MiStr Опубликовано 8 ноября, 2009 Share Опубликовано 8 ноября, 2009 Долгое время проект "Интервью с экспертами "Лаборатории Касперского" мы никак не могли начать в силу различных обстоятельств. Но, понимая высокий интерес со стороны фан-клубовцев к возможности пообщаться с экспертами ЛК в непринуждённой обстановке, мы постоянно работали над реализацией этой идеи. Первым ответить на вопросы фан-клубовцев согласился Олег Зайцев, главный технологический эксперт группы анализа сложных угроз "Лаборатории Касперского" и автор популярной антивирусной утилиты AVZ. Олег будет отвечать на ваши вопросы с 8 по 22 ноября. По итогам проведения интервью, Олег выберет самый лучший вопрос по его мнению. Победитель этой номинации получит ценный приз от фан-клуба! Вопросы можно начинать задавать уже сейчас! Напоминаем, что в соответствии с правилами раздела, эксперты "Лаборатории Касперского" отвечают на корректно оформленные вопросы по различным тематикам, при этом оставляя за собой право не отвечать на вопросы, касающиеся сугубо личной жизни. Провокационные, некорректные, глупые, оскорбляющие вопросы будут удалены без предупреждения. К их автору будут применены санкции по ограничению доступа на форум. Обращаем ваше внимание, что эксперты "Лаборатории Касперского" в рамках интервью не оказывают помощи по продуктам компании и не помогают вылечиться от вирусов. Интервьюируемые отвечают на вопросы в свободное время, поэтому задержка с ответами может доходить до нескольких дней. Пожалуйста, не спрашивайте, почему эксперт "Лаборатории Касперского" не ответил на тот или иной вопрос, а также не уточняйте, когда будет получен ответ. Краткая биография Олега Зайцева Родился в 1976 г. в Смоленске. Окончил Московский энергетический институт по специальности "инженер". Начал карьеру в 1999 г. в должности инженера-программиста в "Смоленскэнерго". Затем был назначен ведущим инженером-программистом. Кроме того, с 2000 г. является ведущим специалистом по защите информации Управления обеспечения экономической безопасности и режима "Смоленскэнерго". В "Лаборатории Касперского" работает по совместительству. Олег пришел на должность разработчика группы анализа сложных угроз в апреле 2007 г. В ноябре 2008 г. назначен главным технологическим экспертом группы анализа сложных угроз. В обязанности Олега входят исследования в области новых технологий детектирования и удаления, удаленное исследование и лечение компьютеров, анализ и оценка поведения вредоносного ПО. Помимо этого, Олег продолжает поддерживать и развивать популярную антивирусную утилиту AVZ. Является автором книги "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита". Ссылка на комментарий Поделиться на другие сайты More sharing options...
Воронцов Опубликовано 8 ноября, 2009 Share Опубликовано 8 ноября, 2009 Zaitsev Oleg Спасибо за ответ . Ссылка на комментарий Поделиться на другие сайты More sharing options...
Apollon Опубликовано 8 ноября, 2009 Share Опубликовано 8 ноября, 2009 Строгое предупреждение от модератора User Внимание! Еще раз повторяю не флудить, вопросы на которые были даны ответы не задавать, спрашивать по теме и читать правила раздела! К нарушителям будут применены штрафные санкции! Ссылка на комментарий Поделиться на другие сайты More sharing options...
