Введение
В начале февраля нашу редакцию и ещё нескольких журналистов пригласили посетить “Лабораторию Касперского” – одного из ведущих мировых производителей средств защиты от вредоносного ПО. Среди последних продуктов разработчика можно отметить Kaspersky Antivirus 2009 и Kaspersky Internet Security 2009, тесты которых мы проводили в прошлом году. Оба продукта вы можете скачать на официальном сайте “Лаборатории Касперского”, причём есть и пробные версии, которые будут работать на протяжении 30 дней.
В первый день специалисты “Лаборатории” прочитали интересные доклады, с кратким содержанием которых мы ознакомим вас в нашей статье. Второй день мероприятия был посвящён антивирусным итогам 2008 года. Они подробно изложены в статьях на сайте “Лаборатории Касперского”, поэтому здесь мы не будем повторяться. Мы рекомендуем ознакомиться со следующими статьями. Вы найдёте там немало интересного!
- Kaspersky Security Bulletin. Спам в 2008 г.
2008 год оказался особенным в нескольких отношениях. С одной стороны, впервые на международном уровне были предприняты серьёзные шаги, направленные на организованную борьбу со спамом. - Kaspersky Security Bulletin. Основная статистика за 2008 г.
В отличие от наших прошлых годовых и полугодовых статистических отчётов, текущий отчет практически полностью сформирован на основе данных, полученных и обработанных при помощи Kaspersky Security Network. - Kaspersky Security Bulletin. Развитие угроз в 2008 году
2008 год показал, что эпоха эпидемий осталась в прошлом.
Но вернёмся к “Лаборатории Касперского”. Она располагается на севере Москвы, в ней работает порядка 800 человек, которые занимают несколько этажей в двух крупных зданиях. А сейчас мы предлагаем вместе с нами совершить виртуальную экскурсию по “Лаборатории Касперского”, после чего вы узнаете много интересных подробностей о деятельности компании.
“Лаборатория Касперского”: виртуальная экскурсия
Внешне “Лаборатория Касперского” ничем не выделяется – обычное офисное многоэтажное здание, являющееся осовремененным вариантом какого-нибудь НИИ или “ящика”. Вывеска тоже отсутствует, поэтому сразу переходим к внутренним помещениям. Если вы хотите получить увеличенную версию фотографии, то нажмите на картинку.
Сначала мы посетили группу контент-редакторов департамента маркетинга. Именно они отвечают за перевод продукции “Лаборатории Касперского” на многие языки мира. Здесь, в том числе, работают и носители языков.
Мы были приятно удивлены интерьером комнаты – видно, что сотрудники пытаются сделать свои рабочие места максимально уютными. Мы обратили внимание и на большое количество зелени, но самое интересное нас ждало впереди. Оказывается, в компании есть настоящие джунгли.
Нас встретил генеральный директор “Лаборатории Касперского” – Евгений Касперский. Кстати, на заднем фоне можно заметить кофемашину: они находятся на всех этажах здания, сотрудники могут бесплатно попить кофе и другие горячие напитки.
Затем мы поднялись на седьмой этаж. Мы прошли мимо святая святых – серверной комнаты, куда нас не пустили. Там размещается достаточно вычислительной мощности, чтобы программы “Лаборатории Касперского” по всему миру могли оперативно выполнять обновления. Рядом находится департамент инновационных технологий.
В коридоре мы обнаружили весьма симпатичный флаг “Лаборатории Касперского”. Что интересно, коридоры на этажах не прямые, а имеют полукруглые искривления, поэтому коридор не просматривается. Считается, что сотрудникам от этого будет уютнее.
Заглянули мы и в тестовую лабораторию, состоящую из большого числа самых разнообразных серверов и компьютеров. Всё это гарантирует совместимость продуктов “Лаборатории Касперского” с широким числом платформ и конфигураций.
А дальше начались настоящие джунгли – технический департамент. Здесь с помощью увлажнителя поддерживается высокий уровень влажности. Ещё бы стены с потолком лианами застелить – и будет полное впечатление, что компьютеры располагаются в джунглях. Смотрите сами.
По пути мы обнаружили комнату, где проводится тесты оборудования Bluetooth, так как через этот протокол вирусы тоже могут распространяться. Комната экранирована, чтобы ненароком не заразить телефоны сотрудников.
Затем мы спустились на шестой этаж. На нём располагается ресепшин, куда приходят посетители.
Не забывает “Лаборатория Касперского” и про журналистов – мы встретили два стенда с публикациями о компании.
По пути в очередном закруглении коридора нам попалась интересная композиция. К какому-то из юбилеев компании ведущие сотрудники “Лаборатории Касперского” перекрасились в индейцев. Вот вам “главный Чингачгук”.
