Архив тегов: technology

Если честно и откровенно, то с самого-самого начала моей нашей антивирусной деятельности мы я сразу поставил вполне себе всем нам достаточно амбициозную цель. Она была озвучена когда-то в 1992м году, когда мы с моим древне-давним другом-подельником Алексеем Николаевичем «Графом» Де-Мондериком стояли на остановке (где-то где Волоколамка мостом проходит над другой дорогой) и ждали трамвая номер 6 (к чему такие подробности? — да я и сам не знаю, просто всклерозилось). Так вот, глядя на мои тогдашние активности по поводу антивирусной темы – а я тогда впахивал по 12-14 часов в день («папанаработе» — так меня звали дети, а не просто «папа»). Так вот, глядя на это Граф спросил меня: а какая цель, зачем всё это и с таким упорством? Я ему ответил, что цель = сделать самый крутой в мире кибер-антивирус. Это было в 1992 году. Граф над этим хихикал, но работал. И оно получилось!

Как оно получалось? Тяжким трудом, изобретательством, да выживанием в те самые недобрые 199x-е года. Мы впахивали каждый по своему направлению. Я «долбал» новые вирусы, Граф кодил «морду» и редактор антивирусных баз, Вадим Богданов (джедай ассемблера) виртуозил разнообразный инструментарий для моих нужд. Да-да, нас в начале 90х было всего три человека! Потом четыре, затем пять… и – понеслось.

Но пора выруливать повествование в главное русло. Так какую я там цель поставил? Ага, самый крутой в природе антивирус. И тут вдруг случились самые первые в истории «антивирусные Олимпийские Игры». 1994 год, обширные тесты в Гамбургском университете. Победитель… Угадайте кто? :)

Да-да, с самого раннего начала – да! Мы сразу начали показывать самые лучшие результаты в различных независимых антивирусных тестах. Ура нам! (Граф, Андрей Крюков, я – слева направо).

// Режим «педант»: на самом деле были тестирования и ранее, но не «олимпийские», а по ограниченным сценариям. Как те или другие антивирусы детектят наиболее зловредных и поганых кибер-бацилл. Например, за месяц до упомянутого выше Гамбургского университета ICARO (Italian Computer Antivirus Research Organization — было такое) проводили тесты по паре супер-мутирующих вирусов. У нас, естественно, 100% детекта «живых» заражений. Само собой, оба виря были под MS-DOS, 16 бит, сейчас не актуальны совершенно.

Короче, с самого-самого начала своего существования наша команда, потом ставшая компанией – мы ставили перед собой амбициозную задачу: делать самый крутой антивирус в мире, с самым лучшим качеством защиты. Конечно, доверять заверениям вендоров пользователь никогда не спешил. Поэтому в параллели с развитием рынка антивирусов, появилась индустрия независимого тестирования этих самых антивирусных решений.

Но, начав участвовать вообще во всех тестах, мы столкнулись с неожиданной сложностью. Не секрет, что разные тестовые лаборатории используют разные методики тестирования и разные системы оценки, которые напрямую сравнивать сложно. Кроме того, всегда полезно ориентироваться на лучшие результаты в индустрии, в том числе и результаты конкурентов. Ведь полученный уровень детектирования или защиты в 99% можно трактовать как высокое достижение в случае сложных угроз, когда все конкуренты достигли кратно меньших результатов. Так и наоборот, этот результат может быть драматически низким показателем в случае, если большинство конкурентов показали 100%.

Именно поэтому внутри нашего подразделения по исследованию киберугроз начали применять агрегированную метрику под названием TOP3, которая объединила как абсолютные, так и относительные результаты во всех тестах для всех вендоров.

Дальше: Большой Зелёный Шар…

В прошлом посте о рабочей поездке в Челябинск я не просто так сказал «учиться на инженера», а с намёком. Поскольку теперь нужно рассказать о нашем сотрудничестве с Южно-Уральским Государственным Университетом (ЮУрГУ). Причём не только по нашим традиционным кибер-образовательным программам.

Университетские ребята из Челябинска настолько продвинуты, что самостоятельно нашли необходимые материалы по нашей иммунной операционной системе, сами всё изучили, сами набрали студентов и сделали три любопытных проекта. В частности: шлюз для обмена данными между подсетями по протолоку ModBus, автоматическая система формирования политик безопасности для контроля IPC (межпроцессного взаимодействия), модуль стеганографии для сокрытия обмена данных в промышленных устройствах. Всё на базе KasperskyOS и всё самостоятельно.