Zaitsev Oleg Опубликовано 8 ноября, 2009 Share Опубликовано 8 ноября, 2009 Zaitsev OlegСпасибо за ответы Олег А еще вопрос Ваш портал ВирусИнфо - специализируеться на уничтожений зверей, а у вас есть возможность прикрутить туда дятла поменьше чем в ЛК , чтобы сразу во время загрузки карантина он им моментом обрабатывался. З.Ы. Простите Др.Вебоский дятел у вас по моему там рулит? На портале VirusInfo сейчас работает система Киберхелпер, разработкой которой я занимался и занимаюсь (это разработанная мной, принадлежащая и запатентованная ЛК технология и методика). Эта штука обрабатывает карантины и логи сразу после их получения, выдает хелперу первичный вердикт по всем файлам, плюс все не классифицированные однозначно машиной семплы проходят через вирлаб ЛК и ответ вирлаба является определяющим. Все это позволяет оперативно реагировать, постепенно (по мере обучения машины) уровень автоматизации процесса возрастает ... По поводу "др.вебовского дятла" я если честно ничего не понял - что это за птица и как она может чем-то там рулить я не знаю, лично мне такие представители отряда пертнатых не попадались Какие конкретно ваши разработки внедрены для использования в Управлении Внутренних Дел и над какими разработками вэтом направлении вы работаете? Я являюсь разработчиком системы ПЭС (ПЭС - Пульт Экстренной Связи) - http://z-oleg.com/secur/hs/pes2.php (статья там старая - сейчас уже есть модель ПЭС-4, которая может работать при температуре -50, она была создана для Сыктывкара и ввиду удачности конструкции производится до сих пор). Привет Олег!Привет из солнечной Болгарии! Неважно, насколько вы удивляетесь но и в Болгарии есть поклонники АВЗ....и в моем лице !Вы знаете, и были ли вы в Болгарии? Хочу попросить вас дать разрешение чтобы дать ссылку на Болгарский сайт, чтобы фанаты вашей утилиты могли задать вам вопросы. Можно?Спасибо заранее! В Болгарии я не был (множество работы не дает мне времени и возможности путешествовать), ссылку конечно можно дать - если у пользователей есть вопросы, я с удовольствием отвечу на них. О том, что AVZ широко используется в разных странах я знаю, именно поэтому в свое время в AVZ появился английский интерфейс - была буквально лавина просьб. Сейчас идет другая лавина просьб - о переводе документации по скрипт-языку на ряд языков. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Apollon Опубликовано 8 ноября, 2009 Share Опубликовано 8 ноября, 2009 По поводу "др.вебовского дятла" я если честно ничего не понял - что это за птица и как она может чем-то там рулить я не знаю, лично мне такие представители отряда пертнатых не попадались Например тут C:\Program Files\Opera\SETUPAPI.dll - Trojan.PWS.Webmonier (DrWeb) Всё время вижу на вашем портале Ссылка на комментарий Поделиться на другие сайты More sharing options...
icotonev Опубликовано 8 ноября, 2009 Share Опубликовано 8 ноября, 2009 Спасибо! Один из вопросов в качестве студента в проект VirusInfo:дает нам новую литературу, в частности, зависимость от анализируя стандартного сценария 2,3,4 ..? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Konstantin. Опубликовано 8 ноября, 2009 Share Опубликовано 8 ноября, 2009 (изменено) Еще раз здравствуйте, Олег. Мой последний вопрос к Вам(думаю он подходит по Вашей профессиональной тематике). Какой по Вашему мнению был самый опасный вирус за прошедшие 20 лет? Изменено 8 ноября, 2009 пользователем Konstantin. Ссылка на комментарий Поделиться на другие сайты More sharing options...
Zaitsev Oleg Опубликовано 8 ноября, 2009 Share Опубликовано 8 ноября, 2009 (изменено) Например тут Всё время вижу на вашем портале А, понял ... это не дятел, это хуже Дело в том, что хелперы к великому сожалению не являются вирусологами, как следствие нередко оперативный анализ карантиненного подозрительного файла сводится не к применению дизассемблера/унпакеров и разных редакторов/анализаторов, а к его проверке на VirusTotal и анализу, кто его детектит и как (собственно в приведенной теме хелпер опубликовал первый подвернувшийся детект с VT). С появлением в работе Киберхелпера живым хелперам стало проще - машина ведет первичный анализ, и хелперы получают уже готовые данные для размышления, там есть много чего интересного, включая проверку файла а-ля VirusTotal. Аналогично в публичных отчетах "кибера" - там сейчас кроме имени по классификации ЛК (которое является основным) дается название зверя по данным мультидетектора, чтобы пользователи других антивирусов могли знать, как этот зверь назывался бы в терминах их антивируса и умеет ли антивирус X ловить этого зверя. Еще раз здравствуйте, Олег.Мой последний вопрос (думаю он подходит по Вашей профессиональной тематике). Какой по Вашему мнению был самый опасный вирус за прошедшие 20 лет? На такой вопрос невозможно ответить (по крайней мере однозначно) - так как каждый вирус опасен по своему и для каждой категории пользователей есть свои понятия того, что такое "опасный". Я бы мог выделить кое что: - знаменитый "чернобыль". Он опасен тем, что умел портить "железо" - не всякое и не всегда, но это пожалуй едиснтвенный массовый зверь, который умел это делать - не менее знаменитый "пинч". Опасен он тем, что это был (и наверное есть) один из наиболее популярных и эффективный вор паролей, доступный широким массам (спросител любого продвинутого юзера - "что такое пинч" ? И от ответит ...). Это справедливо к всему семейству Trojan-PSW - пристнопамятная "диструктивная реклама" и масса ее аналогов. Т.е. деструктивные трояны, затирающий или криптующие документы ... опасность тут в том, что такой зверь уничтожает документы пользователей, я разбирал случаи, когда от такого страдали фотографы (теряющие терабайты фотографий - архивы за несколько лет !), корпоративные пользователи - достаточно одного юзера с большими правами на файл-сервера, и десяткам тысяч документов капут - сетевые червяки типа кидо, RBot - она как чума расползаются по незащищенной ЛВС ... но они не так страшны страшны, так как как правило ничего не уничтожают этот список можно долго продолжать, и не найти конкретного ответа ... Изменено 8 ноября, 2009 пользователем Zaitsev Oleg Ссылка на комментарий Поделиться на другие сайты More sharing options...
iolka Опубликовано 8 ноября, 2009 Share Опубликовано 8 ноября, 2009 Здравствуйте, Олег... Результаты вашего труда полезны и важны для поддержания или восстановления безоблачной работы компьютеров... но хотелось бы знать: 1. ваша деятельность - это самовыражение, самореализация личностных данных и победа в том, что вовремя их открыли в себе и правильно выбрали направление своего труда или это стремление помочь, которое вдруг оказалось самым важным и заставило изучать и анализировать материал, создав из вас специалиста? 2. Звёздная болезнь... Многие ей подвержены... Вы без сомнения умный человек и сами это знаете, многое умеете, много достигли... но не замечаете ли вы за собой проявления этой болезни? Бывает ли посматривание на других "с высока"? 3. насколько легко вам даётся ваш труд?... приходит ли во сне с музой), или это труд, из-за которого вы часто засиживаете до утра мучительно продумывая задачу, или это чисто механический процесс и вы как компьютер просчитываете варианты решения проставленной задачи с 8 до 17, а потом и думать не думаете об этом? заранее спасибо Ссылка на комментарий Поделиться на другие сайты More sharing options...
Zaitsev Oleg Опубликовано 8 ноября, 2009 Share Опубликовано 8 ноября, 2009 Здравствуйте, Олег... Результаты вашего труда полезны и важны для поддержания или восстановления безоблачной работы компьютеров... но хотелось бы знать: 1. ваша деятельность - это самовыражение, самореализация личностных данных и победа в том, что вовремя их открыли в себе и правильно выбрали направление своего труда или это стремление помочь, которое вдруг оказалось самым важным и заставило изучать и анализировать материал, создав из вас специалиста? 2. Звёздная болезнь... Многие ей подвержены... Вы без сомнения умный человек и сами это знаете, многое умеете, много достигли... но не замечаете ли вы за собой проявления этой болезни? Бывает ли посматривание на других "с высока"? 3. насколько легко вам даётся ваш труд?... приходит ли во сне с музой), или это труд, из-за которого вы часто засиживаете до утра мучительно продумывая задачу, или это чисто механический процесс и вы как компьютер просчитываете варианты решения проставленной задачи с 8 до 17, а потом и думать не думаете об этом? заранее спасибо 1. Скажем так - у меня ярко выраженный технический склад ума, и к счастью родители это заметили и развили ... и даже в школьные годы вместо того, чтобы скажем пытаться перепилить скрипку или заниматься иным подобным безобразием из под палки я имел возможность изучать электронику, физику, а позднее и вычислительную технику ... как следствие, моя текущая деятельность идет "по инерции", основы были заложену куда ранее. Плюс опять же родители (технали к слову сказать, например моя мама - инженер по электронике и точной маханике, в бытность СССР работала в НИИ) закладывали идею того, что все ответы есть в книгах или в логике, и как следствие умение работать с книгой и логически мыслить ими развивалось, оно заложило основу для моей текущей деятельности. И когда все в первом классе хотели быть космонатами, или как минимум подводниками или летчиками я точно знал, что буду инженером или исследователем 2. Звездной болезнью я вроде не страдаю Как следствие, я по возможности пытаюсь быть по возможности терпимым, хотя иногда это бывает сложно, не скрою - к примеру с пользователями, так удивительно, но зачастую каждый третий как правило мнит себя крутейшим экспертом во всех областях компьютерных наук, это известная патология (и любой админ это подтвердит, был даже сайт какой-то в Инет с коллекцией жалоб сисадминов ). Тем не менее по возможности я стараюсь всегда помочь человеку советом вне зависимости от уровня его знаний и компетенции ... С другой стороны, не скрою - бывает, что на том же VirusInfo я нередко прохожусь с довольно жесткой критикой по