За ним следуют другие аксакалы “Лаборатории”.
Наконец, мы спустились на четвёртый этаж. В одной из комнат нас встретило объявление “Уважаемые работники ВирЛаба! Убедительная просьба не брать дятловские стулья, а также не скручивать с них ручки!”.
Поясним – “дятлами” в “Лаборатории Касперского” называют сотрудников, которые работают с вирусами. Выявляют их, выделяют сигнатуры и вносят их в базу. А затем, выполнив обновление, ваш антивирус начинает ловить вредоносные программы, которые были обработаны вот этими “дятлами”.
Обратите внимание на две панели. Справа выводится список последних “пойманных вирусов”, то есть сигнатур, внесённых в базу. А рядом можно заметить фамилию сотрудника, который внёс сигнатуру. Большинство сигнатур вносит сотрудник Aybo – робот, который пытается автоматически распознать новые вирусы. Если у него это получается, то робот вносит новую сигнатуру автоматически, без помощи “дятлов”. Если же машина не справляется, подключаются сотрудники “Лаборатории Касперского”. При таком количестве вирусов без автоматизации процесса просто не обойтись. На левом экране выводится какая-то служебная информация. Мы смогли сфотографировать её один раз, но затем нам запретили делать фотографии – между вирусописателями и сотрудниками “Лаборатории Касперского” идёт настоящая война, и любая утечка информации и ноу-хау может повлиять на расклад сил не в пользу светлой стороны Силы.
Главный “дятел” продемонстрировал нам деятельность ВирЛаба в реальном времени.
А этот фанерный щит позволяет сфотографироваться с Евгением Касперским в отсутствие такового.
Осмотрев “Лабораторию Касперского”, мы направились в конференц-зал, чтобы выслушать доклады ведущих сотрудников компании.
Киберугрозы и антивирусная индустрия. Взгляд в будущее
Евгений Касперский, генеральный директор “Лаборатории”, открыл пресс-конференцию своим докладом “Киберугрозы и антивирусная индустрия. Взгляд в будущее”. Основную задачу деятельности компании Евгений видит глобально: защитить мир от киберугроз.
Из чего состоит мир, где находится компания, пользователи Интернета? Евгений выделил четыре элемента: киберпреступники, их жертвы, антивирусная индустрия, правоохранительные органы.
Всю эту экосистемы определяют три фактора.
- Операционные системы и устройства (там всё “болтается”).
- Индустрия защиты от ИТ-угроз (сюда относится “Лаборатория Касперского”).
- Сами угрозы.
Операционные системы и устройства
Начнём с первого фактора. Современные операционные системы гибкие, многофункциональные, но небезопасные. В идеальном случае все приложения, запускаемые в системе, должны быть доверенными. То есть либо они должны быть в “белом” списке, либо содержать цифровую подпись для запуска. Но в таком случае все производители софта должны получать сертификаты. Это вряд ли удобно и реализуемо.
Исключением можно назвать разве что iPhone. Даже Symbian пришлось вернуться к незащищённой системе. Brew – ещё один пример защищённой ОС, но эта операционная система теряет рынок.
Вывод таков: безопасных ОС в будущем не предвидится.
Затем Евгений привёл очень интересный пример.
На слайде показан автомобиль “Форд Т”, который 70 лет назад был чётко отличим и лидировал. Сегодня у нынешних машин “Форд” десятки близнецов.
Перенесём это на операционные системы.
Как предполагает Евгений, в будущем все массовые ОС достигнут предела функциональности и будут очень похожи друг на друга, подобно современным автомобилям. И они, увы, будут небезопасны.
Помимо компьютеров не стоит забывать про смартфоны. Уже есть “трояны”, переводящие деньги с одного телефона на другой. В этом сегменте появляется всё больше платных сервисов, что привлекает злоумышленников. В будущем все телефоны будут представлять собой, по сути, смартфон. Значит, и там будут вирусы. Тем более всё больше программистов начинают писать мобильное ПО.
Вывод Евгения не очень радужный: ждите, будет очень много вирусов под телефоны.
Что касается “умных домов”, то вирусы в них тоже смогут проникать. В таком доме существует много возможностей, которые могут использовать вирусописатели: например, можно включать устройства простой SMS-кой. Впрочем, как пояснил Евгений, массового распространения “умных домов” вряд ли стоит ожидать, поскольку они стоят дорого. Но концепты многих устройств будут представлены в ближайшие пять-десять лет. Кстати, в своём загородном доме Евгений пытается избежать подобных “умных” устройств: “Боже упаси”!
Евгений предположил, что следует готовиться к тотальной компьютеризации. Она повлияет на автомобили, самолёты и другие устройства. И даже на домашних любимцев.
В качестве примера Евгений привёл найденную уязвимость в сети WiFi нового самолёта Boeing 787 Dreamliner, которая позволяла пассажирам получать доступ к бортовой сети самолёта.
Индустрия защиты от ИТ-угроз
Евгений любит свою отрасль, поскольку в ней происходит много всего интересного. Индустрия предлагает довольно много решений, поскольку все они предназначены для защиты от разных угроз. Угрозы постоянно нарастают, против них нужны новые решения. Например, сегодня очень популярен анти-вор у смартфонов – кто бы мог подумать об этом раньше?
Информационные технологии быстро меняются. При этом нужно использовать принципиально разные технологии. И те компании, которые начали фокусироваться на технологиях задолго до появления угроз, они будут прогрессировать. А те, кто вкладывался, по большей части, в маркетинг, проиграют.
Бизнес-модели в современной индустрии защиты от ИТ-угроз присутствуют, буквально, на любой вкус.
Помимо “классики” Евгений отметил Hosted Security – своего рода аутсорсинг безопасности для компании. В области защиты смартфонов тоже будут появляться новые предложения. Да и “умный дом” таит в себе немало опасностей, от которых нужно будет защищаться. Евгений предложил “ЖАК” – жилищно-административную контору по аналогии с “ЖЭК”, которая будет осуществлять администрирование компьютерными сетями “умных домов” и “умных квартир”. Представьте себе атаку вируса, в результате которой все двери в доме оказались заблокированными, а жильцы не могут выбраться?
За историю антивирусного ПО произошло много слияний и поглощений. Как считает Евгений, они будут и дальше происходить.
Сегодня порог входа на рынок антивирусного ПО очень высокий: нужны многомиллионные вливания, годы работы, много софтверных инженеров. Не каждая страна может себе позволить обучать и готовить достаточное количество мощных программистов-кодеров.
Наконец, не мог Евгений не поговорить о том, что дешёвые (почти бесплатные) продукты – тупиковая ветка. “Дёшево будут отдавать тогда, когда продать не получается.” И в качестве примера он показал скриншот интернет-магазина с продуктом конкурента, продающимся с большой скидкой.
Сами угрозы
Раньше вирусы писали любители – можно сказать, они просто баловались. Сейчас в индустрии вирусописательства работают профессиональные программисты. И основная мотивация у них – деньги, а, вернее, больше денег. Бизнес дорос до сферы разделения труда: одни группировки пишут вирусы и “трояны”, продают их другим. Вторые заражают сеть. Третьи продают информацию из этой сети четвёртым.
Евгений привёл два примера прайс-листов с сайтов преступных группировок. Первый сайт продавал уязвимости, а второй – зомби-сети.
Евгений также отметил и денежный рекорд киберпреступников: международная банда из десяти человек (по одному из Израиля и Швеции, восемь из Великобритании) хотели украсть 220 млн. фунтов.
Итог таков: киберпреступники получают огромные деньги. Поэтому мы наблюдаем просто невероятный роз киберугроз за последние годы. Посмотрите на график числа обнаруженных уникальных вредоносных программ.
Среди других опасностей Евгений отметил национальные DDOS-атаки. Из-за роста масштабов зомби-сетей хакеры могут “вырубить” уже большой регион или целую страну. Хакеры могут получить доступ к критическим инфраструктурам и, например, отключить электричество у всего региона.
Увы, но всё это ведёт к кибертерроризму, то есть к атаке и перехвату не ИТ-инфраструктур. В качестве возможного сценария Евгений привёл сюжет фильма “Крепкий орешек 4”.
Возможно возникновение кибервойн, но пока не ясно, когда они случатся, против кого будут направлены, и какие будут масштабы разрушения.
Итог доклада Евгения Касперского таков: мы будем зависеть от операционных систем, мы будем обвешены устройствами, их будет много разных, они будут небезопасны. Антивирусная индустрия будет бурлить, новостей в ней будет много. Правительства не смогут прийти к согласию по многим вопросам, поэтому противостоять киберпреступникам и кибертерроризму на государственном и межгосударственном уровнях будет очень сложно.
Всё это объединяет одно: огромный спрос на защитные решения и технологии в постоянно меняющейся среде.
“Лаборатория Касперского” в России и в мире
Второй доклад прочитал Гарри Кондаков, управляющий директор “Лаборатории Касперского” в странах СНГ, Восточной Европы, Ближнего Востока, Африки.