Увы, стыдно признаться — практически с нулевым нашим участием. Больше такого не повторится, мы будем помогать всем желающим материалами, специалистами, приглашениями на конференции и всем остальным, что ещё потребуется.

А в этом конкретном случае я решил ехать в Челябинск и лично сказать спасибо всем им и их руководителю Андрею Баринову. А также собрать мини-конференцию, где рассказать о делах наших скорбных (с) современных кибер-угрозах и как мы их будем успешно побеждать ->

Дальше: респект героям!…

28 января мир отмечал международный день защиты данных. Действительно есть что отметить. Цифровые данные – это валюта нового тысячелетия, аккумулированные знания о триллионах кликах и транзакций, золотое дно для крупных корпораций. На продаже этих кибер-ресурсов строятся многомиллиардные бизнесы, и их много.

Международные IT-компании зачастую имеют доступ к бóльшему объёму данных, чем государства и профильные ведомства. Тема исключительно важная, но – увы! – токсичная.

Само собой разумеется, что всяческих мошенников и нечистых на руку компаний было, есть и будет великое множество. Кибер-Паниковские, -Бендеры, -Рога-and-Копыта плодятся и размножаются поактивнее новомодного китайского вируса. Но есть и рецидивы у вполне уважаемых компаний, которые уже не один десяток лет на рынке. Но об этом чуть позже.

Сейчас же мне бы хотелось задать один простой вопрос, на который пока нет ответа в глобальном IT-пространстве. «Что такое хорошо и что такое плохо?» (с) Маяковский. Где грань между общечеловеческой моралью и бизнес-этикой? Где эта тонкая грань??

К сожалению, вопрос кибер-этики и кибер-морали остаётся понятием довольно размытым. Смею заверить вас, что с внедрением 5G и ростом вездесущих IoT девайсов наших данных с каждым годом будет собираться всё больше и больше.

Источник

Теперь подробнее. По пунктам. По самым главным и злободневным и весьма интересным вопросам.

Дальше: ахтунг!…

«Новый год к нам мчится» (с) и кристмасы всякие, все с ёлками и подарками, Дед-Морозами со Снегурочками и Санта-Клаусами с оленями. Детишки подарков ждут, письма с просьбами пишут… Так вот, те детишки, которые так долго просили у нас «сэндбокс-песочницу» в этот раз найдут подарок под ёлкой. Да-да, Дед Мороз внимательно прочитал всю-всю входящую почту и решил в уходящем году осчастливить всех новым решением для борьбы с продвинутыми атаками — Kaspersky Sandbox. И сейчас я по порядку всё расскажу.

В чем цимес технологии? В эмуляторе! Об эмуляторах я уже писал, кому интересно поподробнее разобраться тыц по ссылке. Если вкратце, это метод выявления угроз, при котором подозрительный файл запускается в виртуальной среде, имитирующей реальный компьютер. Поведение «подозреваемого» изучается в «песочнице» (sandbox) под лупой и при обнаружении опасных манёвров, объект изолируется от греха подальше для проведения дополнительных исследований.

Анализ подозрительных файлов виртуальной среде – технология не новая. Мы её использовали и для наших внутренних исследований и в крупных корпоративных проектах. Впрочем, это всегда была трудная, кропотливая работа, требующая постоянного совершенствования шаблонов опасных действий, оптимизаций и т.п. Но мы же на на месте стоять не любим! И этим летом получили патенты на технологию создания правильного окружения виртуальной машины для проведения скоростного и глубокого анализа подозрительных объектов. В этом блоге я уже рассказывал, что мы научились делать благодаря новым технологиям.

Именно эти технологии помогли нам запустить «песочницу» в качестве отдельного продукта, который теперь можно внедрить в инфраструктуру даже небольших компаний, причём для этого не потребуется продвинутая IT-служба. «Песочница» будет аккуратно и автоматически отбирать зёрна от плевел, точнее от кибератак всех мастей — шифровальщиков, эксплойтов нулевого дня и прочей гадости, и всё это — без привлечения аналитиков!

Для кого это особенно ценно? Для компаний без специализированного отдела; для малого и среднего бизнеса, который не готов выделять допресурсы на кибербезопасность; для крупных компаний с большим количеством разбросанных по городам и весям филиалов, где нет собственных айтишников; ну и компаниям, где штатные «безопасники» занимаются более критичными задачами.

Итого: быстрая обработка подозрительных объектов + снижение нагрузки на серверы + повышение скорости и эффективности реагирования на киберугрозы = очевидный профит! Полезный продукт на страже цифрового спокойствия для наших любимых клиентов!

