Архив тегов: technology

«Новый год к нам мчится» (с) и кристмасы всякие, все с ёлками и подарками, Дед-Морозами со Снегурочками и Санта-Клаусами с оленями. Детишки подарков ждут, письма с просьбами пишут… Так вот, те детишки, которые так долго просили у нас «сэндбокс-песочницу» в этот раз найдут подарок под ёлкой. Да-да, Дед Мороз внимательно прочитал всю-всю входящую почту и решил в уходящем году осчастливить всех новым решением для борьбы с продвинутыми атаками — Kaspersky Sandbox. И сейчас я по порядку всё расскажу.

В чем цимес технологии? В эмуляторе! Об эмуляторах я уже писал, кому интересно поподробнее разобраться тыц по ссылке. Если вкратце, это метод выявления угроз, при котором подозрительный файл запускается в виртуальной среде, имитирующей реальный компьютер. Поведение «подозреваемого» изучается в «песочнице» (sandbox) под лупой и при обнаружении опасных манёвров, объект изолируется от греха подальше для проведения дополнительных исследований.

Анализ подозрительных файлов виртуальной среде – технология не новая. Мы её использовали и для наших внутренних исследований и в крупных корпоративных проектах. Впрочем, это всегда была трудная, кропотливая работа, требующая постоянного совершенствования шаблонов опасных действий, оптимизаций и т.п. Но мы же на на месте стоять не любим! И этим летом получили патенты на технологию создания правильного окружения виртуальной машины для проведения скоростного и глубокого анализа подозрительных объектов. В этом блоге я уже рассказывал, что мы научились делать благодаря новым технологиям.

Именно эти технологии помогли нам запустить «песочницу» в качестве отдельного продукта, который теперь можно внедрить в инфраструктуру даже небольших компаний, причём для этого не потребуется продвинутая IT-служба. «Песочница» будет аккуратно и автоматически отбирать зёрна от плевел, точнее от кибератак всех мастей — шифровальщиков, эксплойтов нулевого дня и прочей гадости, и всё это — без привлечения аналитиков!

Для кого это особенно ценно? Для компаний без специализированного отдела; для малого и среднего бизнеса, который не готов выделять допресурсы на кибербезопасность; для крупных компаний с большим количеством разбросанных по городам и весям филиалов, где нет собственных айтишников; ну и компаниям, где штатные «безопасники» занимаются более критичными задачами.

Итого: быстрая обработка подозрительных объектов + снижение нагрузки на серверы + повышение скорости и эффективности реагирования на киберугрозы = очевидный профит! Полезный продукт на страже цифрового спокойствия для наших любимых клиентов!

P.S.: А те детишки, которые и в новом году будут вести себя хорошо и слушаться родителей, да не будут забывать письма с просьбами Дед-Морозу отправлять – те и в следующем году получат много новых и очень-очень полезных технологий. Честное слово! :)

Искренне ваш, Дед Мороз.

Всем привет!

Есть такая теория, что идеальный антивирус =
100% защита,
0% потребления ресурсов,
ноль вопросов пользователю.

Понятное дело, что мы живём в реальном имре, идеал недостижим. Но дотянуться до этого, конечно очень хочется: по первому параметру мы практически всегда были впереди планеты всей, по производительности последние лет 15 редко покидаем пятёрку лучших.

Остаётся третий пункт. По идее пользователь не должен никак общаться с продуктом. Всё должно работать автоматически правильно. Но ещё раз: это в идеале, а живём мы в реальном мире. Иногда пользователю требуется потыкать в красивые дизайнерские кнопки в продуманном и функциональном интерфейсе.

Интерфейсами продуктов у нас занимается отдельная команда. Они проектируют, рисуют, тестируют, допиливают, снова тестируют и снова допиливают тот самый GUI, который позволяет вам быстро и ненапряжно находить искомую кнопочку. Учитывая сложность продукта и наличие сотен разных пользовательских функций, запихнуть всё это многообразие в логичную и лаконичную форму оказывается ой какой нетривиальной задачей.

Впрочем, мы понимаем, что "на вкус и цвет все фломастеры разные" (c) а также "но акварель всё равно вкуснее" (c) :) Поэтому — трап-парам-пам-пам! — отличная новость для скиноделов: вы можете кастомизировать графическую оболочку продуктов вплоть до мельчайших элементов, чтобы было совсем "как надо"! Да хоть даже вот так :)

Инструкция с подробностями висит здесь. А если появятся вопросы или захочется поделиться опытом, то на нашем фан-клубе для скинов есть особый форум. Кстати, там же есть готовые графические оболочки от наших фан-клубовцев.

