Задай вопрос Дмитрию Галову!

[MiStr]

 За окном отличная погода. Лето должно быть не только жарким, но и интересным Поэтому мы продолжаем цикл интервью с экспертами "Лаборатории Касперского" сезона 2022 года. На связи с участниками клуба Дмитрий Галов, старший исследователь угроз информационной безопасности.

 

@Дмитрий Галов готов ответить на вопросы участников клуба по 30 июня 2022 года включительно. Традиционно интервьюируемым будет выбран лучший вопрос по его мнению, автор которого получит подарок от клуба. Вопросы можно начинать задавать уже сейчас.

 

 

Цитата

Краткая биография Дмитрия Галова

 

Дмитрий Галов пришёл в «Лабораторию Касперского» в сентябре 2015 года. В августе 2018 года стал частью команды GReAT. В настоящее время занимается исследованием вредоносного ПО под non-Windows платформы, анализом сложных целевых атак и уязвимостей интернета вещей.

 

Дмитрий давно интересуется программированием и анализом ПО. Начал принимать участие в соответствующих международных соревнованиях ещё в старших классах школы.

 

Сейчас является экспертом с глубоким знанием вредоносных программ, нацеленных на системы под управлением Android. Некоторые из его исследований, связанные с изучением атак на non-Windows платформы и уязвимостей интернета вещей в здравоохранении, опубликованы на https://securelist.ru/.

 

 

Напоминаем, что в соответствии с правилами раздела, эксперты "Лаборатории Касперского" отвечают на корректно оформленные вопросы по различным тематикам, при этом оставляя за собой право не отвечать на вопросы, касающиеся сугубо личной жизни. Провокационные, некорректные, глупые, оскорбляющие вопросы будут удалены без предупреждения. К их автору будут применены санкции по ограничению доступа на форум.

 

Обращаем внимание, что эксперты "Лаборатории Касперского" в рамках интервью не оказывают помощи по продуктам компании и не помогают вылечиться от вирусов. Интервьюируемые отвечают на вопросы в свободное время, поэтому задержка с ответами может доходить до нескольких дней. Пожалуйста, не спрашивайте, почему эксперт "Лаборатории Касперского" не ответил на тот или иной вопрос, а также не уточняйте, когда будет получен ответ.

[Friend]

Добрый вечер, @Дмитрий Галов,

1. Чем вы увлекаетесь в свободное время?

2. На каких машинах вы ездили и какая больше всего вам понравилась? Увлекаетесь ли вы Формула-1?

3. В каких городах, странах вы были и что больше всего запомнилось в городе/ стране?

4. Какая марка смартфона вам нравиться и почему?

5. Сколько времени нужно для детекта фишинга, который распространяется через мобильные мессенджеры: WhatsApp, Telegram  и т.д.?

6. Какой фильм вы можете посоветовать для просмотра?

7. Выступали ли вы в каких-нибудь конференциях? Если да, то в каких?

8. Какой ваш любимый продукт Лаборатории Касперского и почему?

[mike 1]

Здравствуйте, Дмитрий. 

 

1. Подскажите, детектируют ли решения Лаборатории Касперского Linux руткит Syslogk? 

2. По вашему мнению какие ожидаются новшества развития сложных угроз в 2022 году?

3. Планируется ли развитие KATA с возможностью анализа Linux компонентов в песочнице, как это сейчас сделано для исполняемых файлов Windows?

4. Что вы думаете об открытом ПО, в которое в последнее время стали намерено добавлять различные сюрпризы? Детектирует ли ЛК такие "сюрпризы" в открытом ПО?

5. По вашему мнению, стоит ли ожидать появления закладок в обновлениях крупных вендоров вроде Microsoft, Google?  

[ska79]

Здравствуйте.

Используете ли вы в рабочем процессе самописное ПО? к примеру для тестирования, и\или оценки уровня качества защиты ОС продуктами Лаборатории Касперского?

