Александр Гостев отвечает на вопросы пользователей Facebook

[lom]

25 декабря 2012 г.

 

Последний год принес много новшеств в мир угроз – от появления новых инструментов кибершпионажа, таких как Gauss и Flame, до буйного роста зловредов для мобильных платформ, в частности Android. Об эволюции защитных решений, угрозах мобильным устройствам и борьбе с киберпреступлениями на государственном уровне недавно рассказал Александр Гостев, главный антивируcный эксперт «Лаборатории Касперского», отвечавший на вопросы пользователей Facebook.

 

Занимаются ли правительства различных стран адекватной борьбой с киберпреступностью, изучают ли ее?

 

Александр Гостев: Главной проблемой в борьбе с киберпреступностью является ее глобальность. Несомненно, многие страны мира добились хороших успехов в деле борьбы с этим явлением, но самые серьезные и массовые преступления могут быть удачно расследованы только при помощи взаимодействия на международном уровне. И вот тут, увы, еще есть проблемы – по ряду причин многие страны фактически «выключены» из процесса международной борьбы с киберпреступлениями.

 

Как вам удалось стать тем, кем вы есть? Где получили знания?

 

Это сложный вопрос. Мое первое знакомство с компьютерными вирусами произошло в 1994 году, а в «Лабораторию Касперского» я пришел только в 2002 году. Так что можно сказать, что в основном свои знания в области вирусов я получил самостоятельно. Поверьте мне, в Интернете достаточно информации, чтобы научиться не только анализировать вредоносные программы, но и понимать современные тенденции развития киберпреступности и угроз. Поэтому читайте как можно больше сайтов и блогов экспертов и старайтесь самостоятельно воспроизвести их находки, пытайтесь понять, как они пришли к тем выводам, о которых пишут. У «ЛК» экспертных блогов целых 3 – Securelist, Threatpost и блог для пользователей.

 

Почему вирусописатели в основном атакуют Windows-компьютеры?

 

Ответ прост – потому что более 90% пользователей пользуются Windows. Похожая ситуация наблюдается и в области мобильных платформ – лидирует Android и по числу пользователей, и по числу вредоносных программ.

 

Говорят, идет настоящая кибервойна. А «Лабораторию Касперского» атакуют?

 

Конечно, наша компания, как и другие компании, занимающиеся информационной безопасностью, постоянно является объектом атак. И, конечно же, мы используем самые надежные технологии защиты от подобных атак. В результате нам не известно ни одного случая успешной атаки против нас.

 

Я хочу работать в антивирусной команде экспертов «Касперского», GReAT. Какой для этого нужно окончить вуз, на каких курсах сосредоточить внимание?

 

Техническое образование играет важную роль. Но нет единого колледжа или подготовительных курсов для исследователя проблем безопасности. Могу только сказать, что очень важны хорошие знания операционных систем, языков программирования.

 

Сколько угроз ежедневно добавляется в базы данных «ЛК», чтобы обеспечить всех эффективной защитой? И как это смотрится на фоне бесплатных антивирусов?

 

В конце этого года каждый день мы обнаруживаем в среднем 200 тысяч новых вредоносных программ. Разумеется, для сбора и обработки таких гигантских объемов угроз (а кроме файлов есть еще вредоносные сайты, сетевые атаки, эксплоиты и т.д.) необходимо обладать серьезными ресурсами – в первую очередь людскими, ну и, конечно, техническими. Для поддержания такого уровня требуются значительные финансовые затраты. Результаты независимых тестов антивирусных программ показывают наше преимущество в защите по сравнению с бесплатными программами.

 

Как защищаться от собственного правительства?

 

Мы защищаем от вредоносных программ, не делая различия между их создателями.

 

Насколько я знаю, устройства на базе Windows Phone не интересны вирусописателям. Но те, кому нравится защищенность, сейчас ощущают себя покинутыми, неужели так трудно сделать защиту от вирусов для Windows Phone?

 

Нет никаких проблем с созданием антивирусной защиты для Windows Phone (по крайней мере у нашей компании).

 

Почему люди говорят, что на компьютерах Apple вирусов нет, хотя их на самом деле немало?

 

О, это продолжение старых стереотипов, которые были порождены в первую очередь самой компанией Apple. Они долго утверждали, что их компьютеры являются гораздо более защищенными, но в конце концов даже они признали наличие вредоносных программ и встроили в OS X простейший антивирусный сканер. Если сравнивать ситуацию с Microsoft, то тем тоже пришлось потратить около 10 лет на то, чтобы начать серьезно относиться к вирусным угрозам. Apple сейчас только находится в начале этого пути, но, по нашему мнению, движется в правильном направлении, особенно если посмотреть на систему защиты в iPhone.

