Архив тегов: technology

Больше, чем просто больше, чем антивирус.

Всего-то прошло чуть больше года со дня релиза Endpoint 8, а мы уже выкатили следующую версию. По сложившейся традиции в конце января в городе Ньюйоркске у нас состоялся глобальный лонч нашего нового корпоративного продукта, в котором сошлось сразу много всего нового, начиная с функционала и заканчивая названием и новой продуктовой линейкой. Сегодня — день официального релиза в России!

Kaspersky Security для Бизнеса

Этот пост – кратко о новых фичах.

Здесь очень-очень много всего интересного, что навеялось такое вот экзотическое название поста. А чтобы было понятнее – исторический экскурс.

Сначала был антивирус. Ага, были такие заповедные времена больших флоппи-дисков, когда он представлял отдельный файл, целиком на тот самый флоппи-диск умещающийся, т.е. меньше одного мегабайта (меньше фотки среднего разрешения!). И этот антивирус при запуске (только вручную!) сканировал память и диск компьютера в поисках вредоносов. Ну, примерно вот так :)

Дальше: любопытные антивирусные метаморфозы…

Найти всё. Или Сено и Иголки.

У нас в компании есть сокровенный цитатник с набором официальных цифр и фактов для использования в публичных выступлениях. Ну, вроде, сколько у нас сотрудников, где офисы, оборот … Одна из центральных цифр – ежедневное количество новых вредоносов. И динамика этой цифры удивила даже меня: год назад было 70тыс., в мае – 125тыс., а сейчас уже … 200тыс! Да-да! Мы каждый день анализируем и разрабатываем защиту против двухсот тысяч вредоносных программ!

Как мы это делаем – ещё тот производственный роман, который потихоньку пишется здесь под тэгом technology. Резонный вопрос: не боимся ли мы, что наши посты читают кибер-мерзавцы? Нисколько — пусть они нас боятся, а пользователи лучше понимают как работает защита, а также мотивацию и уловки кибер-негодяев.

Сегодня будет ещё один, очень важный штрих к этой картине – технология Astraea. Это одна из самых значимых частей нашей облачной системы KSN (видеоподробности), которая  автоматически анализирует события на защищённых компьютерах и помогает выявлять неизвестные угрозы. На самом деле у Astraea много других «бонусов», без которых наши вирусные аналитики уже не представляют себе трудовые будни. Но обо всём по порядку.

Дальше: Astraea убивает трёх зайцев …

ЛК пишет свою операционную систему? Подтверждаем слухи и опровергаем домыслы!

Привет всем!

Сегодня поговорим о будущем. О мрачном будущем массированных кибератак на атомные электростанции, системы управления энергоснабжением и транспортом, финансовые и телекоммуникационные системы и в целом то, что мы называем критически важными объектами. Если проще – о сценарии, показанном в четвертом «Крепком Орешке», когда атака на объекты инфраструктуры повергает в хаос чуть ли не всю страну.

Увы, решить проблему уязвимости промышленных систем методами Джона Макклейна не получится. Но мы работаем и над технологиями, а конкретно – над защищенной операционной системой, предназначенной именно для критически важных информационных систем (Industrial Control Systems, ICS). Слухов об этом проекте в сети появилось достаточно и поэтому мы решили немного приоткрыть завесу тайны и рассказать, что же на самом деле происходит.

Но сначала – немного о том, как мы докатились до такой жизни, и зачем собственно нужна такая «ось»?

Дальше: беззащитность индустриальных систем …

Эврика!

Тут проходит наш Innovation Summit — внутреннее мероприятие, на котором собираются архитекторы, разработчики, эксперты, продуктовые менеджеры … все-все-все, кто связан с созданием продуктов и определяет направление их развития. мне был бы очень интересен «незамыленный» взгляд человека со стороны. Ага, чтобы привнести в обсуждение здоровую дозу безумных идей. В общем, давайте устроим здесь мозговой штурм!

Еще Эврика!. . .

Разрешить всё запретить.