 

 

[oit]

@Дмитрий ГаловГалов, здравствуйте!

Какой самый банальный вопрос, на который бы вам не хотелось отвечать?

Вам интересны вопросы по работе или о вас\отдыхе\развлечениях?

[русскийизроссии]

Здравствуйте! А если я скачаю конфигурационный файл shadowsocks или openvpn с левого сайта и буду через него подключаться (то есть клиенты для файлов я выбираю сам), то это будет равно по приватности и анонимности тому, если бы я использовал решение, развернутое на собственном сервере? 

Здравствуйте! А если я скачаю конфигурационный файл для прокси Shadowsocks и ovpn с левого сайта и буду через них подключаться (то есть клиенты для файлов я выбираю сам), то это будет равно по приватности и анонимности тому, если бы я использовал решение, развернутое на собственном сервере? Клиенты: OpenVPN for Android и Shadowsocks FOSS

Сообщение от модератора kmscom

Сообщения объединены

 

[Дмитрий Галов]

Всем привет!

Спасибо за интересные вопросы. Рабочая неделя выдалась насыщенная, так что извиняюсь за задержку. Сегодня отвечу на все ваши вопросы

[Дмитрий Галов]

20.06.2022 в 19:25, Friend сказал:

Добрый вечер, @Дмитрий Галов,

1. Чем вы увлекаетесь в свободное время?

2. На каких машинах вы ездили и какая больше всего вам понравилась? Увлекаетесь ли вы Формула-1?

3. В каких городах, странах вы были и что больше всего запомнилось в городе/ стране?

4. Какая марка смартфона вам нравиться и почему?

5. Сколько времени нужно для детекта фишинга, который распространяется через мобильные мессенджеры: WhatsApp, Telegram  и т.д.?

6. Какой фильм вы можете посоветовать для просмотра?

7. Выступали ли вы в каких-нибудь конференциях? Если да, то в каких?

8. Какой ваш любимый продукт Лаборатории Касперского и почему?

 

Привет!

1. Очень люблю готовить, недавно даже учился на кулинарных курсах. Увлекаюсь стандартными штуками из разряда путешествовать, кататься на сноуборде, etc.

2. Ох, машины это очень крутая и интересная тема для меня, люблю всё, что с ними связано! Лично я по жизни ездил только на достаточно обычных машинах (Solaris, Lancer, Qashqai, Tiguan). Из интересной техники у меня пока есть только квадроцикл и катер, но это не машины, очевидно А так во многих поездках старался брать в аренду интересные машины, чтобы на них покататься. Сейчас меня сильно увлекает JDM движение, есть мечта реализовать какой-нибудь крутой проект из разряда старой Supra или Silvia. Формула-1 достаточно интересная история, но мне, к сожалению, пока не удавалось побывать на гонках вживую.

3. Перечислить все страны достаточно сложно, а уж города тем более Страны можно посмотреть на карте, суммарно я был в 41 стране. ЛК при этом сыграло большую роль в плане моих путешествий, до ковида успел поездить по многих нестандатным локациям (такие как ЮАР, Индонезия или Сингапур) во время командировок. Сейчас и с командировками, и с путешествиями вцелом стало сложнее, но крутые поездки всё равно случаются, чего только стоит поездка на Сахалин на день рождения клуба!

4. С давних пор лично пользуюсь только айфонами. Когда только пришёл в ЛК, работал в non-Intel отделе, где занимался в основном безопасностью Android. Но на данный момент мой выбор скорее связан просто с субъективным удобством, а не с уровнем безопасности. Надо признать, что времена дикого запада в Android ушли в прошлое, и последние версии сильно выросли с точки зрения безопасности.

5. Здесь не очень понятно, про кого вопрос. Сколько нужно времени разработчикам самого сервиса, чтобы задетектировать фишинговую рассылку?

6. Ох, с фильмами не так просто, в голове слишком много хороших картин, напишу первое, что пришло в голову: "В диких условиях", "В погоне за счастьем", "Большой куш". 

