Архив тегов: technology

Против лома есть приём.

Бабах!! Ещё одна торпеда, пущенная кибер-негодяями в офисное пространство Микрософт увязла в нашей цепкой защите.

А именно: недавно была обнаружена вроде обычная себе атака — при открытии документов Word незаметно для пользователя в систему внедрялся вредоносный код. Вряд ли это событие добралось до заголовков, кабы не одно обстоятельство: это была атака класса «зеродей» – использовалась ранее неизвестная уязвимость в MS Office, для которой нет «заплатки», при этом большинство антивирусов тоже в упор не видели угрозу. А мы отработали на «отлично»!

Да! – технология автоматической защиты от эксплойтов (AEPAutomatic Exploit Prevention) вычислила аномальное поведение и проактивно блокировала атаку. Никаких обновлений и ожиданий. Сразу и наповал.

С «зиродеями» можно и нужно бороться. Это самое острие атак кибер-атак – зачем нужен антивирус, который работает исключительно сигнатурами, а от будущих угроз защищает только на бумаге (пусть очень красивой бумаге)? Ну, да, разработка таких технологий требует мозгов и инвестиций. Не каждый вендор первое имеет, а второе может себе это позволить. Это не детект у соседа тырить, ага..

Вообще, мы всегда считали, что в IT-секъюрити нельзя жить сегодняшним днём – нужно постоянно заглядывать за горизонт и предвидеть поворот мысли кибер-негодяев. Потому «проактивка» была у нас на повестке дня с бородатых 90-х – среди прочего мы тогда отличились разработкой эвристика и эмулятора. Технологии оттачивались, прокачивались и изобретались, и вот, где-то 2,5 года назад, фичи для защиты от эксплуатации известных и неизвестных уязвимостей были объединены под зонтиком AEP. И очень вовремя! С его помощью мы впоследствии  проактивно накрыли целый зоопарк целевых атак, в том числе Red October, MiniDuke и Icefog.Тогда же случился всплеск нездорового интереса к Java и AEP снова оказался кстати. И одну из первых скрипок здесь играл модуль Java2SW для детекта атак через Java.

О нём сейчас и пойдёт речь.

Программный ландшафт типичного компьютера напоминает лоскутное одеяло с кучей заплаток и не меньшим количеством дыр. После выпуска каждого продукта в нём регулярно находятся уязвимости (чем популярнее продукт, тем чаще и больше) и вендоры их регулярно же латают, выпуская «патчи». Но#1: вендоры выпускают «патчи» не сразу — кое-кто, бывает, ковыряет в носу месяцами. Но#2: большинство пользователей всё равно, пардон, забивает на установку этих «патчей» и продолжают работать на дырявом софте. Зато#1: практически на каждом компьютере есть… антивирус!

Тут на сцену выходит тот самый Java2SW, который в Java домене убивает сразу двух зайцев.

Вообще, с точки зрения безопасности архитектура Java достаточно продвинутая. Каждая программа выполняется в изолированном пространстве (JVM – Java Virtual Machine), под присмотром секюрити-агента. Увы, Java пала жертвой популярности – какой бы защищённой ни была система, рано или поздно (пропорционально популярности) в ней найдутся уязвимости. К этому должен быть готов каждый вендор — своевременно развивать технологии противодействия, скорость реакции и обучать пользователей. У Oracle это как-то не очень получилось. Не получилось настолько не очень, что пользователи начали массово удалять Java с компьютеров даже несмотря на ограничения при просмотре сайтов.

Судите сами: количество обнаруженных уязвимостей в Java в 2010г. – 52, 2011г. – 59, 2012г. – 60, 2013г. – уже 180 (год продолжается!). А число атак на Java росло по вот такой грустной кривой:

Рост количества атак на уязвимости в Java

Дальше: как Java2SW спасает от атак на уязвимости?…

KIS-2014: Звонок другу.

Ах, если бы только найти индивида! Уж я так устрою, что он свои деньги мне сам принесёт, на блюдечке с голубой каёмкой.

Клиента надо приучить к мысли, что ему придётся отдать деньги. Его надо морально разоружить, подавить в нем реакционные собственнические инстинкты.