 

Александр, как защитить компьютер от инфицирования и блокировки, для снятия которой придется платить деньги вымогателям?

 

В подавляющем большинстве инцидентов с программами-вымогателями заражение происходит через браузер, при помощи уязвимостей – в Java, Adobe Flash, самих браузерах. Причем все эти уязвимости давно известны и исправлены производителями. Поэтому первое, что вам следует сделать, – установить все патчи и регулярно обновлять софт.

 

Каковы главные угрозы безопасности для Android?

 

Вот здесь об этом написано (пункт 3 в итогах и пункт 10 в прогнозах) https://www.securelist.com/ru/analysis/2080...roz_v_2012_godu

 

Почему KAV/KIS часто опознают «хорошие» программы как вредоносные? Неудивительно, что «Касперский» часто побеждает в разных тестах – он находит вирусы везде!

 

Не могу согласиться с вами. Мы имеем один из самых низких показателей ложных срабатываний в индустрии, и эти данные подтверждены результатами независимых тестов. Невозможно получить звание «Лучший продукт года» без победы в тестах по числу ложных срабатываний.

 

Какой веб-браузер вы предпочитаете? А какой самый безопасный? И какой лучше всего работает с продуктами «Лаборатории Касперского»?

 

В настоящий момент я предпочитаю пользоваться Google Chrome. Вопрос о том, какой браузер является наиболее безопасным, не имеет постоянного ответа. Ситуация все время меняется, и обнаружение любой новой 0-day-уязвимости моментально превращает браузер из самого защищенного в самый уязвимый. Поэтому целесообразно не только постоянно следить за ситуацией с уязвимостями, но и дополнять браузер специальными средствами защиты – например, sandbox, whitelisting и т.д. Собственно, все эти методы защиты вы как раз и можете найти в наших продуктах.

 

Как работает Kaspersky Windows Unlocker?

 

Почитать об этом можно здесь: http://support.kaspersky.ru/8005

 

Какие вирусы сейчас самые «модные»? Какой самый необычный был пойман за последний год?

 

Ну если под словом «модные» понимать самые «громкие», то это, конечно, целый выводок вредоносных программ в регионе Ближнего Востока – Flame, Duqu, Gauss, miniFlame, Wiper. Собственно, все то, над чем мы в этом году очень серьезно работали – и в поиске, и в анализе найденного. Наверное, именно область «кибероружия», то есть того, что создается одними странами мира для атак против граждан, компаний и ведомств других стран, – наиболее интересная и горячая тема.

 

Что же касается необычности, то во всех вышеперечисленных угрозах были отдельные моменты, которые нам казались и кажутся необычными. Например, один из модулей Gauss устанавливает в систему собственный модифицированный шрифт Palida Narrow. Зачем, почему, для чего – загадка! Модуль распространения по локальной сети под видом обновлений Windows в черве Flame – отдельная уникальная история. Создатели не просто успешно реализовали уникальную, ранее неизвестную криптоатаку на MD5, но создали «настоящий» сертификат Microsoft. Это даже не уязвимость «нулевого дня» – это «режим Бога»! Ничего подобного ранее, конечно, не встречалось.

 

Некоторые пользователи ПК используют бесплатные антивирусные продукты. Как вы думаете, бесплатные антивирусы способны конкурировать с платными антивирусами?

 

Конкурировать способны, но побеждать на долгом отрезке времени и обеспечивать некий стабильный гарантированный уровень защиты – нет.

 

Помню, лет шесть назад мы даже устраивали в вирлабе соревнования на скорость анализа – рекорд был 43 секунды с момента поступления файла на анализ до добавления детектирования.

 

Трудно ли быть вирусным аналитиком?

 

Трудно только первые несколько лет. А потом, когда уже наработан опыт, нет. Помню, лет шесть назад мы даже устраивали в вирлабе соревнования на скорость анализа – рекорд был 43 секунды с момента поступления файла на анализ до добавления детектирования.

 

Хотя, конечно, чисто анализ вирусов – это только небольшая часть работы. Постоянно необходимо быть в курсе всего происходящего – новостей от конкурентов, новостей с «той линии фронта», понимать, куда все движется и что завтра. Пожалуй, вот это самое сложное, и с каждым днем становится все сложнее.