P.S.: А те детишки, которые и в новом году будут вести себя хорошо и слушаться родителей, да не будут забывать письма с просьбами Дед-Морозу отправлять – те и в следующем году получат много новых и очень-очень полезных технологий. Честное слово! :)

Искренне ваш, Дед Мороз.

Всем привет!

Есть такая теория, что идеальный антивирус =
100% защита,
0% потребления ресурсов,
ноль вопросов пользователю.

Понятное дело, что мы живём в реальном имре, идеал недостижим. Но дотянуться до этого, конечно очень хочется: по первому параметру мы практически всегда были впереди планеты всей, по производительности последние лет 15 редко покидаем пятёрку лучших.

Остаётся третий пункт. По идее пользователь не должен никак общаться с продуктом. Всё должно работать автоматически правильно. Но ещё раз: это в идеале, а живём мы в реальном мире. Иногда пользователю требуется потыкать в красивые дизайнерские кнопки в продуманном и функциональном интерфейсе.

Интерфейсами продуктов у нас занимается отдельная команда. Они проектируют, рисуют, тестируют, допиливают, снова тестируют и снова допиливают тот самый GUI, который позволяет вам быстро и ненапряжно находить искомую кнопочку. Учитывая сложность продукта и наличие сотен разных пользовательских функций, запихнуть всё это многообразие в логичную и лаконичную форму оказывается ой какой нетривиальной задачей.

Впрочем, мы понимаем, что "на вкус и цвет все фломастеры разные" (c) а также "но акварель всё равно вкуснее" (c) :) Поэтому — трап-парам-пам-пам! — отличная новость для скиноделов: вы можете кастомизировать графическую оболочку продуктов вплоть до мельчайших элементов, чтобы было совсем "как надо"! Да хоть даже вот так :)

Инструкция с подробностями висит здесь. А если появятся вопросы или захочется поделиться опытом, то на нашем фан-клубе для скинов есть особый форум. Кстати, там же есть готовые графические оболочки от наших фан-клубовцев.

Так что, если вам вдруг будет нечего делать длинными ноябрьскими выходными – «заходите к нам на огонёк», присоединяйтесь к нашим гуёвщикам и скинологам :)

В конце прошлой недели мы провели первую специализированную конференцию «KasperskyOS Day» по нашей собственной безопасной иммунной Операционной Системе — ура! Мероприятие прошло скромно, без особого шика с фейерверками в подмосковном московском отеле Holiday Inn Vinogradovo, вот он на карте. Отель технически находится на территории Москвы, а за забором — Московская область :) Но несмотря на неяркий антураж и отсутствие пляжей с бассейнами, мероприятие прошло как мы любим — весело, активно, всем понравилось.

Коротко по цифрам: на двухдневную конференцию приехало 70 гостей из самых разных компаний, а шесть из них даже поставили свои стенды на нашей мини-выставке.

Дальше: с юмором и прилично…

Всем привет!

Как вы думаете, какой самый частый вопрос, который мне задают на интервью и пресс-конференциях? Отвечать на него у меня набилась оскомина ещё в далёкие 90-е, но потом как-то привык, начал импровизировать и насыщать эту историю новыми подробностями. И хотя ответ на этот вопрос прозвучал, наверное, уже во всех масс-медиа всех стран мира (а кое-где и по нескольку раз), его продолжают задавать. А мне уже даже стало приятно вспоминать те времена :)

Речь о том самом самом первом вирусе, который, волею судеб оказавшись на моём компьютере, сподвиг меня резко сменить траекторию профессионального развития, создать лучший в мире антивирус, вырастить одну из крупнейших частных компаний по кибербезопасности и ко многому чему другому. Это вирус Cascade.

https://www.youtube.com/watch?v=z7g-v3d7-Gk

Почему я вдруг вспомнил эту тему?

Очень просто — в 2019м году сему знаменательному событию отлова «Каскада» исполняется… 30 ЛЕТ! Иными словами — 30 лет моей профессиональной деятельности! Дааа, годовщина кругленькая, приятная (любопытно — а сколько топовых экспертов до сих пор на передовой?), а ещё она провоцирует на ностальгически-статистический анализ. А действительно ведь интересно посмотреть на развитие кибер-зловредства в максимальной исторической перспективе?