7. Да, до ковида успел принять участие в массе разных мероприятий, на многих был в роли спикера. Сейчас большинство проходят онлайн, но и оффлайн постепенно возвращается, что не может не радовать. Из самых крупных конференций, которые вспоминаются -- SAS, Black Hat, DEFCON, HITB.

8. Сложно сказать Мне нравится, что мы не фокусируемся на разработке чего-то одного, а стараемся развивать нестандартные штуки, такие как Kaspersky OS или анти-дрон. Лично мне ещё нравится Kaspersky WhoCalls, вероятно потому что я принимал участие в его разработке, когда он был ещё в стадии прототипа. Ну и наши Threat Intelligence продукты я считаю очень крутыми, сейчас сам занимаюсь развитием одного из проектов, которые с ним связаны.

[Дмитрий Галов]

21.06.2022 в 20:01, ska79 сказал:

Здравствуйте.

Используете ли вы в рабочем процессе самописное ПО? к примеру для тестирования, и\или оценки уровня качества защиты ОС продуктами Лаборатории Касперского?

 

 

Привет!

Если речь идёт о самописном вредоносном ПО, то нет, мы таким не занимаемся. Если же говорить про самописные тулзы, то да, иногда приходится "на коленке" что-нибудь написать для личного использования, если появляется такая необходимость.

[Дмитрий Галов]

22.06.2022 в 15:04, oit сказал:

@Дмитрий ГаловГалов, здравствуйте!

Какой самый банальный вопрос, на который бы вам не хотелось отвечать?

Вам интересны вопросы по работе или о вас\отдыхе\развлечениях?

Привет!

1. "В чём сила?"

2. Самое главное, чтобы вы задавали вопросы, которые интересны вам. Если они связаны с моей внерабочей активностью, то так тому и быть!

[Дмитрий Галов]

22.06.2022 в 23:05, русскийизроссии сказал:

Здравствуйте! А если я скачаю конфигурационный файл shadowsocks или openvpn с левого сайта и буду через него подключаться (то есть клиенты для файлов я выбираю сам), то это будет равно по приватности и анонимности тому, если бы я использовал решение, развернутое на собственном сервере? 

Здравствуйте! А если я скачаю конфигурационный файл для прокси Shadowsocks и ovpn с левого сайта и буду через них подключаться (то есть клиенты для файлов я выбираю сам), то это будет равно по приватности и анонимности тому, если бы я использовал решение, развернутое на собственном сервере? Клиенты: OpenVPN for Android и Shadowsocks FOSS

Сообщение от модератора kmscom

Сообщения объединены

 

Привет!

Я бы бы рад ответить на этот вопрос, но во-первых, я не совсем его понял, а во-вторых, я не супер-эксперт по сетевой безопасности

[Дмитрий Галов]

20.06.2022 в 20:28, mike 1 сказал:

Здравствуйте, Дмитрий. 

 

1. Подскажите, детектируют ли решения Лаборатории Касперского Linux руткит Syslogk? 

2. По вашему мнению какие ожидаются новшества развития сложных угроз в 2022 году?

3. Планируется ли развитие KATA с возможностью анализа Linux компонентов в песочнице, как это сейчас сделано для исполняемых файлов Windows?

4. Что вы думаете об открытом ПО, в которое в последнее время стали намерено добавлять различные сюрпризы? Детектирует ли ЛК такие "сюрпризы" в открытом ПО?

5. По вашему мнению, стоит ли ожидать появления закладок в обновлениях крупных вендоров вроде Microsoft, Google?  

Привет!

1. Видел новости про этот руткит. Мы его детектируем. Из тех хэшей, которые я видел, делаем это с вердиктом HEUR:Rootkit.Linux.Agent.bp. Если интересно что-то более вдумчивое, то лучше уточнить у ребят, которые конкретно руткитами у нас занимаются.

