История одного специалиста
Запись опубликовал NickGolovko
3 810 просмотров
Благодаря статье, которую недавно опубликовал MiStr, у меня возникло желание несколько разбавить записи в моем блоге своей компьютерной автобиографией, тем паче что она отличается от традиционных историй специалистов по безопасности и потому может представлять интерес.
В начальной школе (классе, я полагаю, во втором) у нас начался курс информатики, на котором состоялась моя первая встреча с электронно-вычислительной машиной. Занятия были по всем правилам: следовало приносить халаты, сменную обувь… так что воспринималось все это особенным, серьезным образом.
Машины, как вы догадываетесь, были не особенно мощные. Я подозреваю, они до сих пор не заменены. 
Год был – 1997, и, естественно, стоял на компьютерах великий и ужасный DOS. Работали мы с Norton Commander, лихо перемещались по директориям (особенно в папку C:\Games =) ), а преподавали нам программирование на Basic. Преподаватель писала на доске команды, мы их списывали, аккуратно переносили в компьютер. Реализации были нехитрые – красная точка, гордо именовавшаяся в сопроводительном тексте «блохой», выписывала разные маршруты по серому фону. Компьютерные сказки мы писали, по сути говоря. Для особых фанов Basic образца 1997-1998 года могу поднять в воздух гору пыли и постараться откопать в архивах парочку образцов того самого кода, который мы заносили в тетрадь.
Были у нас и тесты на этих компьютерах. Много лет прошло, а я помню четверку, которую поставила мне бездушная машина за тест по наибольшим общим делителям и наименьшим общим кратным. Или наоборот? Вот что значит два года не вспоминать о математике.
Третий класс был у нас соответственно в 1998 году, и на машинах преподавателей синие панельки сменились цветными заставками. Но на обычных машинах был все тот же DOS, и «новая программа» воспринималась как нечто запретное и принадлежащее к высшим сферам. Так я и ушел из начальной школы – посмотрев на Windows только издали.
Наша педагогическая площадка несколько раз меняла дислокацию: все три ступени среднего образования я прошел в разных школах. Толковой информатики у нас больше не было, машины дома тоже, а на компьютере, что стоял на кафедре отца, программировать было как-то неестественно. В силу этого с программированием я распрощался и только сейчас начинаю присматриваться к C++.
Машина на кафедре в те годы была большой ценностью и стоила больших денег. У нее был дисковод 3,5, привод CD-ROM 52x, адский монстр производительности Intel Pentium II и умопомрачительный жесткий диск на 10 гигабайт. На ней стояла Windows 98, с которой я работал довольно долго: аж до самого момента покупки моей машины 2 июля 2005 года. Лет пять, одним словом. До поры до времени я не видел в компьютере большой пользы, пока не решил поискать папку C:\Games (по старой памяти). И – представьте – нашел! С настоящими компьютерными играми. Аж двумя. =) И началоооось… Именно тогда, когда меня невозможно было никакими рычагами выковырнуть из-за машины, мои родители и приобрели вечный страх перед компьютером. 
Все это время я был большой фанат Windows 98. Уже в университете на курсе информатики я впервые увидел Windows XP – компьютеры у нас всегда новые (да и исправные, кстати говоря, что в вузах встречается редко). Она мне не понравилась. ХР показалась мне неудобной, громоздкой и все такое. Про себя я решил, что при покупке компьютера не возьму ХР. =)
Помню, как однажды нам сорвал практическое занятие по информатике… Blaster. На машинах в компьютерных классах не было защиты, и они ничего не могли противопоставить червю. Так что – был момент, когда я чувствовал к вирусу благодарность. Тем более что мою 98 он не брал, и я мог спокойно играть.
Прежде чем я перейду к своей собственной машине, остается сказать еще об одной, я бы сказал, неотъемлемой части кафедрального компьютера. Здесь надо в первую очередь сказать, что машина могла вынести только один несистемный процесс, который и отображался в списке Диспетчера задач в гордом одиночестве. Звалось это чудо программной мысли Antiviral Toolkit Pro 3.5 Platinum. AVP.
AVP был талантлив. Он имел монитор, умел искать вирусы и обновляться с локальной папки в университетской сети. Иногда я копался в его недрах, здорово напоминавших в то время теперешний Dr. Web. В основном, конечно, наше общение ограничивалось появлением при старте системы картинки, где рука человека в суровом черном пальто держала столь же черный (или, возможно, серый) зонт, а внизу была надпись: Kaspersky. Information Protected. Бывало и такое, что та же картинка сопровождала alert об обнаружении вируса. Я, конечно, по разным местам Интернета ходил, но склонен винить все же других пользователей кафедрального компьютера.
Со временем потребность в личной машине нарастала, и в конце концов я смог убедить родителей, что компьютер дома нужен. До сих пор помню, как в 2005 году спросил в одном магазине, есть ли у них Pentium II. 
Хотел машину, как на кафедре. Ага. Щас.
В конце концов мы купили готовый компьютер в заводской сборке. Предустановлена была Windows XP – но я к тому времени уже успел сообразить, что мой идеал, мягко говоря, устарел, и принял этот факт как неизбежность. Это сейчас я смотреть не могу на Windows 98. Говорят, подобный эффект наблюдается у многих, кто с 98 пересел на ХР.
Некоторое время я не имел подключения к сети и потому работал безо всякой защиты. Впоследствии я заподозрил у себя что-то неладное и решил все же поставить себе антивирус.
Среди прочего софта на ОЕМ-диске имелся трехмесячный Антивирус Касперского Personal версии 5.0.227. Но то ли по причине ранней продажи машины, то ли еще почему он не хотел брать ключ, что был на диске с программой. Никак. Вздохнув, я залез на диск с софтом для материнской платы и нашел там… ну разумеется, Norton Internet Security 2005.
Поставив эту радость любителя стресс-тестов, я ухитрился даже просканировать компьютер и что-то найти. Пару раз пытался обновиться, так как NIS страшным голосом вопил, что я не защищен от нескольких Быстро Распространяющихся Угроз. Так у меня ничего и не получилось. Поэтому знакомство с Нортоном, как и у многих пользователей, получилось у меня скоротечным – через некоторое время я отправил его на свалку истории.
Примерно в это же время я купил одну из энциклопедий Виталия Леонтьева, дабы иметь под рукой хороший справочник на случай проблем с софтом или железом. Книга оказалась на удивление интересной и информативной, существенно пополнив уже имевшиеся знания и в некоторой мере поспособствовавшая моему более активному участию в жизни Интернет-сообщества.
Потерпев неудачу с NIS, я умудрился-таки поставить Касперского. Ключ тот не брал по-прежнему, но установку провел до конца, и серая иконка стала прилежно появляться в трее при старте системы. Вы знаете, я был искренне уверен, что антивирус работает. Я просто не знал, что значок должен быть красный. =)
Долго ли, коротко ли, шло время, и подошел срок «включения ключа». Точно уже не помню, в чем там было дело. Возможно, я не понял некоторых аспектов лицензирования, или ключ действительно имел фиксированный срок, после которого включался – не суть важно. Важно было то, что антивирус наконец заработал в полную силу.
В то время я не особенно соприкасался с вопросами безопасности, хотя, прочитав у Леонтьева о брандмауэрах, даже ставил себе бесплатную версию Outpost. Тот прилежно блокировал атаки (почему-то только по TCP ), спрашивал, пускать ли в сеть приложения. Я разрешал любую активность. =) В общем, диагноз был понятен.
Была и есть в Сети такая вкусность под названием «анимированный рисунок рабочего стола», или animated wallpaper. Забава была интересная, и потому я качал разные обои с сайта компании Freeze, ставил, наблюдал за водопадами, бабочками и так далее. Как вы, думаю, знаете, работает такая красота через запуск DLL как приложения, то есть через rundll32.exe, один из базовых системных файлов. Сейчас поймете, почему я об этом говорю.
Как-то раз от нечего делать я в очередной раз посетил настройки Касперского и обнаружил там ранее не виданную мной галочку: детект потенциально опасных программ. Не включенную по умолчанию. Совершенно логично предположив, что чем больше детекта, тем лучше, я включил галочку, задействуя расширенные базы, и по просьбе продукта ушел на перезагрузку.
После запуска Рабочего стола rundll32 загрузила в память анимированные обои… которые были на деле с секретом. Они детектировались как AdWare. Тут же раздался визг свиньи, и в соответствии с несколько неумными умолчательными настройками rundll32 была немедленно блокирована драйвером (в пятерке, напоминаю, любое действие с зараженным объектом обязательно сопровождалось его блокировкой). На мою еще не особенно просвещенную голову посыпались многочисленные сообщения об ошибках, вызванные блокировкой.
Как всякий юзер, я был приведен этим в ужас и, никоим образом не думая о деинсталляции антивируса или использовании правил исключений, запустил восстановление системы с диска. Ошибок поубавилось, да, но они продолжали сыпаться… и я, преисполнившись гнева на антивирус, отправил машину на полную переустановку системы.
Завершив переустановку, я посчитал источником всех бед Касперского и, будучи на него в обиде, решил больше его не ставить. Машина, тем не менее, требовала защиты, и я отправился на поиски бесплатных антивирусов. По рекомендациям знакомых, по данным некоторых сайтов я в разное время работал с довольно широким спектром программ. Тестировал я AntiVir, который мне не понравился, NOD32, который тоже не вызвал положительных эмоций… Материал для теста был невелик: архив с вирусом, полученный мною по почте. Запускать я его и не пытался – все-таки некоторые азы я за это время усвоил, - а вот сканеры по требованию на нем пытал. Тестируя NOD32, avast! и AVG, я обнаружил, что NOD вируса в файле не видит, а avast! и AVG – видят. Вывод был очевиден: на что мне платный антивирус, который не видит вирусов? Так я и остался на avast! и AVG. Одновременно. Уживались они только так – за милую душу. Совмещал же я их сознательно, понимая, что в силу бесплатности уровень детекта у них не особо велик.
Разобравшись с бесплатными антивирусами, я начал подыскивать бесплатные брандмауэры. Многие перебывали на моей машине: ZA, Kerio, Outpost, Jetico… но в конце концов я остановился на термоядерной комбинации первых трех перечисленных. Постепенно я входил в компьютерную безопасность, начал развитие своего сайта бесплатных программ, где представил большинство из собранного мной бесплатного софта. Совершенно серьезно я рекомендовал ставить три брандмауэра и два антивируса. Чем больше, тем лучше. Один хакеры пробьют – другой останется.
Но вот как-то раз произошло неизбежное. После очередных игр с конфигурацией брандмауэров я запретил svchost’y сетевую активность в Outpost – по-моему, все же случайно, хотя не поручусь. И при соединении с сервером и регистрации компьютера в сети система упала. Это теперь я понимаю, что был конфликт драйверов; тогда же я решил, что дело в блокировке svchost. В правилах Outpost я поменял разрешения. Вроде бы сеть заработала. Однако после перезагрузки все вернулось на свои места… Я попытался удалить Outpost. Он удалился. Проблема осталась на месте. Поставил снова, разрешил все. Проблема на месте.
В конце концов, ведомый уверенностью, что дело в svchost, я применил на практике свое понимание принципов работы операционной системы! Я даже не знаю, додумался бы ли я до такого сейчас. Я решил: Outpost запретил соединения для файла C:\Windows\system32\svchost.exe – значит, я должен его обмануть! =) И я, скопировав svchost в другое место, переименовал его в svchost1.exe, после чего положил рядом с настоящим svchost. Первая фаза операции была завершена.
Затем я запустил редактор реестра, задал поиск «svchost» и все найденное заменил на svchost1.exe. Полный тревожных ожиданий, я ушел на перезагрузку.
После запуска системы я запустил подключение. Открытие порта… набор номера… проверка имени и пароля… регистрация компьютера в сети…
И всплывающее сообщение: подключение установлено. Это была победа разума над техникой! :D
К слову сказать, жил я с svchost1.exe довольно долго. До очередной переустановки системы, после которой, разумеется, от Outpost ничего не осталось. Windows работала нормально, системы защиты успешно охраняли ее, росли мои познания относительно безопасности, и в конце концов я решил: знаний накоплено достаточно – пора начинать делиться ими. Вопрос о выборе места для начинающего консультанта не стоял – неприятный эпизод с rundll32 не мешал мне уважать Лабораторию Касперского как одну из ведущих компаний в сфере IT-безопасности. Было лишь одно но: не было повода.
И вот в конце мая 2006 года мне позвонила лучшая моя подруга и между всем прочим сказала, что купленная ею недавно новая (по идее) дискета уложила наповал ее компьютер. Симптомы, по ее словам, были следующие: некоторое время она работала с дискетой, потом – по завершении – был кликнут ярлык старой и давно установленной игрушки, и в этот же миг машина погасла. Повторные попытки запустить ее не дали никакого результата. Вызванный спец по железу уверенно сообщил, что… сгорели блок питания и материнская плата.
Просить дискету на анализ я не стал, поскольку машина моя еще представляла для меня ценность, и рисковать ею я не хотел. Интрига, тем не менее, подогревалась еще и тем, что принесенная к соседям дискета точно так же уложила их компьютер, который, правда, минут через пять воскрес. Я пообещал поспрашивать знающих людей и уверенно направился на первый в моей компьютерной жизни форум – форум ЛК, где и создал тему под названием «Virus VS Hardware». Так начался мой путь. Длина пути (ну как же об этом не сказать) уже пять тысяч сообщений. =)
Как и следовало ожидать, заданный вопрос был встречен с изрядной долей скепсиса. Первым же ответом меня любезно отослали «на форум к сказочникам» - спасибо хоть бояном не поименовали. Решения так и не нашли, ограничившись предположениями, дискета благополучно канула в Лету, а я начал активное консультирование.
Назвать его сверхценным в ту пору было сложно. Тем не менее, поначалу я неплохо справлялся с некоторыми вопросами и нередко рекомендовал использовать программы со своего сайта freeware, который к тому времени был неплох в объеме и существовал уже несколько месяцев. Именно форум и сайт явились двумя слагаемыми одной очень важной для меня встречи.
Как-то в один хороший день система доставки уведомлений проинформировала меня, что на мой почтовый ящик прибыло письмо с темой «Great Site!». Я никогда не говорил об этом, но должен признаться: я едва не счел его спамом, ведь англоязычных корреспондентов у меня было не так уж и много, и никто не мог написать подобное сообщение. Остановило меня одно: имя отправителя было похоже на логин – «Paul Wynant» (<wynantp@otradno.ru>). Свечу адрес Паула спокойно, так как он его больше не использует.
Паул сообщил, что нашел ссылку на мой сайт, читая форум Касперского, и подборка программ ему понравилась. Постепенно разговор перешел на темы информационной безопасности… и продолжается до сих пор.
В скором времени произошла еще одна, я бы сказал, судьбоносная встреча: после длительного отсутствия на форум в очередной раз зашел RiC, на форуме ЛК более известный как RiC_VInfo. Для тех, кто не знает, поясню: RiC один из ведущих специалистов портала VirusInfo.Info и один из лучших антивирусных экспертов, кого я знаю. Время от времени он заходил в ветку Борьба с вирусами и помогал в решении сложных кейсов – естественно, с помощью AVZ. Пронаблюдав несколько таких кейсов, я заинтересовался используемым RiC’ом инструментом и по приведенной в одной из тем ссылке скачал его.
Беглый осмотр возможностей AVZ привел меня в состояние некоторого шока. Кое-что в безопасности я уже понимал и потому с первого взгляда оценил обширные возможности этого инструмента. С тех пор я также стал использовать его в диагностике и лечении. Самый старый из хранящихся у меня протоколов был создан AVZ 4.18 и датирован 30 июня 2006.
Поначалу мне не всегда хватало опыта при чтении протоколов, и время от времени я подвергал сомнению легитимные файлы. RiC следил за моими попытками анализа, как мне представляется, несколько снисходительно, иногда поправлял, иногда по моей просьбе пояснял ошибку. Так я постепенно через содействие RiC’a, за что ему искренне благодарен, обучился работе с протоколами и смог считать себя аналитиком-специалистом. Через некоторое время состоялась моя регистрация еще на двух основных форумах Рунета по информационной безопасности – на Anti-Malware и на VirusInfo. На последнем я, в частности, присоединился к обсуждению AVZ в разделе бета-тестирования и могу уверенно сказать, что в числе нововведений в AVZ за это время есть и некоторые мои предложения.
Если память не изменяет мне, то летом или, возможно, осенью 2005 года на форуме ЛК был поднят вопрос о нашумевшем leak-тесте PC Flank. Напомню, что этот тест обходил все брандмауэры, существовавшие в сети на момент его публикации. Было использовано некое не совсем стандартное внедрение в процесс браузера. Пожалуй, именно PC Flank начал линию leak-тестов, которые по своей сути мало общего уже имеют с функционалом сетевого экрана (как верно было подмечено, большинство современных leak-тестов можно остановить Антивирусом Касперского безо всякого сетевого экрана – за счет Проактивной защиты). Было только одно решение по безопасности, имевшее возможность блокировать тест; оно содержало в себе брандмауэр и потому тоже попало в список тестирования. Этот комплекс назывался Tiny Firewall Pro.
Tiny не повезло в этом смысле: оказавшись в одиночестве в списке прошедших тест, он немедленно был обвинен в том, что якобы тест писался специально под него. Слышались утверждения, что такой метод обхода не представляет никакой опасности, что угроза является надуманной и т.д. Тем не менее я был впечатлен представленными скриншотами и установил этот комплекс. Ощущения были примерно такие же, как при запуске AVZ. Впоследствии выявились некоторые недостатки этого продукта, однако до сих пор не существует ему альтернативы ни среди бесплатных, ни среди платных продуктов. На XP Home, которую я использую, он отлично заменяет собой редактор политик, позволяя успешно защищать систему от неизвестных вирусов. К сожалению, этот продукт уже не выпускается, и количество его пользователей исчезающе мало.