(с) Остап Сулейман Берта Мария Бендер-Бей

Сомневаюсь, что современные кибер-негодяи учились своим приёмчикам у этого идейного борца за денежные знаки. Однако параллель налицо – так и никак иначе, по формуле «на блюдечке с голубой каёмочкой» потрошат кошельки граждан блокеры — особый и весьма подленький вид компьютерных зловредов. И в новой версии KIS 2014 мы им подготовили особый сюрприз.

Матчасть блокеров достаточно проста.

Всеми доступными способами (например, через уязвимости в приложениях) на компьютер жертвы внедряется вредоносная программа, которая внезапно выводит на экран картинку и блокирует как рабочий стол компьютера, так и окна всех остальных программ. Разблокировка возможна (ну, была возможна – подробности ниже) с помощью специального кода, который можно получить у мошенников. Ага, за деньги – с оплатой как у взрослых мальчиков через premium SMS номера и электронные деньги. А покамест, что бы пользователь не делал (в том числе CTRL+ALT+DEL), какие бы приложения не вызывал (в т.ч. антивирусы) – всё равно он будет видеть примерно вот такую гадость:

ransomware4

Дальше: заблокировать блокер…

KIS-2014: умный микроскоп спецназначения.

Что ещё нового-интересного под капотом свежего KIS 2014?

ZETA Shield – антивирусный спецмикроскоп для выявления и наказания самых хитрых зловредов, аки матрёшки прячущихся во вложенных сущностях сложных файлов. Короче – это наша уникальная технология защиты от будущих угроз, которая умеет находить неизвестную кибер-заразу в самых неожиданных местах.

А чтобы лучше понять её смысл, вспомним вот такой русский народный рефрен:

Смерть его
на конце иглы,
игла в яйце,
яйцо в утке,
утка в зайце,
заяц в ларце,
ларец на дубу.

Если призадуматься как и где прячутся вредоносные программы, то так оно и есть. Зловреды изо всех сил стараются завернуться во вложенные сущности, сделать пластическую операцию по коррекции своего внешнего вида, чтобы скрыться от антивируса. Всякие пакеры-архиваторы, крипто-контейнеры, флэши, офисные документы, скрипты и т.д. и т.п. – вариантов миллион. Соответственно, задача антивируса – все эти сущности вычислить, залезть внутрь и зловредов повычистить. Так? А вот и нет! Точнее — не только.

Антивирусы давно умеют разбирать сложные файлы. Но разобрать — это полдела

Антивирусы давным-давно умеют разбирать сложные файлы. Помню, ещё в 90х наш движок очень любили лицензировать в том числе за технологию распаковки архивов. Но распаковать – это полдела! Нужен достаточно умный инструмент, который сможет не только сложные файлы разбирать, но также эту «матрёшку» анализировать, строить зависимости и диагностировать. Проактивно, без классических сигнатур и апдейтов. Что-то вроде средства против бинарного оружия – отдельно компоненты этого оружия безопасны, но их смешивание синтезирует боевое вещество.

И вот тут на сцену выходит ZETA Shield. И весьма своевременно – рост числа и извращённости целевых атак и атак класса zero-day – как раз сфера компетенции «Зеты» (ZETA = Zero-day Exploits & Targeted Attacks).

zeta_shield_logo

Дальше: мы к отражению будущих угроз! И вы теперь тоже…

KIS-2014: Ай да мы!

Ура-ура! Троекратно! :)

По давней традиции летнего запуска персональных продуктов — KIS 2014 официально зарелизен  в главных регионах и на самых больших языках, все желающие прыг сюда качать новые версии, правила апгрейда здесь.

И настало время рассказать — что же новенького в этой версии? Новенького есть, обильно – будет несколько постов, за один не управиться, иначе букв будет слишком много, все знакомые – но читать глаза устанут.

Итак, пост номер 1.

