Евгений Касперский (e_kaspersky) wrote,
Евгений Касперский
e_kaspersky

Categories:

Волшебство анонимных источников.

Кто убил Кеннеди?

Почему упал Тунгусский метеорит?

Кто управляет Бермудским треугольником?

В чём тайная цель мировой масонской ложи?


Ответы на эти вопросы гораздо ближе и проще, чем мы можем себе представить. Достаточно добавить «по информации, полученной из анонимных источников» и – вуаля! – мы наверняка знаем всё про всех и обо всём. Задача тем проще, если разоблачить негодяев в большом издании с увесистым авторитетом. Кто стоит за сомалийскими пиратами? Нет никаких сомнений!

Недавно подобным образом мировую кулису искусно приподняло агентство Рейтер.

Краткое содержание статьи: мы, оказывается, пишем вирусы, очень мудреные и специальные, и терроризируем ими конкурентов. И догадайтесь что? – вся аргументация строится на двух анонимных источниках из числа бывших обиженных сотрудников, которые ничтоже сумняшеся вылили в уши автору эпический бездоказательный бред, а автор с аппетитом его «схавал». ОК, Рейтер!!

Вот только почему-то нет упоминания, что мы этим грязным делом заняты исключительно в бане, куда мы прискакали верхом на медведях. Видимо, при редактуре статьи эти подробности пришлось вырезать. И так нажористо получилось.

Эта статья – зубодробительная смесь небольшого числа фактов, щедро разбавленных буйными фантазиями.

Действительно, в 2012-2013 гг. в антивирусной индустрии были серьезные проблемы с ложными срабатываниями. Многие вендоры (к сожалению, и мы в их числе) детектили совершенно безвредные файлы как зараженные. Это вообще довольно таинственная история, потому что выяснилось, что гадил кто-то довольно продвинутый, и гадил целенаправленно: по отраслевым каналам типа VirusTotal распространялись нормальные программные файлы, внутрь которых были засунуты строчки с вредоносным кодом. Причем злодеи прятали этот код так, чтобы конкретный антивирусный движок его вылавливал, включая наш. Я бы с большим удовольствием посмотрел в лицо негодяям, которые все это затеяли. Теперь вот Рейтер мне говорит, что это я и был. Как я могу относиться к такой статье? Вроде бы не первое апреля на дворе…

Теперь подробнее об этом случае: в ноябре 2012-го мы допустили ложное срабатывание и заблокировали несколько обычных файлов - игровой клиент Steam, игровой центр Mail.ru и клиент мессенджера QQ. Шум, переполох, внутреннее расследование. Выяснилось, что кто-то извне целенаправленно нам портил жизнь.

За несколько месяцев до этого наш вирлаб начал получать десятки слегка модифицированных файлов этих клиентов добавленными вредоносными строками. Получали мы их в первую очередь через сайт VirusTotal. Скорее всего, негодяи разбирались в том, как работает наш движок: сканнер анализирует не весь файл, и вот они свои закладки делали именно там, где надо, чтобы обмануть сканер. Новые файлы квалифицировались как вредоносные и в таком статусе сохранялись в базе данных.

А потом, когда Steam, Mail.ru и QQ начали обновлять свой софт, наш движок сравнил новые версии файлов с нашими записями и все заблокировал. Обычно такие программы быстро добавляются в разрешенные списки (whitelisting), но в данном случае движок успел их отправить в карантин раньше. Мы поменяли алгоритм, чтобы избежать детектов на основе только данных об имеющихся аналогичных файлах, но весь год этот кто-то так и слал нам их. Просто мы научились их не ловить.

Также мы узнали, что проблемы отнюдь не только у нас.

По некоторым компаниям эти файлы ударили очень сильно. В том же году состоялась закрытая встреча ряда софтверных компаний. Посидели, обсудили, обменялись данными. Но так и не смогли понять, ни кто это делал, ни зачем. Были разговоры, что это может быть нечистая на руку антивирусная компания, были страхи, что это какие-то могущественные негодяи так изучают, как работает наша отрасль. Может, чтобы научиться обходить защиту. Может, научиться портить жизнь кому-то. В общем, загадка.

Теперь же нас в этом обвиняют какие-то, видимо, поехавшие умом бывшие сотрудники. Ну, а как ещё можно объяснить такое поведение?

Вообще к абсурдным обвинениям у меня давно иммунитет. Ещё в конце 90-х на пресс-конференциях я ставил на стол табличку со словом «Нет», чтобы не терять времени - тогда каждому второму хотелось знать не пишут ли антивирусные компании вирусы. Мол, это же так просто – сначала написал вирус, а потом вылечил его. Страшно представить чем занимаются МЧСовцы, вулканологи и метеорологи.

Мне просто от души интересно, что ещё придумают про нас «бывшие сотрудники» и какое СМИ возьмётся этот бред опубликовать? Делаем ставки, ага? :)



А теперь обращение к тем силам, которые стоят за этой медиа-кампанией против нас в американской прессе: какие бы наезды на нас не случались, они не изменят нашу позицию детектить любые кибер-атаки, вне зависимости от их национальности и задач. Вредоносный код есть вредоносный код, а наши продукты от него защищают. Всегда. Точка.

Tags: av manufacture, it industry, malware, technology
Subscribe

Posts from This Journal “av manufacture” Tag

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 31 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →