Евгений Касперский (e_kaspersky) wrote,
Евгений Касперский
e_kaspersky

Суровые Челябинские хакеры.

Тут проскакивала маленькая незаметная новость, которая уже почти протухла - но новость забавная, не могу не отметиться по этому поводу.

Итак, некие голландские "эксперты" (подробности здесь http://www.utwente.nl/organization/stories/evil-cities ) проанализировали зловредный трафик, который попал в их Инет-ловушки, определили географические источники зловредных сетевых пакетов, потом отсортировали улов по городам мира и разделили на население этих самых городов. В результате сих статистических махинаций они пришли к выводу, что городом с самой высокой концентрацией "зловредства на душу населения" является - ... не поверите!


Челябинск! О как!! Там так и написано: "The Russian city of Chelyabinsk has the greatest concentration of cybercrime on the internet". На 2-3-м месте Куала-Лумпур и Буенос-Айрес.

Результаты эти, конечно, полная туфта. Во-первых, они видели только небольшую часть зараженного трафика, которая к ним попала. Во-вторых, источники - это либо боты, либо прокси (т.е. просто зараженные компы, а не логово преступника). Поскольку нормальные кибер-злодеи напрямую не работают. Вернее, бывает, что работают и без прокси - но не очень долго, потом - тюрьма. В третьих, ребятки забыли, что надо не только делить на население, но и умножать на процент интернетизации в данном конкретном городе. Короче - результаты забавные, но не более. Всё равно, что приехав в Москву в июле-августе, эти голландцы сделали бы вывод, что в России царит суровый тропический климат. Суровые голландские грибы... Или "Наша Раша по-голландски" :)

Короче, очень часто в Инете появляются весьма забавные "исследования", результаты которых так же далеки от действительности, как Челябинск от Амстердама.

Вопрос. А можно ли получить точную статистику - где именно "империя зловредства", откуда Сеть дербанят разные кибер-мерзавцы? Скорее всего - нет. Нельзя. Вернее - я не знаю как. Можно оценить "национальный признак", поскольку в троянах частенько попадаются текстовые строки. Больше всего вирья "говорит" по-китайски. На втором месте испанский/португальский. На третьем - русский. Но "китайский" может быть и Малайзия, и Сингапур, и Австралия. А "русский" может быть и Нью-Йорк тоже. Т.е. география весьма и весьма размазанная.

Что можно подсчитать/оценить еще? А вот что - количество заражений и попыток заражения компьютеров в Сети. С точностью до города. Как именно - сейчас расскажу.

У нас (да и не только у нас - но далеко не у всех :) есть "облачная антивирусная технология". У нас она называется KLoud Security Network. Сия штука есть в наших домашних продуктах (осенью будет и в корпоративных) уже несколько лет. Заключается она вот в чём. При установке продукта с согласия пользователя "антивирус имени меня" подключается к нашему "KLoud-облаку" и передаёт туда информацию о новых приложениях - откуда те попали на комп, "отпечаток пальца" этого софта, его поведение.
// на возможные вопросы отвечаю сразу: передаваемая информация незначительна и никак не влияет на приватность и защищённость личной информации. Неоднократно проверено с разными юристами.

В результате на наших "облачных" серверах собирается информация и о новых троянах тоже. Даже если мы не смогли остановить зловреда традиционными сигнатурами-эвристиками и прочими "мухтарами" - рано или поздно нарушитель проявит свою злобную сущность, информация об этом попадёт в облако - и данная софтина тут же попадает в "облачную" базу, к которой (напоминаю) подключены все пользователи KLoud. Которые после этого будут автоматически защищены от нового неизвестного трояна - скорость "облачной" реакции на большинство нового зловредства в Сети составляет две-три минуты(!). Круто, да.

У этой технологии есть полезный побочный эффект - мы собираем статистику срабатывания нашего продукта на компах пользователей. Т.е. если где-то что-то было отловлено, то оно попадает в нашу "копилку". Накопленное можно сортировать разными способами. Например, вот такая статистика - сколько процентов наших пользователей в разных странах столкнулись с реальным зловредством за последний месяц:

1. Судан – 92,5%
2. Бангладеш – 88,3%
3. Ирак – 80%

23. Россия – 55,3%

25. Беларусь – 55,1%

34. Казахстан - 52,5%

41. Украина - 47,6%

83. США – 33,8%

85. Великобритания - 32,5%

В самом конце, если идти вверх по списку, - Япония, Дания, Люксембург, Швейцария, Германия, Чехия, Австрия. У них всех меньше 20%. Что интересненько! Географически и ментально-культурно (кроме Японии) близкие страны! Ага, значит статистика релевантная :) Смотрим дальше: Финляндия, Эстония, Швеция, Норвегия - тоже рядом! Значит, есть что-то близкое к истине в этих данных. Т.е. страны, где население ведёт себя на одном уровне опрометчивости и разгильдяйства, где национальные Инет-ресурсы очищены (или загажены) примерно одинаково - там и цифры получаются примерно одинаковые.

Конечно же, данная методология требует критики и полировки. Конечно же, это статистика только по нашим пользователям (но по странам, где не менее нескольких тысяч человек согласились подключиться к KLoud). Но штука очень интересная и забавная. (особенно если есть доступ к "живой" статистике в real-time, у меня есть :)

Кому интересно:
Полная статистика здесь.
Методология описана здесь.

А теперь еще раз о "Россия - 55%". Это говорит о том, что мы действительно спасли "от залёта" чуть больше половины наших пользователей. С другой стороны, это говорит о том, что почти половине антивирус вообще не нужен - они ведут себя достаточно осторожно. Левых линков и непроверенных флешек себе не позволяют :) Для полноты картины надо бы посмотреть статистику популярности нашего продукта "по всему зоопарку". Да, у нас примерно половина домашнего рынка в России - но есть и много бесплатных продуктов (которые в рыночных оценках не участвуют), есть также те, кто вообще не предохраняется по жизни.

Но это - отдельная тема будущих исследований. "Процент залёта в среднем по больнице" - в рамках Рунета. Например, так: на каком проценте компов мы отловили виря (или "букет") при первой установке - если комп уже не менее месяца отработал в Сети. Интересно? Мне тоже.
Tags: av manufacture, cyber criminal, i-news
Subscribe

  • Горячий сезон в солнечном Санкт-Петербурге.

    Привет, Питер! Почему все ноют на этот город за его хмурую и дождливую погоду? Каждый раз бываю - здесь солнце во всё ярко-голубое небо! 1.…

  • Погнали!

    Всем привет! Февраль и март прошли как-то необычно спокойно, без особо дальних поездок. Видимо, судьба меня готовит к предстоящим геройским…

  • Всё о мирном и военном атоме: добро пожаловать в музей!

    На выходных посетил давно мне рекомендованный музей "АТОМ" на ВДНХ (альтернативно на вики-интернетах здесь) - полный восторг! Идти всей семьёй! 1.…

  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your IP address will be recorded 

  • 8 comments