствия на рынке, у нас весьма узнаваемый бренд Ка-Ба-Си-Джи (как правильно называться в Китае — это отдельная история), у нас хорошие контакты на высшем уровне. Встречи с китайскими регуляторами мы проводим регулярно (вот такой каламбур получился), чаще в Пекине. Нас приглашают на гос-конференции, например, в Вужене, теперь вот встретились и поговорили в Москве тоже.

Дальше: всем гунзо!…

В вещах меня всегда и в первую очередь интересует их сущность и функциональность. Мне безразлична упаковка, рекламные слоганы, статусность и прочая суррогатная мишура, которая заслоняет сущность продукта. «Шашечки» — второстепенное, главное – «ехать», причём ехать быстро, комфортно, оптимально, в рамках закона, морали и этики.

Бывает берёшь потестировать новый гламурный «антивирус нового поколения», а там под капотом фейковый артифишл интелидженс, краденый детект и дырявая защита. Одним словом, плацебо. А чтобы не стать жертвой развесистой маркетинговой клюквы нужно самому поднять капот и разобраться, как оно работает и работает ли вообще.

Разумеется, не каждый осилит техническую документацию, чтобы понять особенности киберзащиты. Случается, что разработчик и там умудряется вешать лапшу на уши. Нам же опасаться нечего, наоборот – мы годимся своими технологиями, открыто публикуем их подробности и считаем, что понять их может каждый. Поэтому 7 лет назад здесь в блоге появился специальный тэг для постов, где простым языком рассказывается о сложных технических фичах. Фичах, которые не видно «невооружённым глазом», но именно они и есть настоящая сущность киберзащиты.

Сегодня в прицеле рубрики – загадка: каким образом банки распознают взлом вашего банковского счёта?

Дальше: технологии — это круто!…