Перейти к содержанию

Задай вопрос Алексею Маланову!


Рекомендуемые сообщения

Проект "Интервью с экспертами "Лаборатории Касперского" после перерыва возобновляет свою работу.

 

Первым в 2010 году на вопросы фан-клубовцев любезно согласился ответить Алексей Маланов - руководитель Отдела оперативной борьбы с угрозами. Интервью продлится по 13 марта 2010 года включительно. Традиционно интервьюируемым будет выбран самый лучший вопрос по его мнению, автор которого получит ценный приз от фан-клуба. Вопросы можно начинать задавать уже сейчас.

 

Обратите внимание! Эксперты "Лаборатории Касперского" отвечают на вопросы в свободное от работы, семьи и своих дел время. Цените их свободное время, не задавайте вопросы десятками. Старайтесь, чтобы формулировки были краткими, понятными и лаконичными.

 

Напоминаем, что в соответствии с правилами раздела, эксперты "Лаборатории Касперского" отвечают на корректно оформленные вопросы по различным тематикам, при этом оставляя за собой право не отвечать на вопросы, касающиеся сугубо личной жизни. Провокационные, некорректные, глупые, оскорбляющие вопросы будут удалены без предупреждения. К их автору будут применены санкции по ограничению доступа на форум. Обращаем ваше внимание, что эксперты "Лаборатории Касперского" в рамках интервью не оказывают помощи по продуктам компании и не помогают вылечиться от вирусов. Интервьюируемые отвечают на вопросы в свободное время, поэтому задержка с ответами может доходить до нескольких дней. Пожалуйста, не спрашивайте, почему эксперт "Лаборатории Касперского" не ответил на тот или иной вопрос, а также не уточняйте, когда будет получен ответ.

 

 

Краткая биография Алексея Маланова

 

Родился в Москве в 1984 г. В 2006 г. окончил факультет ВМиК МГУ. Будучи студентом четвертого курса, в 2004 году пришел в "Лабораторию Касперского" вирусным аналитиком. Работал по сменам.

 

malanov.jpg

 

В сентябре 2007 г. был назначен руководителем Отдела оперативной борьбы с угрозами, в который входят группы сменных вирусных аналитиков, статистического детектирования, исследования сетевых атак, исследования угроз для не-Intel платформ, исследования мобильных угроз, поддержки SLA и др. Ведёт активную деятельность в области автоматизации процесса обработки потока вредоносных программ. Занимается вокалом, любит спортивные игры, играет на гитаре.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 83
  • Created
  • Последний ответ

Top Posters In This Topic

Top Posters In This Topic

Popular Posts

Люблю играть в хоккей. В последний раз играл на тимбилдинге (это когда отдел отдыхает), классно. А еще пару недель назад под Москвой клюшкой шайбу побил. Ну, не так интересно, конечно. Хоккеистам сове

Здравствуйте Алексей.   надеюсь я могу вам задать вопросы касающиеся вирлаба?   1) мог ли бы вы рассказать как происходит добавление новой сигнатуры в базу?   2) известно что часть зловредов обр

Доброго времени суток!   1. Алексей, так долго и плодотворно работая вирусным аналитиком, Вам явно(ярко) тем или иным образом запомнился какой-либо вредонос (семейство), ну может быть очень "трудный

Здравствуйте Алексей Маланов.Недавно меня "запугали" мои друзья вредителем-вирусом,уничтожающим материнскую плату.Он существует или это просто вымысел для того,чтобы я перестал пользоваться антивирусом NOD32(мол он не защищает) и если такие вредители существуют,что можно сделать чтобы отгородиться от опасности и сможет ли защитить мой компьютер NOD32?

Ссылка на сообщение
Поделиться на другие сайты

Доброго времени суток, Алексей!

 

1. Даже с высоты вашей должности и личностных успехов приходится ли вам "кусать локти" и вспоминать родителей - "Говорила же мама: "Учись, сынок, учись!"?

2. Вы занимаетесь вокалом и музыкой. Какой направленности?

3. Кому из исполнителей вы импонируете больше? Какая музыка вам "Строить и жить помогает!"?

4. Играете ли вы в преферанс? Если ДА - какие эмоции вызывает эта игра?

 

Спасибо!

Изменено пользователем Snejoker
Ссылка на сообщение
Поделиться на другие сайты
Строгое предупреждение от модератора vasdas
Прежде чем задать вопрс, прочитайте шапку темы! А так же правила форума. Устное предупреждение.
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте Алексей!

Интересует ваше мнение по поводу технологий DrWeb.

Вирусные базы DrWeb малого размера (чуть больше миллиона записей), причем по своей эффективности они ничем не хуже баз продуктов ЛК (известно из опыта), а по размеру гораздо компактнее!