Гарри начал доклад с привычного для многих компаний слайда о текущем состоянии и успехах. Что интересно, этот слайд приходится менять каждый год, поскольку компания бурно и динамично развивается.
На сегодняшний день “Лаборатории Касперского” уже пошёл 11 год, основное достижение последних лет – компания стала международной. Сегодня топ-менеджмент составляет 15 человек, из которых восемь россиян и семь иностранных граждан (они представляют пять стран с трёх континентов), то есть примерно поровну. “Лаборатория Касперского” присутствует во многих странах, в 21 стране на четырёх континентах открыты локальные представительства. 22 локальный офис будет открыт в Йоханнесбурге (ЮАР). У “Лаборатории Касперского” около 250 миллионов пользователей по всему миру, порядка 40 тысяч активаций ежедневно.
У “Лаборатории Касперского” насчитывается более 150 OEM-партнёров, причём, по словам Гарри, все они – активные партнёры.
В целом, Гарри указал на рост “Лаборатории Касперского” порядка 100% в год.
До 2008 года у большинства клиентов надёжными воспринимались три антивирусные компании – McAfee, Symantec и TrendMicro. В 2008 году, по словам Гарри, к ним примкнула и “Лаборатория Касперского”, чей брэнд тоже стал считаться надёжным и проверенным. А доля компании на мировом рынке увеличилась до 4%.
Проценты продаж за 2008 год по регионам следующие. 50% составляет Европа кроме некоторых юго-восточных стран. Регион EEMEA = 25%. Америка и Азия – меньше.
Гарри отметил, что стратегия развития компании предусматривает мировую экспансию – региональное присутствие, укрепления бренда, а также развитие сообщества партнёров. На следующем слайде красным цветом показаны семь локальных офисов, которые были открыты в 2008 году. В рамках продвижения бренда “Лаборатория Касперского” в 2008 году активно участвовала в мероприятиях по всему миру.
Что же в России? Гарри отметил, что “Лаборатория Касперского” в России сотрудничает со многими стратегически важными государственными структурами и организациями (“голубые фишки” российского бизнеса). Причём это не просто поставки по тендерам, а сотрудничество и консультации. Гарри назвал регионы, с которыми были подписаны соглашения по сотрудничеству в области информационной безопасности: Омская область, Татарстан и некоторые другие. Гарри упомянул инициативу “Безопасный регион”, призванную обеспечить безопасность каждого региона Российской федерации.
“Лаборатория Касперского” участвует в образовательных программах. На сегодняшний день все школы получили трёхлетнюю лицензию на продукты компании. Гарри отметил, что “Лаборатории Касперского” трудно бороться в одиночку с угрозами, ещё сложнее предотвратить их. Именно поэтому в школах проводится разъяснительная работа, почему писать вирусы и другие вредоносные программы опасно и незаконно.
Гарри подвёл итог своему выступлению: в России у “Лаборатории Касперского” более 3000 авторизованных партнёров, компания проводит более 150 мероприятий с партнёрами в 60 городах. В 2008 году для российских партнёров были проведены две конференции.
Демонстрация работы антивирусной лаборатории
Станислав Шевченко, директор антивирусной лаборатории, рассказал о деятельности своего подразделения. Он назвал доклад весьма амбициозно: “Мы здесь, чтобы спасти мир”.
Станислав назвал три ключевых фактора, над улучшением которых работает антивирусная лаборатория: эффективность, скорость реакции и уровень детектирования. На следующем слайде приведена структура групп антивирусной лаборатории.
Станислав распределил деятельность групп по трём направлениям. Первое: работа с вредоносным кодом. Одна из ценностей антивирусной лаборатории заключается в коллекции вирусов. “Раньше это было наше всё”. Но всё изменилось в связи с ростом количества появляющихся вирусов. За первое полугодие 2008 года было собрано по объёму столько же новых вредоносных программ, сколько за предыдущие 10 лет. Так что ценность этой коллекции сегодня немного снижена. Кроме того, крупные антивирусные компании, включая “Лабораторию Касперского”, обмениваются антивирусными базами раз в месяц. В общем, первая “группа групп” антивирусной лаборатории работает с вредоносным кодом, создавая все виды сигнатур.
Вторая “группа групп” отвечает за инфраструктуру, поддерживает работу первой колонки. Сегодня автоматизированные системы обнаружения и выпуска сигнатур играют всю большую роль, и весь входящий поток проходит через них.
Третья “группа групп” – центр глобальных исследований и анализа угроз. В него входят люди, которые локально в своей стране занимаются исследованием тенденций, ищут новые угрозы.
Что интересно, из-за количества вирусов, которые идут со стороны Китая, в этой стране была открыта вторая антивирусная лаборатория, занимающаяся работой с вредоносным кодом, правда, штат у неё составляет всего пять человек.