Всего за какую-то дюжину лет компьютерный андерграунд стремительно прошёл путь от хулиганствующих элементов формата «16 forever» до международных организованных кибер-банд и спонсируемых правительствами сложных целевых атак на промышленные системы. По разным причинам первые старались заразить как можно больше компьютеров — именно на такие атаки были нацелены традиционные антивирусы и, кстати, очень даже в этой борьбе преуспели. Новые угрозы прямо противоположны – кибер-негодяи прекрасно понимают анти-малварные технологии, стараются быть как можно незаметнее и всячески ограничивают ареал распространения своих зловредов. Что вполне резонно …

Да, андерграунд изменился, но секюрити-парадигма, увы, осталась там же: большинство компаний продолжают использовать «дедовский» способ противостояния современным угрозам при помощи технологий, «заточенных» под массовые эпидемии. В итоге, в борьбе против малвары они остаются на позициях реактивной защиты, которая всегда оказывается на шаг позади нападающего. Ведь мы говорим о неизвестных угрозах,  на которые еще не наложены файловые или поведенческие сигнатуры, антивирус может их просто не детектить. А сегодняшние кибер-негодяи (не говоря о кибер-военщине) в процессе разработки очень тщательно проверяют насколько их вредоносы детектятся антивирусами!

Такое положение вещей тем более парадоксально, что в арсенале секюрити индустрии есть реализованные в продуктах и «готовые к употреблению» альтернативные концепции защиты, способные совладать с новыми угрозами. Об обной из таких концепций сейчас и пойдёт речь.

В компьютерной безопасности разделяют два подхода к защите: «разрешено всё, что явно не запрещено» (Default Allow) и «всё запрещено, что явно не разрешено» (Default Deny – я уже кратко писал о нём). Как вы догадываетесь, это две противоположные позиции в балансе между функциональностью и безопасностью. При «Default Allow» у всех запускаемых приложений есть карт-бланш творить что угодно и антивирус тут выполняет функцию отца-спасителя – он контролирует эти действия и, если может, то лихорадочно затыкает новые «дыры» (а «дыры» разного уровня критичности, как известно, появляются регулярно). У «Default Deny» противоположный подход – по умолчанию приложениям запуск вообще запрещён, если они не находятся в списке доверенных.

На самом деле, помимо неизвестной малвары у компаний (в частности их IT-служб) есть и много другого «головняка», связанного с Default Allow. Во-первых, установка непродуктивного софта и сервисов (игрушки, коммуникаторы, P2P-клиенты … – список зависит от политики конкретной организации). Во-вторых, установка несертифицированного и потому потенциально опасного (уязвимого) софта, через который злоумышленники могут проникнуть в корпоративную сеть. В-третьих, установка служебных программ удалённого управления, допускающие доступ к компьютерам без подтверждения со стороны пользователя. С первыми двумя, вроде, всё понятно, а вот третье требует пояснения.

Мы недавно провели исследование вопроса: «какие действия сотрудников, связанные с самостоятельной установкой ПО нарушают принятые правила IT-безопасности?» Результаты в диаграмме ниже, при этом 50% — это именно разнообразные программы удалённого управления, установленные самими сотрудниками или сисадминами для удалённого доступа к внутренним ресурсам или, наоборот, для доступа к компьютерам для их диагностики и «ремонта».

Дальше: цифра говорящая, это действительно большая проблема …

Страйк!

Воистину — как год начнёшь, так его и проведёшь.

А начали мы этот год с почётного звания «продукт года» от австрийской испытательной лаборатории AV-Comparatives, абсолютного рекорда по количеству набранных баллов в AV-Test.org и очередной «плюшки» Virus Bulletin. За год количество медалек приятно росло – особо хочется выделить тесты проактивной защиты и защиты виртуальных сейфов от Matousec, тест функции Application Control от West Coast Labs и свежий тест мобильных секюрити-продуктов [PDF] от PCSL. Причём рвали конкурентов не только наши персональные продукты, но и корпоративные – например, в августовском раунде тестов AV-Test.org KIS и KES получили соответственно 17 и 16 баллов – больше, чем у всех остальных участников.

В общем, за год много всего хорошего напроисходило, но, несмотря на обилие хороших новостей ни разу не надоело каждый раз хвалить наш вируслаб. Ему, похоже, это тоже понравилось :) поэтому ждите ещё победных сводок с фронта!

На этом оптимистичном фоне возникает резонный вопрос: ну, ОК, наши антивирусные технологии лидируют, а как же технологии НЕантивирусные – например, антиспам? А вот именно это и есть предмет сего поста: на днях пришли результаты теста VBSpam нашего нового KLMS, где мы внезапно для конкурентов, но вполне ожидаемо для нас заняли [тадам!] второе место с потрясающим результатом 99,93% spam catch rate и 0,01% ложных срабатываний! «Подумаешь, всего-то второе место!», — скажет привыкший к нашим победам пользователь :) Не соглашусь! И вот почему …

Дальше: слово «потрясающе» выделено не случайно…

Толпотворение.