Так что, если вам вдруг будет нечего делать длинными ноябрьскими выходными – «заходите к нам на огонёк», присоединяйтесь к нашим гуёвщикам и скинологам :)

В конце прошлой недели мы провели первую специализированную конференцию «KasperskyOS Day» по нашей собственной безопасной иммунной Операционной Системе — ура! Мероприятие прошло скромно, без особого шика с фейерверками в подмосковном московском отеле Holiday Inn Vinogradovo, вот он на карте. Отель технически находится на территории Москвы, а за забором — Московская область :) Но несмотря на неяркий антураж и отсутствие пляжей с бассейнами, мероприятие прошло как мы любим — весело, активно, всем понравилось.

Коротко по цифрам: на двухдневную конференцию приехало 70 гостей из самых разных компаний, а шесть из них даже поставили свои стенды на нашей мини-выставке.

Дальше: с юмором и прилично…

Всем привет!

Как вы думаете, какой самый частый вопрос, который мне задают на интервью и пресс-конференциях? Отвечать на него у меня набилась оскомина ещё в далёкие 90-е, но потом как-то привык, начал импровизировать и насыщать эту историю новыми подробностями. И хотя ответ на этот вопрос прозвучал, наверное, уже во всех масс-медиа всех стран мира (а кое-где и по нескольку раз), его продолжают задавать. А мне уже даже стало приятно вспоминать те времена :)

Речь о том самом самом первом вирусе, который, волею судеб оказавшись на моём компьютере, сподвиг меня резко сменить траекторию профессионального развития, создать лучший в мире антивирус, вырастить одну из крупнейших частных компаний по кибербезопасности и ко многому чему другому. Это вирус Cascade.

Почему я вдруг вспомнил эту тему?

Очень просто — в 2019м году сему знаменательному событию отлова «Каскада» исполняется… 30 ЛЕТ! Иными словами — 30 лет моей профессиональной деятельности! Дааа, годовщина кругленькая, приятная (любопытно — а сколько топовых экспертов до сих пор на передовой?), а ещё она провоцирует на ностальгически-статистический анализ. А действительно ведь интересно посмотреть на развитие кибер-зловредства в максимальной исторической перспективе?

Дальше: восстанавливаем хронологию событий…

Прекрасно понимаю, что для 95% из вас этот текст совершенно бесполезен, но остальным 5% он может сильно упростить рабочие будни, рабочие выходные и рабочие праздничные дни. Иными словами, у нас есть прекрасная новость для спецов по кибербезопасности – сотрудников SOC, независимых исследователей и пытливых айтишников: инструменты, которыми ежедневно пользуются наши «дятлы» и GReAT, чтобы выдавать на гора лучший в мире ресёрч по киберугрозам, теперь доступен всем вам, причём бесплатно. Это лайт-версия нашего Threat Intelligence Portal, (сокращённо OpenTIP) – я про него здесь кратко расскажу, и вы не сможете не добавить его в закладки прямо сейчас.

OpenTIP решает две главные проблемы современного перегруженного кибербезопасника. А именно: «как выбрать, какой из сотни подозрительных файлов ковырять первым» и «окей, мой антивирус говорит, что файл чистый, – что делать дальше?».

В отличие от «классики в чёрном» — продуктов класса Endpoint Security, которые выдают чёткий вердикт вида «Чисто/Опасно», инструменты аналитиков, зашитые в Threat Intelligence Portal, дают детальную информацию о том, насколько файл подозрителен и в каких конкретно аспектах. Кстати, не только файл. Можно закидывать и просто хеш, IP-адрес или URL. Все эти артефакты будут быстро пропесочены нашим облаком и разложены на блюдечке – что найдено плохого, насколько зараза распространена, на какие известные угрозы это отдалённо похоже, какие инструменты использовались при создании, и так далее. Исполняемые файлы также запускаются в нашей запатентованной облачной «песочнице» – и через пару минут вы узнаёте, чем это кончилось.

Дальше: цель одна, но средства разные…

Внимательные и наблюдательные читатели моего блога знают, что иногда я рассказываю здесь о не самых очевидных наших успехах, но от этого не менее значимых – о наших патентах и как они помогают бороться с патентными троллями мировым злом. А сейчас и повод есть прекрасный!

