Заметки, комментарии и размышления Евгения Касперского - Официальный блог
2 сентября, 2014
У нас есть традиция: каждый год в конце лета мы выпускаем новую версию домашних продуктов. Ага, на дворе осень! Значит самое время на пальцах, доходчиво, от первого лица :) рассказать о самых вкусных фичах 2015й версии, точнее – о последних пакостях кибер-негодяев, которые мы успешно накрыли.
Ну, поехали!
Что нового в Kaspersky Internet Security 2015? Информация из 1 рук @e_kaspersky_ruTweet
17 марта, 2014
Интернет принёс в нашу жизнь много разных полезных, точных и просто приятных слуху сетевых неологизмов. Их – море: лайкнуть, твитнуть, зафрендить, чекин, селфи…
Увы, помимо позитивных глаголов и существительных наш словарь был вынужден «обогатиться» и словами для явлений и вещей вредных и опасных. Одно из низ – «фрод», от английского «fraud», то бишь «обман», «мошенничество». Как вы догадались – речь об Интернет-мошенничестве.
Вот про это и поговорим. Вернее, как с этой нечистью бороться.
Кто страдает от фрода?
Пользователи? А вот и нет — не только они. Основное бремя расходов за онлайн фрод несут на себе банки, ритейлеры и вообще любой бизнес, хоть как-то связанный с онлайн-платежами.
А что пользователь? Пользователь написал заявление в банк, что с его счёта в неизвестном направлении неизвестными лицами ушли деньги, а дальше система разбирается — кто и сколько будет платить. И в большинстве случаев платит именно система – возвращают деньги или открывают кредиты на покупку товаров. В 2012 г. только в США прямой ущерб от онлайн фрода составил $3,5 млрд., т.е. около 24 млн. онлайн-заказов оказались мошенничеством и почти в 3 раза больше заказов было отклонено при оформлении из-за подозрений.
И теперь для решения этой проблемы и «на радость» кибер-негодяям в нашем арсенале есть подходящий инструмент – KFP.
Кратко: KFP создаёт безопасную среду для операций в онлайне и защищает от кражи доступа в онлайн-банкинг, перехвата транзакций, обхода многофакторной аутентификации и многих других видов изощрённых сетевых безобразий. Не требует от пользователя каких-то супер-познаний, не задаёт умных вопросов, работает тихо и чётко и на всех популярных платформах, включая мобильные операционки.
3 февраля, 2014
Как 100%-но вычислить зловреда в дремучих джунглях операционной системы? Особенно, когда эту гадость раньше никто не видел, её «IQ» зашкаливает и она уже в компьютере?
НИКАК.
Действительно найти черную кошку в тёмной комнате, при условии, что она там точно есть, смогут немногие спецы и вручную. Но автоматическими и продуктовыми средствами можно попытаться это сделать и с некоторой долей вероятности навести на след заражения. Вот только классическими сигнатурами и файловым сканером эту задачку никак не решить.
Выход – планомерное интеллектуальное развитие антивируса в направлении мега-мозга, анализирующего сигналы от десятков сенсоров, встроенных в операционную систему. Вот такой всеобъемлющий и системный взгляд и отличает гадание на кофейной гуще от научно обоснованного и практически воплощённого подхода к проактивной защите. А помимо общего врага эти сенсоры объединяет и общий инструментарий – практически в каждом используются эвристические методы анализа.
Эвристика в вирусологии прописалась уже лет 20 назад, а смысл её состоит в следующем.
20 ноября, 2013
Бабах!! Ещё одна торпеда, пущенная кибер-негодяями в офисное пространство Микрософт увязла в нашей цепкой защите.
А именно: недавно была обнаружена вроде обычная себе атака — при открытии документов Word незаметно для пользователя в систему внедрялся вредоносный код. Вряд ли это событие добралось до заголовков, кабы не одно обстоятельство: это была атака класса «зеродей» – использовалась ранее неизвестная уязвимость в MS Office, для которой нет «заплатки», при этом большинство антивирусов тоже в упор не видели угрозу. А мы отработали на «отлично»!
Да! – технология автоматической защиты от эксплойтов (AEP – Automatic Exploit Prevention) вычислила аномальное поведение и проактивно блокировала атаку. Никаких обновлений и ожиданий. Сразу и наповал.