Позвольте рассмотреть некоторые аспекты деятельности антивирусной лаборатории. Начнём мы с обработки потока вредоносных программ. Здесь задействована группа вирусных аналитиков KLAN, активно используется подход на основе дженериков и эвристики, сюда же можно отнести стадию распаковки, поскольку почти весь вредоносный код запакован. Станислав не без гордости отметил, что “Лаборатория Касперского” имеет наибольший пул работы с распакованными объектами. Например, четыре года назад услугами “Лаборатории Касперского” по распаковке объектов заинтересовалась Microsoft. В результате всей этой работы обновляются антивирусные базы данных, в них добавляются новые сигнатуры и распаковщики.
Следующий аспект касается поддержки пользователей и компаний. Станислав отметил, что, помимо обычных пользователей, компания осуществляет поддержку VIP-пользователей, которым необходимы специализированные решения. Например, не так давно для известной поисковой машины “Лаборатория Касперского” выполнила задание по детектированию группы вредоносных программ, которые занимаются подменой результатов поиска. Сюда же можно отнести и экспертизу, которую выполняет антивирусная лаборатория. “Лаборатория Касперского” активно взаимодействует с правоохранительными структурами во всём мире. Большой интерес они проявляют к доказательной базе. Поэтому “Лаборатория Касперского” готовит и материалы для суда (технические экспертизы), причём Станислав привёл и количество: две-три экспертизы в неделю. Кроме того, наблюдается рост к повышению числа экспертиз. Поэтому, возможно, в будущем такие экспертизы будут оказываться на платной основе.
Инфраструктура – тоже не менее интересный вопрос. Антивирусная лаборатория раньше работала только для себя. А сейчас вирусные аналитики, разработчики и тестеры работают и на другие компании. Например, лаборатория занимается поведенческим анализом, то есть тестирует продукты разработчиков на реальных вредоносных программах. Результат заключается в увеличении качества обработки и количества обрабатываемого потока вредоносного ПО. В продуктах исправляются ошибки и появляются новые технологии.
Упомянул Станислав и миссионерскую деятельность компании. Сам по себе программный продукт – это хорошо, но образованный пользователь является вторым важным фактором для эффективной защиты компьютера. Пользователи должны знать важнейшие правила безопасности, не “кликать” неизвестные ссылки, например. Поэтому “Лаборатория Касперского” работает с ИТ-сообществом, со СМИ, с образовательными учреждениями.
Как работает антивирусная лаборатория? Входящие вредоносные объекты, в зависимости от их сложности, могут поступить на автоматическую или ручную обработку, а также пройти специальные процедуры.
Ниже приведена цепочка автоматической обработки, через которую проходит большая часть вредоносных объектов. Станислав отметил, что важно не просто задетектировать вредоносный объект, но и дать правильное наименование.
Если автоматически обработать “вредонос” не получилось, то он поступает на ручную проверку и дизассемблирование. Специалисты ВирЛаба анализируют логи автоматической обработки, выполняют дизассемблирование (IDA) вредоносного кода, при этом активно используя редактор Hiew. Как правило, после быстрого анализа объект разбирается, создаётся сигнатура, антивирус начинает ловить “зловред”.
В редких случаях старые методы лечения не работают. Тогда объект поступает на более доскональный специальный анализ, после которого создаются новые процедуры лечения. Также часто добавляется и описание вредоносного объекта, его поведение и способы лечения. С этой информацией пользователи могут ознакомиться на сайте VirusList.com.
Нам показали работу антивирусной лаборатории в реальном времени. Как оказалось, натренированный глаз “дятлов” с первого раза определяет вредоносный код в редакторе Hiew по ряду признаков. Перед нами специалист ВирЛаба “по полочкам” разобрал действия “вредоноса”. Оказывается, он загружает другую вредоносную программу из Интернета по URL, который на наших глазах был раскодирован.
Свой доклад Станислав закончил на весьма оптимистичной ноте.
Как работает СпамЛаб?
Андрей Никишин, директор лаборатории контентной фильтрации, назвал свой доклад весьма загадочно: “Приоткрывая завесу тайны”. Что ж, позвольте приоткрыть завесу.
СпамЛаб занимается не только классическим спамом, о чём можно догадаться по названию, но и фишингом (различными видами мошеннических писем например так называемый “нигерийский спам”). Также в результате проводится категоризация web-ресурсов (URL фильтрация). Каждый день СпамЛаб обрабатывает более миллиона уникальных сообщений.
На каких продуктах видна работа СпамЛаба? Это Kaspersky Anti-Spam, KIS, Антивирус для рабочих станций 8.0.
Флагманский продукт СпамЛаба Kaspersky Anti-Spam предназначен для защиты корпоративных пользователей. Он использует набор современных технологий для фильтрации нежелательных сообщений. Часть технологий была уже запатентована, либо были поданы патенты в США и России. Обновления баз происходят каждые три минуты. При этом СпамЛаб не стоит на месте, постоянно разрабатываются новые технологии, реализующиеся в конечных продуктах.
Как работает СпамЛаб? Сначала происходит анализ поступающих писем на основе “чёрных списков”, анализируются технические заголовки, проводится лингвистический анализ – всё это позволяет узнать, о чём примерно письмо. СпамЛаб проверяет письмо по текстовым или графическим сигнатурам. Андрей с гордостью рассказал о собственном алгоритме СпамЛаба, который быстро позволяет понять, есть ли в картинке текст (алгоритмы, которые используются в программах распознавания символов, например, FineReader, здесь подходят мало, нужно более лёгкие способы). В результате принимается решение на уровне системы экстренного реагирования UDS – фильтры обновляются практически в реальном времени.
Следующая часть доклада Андрея была посвящена тому, как ловится спам, то есть самому процессу. Конечно, всё начинается с писем. Они в “Лабораторию Касперского” поступают из многочисленных спам-ловушек. Спам определяется по текстовым и графическим сигнатурам, как мы уже упоминали выше, проводится эвристический (контетный) анализ текста, затем письмо анализируется по заголовкам, используются URL-списки и репутационные базы UDS.
Если письмо признано спамом, то первым делом нужно преобразовать и распаковать его в удобную для обработки форму. Затем нужно отсеять известный спам, оставив только то, что важно. Затем письма группируются, чтобы вместе обрабатывать письма, которые, например, различаются каким-либо словом.
В итоге аналитикам приходят только единицы писем, для обработки которых необходим человеческий интеллект. Как работают аналитики? В СпамЛабе есть старшие аналитики и сменные аналитики, последние работают дома 4-5 часов в день. График такой, что всегда работает два человека. Старшие аналитики ещё называются “правильными”, поскольку они делают правила. Они чем-то похожи на язык. Например, если в письме встречаются некоторые особенности (первое, второе, третье), то оно признаётся спамом.
В качестве примера Андрей привёл письмо, где ненадлежащим образом оформлен номер телефона, а также присутствуют и другие признаки спама.
Кроме отлова спама “Лаборатория Касперского” проводит категоризацию ресурсов сети Интернет. Разрабатываются эвристические методы категоризации, проводится и ручная верификация ресурсов. Большие усилия уходят на разработку автоматических методов детектирования спама. Немало внимания уделяется и анти-фишингу.
Просвещение: новый подход к безопасности
Сергей Новиков, менеджер по работе с внешними структурами, выступил с докладом “Просвещение: новый подход к безопасности”.
Сергей пояснил, что миссия “Лаборатории Касперского” заключается не только в защите от ИТ-угроз, но и в образовании пользователей. Почему важно последнее? Включая компьютер, следует помнить, что антивирус сам по себе не даёт 100% защиты. Пользователь должен правильно реагировать на возможные угрозы. Впрочем, об этом уже не раз говорилось, но чуть ниже мы привели пять правил безопасности.
Сергей привёл интересные факты: восьми из десяти вирусописателей меньше 21 года; подростки интересуются информационными технологиями, но часто не понимают, как правильно применить знания. Действительно, в 14 лет сложно бывает заработать деньги “головой”. Здесь есть два выхода: можно пойти путём ужесточения наказания, а также создать, например, интернет-полицию. Второй путь кроется в ставке на ИТ-образование, включая поддержку и мотивацию научных ИТ-исследований. В конце концов, молодые специалисты должны выбирать “светлую сторону Силы”.
“Лаборатория Касперского” разделяет образовательную деятельность на три направления: школы, университеты и сообщества.
Для школьников, в частности, предлагается образовательный портал http://www.av-school.ru. Портал носит образовательный характер и содержит много интересной информации. На портале проводится много конкурсов, в частности, ИТ-соревнование “Компьютерный биатлон”. Школьникам выдаются задания, творческие и технические, после чего работы проверяются, а “Лаборатория Касперского” награждает победителей. Сергей особо отметил, что большая часть контента сайта создаётся с помощью пользователей. Школьники присылают статьи, которые размещаются на портале. Как известно, знания, полученные от сверстников, лучше усваиваются. Получается, что дети учат детей! Впрочем, конечно, эксперты с контентом сайта тоже работают.
“Лаборатория Касперского” проводит в школах открытые уроки, на которых даются уникальные знания, проводятся практические ИТ-занятия. “Лаборатория” также патронирует детские образовательные лагеря.
Что касается работы с вузами, то “Лаборатория Касперского” работает на уровне студенческих групп, которые занимаются анализом вредоносного кода, проводят тесты, ведут аналитические исследования. “Лаборатория” поддерживает работу и на уровне научных исследований (дипломы, диссертации). Некоторые студенты проходят стажировку в “Лаборатории Касперского”. Сергей привёл пример карьерного роста: ученик – студент – стажёр – сотрудник. Так что для школьников и студентов открыты все возможности!
В заключение своего доклада Сергей дал пять советов безопасности.
- Обновляйте антивирус;
- обновляйте программное обеспечение;
- используйте сложные пароли;
- игнорируйте подозрительные файлы и ссылки;
- включайте голову!
Антивирусная индустрия: основные технологии защиты 2008
На второй день для ИТ-журналистов был проведён круглый стол, где Николая Гребенников, директор по исследованиям и разработке “Лаборатории Касперского” прочитал весьма интересный доклад “Антивирусная индустрия: основные технологии защиты 2008”.
Николай начал свой доклад с напоминания об экспоненциальном росте вредоносных программ в 2008 году, о чём мы уже говорили выше. А это привело к тому, что индустрии пришлось меняться, существующие технологии защиты оказались малоэффективными.
До 2008 года антивирус воспринимался как нечто обыденное, причём грань между качественными и некачественными решениями стиралась. В результате инвестиции в развитие, в НИОКР у многих компаний были меньше, чем должны были быть, если бы они серьёзно думали о тенденциях развития антивирусной индустрии. И маркетинг для многих компаний стоял на первом месте, опережая инвестиции в антивирусные лаборатории.
Ещё в 2006 году никто не предсказывал такого взрывного роста вредоносов, который оказался в 2008. А “большая тройка” (Symantec, McAfee, TrendMicro) уделяла основное внимание своим опасениям насчёт выхода на рынок Microsoft с решением OneCare. В итоге попытка Microsoft выйти на рынок решений для конечных домашних пользователей закончилась неудачно. При этом индустрия столкнулась с растущим числом атак – возросли как их количество, так и качество. В результате в 2008 году индустрия столкнулась с растущим числом высокопрофессиональных киберпреступников и массивных атак. По словам Николая, “это очень серьёзный оппонент”. Многие вирусы и “трояны” были высокопрофессиональным продуктом и средством. Разработчики могли бы “гордиться” таким продуктом. Было реализовано множество технологий.
Что же происходило в умах “большой тройки”?
- Symantec: “если рост числа вредоносных программ продолжится, то он опередит рост числа легальных программ…”
- McAfee: “модель защиты по чёрным спискам (blacklisting model), в конце концов, может упереться в пределы своей архитектурной нерасширяемости”
- Trend Micro: “мы видим, что антивирусная индустрия… плохо себя чувствует”
Таким образом, к середине 2008 года гиганты индустрии были в панике.
Какие были выходы?
Скорость антивируса
Сначала был поднят вопрос скорости антивируса. Он определяется Symantec как наиболее критичный вопрос, то есть на первом месте стоит даже не уровень защиты (!).
- “В Symantec мы осознаём, что, для чего бы вы ни использовали компьютер, вы не хотите, чтобы он замедлялся тяжеловесным защитным ПО”
- “…не будем выпускать продукт, пока мы не сделаем самый быстрый продукт защиты в мире”
Борьба за скорость, по словам Николая, открыла новую эру антивирусной гонки вооружений. “Лаборатория Касперского” с 2006 года (KAV/KIS 6.0) уделяет пристальное внимание скорости работы продуктов, но считает, что производительность – не самое главное.
“Белые” списки
Вторая тенденция заключалась в использовании “белых” списков доверенных приложений (Whitelisting), поскольку “чёрный” список себя изживёт. Что же считают крупные производители?
- Symantec: “технологии, такие как whitelisting, … будут становиться критичными”
- McAfee: “Whitelisting выглядит как очень сильная архитектурная перспектива…”
- Cisco: “Я не уверен, что мы сможем почувствовать себя уверенными в нашей инфраструктуре без реализации Whitelisting”
“Лаборатория Касперского” уже реализовала “белые” списки в KAV/KIS 2009. То есть уже началось накопление базы заведомо хороших файлов. Николай считает, что “белые” списки станут одной из обязательных технологий в решениях для конечных пользователей.
“Into the cloud”
Третья тенденция: “Into the cloud” или “Технологии в облаке”. Под этой технологией подразумевается комбинация локальных и удалённых сервисов. Николай справедливо отметил, что они имеют как плюсы, так и минусы. Что думают по этому поводу крупные производители?
- Trend Micro: “Мы первые пришли с in-the-cloud архитектурой защиты” (Smart Protection Network)
- McAfee: проект Artemis
- Panda Security: “запускает в 2009 “in the Cloud” набор средств защиты”
- F-Secure: “даёт самую быструю защиту онлайн”
“Лаборатория Касперского” тоже активно использует технологии “Into the cloud”, которые реализованы в рамках “Kaspersky Security Network” и “Urgent Detection System” в KIS/KAV 2009.
Николай более подробно описал защиту через технологию “Into the cloud”. Сразу же отметим, что для работы технологии защиты пользователь при установке KIS/KAV 2009 должен согласиться с отправкой некоторой информации в “Лабораторию Касперского”. (Это можно сделать позднее в “Настройках” в пункте “Обратная связь”).
Когда пользователь скачивает приложение из Интернета, продукт отсылает сигнатуры приложения в реальную базу.
Неизвестные файлы поступают к вирусным аналитикам для анализа.
Затем аналитик принимает решение. Если подозрительный файл опасен, то он добавляется в базу данных “Системы мгновенной реакции”.
Другие пользователи тоже могут попытаться скачать и запустить подозрительный файл. KAV посылает запрос на сервера KL UDS и KL Whitelisting для получения данных о файле.
Система мгновенной реакции посылает предупреждение, что подозрительный файл потенциально опасен. Система контроля приложений KAV/KIS 2009 предупреждает пользователя и блокирует исполнение данного файла.
Таким образом, пользователи уже оказываются защищены через “Систему мгновенной реакции”, даже если файл отсутствует в базе данных антивируса. Тем временем аналитик заканчивает анализ и детектирует файл как вредоносный. Создаётся сигнатура, она добавляется в стандартные базы “Лаборатории Касперского”.
Затем новая сигнатура раздаётся всем пользователям разных продуктов “Лаборатории Касперского” как часть ежечасных обновлений. Теперь все пользователи защищены от опасности, которую несёт подозрительный файл.
Контроль приложений
Следующая тенденция – контроль приложений со стороны антивирусов. У многих антивирусов этот вопрос проработан в зачаточном состоянии, но “Лаборатория Касперского” в качестве одной из основ продуктов 2009 года и последующих линеек заложила систему контроля приложений нового поколения. Этот подход позволяет перенести защиту настольных ПК и серверов на новый уровень – глубокой интеграции в операционную систему.
Вывод по контролю приложений Николай сделал следующий: “наиболее важный вопрос – не то, сколько вредоносных программ знает ваш антивирус, а то, какие приложения исполняются на вашем компьютере!”
Затем Николай перешёл к рассмотрению эволюции подходов к контролю приложений. Он отметил, что от бинарного деления хороший/плохой индустрия переходит к множественному делению на основе рейтинга опасности. От подхода “Разрешить всё/Блокировать всё” будет переход к подходу правил ограничения изменений (ресурсов, среды исполнения).
Будет развиваться и защита “хороших” приложений. То есть антивирус будет отслеживать их поведение, проверять актуальность версий через базы уязвимостей, предотвращать утечки информации наружу от лица “плохих” приложений через “хорошие”, анализировать настройки.
Важным фактором контроля приложений является доступ к базам данных о приложениях в реальном времени на серверах “Лаборатории Касперского” в Интернете. Причём эти базы пополняются “живыми” данными с компьютеров пользователей.
Поговорил Николай и о контроле приложений в корпоративной среде. Здесь основной особенностью является централизованное управление, которое позволяет разделить приложения на “хорошие”, “плохие”, “потенциально опасные” и “уязвимые”. Причём администратор может дополнять локальную базу “хорошего” ПО. Здесь, конечно, добавляется новое измерение – пользователь, то есть контроль приложений может осуществляться в зависимости от пользователя, вошедшего в систему. Опытному пользователю можно разрешить больше, неопытному – меньше.
В заключении Николай назвал 2008 “годом революции в защите”, выделив следующие ключевые факторы развития.
- Больше внимания технологиям и влиянию на работу пользователя.
- Базы “белого” ПО дополняют базы “чёрного”.
- Контроль приложений и HIPS.
- Доступ к базам “in-the-cloud” в реальном времени.
- Пополнение баз на основе данных от пользователей
Нам остаётся только поблагодарить Николая Гребенникова за интереснейшее выступление. Будем надеяться, что “Лаборатория Касперского” всегда будет радовать нас новыми интересными разработками в области защиты пользователей от вредоносного ПО.