Перечислять все «мняшки», которые принёс нам Интернет — впустую потратить жизнь, поскольку всё равно всего не вспомнишь, а завтра их прибудет ровно столько же. Но есть одна концептуальная вещь, которую переоценить никак не получится и потому она заслуживает отдельного внимания. Вещь эта – краудсорсинг.

Деталями грузить не буду – подробности читайте в Википедии по ссылке сверху (кстати, Википедия тоже краудсорсинговый проект) или яндеглите. Вкратце: всемирная сеть позволяет большому количеству людей из разных концов планеты очень быстро собираться для объединения усилий и решения какой-то сложной задачи. Коллективный разум, подкреплённый гигагерцами, гигабитами и терабайтами компьютеров и каналов связи. Технически – распределённые вычисления. Пример — хорошо помню, как в конце 90-х многие на ночь подключали свои машины к SETI@Home – некоммерческому проекту поиска радиосигналов внеземных цивилизаций. Проект до сих ещё как работает –1,2млн. участников суммарной процессорной мощностью 1,6 петафлопс.

Любопытно, что сетевой краудсорсинг (дословно – «толпотворение») применим практически в каждой области. И секюрити тому не исключение. Недавние примеры из нашей практики – международный мозговой штурм по поводу тайны зашифрованного вредоносного функционала Gauss и решение загадки фреймворка Duqu. За последнее, кстати, получили лестную оценку на darkreading.com. Однако эти случаи не показатель – догадываетесь как нам удаётся успешно обрабатывать 125тыс. образцов малвары каждый день? Ну, роботы и разные технологии автоматизации и потокового анализа, конечно, помогают, однако статистическо-аналитическую пищу для них поставляете… вы! Да! Это действительно так – по принципу «ты мне, я тебе» наши пользователи помогают нам и, разумеется, друг другу в деле борьбы с мировым кибер-злом, в частности с неизвестными угрозами! Причём помогают анонимно, добровольно, с явно выраженным согласием и без влияния на производительность компьютера.

Сейчас расскажу как…

Что в виндовсе тебе моём?

Всем привет!

Новая версия KIS набирает обороты — за месяц+ со дня релиза в России (и за неделю после мировой премьеры) прибыло много хороших отзывов и рецензий (примеры: Ferra, 3DNews, PC Magazine). В общем, в них много рассказано и объяснено. Здесь тоже были посты про автоматическую защиту от уязвимостей и безопасные платежи. Но есть ещё один очень вкусный пласт фичей с прицелом на будущее, которые незаслуженно обходятся вниманием. Речь о поддержке новых технологий Windows 8. Что это за технологии и с чем их едят (читай: как мы их поддерживаем и что это значит для пользователя)?

Начну с самого наглядного – нового интерфейса Win8. Сам пока не пробовал, но слышал хорошие отзывы, что редизайненный интерфейс очень даже ничего, причём как в десктоповой, так и в таблеточно-тачскриново-мобильной инкарнации. Так что ждём релиза и реакции массового пользователя.

Правда, это новшество прибавило головной боли разработчикам софта. Теперь, чтобы накрыть весь спектр предпочтений пользователей надо делать два интерфейса – классический и новый. Посему мы одними из первых в антивирусной индустрии разработали специальное приложение, которое переводит систему управления KAV/KIS 2013 на новый виндово-интерфейсный язык. Приложение бесплатное, его можно установить из Windows Store.

Дальше: как мы боремся с руткитами в Win8…

Сейф для денег.

Или «Деньги для сейфа». А также «Деньги для денег» и «Сейф для сейфа».

Где хранятся деньги? Если они вдруг есть или внезапно появились. Даже если их нет – а вдруг они материализуются откуда-нибудь и их надо будет куда-то надёжно перепрятать?

Да, волшебные бабушкины чулки и укромные подматрасья никто не отменял. Но это «олд скул». В остальном налицо тенденция превращения «хрустящих и звенящих» денег в деньги виртуальные, к которым прицепом идёт много полезных «плюшек» как онлайн-банкинг, онлайн-покупки и чего только «онлайн» сегодня не сыщешь. А на них как мухи слетаются кибер-негодяи, дюже охочие до чужих банковских счетов и пластиковых карточек. И это не угроза пары немыто-волосатых маргиналов из подвала, а масштабная проблема мирового масштаба. Это чётко работающая криминальная индустрия c многомиллиардным оборотом. Немудрено, что защита финансовых транзакций в Интернете стала проблемой №1 [PDF] для большинства пользователей.