В KIS 2014 много всего нового! Защита крепчает, ускоряется и хорошеет: фейслифтинг интерфейса и редизайн логики основных операций, новые фичи для безопасности денежных онлайн-операций (прокачали Safe Money) и родительского контроля, встроенный анти-блокер, разные ускорители и оптимизаторы. Что также важно – теперь в одной коробке защита для Винды, МакОСа и Андроида.

kis-2014-main-screenshot-rus-1

Но главное — в этой версии мы сделали упор на защиту от будущих угроз и «на радость» кибер-негодяям добавили в продукт несколько осиновых кольев профильных авангардных технологий (ни об одной из них в конкурентных продуктах неизвестно). Нет, мы не использовали машину времени и упомянутых негодяев к батареям не приковывали и не мучили :) —  мы пошаманили, посмотрели в будущее, прикинули логику развития кибер-зловредства и на практике воплотили новые технологии превентивной защиты.

И KIS 2014 в этом плане есть чем удивить: прокачанная Automatic Exploit Prevention (автоматическая защита от эксплойтов), две технологии из наших корпоративных решений, адаптированные для персонального продукта – ZETA Shield и Trusted Applications Mode (режим безопасных программ), плюс встроенный проактивный анти-блокер.

Режим безопасных программ лечит синдром «компьютера из Простоквашино», когда компом пользуется вся семья, родственники и даже случайные люди

Как эти умные названия помогают в ежедневной компьютерной гигиене? Об этом сейчас и пойдёт речь.

И начнём с  режима безопасных программ. Как никак – это первая в мире реализация технологии в домашнем продукте для комплексной безопасности.

Дальше: компьютер из Простоквашино…

Призрак загрузочного сектора.

My power over you
grows stronger yet
(c) Andrew Lloyd Webber — Phantom Of The Opera

Кто раньше встал – того и тапки
(с) неизвестен.

В противостоянии «вирус vs антивирус» есть одна любопытная игра – «царь горы».

Правила просты: побеждает тот, кто первым занял телеграф, почтамт, вокзал …  В компьютерных войнах победа достаётся тому, кто первым загрузился в память компьютера – он и царь горы. Он первым берёт контроль в свои руки: перехватывает системные вызовы, внедряется в них и тем самым получает полную власть над остальным пространством в компьютере. Остальные, которые появляются позже, работают под присмотром «хозяина» — который в состоянии «нарисовать» им любую реальность – прям как голливудская Матрица.

То есть, реальностью внутри компьютерного мира рулит тот, кто раньше стартовал. Именно он, с вершины своей горы, обозревает окрестности и блюдёт в системе порядок… Или беспорядок, незаметно и безнаказанно – если первым загрузился зловред.

В общем, «The winner takes it all» © ABBA.

А очередь на загрузку начинается с загрузочного сектора – специальной области на диске, где сосредоточены все стрелки на что, когда и куда будет грузиться. И — о, ужас! — даже операционная система подчиняется этому порядку! Немудрено, что кибер-негодяи давно питают нездоровый интерес к оному сектору – это же идеальный вариант надеть тапки первым и полностью скрыть факт заражения компьютера! А помогает им в этом особый класс зловредов – буткиты.

Как загружается ваш компьютер?

loading_comp

О том, что такое буткиты и как мы вас от них защищаем – рассказ ниже.

Дальше: расцвет, падение и возвращение буткитов…

Предсказания в вирусологии-2.

100% гарантии не бывает – увы, даже самые надёжные антивирусы иногда пробиваются профессиональными атаками. Это плохая новость. Ещё более плохая новость – что менее надёжные антивирусы пробиваются ещё чаще.

Высокопрофессиональные преступники могут при желании хакнуть всё, но таких, ура-ура, далеко не большинство. В основном кибер-безобразиями занимаются обычные программисты, перепутавшие добро и зло. Они обычно не в состоянии хакнуть наиболее продвинутые защиты, но счастливы украденным с компов, которые вообще не защищены или используют «дуршлаг-протекшн». И таких компов в мире хоть пруд пруди.

Экономика получается достаточно простая:

Чем крепче защита – тем выше «обороноспособность». Но чем профессиональнее атака – тем более крепкую оборону она может преодолеть.

