Category: it

ОБ ЭТОМ.

Это верхний пост, где рассказывается почему и зачем этот блог.

Всем привет!

Мне приходится много перемещаться по миру. По работе и из врождённого любопытства. Как оно в мире работается, отдыхается, путешествуется, а также мои личные впечатления от увиденного, услышанного, потроганного и попробованного - об этом и блог.

Впрочем, это не отменяет специальных постов про бизнес, технологии, патенты и прочее рабочее повседневное, когда просто невозможно не высказать своё мнение.

Кстати, о мнении. Это мой личный блог и мнения, выраженные здесь могут не совпадать с официальной позицией одноимённой компании. А могут и совпадать – как повезёт. Но, надеюсь, мои рассказы интересны и достаточно фотогеничны.

Рекомендуемое в блоге:


Топ-100 самых удивительных мест в мире

Лучшие, худшие и просто никакие аэропорты мира

Рассказы о моих путешествиях на Камчатку

Рассказы о моих путешествиях по Китаю

Рассказы о моих путешествиях в Китай

Экскурсии по офисам ЛК в разных странах мира

Мы и Феррари

Наши технологии защиты: популярно о сложном


Помимо Живого Журнала меня можно найти:








Книга посетителей, а также жалоб и предложений - в комментах к этой записи. Заходите, отмечайтесь. Мне будет интересно узнать кто читает мои рассказы.

Новогодняя Дедморозная Песочница.

"Новый год к нам мчится" (с) и кристмасы всякие, все с ёлками и подарками, Дед-Морозами со Снегурочками и Санта-Клаусами с оленями. Детишки подарков ждут, письма с просьбами пишут... Так вот, те детишки, которые так долго просили у нас "сэндбокс-песочницу" в этот раз найдут подарок под ёлкой. Да-да, Дед Мороз внимательно прочитал всю-всю входящую почту и решил в уходящем году осчастливить всех новым решением для борьбы с продвинутыми атаками - Kaspersky Sandbox. И сейчас я по порядку всё расскажу.

В чем цимес технологии? В эмуляторе! Об эмуляторах я уже писал, кому интересно поподробнее разобраться тыц по ссылке. Если вкратце, это метод выявления угроз, при котором подозрительный файл запускается в виртуальной среде, имитирующей реальный компьютер. Поведение "подозреваемого" изучается в "песочнице" (sandbox) под лупой и при обнаружении опасных манёвров, объект изолируется от греха подальше для проведения дополнительных исследований.

1. 1

Анализ подозрительных файлов виртуальной среде – технология не новая. Мы её использовали и для наших внутренних исследований и в крупных корпоративных проектах. Впрочем, это всегда была трудная, кропотливая работа, требующая постоянного совершенствования шаблонов опасных действий, оптимизаций и т.п. Но мы же на на месте стоять не любим! И этим летом получили патенты на технологию создания правильного окружения виртуальной машины для проведения скоростного и глубокого анализа подозрительных объектов. В этом блоге я уже рассказывал, что мы научились делать благодаря новым технологиям.

Именно эти технологии помогли нам запустить "песочницу" в качестве отдельного продукта, который теперь можно внедрить в инфраструктуру даже небольших компаний, причём для этого не потребуется продвинутая IT-служба. "Песочница" будет аккуратно и автоматически отбирать зёрна от плевел, точнее от кибератак всех мастей - шифровальщиков, эксплойтов нулевого дня и прочей гадости, и всё это — без привлечения аналитиков!

Для кого это особенно ценно? Для компаний без специализированного отдела; для малого и среднего бизнеса, который не готов выделять допресурсы на кибербезопасность; для крупных компаний с большим количеством разбросанных по городам и весям филиалов, где нет собственных айтишников; ну и компаниям, где штатные "безопасники" занимаются более критичными задачами.

2. 2

Итого: быстрая обработка подозрительных объектов + снижение нагрузки на серверы + повышение скорости и эффективности реагирования на киберугрозы = очевидный профит! Полезный продукт на страже цифрового спокойствия для наших любимых клиентов!

P.S.: А те детишки, которые и в новом году будут вести себя хорошо и слушаться родителей, да не будут забывать письма с просьбами Дед-Морозу отправлять – те и в следующем году получат много новых и очень-очень полезных технологий. Честное слово! :)

Искренне ваш, Дед Мороз.

Первый День ОСи.

В конце прошлой недели мы провели первую специализированную конференцию "KasperskyOS Day" по нашей собственной безопасной иммунной Операционной Системе - ура! Мероприятие прошло скромно, без особого шика с фейерверками в подмосковном московском отеле Holiday Inn Vinogradovo, вот он на карте. Отель технически находится на территории Москвы, а за забором - Московская область :) Но несмотря на неяркий антураж и отсутствие пляжей с бассейнами, мероприятие прошло как мы любим - весело, активно, всем понравилось.

1. 0KM-8426

Коротко по цифрам: на двухдневную конференцию приехало 70 гостей из самых разных компаний, а шесть из них даже поставили свои стенды на нашей мини-выставке.

Collapse )

OpenTIP: смотрите глубже!

Прекрасно понимаю, что для 95% из вас этот текст совершенно бесполезен, но остальным 5% он может сильно упростить рабочие будни, рабочие выходные и рабочие праздничные дни. Иными словами, у нас есть прекрасная новость для спецов по кибербезопасности – сотрудников SOC, независимых исследователей и пытливых айтишников: инструменты, которыми ежедневно пользуются наши «дятлы» и GReAT, чтобы выдавать на гора лучший в мире ресёрч по киберугрозам, теперь доступен всем вам, причём бесплатно. Это лайт-версия нашего Threat Intelligence Portal, (сокращённо OpenTIP) – я про неё здесь кратко расскажу, и вы не сможете не добавить его в закладки прямо сейчас.

1. Capture2

OpenTIP решает две главные проблемы современного перегруженного кибербезопасника. А именно: «как выбрать, какой из сотни подозрительных файлов ковырять первым» и «окей, мой антивирус говорит, что файл чистый, – что делать дальше?».

В отличие от «классики в чёрном» - продуктов класса Endpoint Security, которые выдают чёткий вердикт вида «Чисто/Опасно», инструменты аналитиков, зашитые в Threat Intelligence Portal, дают детальную информацию о том, насколько файл подозрителен и в каких конкретно аспектах. Кстати, не только файл. Можно закидывать и просто хеш, IP-адрес или URL. Все эти артефакты будут быстро пропесочены нашим облаком и разложены на блюдечке – что найдено плохого, насколько зараза распространена, на какие известные угрозы это отдалённо похоже, какие инструменты использовались при создании, и так далее. Исполняемые файлы также запускаются в нашей запатентованной облачной «песочнице» - и через пару минут вы узнаёте, чем это кончилось.

Collapse )

1, 2, 3... 54! Принимаю!

Всем пламенный коничива! Меня в очередной раз догнало 4 октября, теперь это мой 54-й ДР. Ну, принимаю! (в смысле поздравления :)

7637742_1000

В "Коммерсанте" как будто знали о предстоящем событии :) и накануне опубликовали ежегодный рейтинг "Топ-1000 лучших..". Спасибо за подарок! Ай, молодцы :)

Ещё больше приятных ощущений доставило присутствие в "топе" четверых наших сотрудников, причём кое-кто там оказался впервые и сразу на первых местах в своих категориях: топ финансовых директоров, IT-директоров, HR-директоров, Корпком-директоров.

Ура! Не зря "все работали". Движемся в правильном направлении! :)

// А ещё мне показали результаты работы нашего японского офиса за три квартала этого года. Очень уверенные результаты! Ещё один просто отличнейший подарок. Ура-ура!

В город-курорт работать.

Знаешь прикуп - едешь в Сочи! <= именно так можно (и нужно) говорить про наше очередное индустриальное кибер-мероприятие. Едем работать в город-курорт! А теперь подробнее про завершение моего надавнего краткого забега по маршруту Москва -> Бейрут -> Тяньдзинь -> Сочи.

По всему маршруту путешествия прогнозы погоды были исключительно благоприятными: +29°C, +34°C, +25°C. По факту было даже комфортнее, не слишком жарко. Но вот пересадку на рейсе Пекин-Сочи пришлось делать в дождливой осенней промозглости и +8°C на улице.. на которую выходить так и не пришлось. Ранним утром в 6 часов не было никакой толчеи, никаких очередей и пробок, о которых мне недавно рассказывал мой случайный попутчик Д.З. (эту страшную историю я опубликовал вон там). Мы быстренько в первом ряду проскочили паспортный контроль в терминале-F, куда-то долго шли под землю, там на автоматическом поезде покатались на другую сторону аэропорта в терминал-B - всё легко и непринуждённо. Эх, всегда бы так оно работало...