Dr.Web – самая компактная вирусная база Всего одна запись в вирусной базе Dr.Web позволяет определять десятки, а иногда и тысячи подобных вирусов.

В итоге, дистрибутивы продуктов Dr.Web - малого размера, а бесплатная лечащая утилита DrWeb CurIt (30 мбайт) становятся предпочтительнее громоздкому AVP Tool (62 мбайта) - размер больше чем в 2 раза!

 

В связи с этим, хочется спросить, базы DrWeb действительно разработаны так рационально?

Если да, то стремится ли ЛК к такой рациональности в своих продуктах?

Спасибо!

Ссылка на сообщение
Поделиться на другие сайты

Пропуск новых зловредов связан с отсутствием сигнатуры в текущий момент и отсутствием детекта от эвристического анализатора.

Kis свободно распространяемый и свободно исследуется, ему находят техники обхода в т.ч. его эвристику. А вот технологиям по типу черного ящика и противостоять значительно сложнее.

 

1) Быть может возможно организовать отсылку образцов до 1-3-5 мегабайта в ЛК через KSN и более точный анализ по аналогии с анубис?

 

2) Раз эвристик на машине пользователя не может полностью протестировать образец то может быть в ЛК его смогут быстрее препарировать в автоматическом режиме с использованием технологий скрытых от вирописов?

Ссылка на сообщение
Поделиться на другие сайты
Здравствуйте Алексей, буду первым, кто задал вам вопросы. :)

Было-ли тяжело работать по сменам?

Буду первым, кто на них ответит :no:

И да, и нет. С одной стороны, очень хочется спать по ночам, а прилечь нельзя - так можно пропустить эпидемию. С другой стороны, сменная работа идеально сочетается с учебой. Даже если смена выпадает на учебный день, можно подмениться. Отличная возможность начать серьезную карьеру.

Сколько всего зловредов вы повидали за всю работу вирусного аналитика?

Тысячи. Но во многих случаях это были экземпляры уже известных семейств. Многим из семейств я сам давал имена.

 

Здравствуйте Алексей! Давно интересует вопрос - через несколько лет, когда вирусов станет неприлично много, и значит сигнатур в базах, будут ли эти самые базы храниться так же на компьютере пользователя или их разместят на специальном сервере? А может не стоит бояться "разрастания" базы данных, т.к. может быть придумают что-нибудь новое?

 

Признаться, зловредов неприлично много уже сейчас. Но не забывайте, что одна сигнатура берет несколько экземпляров. Если же говорить о дженериках/эвристиках, то они берут громадное количество файлов.

 

Что касается специального сервера, то и он у нас есть. Слышали про технологию UDS? Это она и есть. Получить информацию по файлу антивирус может, отправив запрос в интернет. Мы всегда придумываем что-нибудь новое, чтобы быть всегда впереди!

 

 

1) мог ли бы вы рассказать как происходит добавление новой сигнатуры в базу?

Не буду глубоко вдаваться в детали. После определения функционала файла вирусный аналитик принимает решение о наилучшем методе детектирования. В случае обыкновенной сигнатуры, аналитик ищет код в файле, который выполняет конкретное вредоносное действие. После этого он условно заявляет: "Если в при сканировании файла пользователя обнаружится точно такой же кусочек кода, то это экземпляр этой же самой вредоносной программы."

 

2) известно что часть зловредов обрабатывается людьми, но большую. часть обрабатывает "автодятел". как идет распределение между людьми и машиной? в каких случаях обрабатывает человек, а в каких компьютер?

Это просто. Автодятел обрабатывает все. А дятел обрабатывает то, что автодятлу не удалось обработать. Дятел использует мозг, производит анализ и обучает автодятла, чтобы в следующий раз он справился сам.

 

3) если фаил обрабатывает машина значит есть вероятность ошибки. существует ли какой нибудь "контроль качества"?

Вы совершенно правы. Ошибки возможны, но мы постоянно совершенствуем системы защиты, тесты. Если где-то возникнут отклонения, опять же человек придет на помощь.

 

4) не так давно тут на форуме обсуждалась "шутка" ЛК. в сигнатуру был нарочно добавлен чистый фаил, и через время этот фаил стали детектить и другие вендоры. так же если верить блогу Магнуса Калькула, ЛК тоже опирается на результат детекта других вендоров. а теперь, внимание, вопрос . теоретически возможна ли обратная ситуация, когда в сигнатуры ЛК попадет чистый фаил, нарочно добавленный другим вендором в свои базы?

"Шутка" совсем не шутка. Важно различать простое "копирование детекта", которое используется некоторыми компаниями (зачастую они даже берут имя вредоноса по классификации ЛК буква в букву), и использование вердиктов других компаний для изменения приоритета обработки файла, как это делается у нас. Если файл детектируется другим антивирусом, то либо это ложное срабатывание, либо файл заслуживает быть рассмотренным без очереди.

 

Замечу так же, что "копирование" детекта позволяет другой антивирусной компании украсть детектирование только на данный конкретный файл, который уже попал к ним, и который мы уже детектируем. В то время как эвристические методы детектирования, которые позволяют задетектировать вредоноса по его плохому функционалу еще до того, как он появится на свет, - эти методы не поддаются "копированию". Как только злоумышленник только подумал о том, что его троян будет делать известные вещи (например, воровать пароли), эвристика его уже детектирует. А "копировальщики" остаются с носом.

 

Не забывайте, что сигнатурный детект - лишь базовый уровень многослойной защиты нашего антивируса.

 

Какие перспективы в области вирусолечения в будущем?

Хм. В последние годы значительная доля вредоносов - программы, не заражающие другие программы. То есть они всего лишь выполняют заложенный в них функционал, не пытаясь саморазмножиться. Лечение таких программ - простое удаление.

 

В особенных же случаях, мы как и раньше будем делать лечение :) Никаких изменений.

 

чуть-чуть личный вопрос: с чем связан ваш выбор как места работы Лабаратории Касперского? Чем "привлекла" вас компания? (от которой мы все фанатеем )

Честно сказать, просто так сложилось:) В институте я занимался обработкой изображений, в частности цветовой сегментацией. Это мне, кстати, на работе сильно помогло впоследствии.

Решил, что времени стало много, а значит, пора работать. Разместил резюме и получил предложение. Привлекает в ЛК то, что компания отечественная, но всемирно известная. Много вы знаете таких (кроме нефтегазовых, конечноB))? Да еще и чтобы делала продукт лучший в мире. Ну, а так же приятные "плюшки": корпоративные праздники, классная атмосфера, вкусное питание, частичная оплата спортклуба, медицинская страховка и так далее. В конце концов, массаж на работе ;)

 

1). Какая была самая большая неожиданность за всё время работы в Лаборатории Касперского?

Когда президент приехал, было неожиданно;) Руку я ему не жал, но рядышком постоял и посидел. Потом друзьям и родственникам рассказывал.

Ссылка на сообщение
Поделиться на другие сайты
2). Любите ли вы хоккей? Чтобы вы посоветовали хоккеистам сборной России?

Люблю играть в хоккей. В последний раз играл на тимбилдинге (это когда отдел отдыхает), классно. А еще пару недель назад под Москвой клюшкой шайбу побил. Ну, не так интересно, конечно. Хоккеистам советую тренироваться упорно, не халявить.

 

3). Вы занимаетесь вокалом. У нас в Челябинске есть хор сисадминов, успешно выступающих на различных фестивалях. Можно ли считать любовь к пению отличительной профессиональной чертой программистов?

Данных нет :) Нужно проводить беспристрастное исследование.

 

В последнее время все больше вирусов полностью блокируют собой всю рабочую область экрана (в основном - вымогатели). Планируется ли создать какое-либо решения для обхода таких вирусов? Например, официальный загрузочный диск от ЛК снабдить возможностью подключаться к "мертвой" системе.

Решения есть уже сейчас, смотрите, например, здесь. Плюс, мы постоянно их развиваем и добавляем новые. Спасибо за предложение.

 

Однако среди баз есть несколько файлов с размером около 4 мегабайт:

bases\av\emu\x64\win\klavemu.kdl (скачивается при установленной опции "Копирование баз" и при копировании баз через Утилиту обновления)

bases\av\emu\i386\mac\klavemu.kdl (скачивается при копировании баз через Утилиту обновления)

С чем связан такой большой размер данных баз? С ещё не проведённой их оптимизацией? Или "так задумано!" ?

Таковы особенности архитектур указанных платформ. Конечно, оптимизацию будем производить, и не одну.

 

Алексей, как обстоят дела с совершенствованием эвристического обнаружения вредоносных программ, упакованных полиморфными крипторами (ведь простой сигнатурный метод тут бесполезен)? По моим наблюдениям, сейчас детект обфусцированных файлов уступает нескольким конкурентам.

ЛК постоянно совершествует свои технологии по всем фронтам. И высокий уровень детектирования подтверждают результаты независимых тестов.

 

1. Вы начали работать в ЛК с 4-го курса, скажите, как вы успевали совмещать учёбу и работу по сменам и чем интересна была работа?

Успевал и даже учился хорошо. Смены очень удобно совмещаются с работой. Работа интересна тем, что каждый день узнаешь что-нибудь новенькое. Вирусописателям постоянно приходится изобретать что-то, чтобы обойти детектирование. Посмотрите, как динамично развивались технологии в наших продуктах за последние пять лет. Я видел своими глазами, что послужило причиной их реализации, против каких тенденций они были направлены. У нас это называется "пощупать поток" :no: Имеется ввиду анализировать самый актуальный поток вредоносных программ. В моем отделе нет ни одного сотрудника, который бы не "сидел на потоке" продолжительное время до специализации в конкретной области. И я - не исключение.

 

2. Как скоро происходит обработка и внесение в базы антивируса адресов сайтов, которые были отправлены в ЛК пользователями.

Это зависит от степени угрозы нашим пользователям и распространенности адреса.

 

1. Скажите служили ли вы в армии?

Нет.

2. Помните ли вы свой первый компьютер в жизни? Если да, то расскажите какая у него была конфигурация, какая ос там стояла и какой антивирус там был?

Помню, конечно, не так уж давно это было :) Были компьютеры в компьютерном классе, назывались MSX. Потом папа для работы купил ноутбук с процессором 80286. Потом уже мой (и сестры) 80486 с 16 мегабайтами памяти и винчестером на 500 мегабайт. ОС DOS ~5.0 + Windows 3.11. Потом, конечно Windows 95. Антивируса, насколько я помню, на этом компьютере не было. Вот было безопасное время :)

 

3. Водите ли вы автомобиль? Если да, то скажите если не секрет какое у вас авто?

Вожу, но авто у меня нет. Когда надо, беру машину у папы. Марка - секрет. А на работу хожу пешком. Полчаса и я там!

 

4. Юзаете ли вы windows 7?

Не-а. Но, уверен, когда-нибудь буду.

 

5. Хорошо ли вы учились в школе, если не секрет?

Я учился в 6 разных школах, а в одной из них два раза. Почти все время очень хорошо (гуманитарные предметы чуть хуже). Но ближе к одиннадцатому классу (это была 57ая матшкола) просто хорошо. Там требования были повыше. Сочинения писать никогда не любил.

  • Согласен 3
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

 

Как Вы считаете, отправка вредоносного файла из интерфейса А/В продукта повысит скорость реагирования на угрозы?

Будет ли полезен такой канал получения вредоносных файлов ЛК и пользователям её продуктов?

Ссылка на сообщение
Поделиться на другие сайты
Расскажите пожалуйста о недавних изменениях в работе вир. лаба. Ответы пользователям больше не являются приоритетной задачей?

 

+1 ответы на письма на newvirus@kaspersky.com приходить перестали

сообщать о вирусах через форму на сайте тоже без толку

Вас больше не интересуют новые вредоносные по ?

Ссылка на сообщение
Поделиться на другие сайты

Алексей:

1. Скажите, а бывали ли вы на Алтае?

2. Как любите проводить свободное от работы время?

3. Любите ли вы экстремальный отдых?

Спасибо:rolleyes:.

Изменено пользователем west112
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте, Алексей!

 

 

Для того чтобы борьба с угрозами была действительно оперативной, помимо автоматизации процесса обработки потока вредоносных программ, необходимо так же стремиться уменьшить время от обнаружения угрозы до попадания ее в антивирусные базы на сервера ЛК и в конечном итоге непосредственно в антивирусные базы на компьютеры пользователей, отсюда вопросы:

 

1) Какой из этапов самый медленный/ресурсоёмкий?:

a) получение и обработка потока угроз;

б) анализ угрозы аналитиками /автодятлом;

в) тестирование (баз перед выпуском на сервера);

г) получение новых баз конечными пользователями с детектом новой угрозы.

 

2) Применение "облачных" технологий в реалии позволит уменьшить время реакции на угрозы или лишь сократит время "доставки" новых баз до конечных пользователей?

 

 

 

Заранее пошу прощения, если составленные мной вопросы некоректны.

Изменено пользователем mvs
Ссылка на сообщение
Поделиться на другие сайты

Доброго времени суток!

 

1. Алексей, так долго и плодотворно работая вирусным аналитиком, Вам явно(ярко) тем или иным образом запомнился какой-либо вредонос (семейство), ну может быть очень "трудный", который "огрызался", преподносил "сюрпризы", или наоборот был очень забавный, с поимкой и обезвреживанием которого были смешные, забавные истории и приключения. Другими словами, какой вредонос вам запомнился и почему? Можете рассказать?

2. А есть какая-нибудь байка, рожденная в стенах лаборатории? Расскажите?

 

Спасибо!

 

 

P.S. Не считая Kido.

Изменено пользователем Snejoker
  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты

Алексей, Вы руководитель отдела. значит у вас есть подчиненные. как строятся взаимоотношения с работниками? могут ли, к примеру, по вашей инициативе уволить человека. или наоборот взять нового. а если придет новый специалист в ваш отдел, он будет проходить собеседование с вами? за вами будет последнее слово брать или не брать?

 

или все таки все эти кадровые вопросы решает какой то другой отдел?

Изменено пользователем kos1nus
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

×
×
  • Создать...