В условиях наличия 2,5 миллиардов пользователей Инета потенциальных жертв эта экономика работает примерно так:

Преступникам не надо заморачиваться супер-мега-отмычками для взлома супер-сейфа (тем паче, что в сейфе может оказаться какая-нибудь ерунда). Дешевле попробовать взломать соседей – вдруг у них броня потоньше да и заначка позначительнее?

Итого: заморачиваться мега-профессиональными атаками смысла нет — только если в спортивных интересах.  (Переучиваться с Windows на Mac – тоже надо время тратить…) Гораздо эффективнее заниматься ковровым бомбометанием, покрывая как можно больше жертв с помощью не требующих большого напряжения ума атак.

Чем крепче защита – тем меньший интерес она представляет для злоумышленников. Они не будут заморачиваться её ломать, а просто найдут себе других жертв.

Посему настало время совершить новую увлекательную экскурсию под капот нашего антивируса и чутка прокачать базу знаний о том, как ещё буковка «К» в панели задач усложняет жизнь кибер-негодяям — на примере защиты от будущих угроз.

emulator_alert_ru

Идеальная (почти) пробирка…

Кому наступит 3D.

Всем привет,

В Лондоне солнышко, но по телевизору картинки как дожди смывают Центральную Европу. И действительно, над Баварией серенькое, низкое, совершенно не июньское небо и из него с переменной интенсивностью постоянно что-то накрапывает. И вот в таком местечке прошёл ежегодный съезд «24 Hours Conference / Deutsche Telekom», куда съехались делегаты от самых разных стран и индустрий — поговорить о наболевшем и помечтать о будущем.

Munich, Germany, 24 Hours Conference by Deutsche Telekom

Понятное дело, меня определили на тему «Security», но рядом на дверях были и разные другие таблички — например, «3D Printers». И в холле одна такая штуковина и стояла — я впервые увидел процесс 3D-печати своими глазами, ура! Небольшого размера ящик, в котором перемещается шланг, тонкая струя жидкого пластика откладывается на растущую вверх конструкцию. Изготавливает небольшого размера пластиковые безделушки — они там рядом стоят на фотке.

Munich, Germany, 24 Hours Conference by Deutsche Telekom

Дальше: медленно и отвратно, но ведь доработают, исправят и докрутят!

Cjdthityyj ctrhtnyj/

Как вы догадались из заголовка — сейчас речь пойдёт о криптографии.

Точнее — об очень полезных фичах нашего нового корпоративного продукта – полнодисковом и пофайловом шифровании. Предупреждаю сразу – здесь будет много специфической технологической информации, пусть и причёсано-разжёванной, но оттого не менее мозговыносящей. В общем, кому интересно по работе или ради расширения кругозора – читаем дальше. Если нет, то, например, познакомьтесь  с Новой Зеландией или Гавайями :)

Итак, шифрование.

Kaspersky Endpoint Security Cryptography

Дальше: зачем мы полезли на эту поляну?..

Дирижёр всея сети.

или Сага о сисадминах

Кто он такой — системный администратор, он же сисадмин?

Все мы, компьютерные пользователи, делимся на три категории и по-разному отвечаем на этот вопрос. Для кого-то сисадмины – злые бородатые черти, компьютерные колдуны и шаманы. Вторая категория тоже божественно относится к сисадминам, но наоборот – преклоняется перед ними и обязательно дарит какую-нибудь нужную мелочь на каждый достойный праздник (особенно на «День Сисадмина«), есть что-то в этом от язычества… Ну и третья категория компьютерных пользователей ничего такого не считает, они просто знают, что сисадмины – это в первую очередь такие же обычные люди, просто им в жизни повезло. Третья категория – это и есть те самые сисадмины. О них и пойдёт речь.

В действительности, шаманская работа сисадмина бесконечно интересна: крутить-вертеть новые железки с проводами и без оных, тыкать мышой в новые софтины и жать на клавишы, управляя при этом механизмами, подчас расположенными за тысячи километров от. Но одновременно эта работа тяжела, чудовищно ответственна и, увы, зачастую неблагодарна.