По прошествии нескольких месяцев я практически одновременно подал заявку на пост модератора Anti-Malware и форума ЛК. Заявки были удовлетворены – и я продолжил работу уже в новом качестве, чувствуя некоторую гордость в связи с полученным повышением. Работы было много, поскольку и на AM, и на форум ЛК заходили боты, рекламщики, любители покричать… сейчас их, конечно, поубавилось, но все равно без дела я не нахожусь.
Наиболее неприятный для меня эпизод имел место на Anti-Malware, когда по просьбе разработчиков я закрыл сообщение о найденной в шестерке уязвимости. Можно сказать, что модератору не хватило опыта: достаточно было закрыть конкретные шаги по воспроизведению уязвимости, однако этого я не сделал и за последствия отдуваюсь до сих пор. За короткий промежуток времени я получил в репутацию штук двадцать пять минусов. Но что было, то было, и я предпочитаю думать не о том, что навредил чьему-то чувству свободы слова, а о том, что предотвратил заражение некоторого количества машин в связи с найденной уязвимостью.
В ноябре 2006 года я предложил посильную помощь Олегу Зайцеву в английской локализации AVZ. Будучи студентом факультета романо-германских языков, я хорошо знаю английский, плюс меня поддерживают опыт работы с англоязычным охранным софтом и словарь компьютерной терминологии. Олег согласился помощь принять, и к моему послужному списку добавилось звание локализатора AVZ, или, как я обозначил в подписи, разработчика пользовательского интерфейса английской версии AVZ. В скором времени и справка AVZ должна выйти в моем переводе.
Совсем в конце прошлого года состоялось еще одно значимое событие. Признаюсь: ожидал, что моя активная работа на форуме будет замечена и, не исключено, отмечена. =) Не ожидал другого: занесения меня в группу GBT. Ведь тестировать мне не на чем, и в основном мой вклад в бета-тестирование ограничивается пожеланиями и предложениями. Тем не менее, звание мне было присвоено, и со своей устрашающей термоядерной комбинации двух антивирусов и двух брандмауэров я переключился на KIS. Поддерживают его две системы проактивной защиты.
К слову говоря, я не считал и не считаю себя фанатом Касперского. Частично это связано с тем, что, не желая использовать платные и взломанные системы защиты, за время до получения ключа я успел развиться до такого состояния, что мне уже все равно, какой антивирусный продукт использовать для защиты – в любом случае он будет простаивать. Переходя на KIS, я даже сказал свое фи относительно функциональности отдельных компонентов продукта в ветке по бета-тестированию. На мой взгляд, KAV-компонент отработан отлично и составляет единое целое, а вот прочие IS-компоненты смотрятся некоторым довеском к нему. Будем надеяться, что в будущих поколениях продуктов эту неравновесность исправят.
Некоторое затишье в моей общественной жизни, наступившее после награждения (в плане консалтинга затишья не было, разумеется ), было прервано реализацией давно посещавшей меня идеи – созданием электронной книги, в которую вошли бы основные советы по безопасности, разработанные Паулом и моим знакомым белорусским журналистом Сергеем Римшей. Сергей, будучи непрофессиональным пользователем, сделал подборку тех советов, которые представляются наиболее важными не-эксперту. Это обеспечило нашей книге необходимую двойственность – она должна была подходить и простому, и продвинутому пользователю Интернета. После трех кругов бета-тестирования релиз наконец состоялся – и я искренне рад тому факту, что разрозненные прежде рекомендации обрели завершенную и легкодоступную форму. Ведь чем больше пользователей Сети прочтут эту книгу, тем меньше будет инцидентов, из которых состоит мой блог.
Совсем уже недавнее событие – это производство меня в администраторы VirusInfo и назначение координатором этого крупного антивирусного проекта. Управляя VirusInfo, я стараюсь всемерно сочетать традиции и инновации, дабы не терялась связь с прошлым и не прекращалось стремление в будущее. Наша репутация как одного из лучших бесплатных лечебных центров Интернета уже укрепилась в российском секторе Сети; теперь же усилия нашей команды направлены на создание такой же репутации за рубежом.
На сей момент моя история завершается. Мне хочется верить, что она получит продолжение и не ограничится опубликованным сегодня. Впереди у нас – релиз семерки, длительное, полное надежд и чаяний ожидание восьмого поколения, бескрайние просторы перспектив… и столь же бескрайнее море вирусов. И даже не хочется говорить «не будем о грустном»: ведь, зря в корень, мы должны признать: вирусы создали наше дружное форумское сообщество. Без вирусов не было бы объединяющего нас продукта и главного дела нашей жизни – «лечения систем от нечисти».
Спасибо вам – за внимание к истории одного специалиста.
2 Комментария
Рекомендуемые комментарии
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти