Задай вопрос Алексею Маланову!

[MiStr]

Проект "Интервью с экспертами "Лаборатории Касперского" после перерыва возобновляет свою работу.

 

Первым в 2010 году на вопросы фан-клубовцев любезно согласился ответить Алексей Маланов - руководитель Отдела оперативной борьбы с угрозами. Интервью продлится по 13 марта 2010 года включительно. Традиционно интервьюируемым будет выбран самый лучший вопрос по его мнению, автор которого получит ценный приз от фан-клуба. Вопросы можно начинать задавать уже сейчас.

 

Обратите внимание! Эксперты "Лаборатории Касперского" отвечают на вопросы в свободное от работы, семьи и своих дел время. Цените их свободное время, не задавайте вопросы десятками. Старайтесь, чтобы формулировки были краткими, понятными и лаконичными.

 

Напоминаем, что в соответствии с правилами раздела, эксперты "Лаборатории Касперского" отвечают на корректно оформленные вопросы по различным тематикам, при этом оставляя за собой право не отвечать на вопросы, касающиеся сугубо личной жизни. Провокационные, некорректные, глупые, оскорбляющие вопросы будут удалены без предупреждения. К их автору будут применены санкции по ограничению доступа на форум. Обращаем ваше внимание, что эксперты "Лаборатории Касперского" в рамках интервью не оказывают помощи по продуктам компании и не помогают вылечиться от вирусов. Интервьюируемые отвечают на вопросы в свободное время, поэтому задержка с ответами может доходить до нескольких дней. Пожалуйста, не спрашивайте, почему эксперт "Лаборатории Касперского" не ответил на тот или иной вопрос, а также не уточняйте, когда будет получен ответ.

 

 

Краткая биография Алексея Маланова

 

Родился в Москве в 1984 г. В 2006 г. окончил факультет ВМиК МГУ. Будучи студентом четвертого курса, в 2004 году пришел в "Лабораторию Касперского" вирусным аналитиком. Работал по сменам.

 

 

В сентябре 2007 г. был назначен руководителем Отдела оперативной борьбы с угрозами, в который входят группы сменных вирусных аналитиков, статистического детектирования, исследования сетевых атак, исследования угроз для не-Intel платформ, исследования мобильных угроз, поддержки SLA и др. Ведёт активную деятельность в области автоматизации процесса обработки потока вредоносных программ. Занимается вокалом, любит спортивные игры, играет на гитаре.

[zayasa]

Вроде бы такого вопроса еще не видела:

Алексей,а вы когда-нибудь писали свои вирусы?

[Alexey Malanov]

4.Каким образом кроме получения по почте и хелпдеск вы получаете зловредов в вирлаб?

Я писал об этом в одном из первых постов.

5.Когда самозащита продуктов ЛК будет по результатам тестов (к примеру anti-malware) на первом месте?Когда "несигнатурный детект" в КАВ/КИС будет на первом месте,т.е. лучше "Defense Wall" по результатам тестов (к примеру anti-malware).

Несигнатурный детект вот уже давно не на первом месте. Что, вобщем-то, и понятно. Самозащита, как и все остальное, постоянно совершенствуется. Проблема в том, что вирусописатели тоже не сидят, сложа руки.

 

6.Может ли теоретически опытный юзер (допустим простой хелпер) "прогами и руками с головой" проанализировать зверя и найти на него решение ?

Ну, найти подозрительный файл - безусловно. А вот, чтобы проанализировать, нужно смотреть внутрь. Первая проблема - распаковка. В домашних условиях можно предложить снять дамп, но получится далеко не всегда.

Вторая проблема - обфускация и шифровка. Беда в том, что много легальных программ точно так же защищаются от анализа, как и зловреды. То есть, по наличию самой шифровки сделать выводы нельзя.

Третья проблема - даже если сампл распакован и расшифрован, толкование видимого функционала внутри требует дизассемблирования и "ковыряния". Особенно новичку. Хелперам, не знающим ассемблер, я настоятельно рекомендую либо его просто освоить , либо открывать в hiew дамп памяти каждого подозрительного сампла. На тысячном (удачно распакованном, конечно) файле глаз сходу будет определять функционал. Что значит "найти решение", я плохо понимаю. Большинство зловредов лечатся удалением.

 

Я надеюсь, я правильо понял вопрос и ответил на него?

 

7.Планируется ли создание бесплатного мощного антируткита для "хоз.нужд"?