Дальше: восстанавливаем хронологию событий…

Прекрасно понимаю, что для 95% из вас этот текст совершенно бесполезен, но остальным 5% он может сильно упростить рабочие будни, рабочие выходные и рабочие праздничные дни. Иными словами, у нас есть прекрасная новость для спецов по кибербезопасности – сотрудников SOC, независимых исследователей и пытливых айтишников: инструменты, которыми ежедневно пользуются наши «дятлы» и GReAT, чтобы выдавать на гора лучший в мире ресёрч по киберугрозам, теперь доступен всем вам, причём бесплатно. Это лайт-версия нашего Threat Intelligence Portal, (сокращённо OpenTIP) – я про него здесь кратко расскажу, и вы не сможете не добавить его в закладки прямо сейчас.

OpenTIP решает две главные проблемы современного перегруженного кибербезопасника. А именно: «как выбрать, какой из сотни подозрительных файлов ковырять первым» и «окей, мой антивирус говорит, что файл чистый, – что делать дальше?».

В отличие от «классики в чёрном» — продуктов класса Endpoint Security, которые выдают чёткий вердикт вида «Чисто/Опасно», инструменты аналитиков, зашитые в Threat Intelligence Portal, дают детальную информацию о том, насколько файл подозрителен и в каких конкретно аспектах. Кстати, не только файл. Можно закидывать и просто хеш, IP-адрес или URL. Все эти артефакты будут быстро пропесочены нашим облаком и разложены на блюдечке – что найдено плохого, насколько зараза распространена, на какие известные угрозы это отдалённо похоже, какие инструменты использовались при создании, и так далее. Исполняемые файлы также запускаются в нашей запатентованной облачной «песочнице» – и через пару минут вы узнаёте, чем это кончилось.

Дальше: цель одна, но средства разные…

Внимательные и наблюдательные читатели моего блога знают, что иногда я рассказываю здесь о не самых очевидных наших успехах, но от этого не менее значимых – о наших патентах и как они помогают бороться с патентными троллями мировым злом. А сейчас и повод есть прекрасный!

Мы — первая российская компания, вошедшая в рейтинг Derwent Top 100 Global Innovators. Что за зверь этот рейтинг? Ежегодно независимая американская компания Clarivate Analytics выбирает самые инновационные компании в мире, ориентируясь на качество их патентных портфолио.

Дальше: неплохая тусовка!…

Шестую части франшизы «Миссия невыполнима» я не смотрел, и не просите. Я и пятую-то видел только раз в зомби-состоянии в очередных перелётах и только из-за того, что одну из сцен снимали в нашем британском офисе. Честно говоря — мне хватило. «Пиф-паф-трах-бах» — не мой жанр, у меня есть другие планы для свободного времени (которого обычно и так не хватает).

Единственный эпизод, который я всё же «проглотил» по настоятельной рекомендации коллег: хорошие парни элегантно вынуждают плохого парня сдать других плохих парней, создав ему подходящую обстановку (точнее — фейковый прямой эфир об атомном Армагеддоне). Вроде как допрос, но не совсем.

Почему именно этот эпизод?

Он удивительно доходчиво и наглядно раскрывает один из методов выявления… неизвестных кибератак! На самом деле таких методов много — они различаются по области применения, эффективности, ресурсоёмкости и прочим параметрам (в моём ЖЖ о них регулярно рассказывается — смотрите по тегу technology). Но, пожалуй, одна из самых долгоиграющих технологий — эмулятор (про него я уже много раз писал).

В точности, как в этом эпизоде из «Миссии», эмулятор запускает исследуемый объект в изолированной искусственной среде, вынуждая его проявлять вредоносность.

Но у такого подхода есть существенный недостаток: искусственность той самой среды. Эмулятор создаёт окружение, максимально приближенное к реальной операционной системе, вредоносы учатся его распознавать, эмулятор распознаёт, что его распознали :), и вот мы уже входим в бесконечный цикл борьбы меча и щита, который регулярно открывает окно уязвимости на защищённом компьютере. Фундаментальная же проблема заключается в том, что предел функциональности эмулятора стремится к реальной операционной системе, но никогда её не достигнет!

С другой стороны, есть ещё одно решение задачи поведенческого анализа подозрительных объектов — анализ в… реальной операционной системе! Что-о-о? Прямо на «боевом» компьютере? Нет — на виртуальной машине! Ведь технологически эмулятор не способен так же полно и точно эмулировать работу операционной системы по сравнению с настоящей ОС под виртуальной машиной. Идеальный «допрос» под полным прикрытием!

Дальше: лекарство против вредоносной спячки…