С «зиродеями» можно и нужно бороться. Это самое острие атак кибер-атак – зачем нужен антивирус, который работает исключительно сигнатурами, а от будущих угроз защищает только на бумаге (пусть очень красивой бумаге)? Ну, да, разработка таких технологий требует мозгов и инвестиций. Не каждый вендор первое имеет, а второе может себе это позволить. Это не детект у соседа тырить, ага..
Вообще, мы всегда считали, что в IT-секъюрити нельзя жить сегодняшним днём – нужно постоянно заглядывать за горизонт и предвидеть поворот мысли кибер-негодяев. Потому «проактивка» была у нас на повестке дня с бородатых 90-х – среди прочего мы тогда отличились разработкой эвристика и эмулятора. Технологии оттачивались, прокачивались и изобретались, и вот, где-то 2,5 года назад, фичи для защиты от эксплуатации известных и неизвестных уязвимостей были объединены под зонтиком AEP. И очень вовремя! С его помощью мы впоследствии проактивно накрыли целый зоопарк целевых атак, в том числе Red October, MiniDuke и Icefog.Тогда же случился всплеск нездорового интереса к Java и AEP снова оказался кстати. И одну из первых скрипок здесь играл модуль Java2SW для детекта атак через Java.
О нём сейчас и пойдёт речь.
Программный ландшафт типичного компьютера напоминает лоскутное одеяло с кучей заплаток и не меньшим количеством дыр. После выпуска каждого продукта в нём регулярно находятся уязвимости (чем популярнее продукт, тем чаще и больше) и вендоры их регулярно же латают, выпуская «патчи». Но#1: вендоры выпускают «патчи» не сразу — кое-кто, бывает, ковыряет в носу месяцами. Но#2: большинство пользователей всё равно, пардон, забивает на установку этих «патчей» и продолжают работать на дырявом софте. Зато#1: практически на каждом компьютере есть… антивирус!
Тут на сцену выходит тот самый Java2SW, который в Java домене убивает сразу двух зайцев.
Вообще, с точки зрения безопасности архитектура Java достаточно продвинутая. Каждая программа выполняется в изолированном пространстве (JVM – Java Virtual Machine), под присмотром секюрити-агента. Увы, Java пала жертвой популярности – какой бы защищённой ни была система, рано или поздно (пропорционально популярности) в ней найдутся уязвимости. К этому должен быть готов каждый вендор — своевременно развивать технологии противодействия, скорость реакции и обучать пользователей. У Oracle это как-то не очень получилось. Не получилось настолько не очень, что пользователи начали массово удалять Java с компьютеров даже несмотря на ограничения при просмотре сайтов.
Судите сами: количество обнаруженных уязвимостей в Java в 2010г. – 52, 2011г. – 59, 2012г. – 60, 2013г. – уже 180 (год продолжается!). А число атак на Java росло по вот такой грустной кривой:
10 октября, 2013
Ах, если бы только найти индивида! Уж я так устрою, что он свои деньги мне сам принесёт, на блюдечке с голубой каёмкой.
Клиента надо приучить к мысли, что ему придётся отдать деньги. Его надо морально разоружить, подавить в нем реакционные собственнические инстинкты.
(с) Остап Сулейман Берта Мария Бендер-Бей
Сомневаюсь, что современные кибер-негодяи учились своим приёмчикам у этого идейного борца за денежные знаки. Однако параллель налицо – так и никак иначе, по формуле «на блюдечке с голубой каёмочкой» потрошат кошельки граждан блокеры — особый и весьма подленький вид компьютерных зловредов. И в новой версии KIS 2014 мы им подготовили особый сюрприз.
Матчасть блокеров достаточно проста.
Всеми доступными способами (например, через уязвимости в приложениях) на компьютер жертвы внедряется вредоносная программа, которая внезапно выводит на экран картинку и блокирует как рабочий стол компьютера, так и окна всех остальных программ. Разблокировка возможна (ну, была возможна – подробности ниже) с помощью специального кода, который можно получить у мошенников. Ага, за деньги – с оплатой как у взрослых мальчиков через premium SMS номера и электронные деньги. А покамест, что бы пользователь не делал (в том числе CTRL+ALT+DEL), какие бы приложения не вызывал (в т.ч. антивирусы) – всё равно он будет видеть примерно вот такую гадость:
25 сентября, 2013
Что ещё нового-интересного под капотом свежего KIS 2014?