Для этого надо понять, чем плохи существующие решения. А платные - хорошие?

8.Вы можете философствовать?

Скорее могу "разводить демагогию"

 

Как Ви относитесь к тому, что антивирусные продукты других производителей могут быть лучше продуктов ЛК?

Отношусь спокойно, но требую фактов, ссылок на тесты, определения критериев сравнения. Ну, и, конечно же, пытаюсь улучшить те аспекты, в которых, возможно, мы не лучшие.

 

Здравствуйте Алексей.Когда вы будучи на 4-ом курсе пошли работать в ЛК,как отнеслись к этому ваши сокурсники?Завидовали?

Кто-то сказал "прикольно", кто-то не обратил никакого внимания. Сокурсники - это громко сказано (на курсе 400 человек), скорее друзья-одногруппники.

 

В Ваших ли полномочиях (посодействовать) сделать возможность в интерфейсе helpdesk-а отправки в вирусную лабораторию ссылок на проверку и анализ (фишинг, лже-антивирус и т.п.)?

В моих. Но я не совсем понял, почему Вы не можете прикрепить подозрительный файл там, где этого требует форма отправки?

Боюсь, если убрать требование прикреплять подозрительный файл при отправке файла на исследование, то пользователи начнут задавать общие вопросы, не относящиеся к анализу. "Как активировать продукт", "как обновить базы", "не могу удалить вирус" и т.д.

 

Насчет отправки фишинговых и вредоносных ссылок, согласен. Пока не придумали оптимального способа для их отправки, но мы работаем над этим.

 

в силу ситуации нет возможности/времени его паковать, логиниться в хэлпдеск и отправлять

Спасибо за настойчивость. Я подниму вопрос об этой фиче.

 

А помните ли вы, чем занимались в свой первый рабочий день в ЛК?

Да, читал "курс молодого бойца". Мне был назначен учитель, он дал файликов для изучения. Ушел поздно.

 

что всё-таки важнее: качественное и количественное превосходство над конкурентами или создание в рамках возможного максимальной защиты для пользователя?

Конечно, мы думаем именно о защите пользователей. Те, кто "меряются" на конкурентов, уверен, далеко не уйдут. Когда ЛК начинала, она количественно была несравнима с Symantec.

 

а вы смотрите ДОМ 2? (если не секрет).

Как Вы относитесь к данному телешоу?

Нет. Нравится только Дум2:) Никак не отношусь. Разные передачи для разных людей.

 

Заметил что время обработки скриптовых угроз (.js, .vbs и т.д.) newvirus значительно больше чем обработка исполняемых файлов, с чем это связанно? Может есть специальная метка, которую можно указывать в теме письма что это именно вредоносный скрипт наподобие url filtering и mobile

Странно, их обрабатывают те же дятлы, что и Win32 угрозы, и с тем же приоритетом. Скорее всего просто так совпало.

И вообще какие у вас есть метки которые можно указывать в заголовке письма для категоризации вредоносов?

url filtering

mobile

phishing

false alarm

SPAM

non-intel

new packer

 

вы свои программки создавали хоть раз в жизни? Какого плана они были, если создавали? Если не секрет, есть ли у вас любимый язык программирования?

Конечно, много. В школе, в институте, на работе. В школе маленькие игрушки в псевдографике (тетрис, "лягушка бежит через дорогу", лабиринт, змейка и т.п.). RPG-танчики (игрок распределяет очки между скорострельностью, маневренностью, скоростью, броней, дальнобойностью и должен замочить другой танчик). Были и не игры, конечно, но их суть сложнее объяснять. В институте учебные программы, конечно. Одна из них - трехмерная интерактивная демонстрашка с тенями, полупрозрачными объектами, рельефом, плавающей камерой. Вобщем, задание на 3d графику.

Ну и на работе утилиты, облегчающие работу вирусного аналитика. Автоматизация - наше все. Сейчас пишу на Си++. Но понимаю, что это не лучший вариант.

 

Алексей,а вы когда-нибудь писали свои вирусы?

Нет. Более того, мы не берем на работу людей, которые себя запятнали написанием вирусов. Это все равно, что милиция будет брать на работу уголовников.

[Евгений Малинин]

По моим данным к концу этого года количество сигнатур будет вдвое меньше, чем сейчас. Через два года возможно будет таким же, как сейчас. Но второе предположение основано на моей субъективной оценке.

Это та оптимизация о которой вы говорили в самом начале? Удаление старых записей?

 

KAV 2009

А как относитесь к 2010 линейке и почему не KIS? Е.К. где-то говорил, что у всех KAV for WW...

 

Если не секрет, для каких продуктов будут x64 обновления?

 

Какая вредоносная программа для вас самая "люимая"?

 

Более того, мы не берем на работу людей, которые себя запятнали написанием вирусов.

А как вы узнаёте, писал ли когда-то человек вирусы?

[Ummitium]

Алексей, как вы относитесь к введению поощрения активных и полезных хелперов (в разделе Борьба с вирусами на официальном форуме ЛК) бесплатными годовыми лицензиями на KAV/KIS, то есть, по аналогии с отличившимися бетатестерами?

 

И если вы за, то не могли бы вы как-нибудь посодействовать!

 

Спасибо!

[Максим]

Сколько Вы изучали ассемблер, перед тем как пришли на работу? Вы изучали его самостоятельно или в институте? Спасибо.

Изменено 13 марта, 2010 пользователем Максим

[Воронцов]

Алексей:

1. Любите ли вы русскую баню(если не секрет)?

2. Часто ли вы бываете в сельской местности?

3. Есть ли у вас любимое время года?

Спасибо.

[MiStr]

На этом приём вопросов Алексею Маланову окончен, новые вопросы больше не принимаются. Тема остаётся открытой для того, чтобы Алексей смог ответить на поступившие вопросы, которые пока не получили ответа, а также для оглашения автора (авторов) лучшего вопроса.

 

Мы благодарим Вас, Алексей, за то, что уделили немало времени на общение с нашими фан-клубовцами.

[Alexey Malanov]

Это та оптимизация о которой вы говорили в самом начале? Удаление старых записей?

Не совсем. Это то, о чем я говорил в середине. Удаление записей, которые покрываются другими слоями защиты наших продуктов.

 

А как относитесь к 2010 линейке и почему не KIS? Е.К. где-то говорил, что у всех KAV for WW...

Отношусь хорошо. Просто пока KAV2009 находится на поддержке, считаю, что у кого-то в ЛК она тоже должна стоять. На kis 2011 сразу перейду, когда будет возможно.

 

Если не секрет, для каких продуктов будут x64 обновления?

Думаю, рано или поздно все продукты будут доступны для платформы x64. Точные даты назвать не могу.

 

Какая вредоносная программа для вас самая "люимая"?

Я писал выше про Slammer.

 

А как вы узнаёте, писал ли когда-то человек вирусы?

Это очень хорошо видно даже из резюме. А личная беседа развевает сомнения.

 

Алексей, как вы относитесь к введению поощрения активных и полезных хелперов (в разделе Борьба с вирусами на официальном форуме ЛК) бесплатными годовыми лицензиями на KAV/KIS, то есть, по аналогии с отличившимися бетатестерами?

Я полностью за, но это вне моей сферы влияния

 

Сколько Вы изучали ассемблер, перед тем как пришли на работу? Вы изучали его самостоятельно или в институте?

Обычный полугодовой курс "Архитектура ЭВМ и язык Ассемблера" в институте. Но, безусловно, уже после найма долго и упорно учился действительно разбираться.

 

1. Любите ли вы русскую баню(если не секрет)?

Люблю, но бываю редко. Не часто встречается.

 

2. Часто ли вы бываете в сельской местности?

Совсем в сельской очень редко. А на даче в последние годы редко. Надо бы почаще...

 

3. Есть ли у вас любимое время года?

Люблю, когда за окном градусов 25 и солнышко. Когда ужасно жарко, не люблю. Еще хуже, когда холодно. То есть начало и конец лета.

 

почему С++ не лучший вариант для программирования?

Потому что в более современных языках есть полезные вещи, а в Си++ есть и и недостатки.

 

 

-----

Спасибо вам за ваши вопросы. Были смешные, интересные, каверзные, сложные. Мне понравилось на них отвечать. Надеюсь, эстафета "задай вопрос сотруднику ЛК" будет продолжаться еще долго.

 

Настал самый непростой момент. Какой же вопрос мне понравился больше всех.

 

Перечитал все вопросы и мои ответы, и выбрал Nikolay Lasarenko с серией вопросов. Эти вопросы заставили меня и понервничать, и подискутировать, и углубиться в детали, и отшутиться, и пофилософствовать.

 

Желаю вам всем удачи!

[MiStr]

Алексей, спасибо ещё раз!

 

Nikolay Lasarenko получает 1000 баллов в подарок.