Мы — первая российская компания, вошедшая в рейтинг Derwent Top 100 Global Innovators. Что за зверь этот рейтинг? Ежегодно независимая американская компания Clarivate Analytics выбирает самые инновационные компании в мире, ориентируясь на качество их патентных портфолио.

Дальше: неплохая тусовка!…

Шестую части франшизы «Миссия невыполнима» я не смотрел, и не просите. Я и пятую-то видел только раз в зомби-состоянии в очередных перелётах и только из-за того, что одну из сцен снимали в нашем британском офисе. Честно говоря — мне хватило. «Пиф-паф-трах-бах» — не мой жанр, у меня есть другие планы для свободного времени (которого обычно и так не хватает).

Единственный эпизод, который я всё же «проглотил» по настоятельной рекомендации коллег: хорошие парни элегантно вынуждают плохого парня сдать других плохих парней, создав ему подходящую обстановку (точнее — фейковый прямой эфир об атомном Армагеддоне). Вроде как допрос, но не совсем.

Почему именно этот эпизод?

Он удивительно доходчиво и наглядно раскрывает один из методов выявления… неизвестных кибератак! На самом деле таких методов много — они различаются по области применения, эффективности, ресурсоёмкости и прочим параметрам (в моём ЖЖ о них регулярно рассказывается — смотрите по тегу technology). Но, пожалуй, одна из самых долгоиграющих технологий — эмулятор (про него я уже много раз писал).

В точности, как в этом эпизоде из «Миссии», эмулятор запускает исследуемый объект в изолированной искусственной среде, вынуждая его проявлять вредоносность.

Но у такого подхода есть существенный недостаток: искусственность той самой среды. Эмулятор создаёт окружение, максимально приближенное к реальной операционной системе, вредоносы учатся его распознавать, эмулятор распознаёт, что его распознали :), и вот мы уже входим в бесконечный цикл борьбы меча и щита, который регулярно открывает окно уязвимости на защищённом компьютере. Фундаментальная же проблема заключается в том, что предел функциональности эмулятора стремится к реальной операционной системе, но никогда её не достигнет!

С другой стороны, есть ещё одно решение задачи поведенческого анализа подозрительных объектов — анализ в… реальной операционной системе! Что-о-о? Прямо на «боевом» компьютере? Нет — на виртуальной машине! Ведь технологически эмулятор не способен так же полно и точно эмулировать работу операционной системы по сравнению с настоящей ОС под виртуальной машиной. Идеальный «допрос» под полным прикрытием!

Дальше: лекарство против вредоносной спячки…

Вы, может, слышали, что в нашей компании неделю назад случились большие перемены. Так вот: на самом деле это неправда!

Перемены у нас накопились давно. Мы меняемся постоянно (точно к лучшему!) и в самых разных измерениях уже почти 22 года. Так что «вперёд в будущее» — далеко не вчера родилось. Думать о будущем — это, можно сказать, наша профессия.

Ну, хорошо, одна из нескольких профессий. Всё просто.

Если сегодня мы не поймём (и не изменим в нужную сторону!) вектор развития технологий, то завтра ничего хорошего нам не светит. И это вовсе не потому, что наши продукты тогда никто не купит. Может и покупать будет некому…

Шутка :)

На самом деле я уверен, что всё будет хорошо. Технологии меняют мир к лучшему. Да, новые возможности идут в комплекте с новыми рисками. Но по-другому и не бывает.

Так вот, наша работа как раз состоит в том, чтобы эти риски осознать, выловить и предотвратить. Иначе защита будет плестись за атакой, а это уже никакая не защита, а дырка от бублика. В нашей индустрии нужно иметь дар предвидеть, что на уме у кибер-негодяев, и заблаговременно расставить капканы. Собственно, именно эта способность всегда и отличала нас от конкурентов. Помните NotPetya — одну из самых громких глобальных эпидемий последних лет? Мы ловили эту гадость проактивно — без каких-либо обновлений и плясок с бубнами.

В общем, со временем нам настолько понравилось смотреть в будущее, что два года назад мы запустили новый соцмедийный проект Земля 2050.

Чем проект хорош? Тем, что это совершенно открытая площадка. Простите за модное слово — краудсорсинговая. Любой человек — будь он министр или дворник — может поделиться собственным видением будущего самых разных направлений. Написать свой прогноз, если умеешь писать. Нарисовать будущее — если умеешь рисовать. На худой конец, полайкать и откомментировать чужие творения :)

Дальше: фосфаты захватили планету!…

Вы задавали себе вопрос, почему компьютерные вирусы назвали именно «вирусами»? Вопрос на самом деле риторический, но если для кого-то это не очевидно, то в нашей энциклопедии есть краткий и исчерпывающий ответ.

Эту подводку я использую с другой целью: а почему до сих пор всю компьютерную гадость многие так и называют «вирусами», хотя вирусов как таковых уже надцать лет не было замечено в «дикой цифровой природе»?

Дело в том, что по сей день технологии компьютерной безопасности вызывают ну уж очень сильные ассоциации с людьми в белых скафандрах, карантином, пробирками и прочей атрибутикой изучения микробиологических глубин мира. Именно так: вирусы уже давно повывелись, но методы их анализа и разработки защиты остались, развились и очень даже хорошо показывают себя в борьбе с современными вредоносами. Например, эмулятор.

Вкратце, эмулятор — это метод выявления неизвестных угроз, при котором подозрительный файл запускается в виртуальном пространстве, имитирующем реальный компьютер. Антивирус* смотрит за поведением файла «на лету» и при обнаружении опасных действий изолирует его от греха подальше для проведения дополнительных исследований.

Читать далее…

Когда-то давно байты были маленькими, деревья были большими, у нас в хозяйстве водилась одна довольно громкая свинья. Как её звали — неизвестно. Но визжала она постоянно, прилюдно и повсеместно. Пользователи со стажем наверняка поняли, о чём это я. Для остальных расшифрую. В далёкие кибер-ископаемые 90-е мы добавили к продукту фишку: когда наш антивирус детектил (ловил) очередной вирус, то продукт громко визжал свиньёй. То есть, если что-то было не так, то «антивирус имени меня» прокручивал по звуку запись визга свиньи. Помните такое?

Визг прижился, его любили … и ненавидели. Про него было рассказано много историй (да и до сих пор рассказывают).

Источник

Но время идёт, всё меняется, короче, мы от поросячьего визга отказались. Да заодно иконку в трее поменяли на более современную и понятную.

Так вот, у любой хорошей компании есть круг преданнных фанатов, и мы не исключение. Не раз я получал письма и сообщения с заголовками: «Верни свинью!», «Где значок К?» и т.п. (особенно на нашем фанклубе, где тусуются многие наши фанаты).

Мы почесали затылки и решили: что нам, жалко что ли?! Мы слышим глас народа! Пусть наш фирменный визг визжит и дальше! И поскольку в виртуальном мире есть возможность довольно просто кастомизировать продукты, то готовы порадовать наших пользователей-старожилов и хрюшечных неофитов.

В одном из последних обновлений персональных продуктов был добавлен автопатч (19.0.0.1088(e)) под внутренним кодовым названием «К-иконка и свинья». Ностальгирующие могут теперь вернуть старую добрую букву «К» вместо текущей иконки и снова вздрагивать от мелодичного крика свинки во всей линейке персональных продуктов  — KFA, KAV, KIS, KTS, KSC (и даже в KSOS PC/FS!).

Внимание! Замена иконки и свино-звуко-сопровождения никак не влияет на качество работы наших продуктов.

Инструкцию по включению звука прилагаю:

1. Убедитесь, что у вас обновление 19.0.0.1088(e) или выше; настройки продукта по умолчанию;
2. Убедитесь, что у вас Windows 7 или старше;
3. Кликаем на иконку продукта в панели задач, открываем окно «О продукте» («About») и устанавливаем на нём фокус;
4. Заглавными буквами в английской раскладке набираем IDKFA;
5. Пробуем в браузере скачать EICAR TEST FILE;
6. Файл не скачается (в браузере будет наша заглушка) — вместо этого вы услышите то самое «хрю-хрю»
7. Ещё способ: временно приостановите защиту. Бинго!

Поменять иконку можно аналогично описанной выше процедуре, но набрать надо IDDQD. Если набрать повторно, тогда вернётся стандартная иконка.

Для тех, кто не в курсе, что это за коды IDDQD и IDKFA, тыц сюда.

Ну, хрю-хрю три раза, фанаты! :)

P.S. Кстати пару лет назад сняли НЕдокументальную короткометражку «Как Касперский звук свиньи придумал».

P.P.S. Историй с визгом свиньи было ой как много. Если что своё вспомните – рассказывайте в комментах.