Сотни, тысячи «юзеров», каждый из которых умнее другого; раза в два больше компьютеров и разнообразных девайсов, которые тоже требуют внимания и заботы; зоопарк всякого софта, провода и роутеры, проблемы с безопасностью – всё это под обильным соусом вечных бюджетных ограничений и недовольства начальства и пользователей. Поэтому обычно выживают только сисадмины с железной психикой и здоровым циничным отношением к жизни.

Пожалуй, самая большая головная боль сисадмина – как управлять всем этим богатством? Ведь не набегаешься, пытаясь успеть и «офис» там поставить, и почту здесь починить, и новый компьютер подключить и ещё тридцать три задачи выполнить. И ведь вечно его ни там, ни сям не дождёшься! В таких условиях лень сисадминская понятна и логична – да и не лень это вовсе. На самом деле – это оптимизация рабочего времени во избежание неразумного возмущения пространства. При этом у оптимизации есть невидимый для обывательского глаза технологический фундамент – systems management или инструменты автоматизации системного администрирования.

Действительно – ведь большинство рутинных операций по управлению сетью можно если не полностью автоматизировать, то уж точно выполнять удалённо, не прибегая к избыточным перемещениям по офису. Накатить на новый компьютер операционку? Поставить какое-то приложение? Проверить что за софт установлен на ноутбуке бухгалтера? Обновить антивирус и сканировать компьютер на уязвимости? Продлить лицензии? Всё это и очень многое другое можно сделать, не выходя из комнаты, удалённо, при помощи этого самого systems management. Представляете, какой рост производительности труда и снижение затрат? А уж насколько проще становится жизнь сисадмина!

В начале 2000х в наших продуктах появилась система управления безопасностью сети. Мааааленькая такая (но очень важная) часть systems management, включающая мониторинг защищённых рабочих станций, инсталляцию и обновление антивируса и т.п.

AVP Network Control Centre

Дальше: 10 лет спустя…

Мобильный мир и мирные мобилки.

Согласитесь, вполне себе нормальная сцена –

в лифте, кафе, метро, такси, за рулём в пробках, да вообще везде  — а ещё на вечеринках и в ресторанах, в любом состоянии покоя и даже на ходу – там да сям мы видим людей, сосредоточенно тыкающих по тачскрину своих смартфонов. Да и сами частенько тоже.

Народ чатится, смотрит новости, твитит, заказывает билеты – ведёт активную личную мобильную жизнь. Но уже давно не только личную! И об этом будет разговор.

Всё чаще приходится наблюдать, что при любом удобном случае люди лезут в почту и решают самые что ни на есть рабочие вопросы. Ага, на своём собственном смартфоне. В нерабочее время. В любой ситуации. Без принуждения – и даже с энтузиазмом! Более того, некоторые, проверив почту, вздыхают «эх, что-то полковнику никто не пишет…».

Прикольно. Вместо того, чтобы ровно «по звонку» забыть про всё, выбежать из офиса и погрузиться в свою частную жизнь – нет! Народ через свой маленький стеклянный девайсик продолжает «оставаться на работе», хотя бы частично. Это – парадокс современности. Эксплуатируемые хотят эксплуатироваться!

Некий источник не знаю какой сообщает, что в 2012г. 23% личных смартфонов (~150 млн штук!) использовались в рабочих целях. В 2014г. это число прогнозируют на уровне 350 млн.

Почему многие из нас с удовольствием используют свои личные мобильные устройства в рабочих целях – хороший вопрос. Наверное, причин там много. Но главное, мне кажется, то, что произошла «социально-сетевая-зация» подавляющей массы современного городского человека. И корпоративные информационные сети превратились в ещё одну соц-сеть – рабочую, — где мы находимся в постоянном контакте с нашими друзьями по работе, да и всеми остальными (иногда незнакомыми) сотрудниками. Социальная сеть «На работе» :)

Явление стало настолько массовым, что ему даже название придумали специальное: BYOD, «Bring your own device», оно же «возможность сотрудников использовать личные мобильные устройства для рабочих целей». По Форрестеру 53% людей уже используют своих мобильных «друзей» для выполнения должностных обязанностей.

Mobile Device Management

Дальше: обратная сторона BYOD…