Соответственно, для новых денег тоже нужен сейф. Такой же виртуальный, но от этого не менее надёжный. Поэтому расскажу про нашу новую технологию «Безопасные платежи» (в английской версии — Safe Money), которая появилась в новой версии KIS.

Чтобы понять тонкости и преимущества этой технологии сначала посмотрим какие приёмчики в ходу у кибер-криминала, чтобы поглубже засунуть руку в наш виртуальный карман. Точнее, как они добывают явки логины-пароли пользователей для доступа к онлайн-банкингу и другим денежным аккаунтам?

Есть три основных варианта, самых популярных в кибер-воровском мире:

  • Заражение компьютера жертвы троянской программой для кражи данных и фонового сбора информации вроде скриншотов и нажатий клавиатуры. При этом заражают, как зачастую, через уязвимости в популярном софте.
  • Фишинг и социальный инжиниринг – имитация настоящих онлайн-магазинов, банковских веб-сайтов, диалогов, даже телефонных звонков и др.
  • Различные технологичные атаки вроде сниффинга, подмены DNS/Proxy-серверов, подмены сертификатов и др. для перехвата трафика по схеме Man-in-the-Middle, а также Man-in-the-Browser, вардрайвинг и др.

Отсюда следуют три основные проблемы защиты от финансового кибер-мошенничества. А именно: а) отсутствие надёжной идентификации сайтов, б) отсутствие доверенного соединения через интернет между клиентом и онлайн-сервисами, в) отсутствие гарантий, что программное обеспечение компьютера не содержит уязвимостей , которые могут эксплуатироваться зловредным ПО

На самом деле некоторые части этой проблематики закрывают современные продукты класса Internet Security. Например, только ленивый сейчас не предлагает встроенную защиту от фишинга (другой вопрос – качество защиты). Однако для рабочих сценариев из реальной жизни (о сценариях ниже) этого недостаточно. Мало того, что в большинстве продуктов отсутствуют все необходимые фичи. Хуже, что они не работают слаженно на решение конкретной проблемы. А тут требуется комплексное, многоуровневое  лекарство.

Здесь на сцену выходит технология «Безопасные платежи«.

В начале работы с новой версией KIS вы вводите адрес(а) онлайн-сервисов, которые требуется защитить (банкинг, магазины, платежные системы и пр.)  Кроме того в продукте есть нехилая база адресов таких сайтов, включающая более 1500 различных банков в 84 доменах. При входе на сайт достаточно ответить на один вопрос «хотите ли вы запустить сессию в защищенном режиме», после чего  при всех дальнейших операциях с этими адресами автоматически будет запускаться специальная защищённая сессия браузера.

Дальше: В чём состоит защищённый режим браузера? …

Работа над ашыпками.

В работе любой секюрити-компании иногда случаются неприятные косяки. Мы тоже люди и иногда допускаем ошибки. Здесь важно как можно быстрее во всём публично признаться, исправить, уведомить и скорректировать работу, чтобы в будущем косяк не повторялся (что мы и делаем). В общем, задача проста – минимизировать ущерб для пользователей.

Но есть одна проблема. С бородатых времён антивирусам сопутствует одна особенность – ложные срабатывания («фалсы»). Как вы догадываетесь, это когда чистый файл или сайт детектится как зараженный. И, увы, пока никто не смог эту проблему решить на 100%.

Технически в этом замешаны и пресловутый человеческий фактор, и недостатки технологий, и действия третьих разработчиков софта и веб-программеров. Самый простой пример — аналитик неправильно проанализировал код зловреда и добавил детект на кусок внедрённой библиотеки. А библиотекой той пользуется ещё 10тыс. других программ, в том числе бело-пушистых. В результате через пару десятков минут после выхода такого обновления с «кривым» детектом техподдержка ложится под напором писем от испуганных пользователей, аналитик аврально перевыпускает базу, а масс-медиа пишет разоблачительно-ругательные статьи. И это ещё что – представьте, что будет, если ошибочно задетектить Explorer, svchost или Kremlin.ru? :)

Дальше: как не задетектить Kremlin.ru …