некоторым антивирусным поделкам, но не не в силу того, что я некий "звездун" - а в случаях, когда преподносится нечто супер-пупер-квази-псевдоантивирусное, что на поверку в 90% случаев оказывается искателем полсотни файлов по именам... но в этом случае у меня есть принцип - если я критикую, то четко указываю свою точку зрения и провожу объективные доказательства. Аналогично я например весьма нетерпимо отношусь к разной лже-науке и псевдо-науке, и я величайшим удовольствием к примеру будут критиковать и громить какой-нибудь "выпрямитель дивергенции торсионно-хреноторонного поля", который без видимого источника энергии питаясь исключительно космическими лучами лечит от всех болезней 3. Работа мне чаще всего доставляет удовольствие, а не является тяжким бременем (это кстати следствие п.п. 1 - так как я работаю в той области, которая соответствует моему складу ума), в остальном труд есть труд, легким он не бывает никогда. Мучительное продумывание мне совершенно не свойственно, равно как "думанье с 8 до 17" - так как у меня есть хитрый принцип, который мне сильно помогает - я никогда не думаю и не работаю над чем-то одним, у меня всегда параллельно в работе 10-15 дел или проектов. Это сложно с непривычки, но есть огромный плюс - если стопорится что-то одно, то можно плюнуть на него и переключиться на что-то другое (но где-то на фоне продолжать о нем думать), равно как ничто не мешает отдыхая фоново продумывать что-то. В результате при работе над делом 1 появляется интересная идея скажем по делу номер 7, и так далее ... Ссылка на комментарий Поделиться на другие сайты More sharing options...
rabbit Опубликовано 9 ноября, 2009 Share Опубликовано 9 ноября, 2009 Здравствуйте Олег, 1. Насколько серьезно уделяется внимание Эвристике AVZ? 2. Можно ли будет с помощью мощной эвристики уничтожать угрозы на стадии размножения? 3. Не кажется ли вам что ЭВРИСТИКА это одно из важнейших компонентов АВ, утилит и т.д.? 4. Вам кто нибудь помогает в разработке более мощной Эвристики? Ссылка на комментарий Поделиться на другие сайты More sharing options...
Zaitsev Oleg Опубликовано 9 ноября, 2009 Share Опубликовано 9 ноября, 2009 Здравствуйте Олег, 1. Насколько серьезно уделяется внимание Эвристике AVZ? 2. Можно ли будет с помощью мощной эвристики уничтожать угрозы на стадии размножения? 3. Не кажется ли вам что ЭВРИСТИКА это одно из важнейших компонентов АВ, утилит и т.д.? 4. Вам кто нибудь помогает в разработке более мощной Эвристики? 1. AVZ по большому счету и есть свод различных эвристических проверок (начиная с того, что все обнаруженное сначала профильтровывается по базам чистых, и затем наоборот - начинается поиск аномалий (перехваты, анализ внедренных DLL, характерные процессы и элементы автозапуска, повреждения настроек ...) 2. Можно, и тот-же KIS в меру сил это неплохо делает ... но эвристика в чистом виде не решает всех проблем, необходим комлексный подход 3. Важный - согласен, но не основной. Дело в том, что у любой эвристики есть ошибки первого и второго рода (т.е. соответственно эвристик зверя примет за легитимного и наоборот, признает легитимного зверем). Это неизбежно, и вот в чем парадокс - чем сложнее и требовательнее будет эвристик, тем меньше вероятности ошибок первого рода и выше - ошибок второго. Этому к слову сказать способствуют многие программисты, особенно помешанные на параноидальных защитах от взлома и копирования ... как например расценивать эвристику поведение процесса, который сразу после запуска начинает изучать списки запущенных программ и загруженных служб/драйверов, начинает дропать и загружать свои драйвера, ковыряться в критических системных ключах, прописывать сам себя в автозапуск и т.п. ? С этой точки зрения иная защита по поведению оказывается куда зловреднее малвари 4. Конечно. Для разработки эвристики необходим анализ множества зверей, масса статистики - такие данные есть в ЛК, такие данные получают хелперы в ходе работы (у них прямо в анализаторе карантинов есть кнопочка "Предлагаю добавить в эвристику") ... 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Воронцов Опубликовано 9 ноября, 2009 Share Опубликовано 9 ноября, 2009 (изменено) Здравствуйте снова, Олег! А вот скажите какой у вас самый любимый язык программирования? И почему? И на каком языке вы учились писать свои самые первые программы в жизни? Заранее спасибо за ответ... Изменено 9 ноября, 2009 пользователем west112 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Moldreik Опубликовано 9 ноября, 2009 Share Опубликовано 9 ноября, 2009 1. А мне вот интересно, как в ЛК определяют, кто сколько вирусов наловил? У сотрудников есть персональный счетчик отловленных зловредов за день/месяц/год? Или это определяется как-то по другому? 2. Какой вирус/вредоносная программа были самыми неуловимыми в истории ЛК? Спасибо! Ссылка на комментарий Поделиться на другие сайты More sharing options...
Zaitsev Oleg Опубликовано 9 ноября, 2009 Share Опубликовано 9 ноября, 2009 Здравствуйте снова, Олег! А вот скажите какой у вас самый любимый язык программирования? И почему? И на каком языке вы учились писать свои самые первые программы в жизни? Заранее спасибо за ответ... Любимый язык программирования назвать сложно - так как он аналогичен инструменту, а с одной отверткой или топором дом не построить Начинал я программировать на бейсике и ассемблере (так как в те времена ничего другого особенно не было, справочник по прерываниям IBM PC в свое время был настрольно книгой), знаю C в различных видах и активно его применяю (но на 99% - для программирования микроконтроллеров, C там спечифический, равно как и ассемблер), хорошо знаю Delphi (я с ним столкнулся сразу после его изобретения - тестировал бету, из которой Delphi 1 вырос) - по нему я вел курсы обучения программистов, когда-то создал сайт с советами, чуть книгу не написал ... Delphi я активно применяю в Смоленскэнерго для написания разных АРМ, базой для которых является Oracle ... применяю и применял я его именно потому, что это средство быстрой разработки, которое при этом не сковывает руки программисту как скажем Oracle Forms. 1. А мне вот интересно, как в ЛК определяют, кто сколько вирусов наловил? У сотрудников есть персональный счетчик отловленных зловредов за день/месяц/год? Или это определяется как-то по другому? 2. Какой вирус/вредоносная программа были самыми неуловимыми в истории ЛК? Спасибо! 1. На самом деле большиство сотрудников ЛК вирусов не ловят (имеется в виду специально). Для этого есть специально обученные вирусные аналитики, которые долбят вирусов на потоке, посменно и круглостуточно - и это их первичная задача со своими требования и нормативами. Естественно, что все связанные с анализом малварей специалисты и эксперты неизбежно ловят новых вирусов в ходе своей работы, но это побочный эффект их работы и пойманный зверь отсылается на newvirus с там попросту обрабатывается с высшим приоритетом. Я например вылавливаю в среднем 5-10 новых зверей ежедневно, у меня автомат их шлет в вирлаб ... 2. Неуловимых зверей не бывает как только семпл попал в ловушки или прислан юзерами, остальное дело времени (другое дело - сколько труда и времени уйдет на создание детекта и качественной лечилки). И "неуловимость" обычно связана не с какими-то супер-свойствами в области маскировки или полиморфизма, а с малой распространенностью зверя Ссылка на комментарий Поделиться на другие сайты More sharing options...
Воронцов Опубликовано 9 ноября, 2009 Share Опубликовано 9 ноября, 2009 Zaitsev Oleg Благодарю за хороший ответ . А ещё вопросик: какой вы используете антивирус? И какой осью пользуетесь? Заранее спасибо . Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения