Суровые Челябинские хакеры.

Previous Entry Поделиться Пожаловаться Next Entry
23 июля, 2011
e_kaspersky
Тут проскакивала маленькая незаметная новость, которая уже почти протухла - но новость забавная, не могу не отметиться по этому поводу.

Итак, некие голландские "эксперты" (подробности здесь http://www.utwente.nl/organization/stories/evil-cities ) проанализировали зловредный трафик, который попал в их Инет-ловушки, определили географические источники зловредных сетевых пакетов, потом отсортировали улов по городам мира и разделили на население этих самых городов. В результате сих статистических махинаций они пришли к выводу, что городом с самой высокой концентрацией "зловредства на душу населения" является - ... не поверите!


Челябинск! О как!! Там так и написано: "The Russian city of Chelyabinsk has the greatest concentration of cybercrime on the internet". На 2-3-м месте Куала-Лумпур и Буенос-Айрес.

Результаты эти, конечно, полная туфта. Во-первых, они видели только небольшую часть зараженного трафика, которая к ним попала. Во-вторых, источники - это либо боты, либо прокси (т.е. просто зараженные компы, а не логово преступника). Поскольку нормальные кибер-злодеи напрямую не работают. Вернее, бывает, что работают и без прокси - но не очень долго, потом - тюрьма. В третьих, ребятки забыли, что надо не только делить на население, но и умножать на процент интернетизации в данном конкретном городе. Короче - результаты забавные, но не более. Всё равно, что приехав в Москву в июле-августе, эти голландцы сделали бы вывод, что в России царит суровый тропический климат. Суровые голландские грибы... Или "Наша Раша по-голландски" :)

Короче, очень часто в Инете появляются весьма забавные "исследования", результаты которых так же далеки от действительности, как Челябинск от Амстердама.

Вопрос. А можно ли получить точную статистику - где именно "империя зловредства", откуда Сеть дербанят разные кибер-мерзавцы? Скорее всего - нет. Нельзя. Вернее - я не знаю как. Можно оценить "национальный признак", поскольку в троянах частенько попадаются текстовые строки. Больше всего вирья "говорит" по-китайски. На втором месте испанский/португальский. На третьем - русский. Но "китайский" может быть и Малайзия, и Сингапур, и Австралия. А "русский" может быть и Нью-Йорк тоже. Т.е. география весьма и весьма размазанная.

Что можно подсчитать/оценить еще? А вот что - количество заражений и попыток заражения компьютеров в Сети. С точностью до города. Как именно - сейчас расскажу.

У нас (да и не только у нас - но далеко не у всех :) есть "облачная антивирусная технология". У нас она называется KLoud Security Network. Сия штука есть в наших домашних продуктах (осенью будет и в корпоративных) уже несколько лет. Заключается она вот в чём. При установке продукта с согласия пользователя "антивирус имени меня" подключается к нашему "KLoud-облаку" и передаёт туда информацию о новых приложениях - откуда те попали на комп, "отпечаток пальца" этого софта, его поведение.
// на возможные вопросы отвечаю сразу: передаваемая информация незначительна и никак не влияет на приватность и защищённость личной информации. Неоднократно проверено с разными юристами.

В результате на наших "облачных" серверах собирается информация и о новых троянах тоже. Даже если мы не смогли остановить зловреда традиционными сигнатурами-эвристиками и прочими "мухтарами" - рано или поздно нарушитель проявит свою злобную сущность, информация об этом попадёт в облако - и данная софтина тут же попадает в "облачную" базу, к которой (напоминаю) подключены все пользователи KLoud. Которые после этого будут автоматически защищены от нового неизвестного трояна - скорость "облачной" реакции на большинство нового зловредства в Сети составляет две-три минуты(!). Круто, да.

У этой технологии есть полезный побочный эффект - мы собираем статистику срабатывания нашего продукта на компах пользователей. Т.е. если где-то что-то было отловлено, то оно попадает в нашу "копилку". Накопленное можно сортировать разными способами. Например, вот такая статистика - сколько процентов наших пользователей в разных странах столкнулись с реальным зловредством за последний месяц:

1. Судан – 92,5%
2. Бангладеш – 88,3%
3. Ирак – 80%

23. Россия – 55,3%

25. Беларусь – 55,1%

34. Казахстан - 52,5%

41. Украина - 47,6%

83. США – 33,8%

85. Великобритания - 32,5%

В самом конце, если идти вверх по списку, - Япония, Дания, Люксембург, Швейцария, Германия, Чехия, Австрия. У них всех меньше 20%. Что интересненько! Географически и ментально-культурно (кроме Японии) близкие страны! Ага, значит статистика релевантная :) Смотрим дальше: Финляндия, Эстония, Швеция, Норвегия - тоже рядом! Значит, есть что-то близкое к истине в этих данных. Т.е. страны, где население ведёт себя на одном уровне опрометчивости и разгильдяйства, где национальные Инет-ресурсы очищены (или загажены) примерно одинаково - там и цифры получаются примерно одинаковые.

Конечно же, данная методология требует критики и полировки. Конечно же, это статистика только по нашим пользователям (но по странам, где не менее нескольких тысяч человек согласились подключиться к KLoud). Но штука очень интересная и забавная. (особенно если есть доступ к "живой" статистике в real-time, у меня есть :)

Кому интересно:
Полная статистика здесь: http://eugenekaspersky.files.wordpress.com/2011/07/relativecustomerscomparison.pdf
Методология описана здесь: http://www.securelist.com/ru/analysis/208050678/Kaspersky_Security_Bulletin_2010_Osnovnaya_statistika_za_2010_god#11

А теперь еще раз о "Россия - 55%". Это говорит о том, что мы действительно спасли "от залёта" чуть больше половины наших пользователей. С другой стороны, это говорит о том, что почти половине антивирус вообще не нужен - они ведут себя достаточно осторожно. Левых линков и непроверенных флешек себе не позволяют :) Для полноты картины надо бы посмотреть статистику популярности нашего продукта "по всему зоопарку". Да, у нас примерно половина домашнего рынка в России - но есть и много бесплатных продуктов (которые в рыночных оценках не участвуют), есть также те, кто вообще не предохраняется по жизни.

Но это - отдельная тема будущих исследований. "Процент залёта в среднем по больнице" - в рамках Рунета. Например, так: на каком проценте компов мы отловили виря (или "букет") при первой установке - если комп уже не менее месяца отработал в Сети. Интересно? Мне тоже.
Previous Entry Поделиться Пожаловаться Next Entry
Не совсем в тему, возможно, но...
Есть в поле зрения "живая" ддос-атака на сайт и есть ICQ UIN некоего русско-говорящего товарища, вымогающего денежку за прекращение атаки. Может кому из наших спецов стоит информацию передать? Чем черт не шутит, вдруг по рукам дать получится?

?

Log in

No account? Create an account