Но я отвлёкся. Сели и полетели мы в славный город-курорт Сочи, где на Имеретинском побережье всё ещё лето и уверенные +23 и солнце. Но 320 человек слетелись сюда со всего мира не только для того, чтобы насладиться тёплым краснодарским климатом. В Сочи у нас проходила седьмая ежегодная конференция по промышленной кибербезопасности. Кстати в Сочи она проходила второй раз.

1. 0 industrial -507

Понимаю организаторов. Недурно там в сентябре!

Collapse )

Чёрный ящик и Иллюзия безопасности.

Конец августа принёс несколько очень интересных связанных новостей на предмет кибербезопасности мобильных операционок. Точнее об их небезопасности.

Кратко напомню: во-первых, серия дыр в iOS, которые позволяли заражать вредоносами умные Apple-девайсы (зашёл на сайт ⇒ ой), а во-вторых, симметричные атаки тех же хакеров против той же группы жертв, но уже через уязвимости в Android и Windows.

Ситуация, казалось бы, рабочая: идеальных продуктов не бывает, зато бывает жгучее желание определённых лиц, групп лиц и даже государств этой неидеальностью злоупотребить. "Казалось бы" – потому что, на самом деле, этот случай снова возвращает нас к дискуссии о преимуществах-недостатках закрытых платформ вроде iOS. И для начала хочу процитировать вот этот твит, который очень точно характеризует статус кибербезопасности в яблочной экосистеме:

1

"Итак, кто-то в течение многих лет незаметно заражал айфоны. Почему-то меня это не удивляет. Я всегда говорил, что иллюзия безопасности iOS основана на том, что никто не может исследовать эти девайсы и поэтому у пользователей практически нулевые шансы узнать о заражении"

В данном случае Apple сильно повезло: атаку обнаружили цивилизованные "белые" хакеры из Google, которые приватно передали подробности разработчикам, те пофиксили свой софт и через полгода, когда большинство пользователей обновились, рассказали об произошедшем миру.

Вопрос#1: как быстро компания смогла бы решить проблему, если бы информация ушла в «паблик» до выпуска патча?

Вопрос#2: на сколько месяцев или лет раньше эти дыры нашли бы независимые эксперты, допущенные к нужным диагностическим свойствам операционной системы?

По сути дела, мы наблюдаем "монополию на исследования" в iOS. Поиск уязвимостей и анализ приложений сильно осложнён избыточной закрытостью системы, из-за чего в эфире стоит практически полная тишина, и кажется, что "в Багдаде всё спокойно". Но тишина эта иллюзорная – что там на самом деле творится в этой красивой стеклянной коробочке за 50-100тыс.рублей просто никто не знает! И даже сама Apple…

С одной стороны, такое положение вещей позволяет Apple двигать маркетинговую отстройку о самой безопасной ОС, а с другой сотни миллионов пользователей живут буквально на пороховой бочке. Примерно вот так:

2

Причём Apple, надо отдать ей должное, действительно вкладывает большие усилия и деньги в повышение безопасности и конфиденциальности своих продуктов и экосистемы в целом. Но никакая, даже самая мощная компания, не сможет сделать больше, чем всё мировое сообщество исследователей кибербезопасности. Самый убийственный аргумент в пользу закрытости iOS для сторонних специализированных средств защиты состоит в том, что "доступ независимых разработчиков к системе = потенциальный вектор атаки". Фигня!

Обнаружение уязвимостей и плохих приложений можно проводить при помощи read-only диагностических технологий, которые смогут выявлять вредоносные аномалии при анализе системных событий. Но нет. Такие приложения жёстко изгоняются из AppStore. Я не вижу другой причины такой позиции, кроме как опасение потерять "монополию на исследования" и маркетинговую отстройку. По этой причине когда меня iпользователи спрашивают как им защищать свои устройства, то у меня единственный ответ: усердно молиться и уповать.

Ай-да-новости: ядрёный криптомайнинг.

Всем привет!

С летних каникул возвращается рубрика "Ай-да-новости". И сразу бахнем нетривиальной темой промышленной кибербезопасности.

Если кто-то пропустил посты о том, как я провёл это лето, то ознакомится можно здесь. А вот как провели лето некоторые сотрудники Южно-Украинской АЭС стало известно из… криминальной хроники. Служба безопасности Украины этим летом пресекла майнинг криптовалюты (sic!) в режимных помещениях этой станции. Результатом этого внештатного хобби стала утечка сведений о физической защите станции, которые составляют гостайну. А это уже не только печально, но даже как-то страшновато.

24f9adff4d3c87b3478c6a52c5213608
источник

Collapse )

Допрос под полным прикрытием.

Шестую части франшизы «Миссия невыполнима» я не смотрел, и не просите. Я и пятую-то видел только раз в зомби-состоянии в очередных перелётах и только из-за того, что одну из сцен снимали в нашем британском офисе. Честно говоря — мне хватило. «Пиф-паф-трах-бах» — не мой жанр, у меня есть другие планы для свободного времени (которого обычно и так не хватает).

Единственный эпизод, который я всё же «проглотил» по настоятельной рекомендации коллег: хорошие парни элегантно вынуждают плохого парня сдать других плохих парней, создав ему подходящую обстановку (точнее — фейковый прямой эфир об атомном Армагеддоне). Вроде как допрос, но не совсем.

Почему именно этот эпизод?

Он удивительно доходчиво и наглядно раскрывает один из методов выявления… неизвестных кибератак! На самом деле таких методов много — они различаются по области применения, эффективности, ресурсоёмкости и прочим параметрам (в моём ЖЖ о них регулярно рассказывается — смотрите по тегу technology). Но, пожалуй, одна из самых долгоиграющих технологий — эмулятор (про него я уже много раз писал).

В точности, как в этом эпизоде из «Миссии», эмулятор запускает исследуемый объект в изолированной искусственной среде, вынуждая его проявлять вредоносность.

kaspersky-sandbox-patent-featured

Но у такого подхода есть существенный недостаток: искусственность той самой среды. Эмулятор создаёт окружение, максимально приближенное к реальной операционной системе, вредоносы учатся его распознавать, эмулятор распознаёт, что его распознали :), и вот мы уже входим в бесконечный цикл борьбы меча и щита, который регулярно открывает окно уязвимости на защищённом компьютере. Фундаментальная же проблема заключается в том, что предел функциональности эмулятора стремится к реальной операционной системе, но никогда её не достигнет!

С другой стороны, есть ещё одно решение задачи поведенческого анализа подозрительных объектов — анализ в… реальной операционной системе! Что-о-о? Прямо на «боевом» компьютере? Нет — на виртуальной машине! Ведь технологически эмулятор не способен так же полно и точно эмулировать работу операционной системы по сравнению с настоящей ОС под виртуальной машиной. Идеальный «допрос» под полным прикрытием!

Collapse )

Ай-да-новости: кибербревно в глазу, Linux-бэкдор и длинные руки Большого Брата.

Начнём с благостных новостей.

Недавно уважаемая независимая тестовая лаборатория AV-Comparatives выпустила результаты своего ежегодного опроса. Он проводился в конце 2018, участие в нём приняли 3000+ респондентов по всему миру. Отвечая на вопрос "Каким защитным продуктом вы чаще всего пользуйтесь?", большинство пользователей (из аудитории AV-Comparatives) в Европе, Азии и Южной Америке назвало наш бренд. На втором месте мы оказались только в США (уверен, что второе место временно!). Кроме того, в Европе нас выбрали самым часто используемым защитным решением для смартфонов. Мы также возглавили список компаний, продукты которых пользователи чаще всего просят затестить, как в "домашнем" сегменте, так и среди антивирусных продуктов для бизнеса. И пусть тестят, мы готовы! Про независимые тесты и обзоры, которые проходят наши продукты можно почитать тут.

Дальше новость из рубрики "бревна-то я и не заметил".

В мае был обнаружен уженепомнюкакойпосчёту бэкдор с функциями очень полезными для шпионажа. У кого нашли бэкдор? У русских, китайцев? Ба, снова у Cisco! Слышали ли мы громкие разборы этого случая в СМИ, разговоры про угрозы нацбезопасности, обсуждение отказа от использования оборудования Cisco за пределами США и т.п.? Не-а! Хотя одновременно полным ходом идёт громкое международное линчевание Huawei, причём не только без подобных бэкдоров, но и убедительных доказательств вообще.

1
Источник

Collapse )