ZETA Shield – антивирусный спецмикроскоп для выявления и наказания самых хитрых зловредов, аки матрёшки прячущихся во вложенных сущностях сложных файлов. Короче – это наша уникальная технология защиты от будущих угроз, которая умеет находить неизвестную кибер-заразу в самых неожиданных местах.
А чтобы лучше понять её смысл, вспомним вот такой русский народный рефрен:
Смерть его
на конце иглы,
игла в яйце,
яйцо в утке,
утка в зайце,
заяц в ларце,
ларец на дубу.
Если призадуматься как и где прячутся вредоносные программы, то так оно и есть. Зловреды изо всех сил стараются завернуться во вложенные сущности, сделать пластическую операцию по коррекции своего внешнего вида, чтобы скрыться от антивируса. Всякие пакеры-архиваторы, крипто-контейнеры, флэши, офисные документы, скрипты и т.д. и т.п. – вариантов миллион. Соответственно, задача антивируса – все эти сущности вычислить, залезть внутрь и зловредов повычистить. Так? А вот и нет! Точнее — не только.
Антивирусы давным-давно умеют разбирать сложные файлы. Помню, ещё в 90х наш движок очень любили лицензировать в том числе за технологию распаковки архивов. Но распаковать – это полдела! Нужен достаточно умный инструмент, который сможет не только сложные файлы разбирать, но также эту «матрёшку» анализировать, строить зависимости и диагностировать. Проактивно, без классических сигнатур и апдейтов. Что-то вроде средства против бинарного оружия – отдельно компоненты этого оружия безопасны, но их смешивание синтезирует боевое вещество.
И вот тут на сцену выходит ZETA Shield. И весьма своевременно – рост числа и извращённости целевых атак и атак класса zero-day – как раз сфера компетенции «Зеты» (ZETA = Zero-day Exploits & Targeted Attacks).
9 сентября, 2013
Ура-ура! Троекратно! :)
По давней традиции летнего запуска персональных продуктов — KIS 2014 официально зарелизен в главных регионах и на самых больших языках, все желающие прыг сюда качать новые версии, правила апгрейда здесь.
И настало время рассказать — что же новенького в этой версии? Новенького есть, обильно – будет несколько постов, за один не управиться, иначе букв будет слишком много, все знакомые – но читать глаза устанут.
Итак, пост номер 1.
В KIS 2014 много всего нового! Защита крепчает, ускоряется и хорошеет: фейслифтинг интерфейса и редизайн логики основных операций, новые фичи для безопасности денежных онлайн-операций (прокачали Safe Money) и родительского контроля, встроенный анти-блокер, разные ускорители и оптимизаторы. Что также важно – теперь в одной коробке защита для Винды, МакОСа и Андроида.
Но главное — в этой версии мы сделали упор на защиту от будущих угроз и «на радость» кибер-негодяям добавили в продукт несколько осиновых кольев профильных авангардных технологий (ни об одной из них в конкурентных продуктах неизвестно). Нет, мы не использовали машину времени и упомянутых негодяев к батареям не приковывали и не мучили :) — мы пошаманили, посмотрели в будущее, прикинули логику развития кибер-зловредства и на практике воплотили новые технологии превентивной защиты.
И KIS 2014 в этом плане есть чем удивить: прокачанная Automatic Exploit Prevention (автоматическая защита от эксплойтов), две технологии из наших корпоративных решений, адаптированные для персонального продукта – ZETA Shield и Trusted Applications Mode (режим безопасных программ), плюс встроенный проактивный анти-блокер.
Как эти умные названия помогают в ежедневной компьютерной гигиене? Об этом сейчас и пойдёт речь.
И начнём с режима безопасных программ. Как никак – это первая в мире реализация технологии в домашнем продукте для комплексной безопасности.
1 августа, 2013
My power over you
grows stronger yet
(c) Andrew Lloyd Webber — Phantom Of The OperaКто раньше встал – того и тапки
(с) неизвестен.
В противостоянии «вирус vs антивирус» есть одна любопытная игра – «царь горы».
Правила просты: побеждает тот, кто первым занял телеграф, почтамт, вокзал … В компьютерных войнах победа достаётся тому, кто первым загрузился в память компьютера – он и царь горы. Он первым берёт контроль в свои руки: перехватывает системные вызовы, внедряется в них и тем самым получает полную власть над остальным пространством в компьютере. Остальные, которые появляются позже, работают под присмотром «хозяина» — который в состоянии «нарисовать» им любую реальность – прям как голливудская Матрица.
То есть, реальностью внутри компьютерного мира рулит тот, кто раньше стартовал. Именно он, с вершины своей горы, обозревает окрестности и блюдёт в системе порядок… Или беспорядок, незаметно и безнаказанно – если первым загрузился зловред.
В общем, «The winner takes it all» © ABBA.
А очередь на загрузку начинается с загрузочного сектора – специальной области на диске, где сосредоточены все стрелки на что, когда и куда будет грузиться. И — о, ужас! — даже операционная система подчиняется этому порядку! Немудрено, что кибер-негодяи давно питают нездоровый интерес к оному сектору – это же идеальный вариант надеть тапки первым и полностью скрыть факт заражения компьютера! А помогает им в этом особый класс зловредов – буткиты.
Как загружается ваш компьютер?
О том, что такое буткиты и как мы вас от них защищаем – рассказ ниже.
2 июля, 2013
100% гарантии не бывает – увы, даже самые надёжные антивирусы иногда пробиваются профессиональными атаками. Это плохая новость. Ещё более плохая новость – что менее надёжные антивирусы пробиваются ещё чаще.
Высокопрофессиональные преступники могут при желании хакнуть всё, но таких, ура-ура, далеко не большинство. В основном кибер-безобразиями занимаются обычные программисты, перепутавшие добро и зло. Они обычно не в состоянии хакнуть наиболее продвинутые защиты, но счастливы украденным с компов, которые вообще не защищены или используют «дуршлаг-протекшн». И таких компов в мире хоть пруд пруди.
Экономика получается достаточно простая:
Чем крепче защита – тем выше «обороноспособность». Но чем профессиональнее атака – тем более крепкую оборону она может преодолеть.
В условиях наличия 2,5 миллиардов пользователей Инета потенциальных жертв эта экономика работает примерно так:
Преступникам не надо заморачиваться супер-мега-отмычками для взлома супер-сейфа (тем паче, что в сейфе может оказаться какая-нибудь ерунда). Дешевле попробовать взломать соседей – вдруг у них броня потоньше да и заначка позначительнее?
Итого: заморачиваться мега-профессиональными атаками смысла нет — только если в спортивных интересах. (Переучиваться с Windows на Mac – тоже надо время тратить…) Гораздо эффективнее заниматься ковровым бомбометанием, покрывая как можно больше жертв с помощью не требующих большого напряжения ума атак.
Чем крепче защита – тем меньший интерес она представляет для злоумышленников. Они не будут заморачиваться её ломать, а просто найдут себе других жертв.
Посему настало время совершить новую увлекательную экскурсию под капот нашего антивируса и чутка прокачать базу знаний о том, как ещё буковка «К» в панели задач усложняет жизнь кибер-негодяям — на примере защиты от будущих угроз.
11 июня, 2013
Всем привет,
В Лондоне солнышко, но по телевизору картинки как дожди смывают Центральную Европу. И действительно, над Баварией серенькое, низкое, совершенно не июньское небо и из него с переменной интенсивностью постоянно что-то накрапывает. И вот в таком местечке прошёл ежегодный съезд «24 Hours Conference / Deutsche Telekom», куда съехались делегаты от самых разных стран и индустрий — поговорить о наболевшем и помечтать о будущем.
Понятное дело, меня определили на тему «Security», но рядом на дверях были и разные другие таблички — например, «3D Printers». И в холле одна такая штуковина и стояла — я впервые увидел процесс 3D-печати своими глазами, ура! Небольшого размера ящик, в котором перемещается шланг, тонкая струя жидкого пластика откладывается на растущую вверх конструкцию. Изготавливает небольшого размера пластиковые безделушки — они там рядом стоят на фотке.
Дальше: медленно и отвратно, но ведь доработают, исправят и докрутят!