2. Сейчас основные тренды, которые мы видим -- это развитие экосистемы киберпреступников с точки зрения разработки ими тулзов и инфраструктуры (некая индустриализация всего этого) + увеличение активности и смежная с этим смена целей акторов на фоне того, что сейчас происходит в мире. Тут вопрос достаточно объёмный, сложно сказать про все виды атак разом, про такое можно часовую презентацию рассказывать

3. Не могу сказать точно про планы продуктовой команды, но мне это кажется органичным развитием продукта. В ЛК есть внутренние разработки для того, чтобы запускать линуксовые файлы в песочнице, вероятно в KATA это будет тоже использоваться.

4. Думаю, что такое случается не впервые, но риски повысились. Не могу раскрыть сейчас всех карт, но да, мои коллеги активно сейчас этим вопросом занимаются.

5. Сомневаюсь (ну, или хотя бы хочу надеяться), что до этого не дойдёт. Думаю, что всё обойдётся некоторыми ограничительными мерами.

[Friend]

10 часов назад, Дмитрий Галов сказал:

1. Очень люблю готовить, недавно даже учился на кулинарных курсах.

И какую кухню вы предпочитаете? Какое ваше любимое блюдо?

10 часов назад, Дмитрий Галов сказал:

Сколько нужно времени разработчикам самого сервиса, чтобы задетектировать фишинговую рассылку?

Да, и не только. Отправлял ссылку через указанный сервис, потом через расширение в браузере + возможно и другие клиенты жаловались через Kaspersky for Android, но за две недели ссылка не была добавлена в базу, хотя другие конкуренты добавили ссылку в свою базу за сутки. Вот и возник вопрос: сколько времени нужно для детекта фишинга? Может сервис сломался или вовсе не работает? Подобные фишинг через мессенджеры: WhatsApp, Telegram раз в месяц бывает и все время его нет в базе ЛК.

11 часов назад, Дмитрий Галов сказал:

Перечислить все страны достаточно сложно, а уж города тем более

Получается у вас подобного списка нет? Есть ли сейчас какие-то проблемы с оплатой с помощью карты за рубежом?

[Umnik]

On 19.06.2022 at 22:09, MiStr said:

В настоящее время занимается исследованием вредоносного ПО под non-Windows платформы

Под нон-Интел тоже? Если да, то интересно, осталось ли под Андроид хоть что-то, кроме поддельных приложений и рекламных модулей? У меня впечатление, что проблемы у Андроида почти закончились для массового пользователя - тут и ограничения систем на дефолтных настройках, и качество Стора подтянули. Для 8+ ничего толкового уже как бы и нет.

 

Если нет, то был ли за последние, скажем, 5 лет, хоть один случай доставки вредоносного ПО из официальных репозиториев хоть какого-нибудь Линукс дистрибутива из топа дистровотч? Считая пользовательские репозитории (AUR, PPA, ...), не только официальные.

 

On 19.06.2022 at 22:09, MiStr said:

анализом сложных целевых атак

Почему не ЛК, а кто-то другой (лукаут, вроде? сообщил о Пегасе? Нет, я понимаю, что дело не в том, что не хватило знаний, это очевидно. Я о том, почему не были приложены все возможные силы, чтобы раздобыть абсолютно точно существующий инструментарий NSO? И не только NSO, а вообще всех групп, которые занимаются подобным в каждой из стран. На мой взгляд, ЛК должна была провести целую спецоперацию, дабы через подставных лиц рукопожатных стран приобрести инструмент и расковырять его. Боже мой, вообще такого бизнеса не должно существовать, его нужно выжечь, вырвать с корнем. И этот бизнес нужно именно атаковать, изыскивать способы получения инструментария, расковыривать его и публиковать результаты. Чтобы затраты на создание инструментов не успевали бы отбиваться.

 

 

[oit]

Сторонние пентестеры справляются лучше вас или всё-таки своими силами удается закрыть все важные области?