 

Какие новые виды вредоносных программ ждут нас в ближайшем будущем?

 

Новые виды вряд ли появятся. Все основные типы «поведения» вредоносных программ придуманы давно, и все развивается только в их рамках – вирусы, черви, троянские программы, эксплоиты. Конечно, в каждой категории существуют десятки подвидов, например троянцы-шифровальщики, банковские троянцы или сетевые черви и т.д. Но развитие идет исключительно в области захвата новых платформ, операционных систем. Мобильные троянцы – ярчайший пример. С точки зрения технологии все то же самое, но новая платформа и новые возможности – например, отправка SMS. Поэтому в ближайшем будущем ждем миграции всех традиционных видов угроз с персональных компьютеров на весь спектр современных устройств.

 

Алекс, вы ведете дневник для себя? Например, «сегодня попался такой-то зловред – смог вылечить его так-то и так-то. Попробовал такое-то блюдо – понравилось. Погода порадовала».

 

Нет, просто нет на это времени. Хотя, конечно, постоянно хочется начать уже как-то записывать ход каких-то исследований. Мне кажется, из этого может получиться увлекательная книга. С другой стороны, многое из того, чем мы занимаемся и что знаем, не может быть опубликовано (пока?).

 

Какую ОС вы используете? И какую считаете самой безопасной среди десктопных?

 

Я не являюсь сторонником какой-либо конкретной ОС и отношусь к ним довольно просто – для каждой конкретной задачи есть наиболее подходящая под нее ОС. Исходя из этого и работаю. В течение дня я работаю и на Windows, и на OS X, и на Linux. Это не говоря про мобильные платформы на телефоне и планшете.

Не бывает безопасных десктопных ОС. Любая ОС может называться таковой только условно, до появления очередного 0-day. После чего моментально из самой безопасной становится самой уязвимой. Причем это я говорю о ситуации, когда 0-day стал известен публично, а уж о приватных и говорить нечего – они есть всегда и под любую ОС.

 

Сколько процентов рабочего времени (в среднем) главный вирусный аналитик отводит на реальный анализ вирусов (реверсинг, дебагинг, сэндбоксинг)?

 

Это зависит от времени года и конкретного исследования, которое ведется в данный момент. Иногда я 80% времени в течение дня могу ручками разбираться с какой-то малварой. И такое состояние может длиться, например, неделю. Иногда в течение дня я вообще ни один файл не трогаю. Если уж совсем брать в широком смысле, то думаю, что не более 20% времени за год уходит на ручную работу. Вот когда я был вирусным аналитиком на обработке входящего потока, то там, конечно, постоянно 100% времени было. А теперь приходится заниматься массой сопутствующих дел. Вот, на вопросы отвечать, например.

 

Каким смартфоном или телефоном пользуется Александр (производитель, модель)? Установлено ли в нем мобильное антивирусное ПО?

 

Сейчас у меня iPhone. Антивируса там нет, потому что: а) антивирусов для айфона не бывает; б) неразблокированный (не джейлбрейкнутый); в) вирусов для неджейлбрейкнутых айфонов тоже нет.

 

Какими презервативами посоветует пользоваться главный вирусный аналитик?

 

Подходящими по размеру.

 

Как правильно деинсталлировать продукты «Касперского», чтобы в системе и реестре не оставалось ненужного хлама?

 

Правильно – при помощи штатного uninstaller. Ну а уж если что-то пошло не так и результат не устраивает, то есть специальная утилита http://support.kaspersky.ru/1464

 

Расскажите о написании документации к «Вирусной энциклопедии». Читаешь, и кажется, что автор – обкуренный зомби.

 

Роботы не курят. А 99% современных описаний там созданы именно роботом, по стандартным шаблонам – на основе автоматического анализа файлов. Есть еще несколько тысяч старых описаний, которые писались людьми (да, было время, когда для каждого нового вируса можно было создавать отдельное описание), из них несколько сотен написаны, в частности, мной.

 

Как прокомментируете высказывания руководства одной крупной компании (не могу разглашать название, так как в ней работаю) о том, что в «Лаборатории Касперского» разрабатывают вирусы и создают зомби-сети для заражения компьютеров в Рунете, чтобы потом успешно продавать свои продукты и оказывать консалтинговые услуги?

 

Я бы порекомендовал вам сменить место работы. От такого неадекватного руководства можно всякого ожидать.

 

Куда в настоящее время направлен вектор развития киберпреступности и чем это грозит обычным пользователям?

 

По-прежнему в 90% всех фиксируемых нами инцидентов именно на обычных пользователей этот вектор и направлен. А точнее, на отъем у них денег всеми доступными способами либо зарабатывание денег на зараженных пользователях. Остап Бендер знал 400 «сравнительно честных способов» – современная киберпреступность знает примерно 50 абсолютно нечестных.

 

Мы вот тут делали прогноз на 10 лет вперед – смотрите сами: http://www.securelist.com/en/analysis/2047...m_Kaspersky_Lab

 

Что вы можете сказать о встроенном в Windows 8 антивирусе? И вообще, данный факт отнимает кусок пирога у сторонних производителей антивирусного ПО!

Как вы прокомментируете?

 

Да уже который год встроен и который год «отбирает». Все никак не отберет. Поймите простой факт – успешно разрабатывать успешные защитные решения могут только компании, которые специализируются на разработке подобных решений. Компании, для которых это бизнес. Microsoft к этим компаниям не относится. Все.

 

Мои знакомые говорят, что антивирус «Касперского» – прожорливый монстр, и рекомендуют бесплатные антивирусы (не буду их рекламировать), аргументируя это тем, что они ничем не уступают и даже выигрывают по многим параметрам. Правы ли они?

 

Нет, не правы. Мне лень доказывать обратное. Лично я никогда не буду пользоваться бесплатным антивирусом. Даже если не буду сотрудником «ЛК». Просто я знаю изнутри, как они работают и кто и как там работает.

 

Чем закончился судебный иск Зинаиды Померанц из села Алексеевка, у которой случился инфаркт от прозвучавшего из динамиков «визга свиньи»?

 

Ей была бесплатно предоставлена арабская версия нашего антивируса, в котором другой звук.

 

Каким антивирусным компаниям вы больше всего завидуете? И согласитесь ли работать там, если вам предложат «золотые горы»?

 

Хм. Я не завидую никому. Есть компании, к которым я отношусь с уважением. В первую очередь к тем из них, кто способен правильно использовать имеющиеся у них ресурсы – людские и технические. Те компании, результаты работы специалистов которых заставляют меня восхищаться: «ах черт, почему это они нашли раньше нас или разобрали лучше, чем мы». Это очень стимулирует на соревнование, и, как следствие, растет наш уровень.

 

В общем, в последнее время такое интересное для меня лично соперничество я вижу только между нами и Symantec. Точнее, даже так – между нашей группой экспертов (GReAT) и их аналогичной группой (STAR). При этом мы очень, очень тесно с ними сотрудничаем по ряду исследований и имеем хорошие личные отношения.

 

А вот насчет работы в другой антивирусной компании – не знаю, я, наверное, уже слишком «Касперский». Скорее я сменю антивирусную сферу на какую-нибудь другую, но смежную. Или создам собственный бизнес.

 

Чем вы заманиваете умных студентов и специалистов в вашу фирму? Есть вероятность того, что позже они будут завербованы спецслужбами (иностранными и/или нашими)? Или вы впервые об этом слышите?

 

Чем заманиваем – коммерческая тайна. Вопрос про «позже будут завербованы» не понял. Ну да, спецслужбы могут кого-нибудь завербовать (как везде и кого угодно: таксистов, булочников, менеджеров – мы не исключение), и что? У нас есть своя служба безопасности, и этот вопрос в ее компетенции. Они очень хорошо делают свою работу.

 

Достаточно ли защиты от файрволла, встроенного в маршрутизатор? Или программное решение на компьютере тоже нужно?

 

Файрволлы, встроенные в современные роутеры, являются крайне ограниченными по функциональности и представляют собой простейший уровень фильтрации на уровне адресов-портов. Разумеется, данное решение недостаточно для полноценной защиты.

 

Недавно я прочитал, что самой небезопасной мобильной ОС является Android. Вы согласны с этим? А какая мобильная ОС самая защищенная?

 

Да, я согласен с тем, что Android – самая уязвимая мобильная платформа. А самая защищенная – iOS.

 

Сколько лет вам было, когда вы приступили к этой работе?

 

Первый компьютерный вирус мне попался, когда мне было 18 лет. А работать в «ЛК» я пришел в 26.

 

Я не хочу, чтобы Google или Facebook за мной шпионили. Что будет лучшим решением для переписки по email? Покупка своего домена и хостинга?

 

Собственный хостинг? То есть вы не доверяете Google, но готовы доверить свою почту иной хостинговой компании? И какая разница? Нет никакой разницы.

 

Зачем удалили «green zone» в Kaspersky Internet Security 2012? Очень жаль…

 

На самом деле мы этого не делали. Пользователь может найти этот модуль в настройках Web Anti-virus – как в версии-2012, так и в версии-2013.

 

Почему антивирус так замедляет мой компьютер?

 

Хороший уровень защиты всегда подразумевает использование ресурсов компьютера. В мире существует ПО, которое называет себя антивирусом и работает быстрее нашего продукта, но степень защиты не идет ни в какое сравнение с результатом работы решений «Лаборатории Касперского». Мы не видим смысла понижать уровень защиты, так как для пользователя даже один пропущенный вирус может стать большой проблемой, даже если до этого был пойман миллион вредоносов. Мы постоянно работаем над новыми технологиями, которые позволят отказаться от старых методов защиты, например избегать многоуровневого сканирования файлов, и позволят меньше использовать ресурсы компьютера, но при этом будут обеспечивать столь же высокий уровень защиты.

 

Почему вы не предлагаете долгосрочных бесплатных лицензий, например на год?

 

У нас есть бесплатные лицензии, созданные для того, чтобы пользователь смог понять, подходит ли ему наш продукт или нет. С нашей точки зрения, для этого достаточно месяца. Но также в Интернете или в изданиях периодически вы можете найти промокоды на 60–90 дней. Также у наших партнеров в разных странах вы можете получить пробный код на период от 30 дней. Что касается лицензий на столь длительный срок, следите за нашими новостями – в 2013 году мы расскажем, как можно получить подобную лицензию.

 

Какова роль облачной защиты в Kaspersky 2012? Какие достоинства по сравнению с базовой версией?

 

Скорость реакции облака на новые угрозы, как правило, в несколько раз выше, чем скорость реакции классического подхода с сигнатурными базами. Облачная защита предназначена прежде всего для того, чтобы как можно меньше пользователей пострадало от новейших угроз, так как скорость ее реакции очень высока.

 

Ваш антивирус полезен против уже известных вирусов и троянов. А как насчет специально сделанных вирусов со скрытым кодом?

 

Сигнатурный анализ является классическим и испытанным методом обнаружения угроз, но в одиночку против современных вредоносов он практически бессилен. Поэтому наш продукт использует поведенческие анализаторы, которые определяют, «хорошо» ли себя ведет программа. Если программа ведет себя как вирус, то, скорее всего, им и является.

 

Является ли текущая версия (KIS 2013) самой-самой лучшей?

 

Конечно! Последняя версия всегда самая лучшая. Мы рекомендуем использовать последние версии наших продуктов, так как именно в них реализованы новейшие защитные технологии, присутствует совместимость с новыми операционными системами и повышены удобство и производительность.

 

Почему при установке антивируса «Касперского» вместе с другими антивирусами «Касперский» ругается на них, а они на «Касперского» – нет? Мне показалось это очень странным!

 

Для обеспечения хорошего уровня защиты и отсутствия конфликтов с другими программами мы рекомендуем пользователям перед установкой нашего продукта деинсталлировать все другие антивирусы, наличие которых может привести к конфликтам либо понижению скорости работы компьютера. Технически существование на одной машине двух или трех антивирусов возможно, но компьютер будет сильно перегружен, что приведет к падению скорости работы.

 

Почему вы не обращаетесь к руководству rutracker.org, чтобы прикрывать раздачи ваших продуктов?

 

Пусть раздают, нам не жалко .

 

Достаточно ли хороша Kaspersky Mobile Security для моего телефона на Android? И почему отличается цена в Google Play и на сайте «ЛК»?

 

Kaspersky Mobile Security – один из лучших мобильных антивирусов (и это не только наше мнение – PPCSL, AV-test и другие независимые агентства приходят к тому же выводу). Поэтому ответ на первый вопрос – уверенное ДА. Что касается второго – есть разница в скорости обновлений, также отличаются условия техподдержки (на Google Play можно получить только ограниченную техподдержку по email).

 

Когда вы сделаете управляющий браузерный плагин для KAV/KIS?

 

А в этом есть реальная потребность? Во всех отношениях проще и удобнее открыть сам продукт и сделать необходимые изменения. Также мы стараемся изолировать настройки и их интерфейс от других приложений – это дополнительный уровень защиты от вредоносных приложений, некоторые из которых целенаправленно борются с установленным антивирусом.

 

 

Полный текст см. здесь

Изменено 26 декабря, 2012 пользователем lom