Перейти к содержанию

Задай вопрос Олегу Зайцеву-3!


Рекомендуемые сообщения

Олег Зайцев, известный на фан-клубе под ником @Zaitsev Oleg), стал первым человеком, который дважды поучаствовал в нашем спецпроекте "Интервью с экспертами "Лаборатории Касперского". Вы думаете, интерес наших фан-клубовцев к личности Олега упал? Отнюдь нет! Спустя три года с момента прошлого интервью, многое изменилось и в мире информационной безопасности, и в жизни нашего респондента, поэтому после получения просьб от фан-клубовцев мы решили снова пригласить Олега к виртуальному микрофону.

Итак, встречайте! Олег Зайцев, главный технологический эксперт группы анализа сложных угроз "Лаборатории Касперского", автор утилиты AVZ, будет готов ответить на ваши вопросы с 13 по 20 сентября 27 сентября 2015 года включительно. Традиционно интервьюируемым будет выбран самый лучший вопрос по его мнению, автор которого получит подарок от фан-клуба. Вопросы можно начинать задавать уже сейчас.

Напоминаем, что в соответствии с правилами раздела, эксперты "Лаборатории Касперского" отвечают на корректно оформленные вопросы по различным тематикам, при этом оставляя за собой право не отвечать на вопросы, касающиеся сугубо личной жизни. Провокационные, некорректные, глупые, оскорбляющие вопросы будут удалены без предупреждения. К их автору будут применены санкции по ограничению доступа на форум. Обращаем ваше внимание, что эксперты "Лаборатории Касперского" в рамках интервью не оказывают помощи по продуктам компании и не помогают вылечиться от вирусов. Интервьюируемые отвечают на вопросы в свободное время, поэтому задержка с ответами может доходить до нескольких дней. Пожалуйста, не спрашивайте, почему эксперт "Лаборатории Касперского" не ответил на тот или иной вопрос, а также не уточняйте, когда будет получен ответ.

Краткая биография Олега Зайцева:

Родился в 1976 году в Смоленске. Окончил Московский энергетический институт по специальности "инженер". Кандидат технических наук. Начал карьеру в 1999 году в должности инженера-программиста в "Смоленскэнерго". Затем был назначен ведущим инженером-программистом. В настоящее время является ведущим специалистом по защите информации отдела безопасности филиала ОАО "МРСК Центра" – "Смоленскэнерго".

post-474-1350810105.jpg

В "Лаборатории Касперского" работает по совместительству. Олег пришел на должность разработчика группы анализа сложных угроз в апреле 2007 года. В ноябре 2008 года назначен главным технологическим экспертом группы анализа сложных угроз. В обязанности Олега входят исследования в области новых технологий детектирования и удаления, удаленное исследование и лечение компьютеров, анализ и оценка поведения вредоносного ПО. Помимо этого, Олег продолжает поддерживать и развивать популярную антивирусную утилиту AVZ. Является автором книги "Rootkits, SpyWare/AdWare, Keyloggers & BackDoors. Обнаружение и защита" (2006). В рамках исследовательской деятельности в "Лаборатории Касперского" в 2009 году разработал систему искусственного интеллекта, известную как "Киберхелпер", предназначенную для автоматического анализа поступающих от пользователей карантинов и протоколов. В 2010 успешно защитил кандидатскую диссертацию.

Олегом является автором более 60 статей и 26 патентов (из них 9 патентов США). Подавляющее большинство патентов получены в рамках исследовательских работ, проводимых в "Лаборатории Касперского", и посвящены различным технологиям борьбы с вредоносными программами и повышения защищенности компьютерных сетей.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 191
  • Created
  • Последний ответ

Top Posters In This Topic

  • Zaitsev Oleg

    69

  • Friend

    49

  • oit

    30

  • MiStr

    4

Top Posters In This Topic

Popular Posts

1. Да так уже исторически сложилось, когда покупал первый, Android платформа была еще сырой. А потом просто вопрос инерции и привычки ... НУ а главное, я не фанат техники Apple или какой-то еще, испол

Из серии "Лучше поздно, чем никогда". По результатам проведения интервью @Zaitsev Oleg выбрал самых активных пользователей, приславших много интересных вопросов. Это @Friend и @oit. Каждый из них полу

Мейн-куны очень интересная порода кошек, собственно почему я и завел куна. Естественно, что такой "котенок" будет есть раза в 2-3 больше стандартной домашней кошки, и пропорционально гадить (стандарт

Posted Images

 

Я привык к Mitsubishi, они делают довольно надежные внедорожники, хотя по комфорту уступающие скажем Infinity

1. А как же BMW, Mercedes, Porsche ?

 

Так что выезжать на работу не требуется

2. Т.е. у Вас свободный рабочий график?

 

Москва, Тверь, Брянск, Курск

3. А как же вторая и третья столица России? (Санкт-Петербург, Казань)

 

1. Я к примеру привел, список то длинный.

2. График есть, но особенность работы безопасности в том, что нет надобности протирать штаны за компьютером в офисе (хотя у нас есть в энергетике понятие свободного графика)

3. В Санкт-Петербурге я был последний раз до перестройки, в прошлом веке ... так что не считается :) А вот в Казани не был.

  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты
@Zaitsev Oleg, если взять  АРТ Night Dragon и Lurid, то в чём заключалась уникальность троянов для удаленного подключения? Уточню, для каждой компании-жертвы генерировался свой троян. Изменено пользователем Soft
Ссылка на сообщение
Поделиться на другие сайты

 

А вот в Казани не был.

В 2018 году Казань принимает Чемпионат Мира по футболу Вы поедите?

 

1. Какой у Вас телефон? На базе какого ОС: Android, Windows Phone, iOS?

2. Какой антивирус Вы используете дома и на работе или обходитесь групповыми/локальными политиками Windows?

3. Какие службы Windows Вы отключаете по умолчанию при настройке системы? Почему?

4. Какой веб браузер Вы используете? Почему?

5. Какой фильмы Вы можете посоветовать для просмотра, который вышел в 2014-2015?

6. Вы скучаете по СССР?

7. Если у Вас любимый сериал?

8. Как Вы относитесь блокировки веб-ресурсов государством?

Ссылка на сообщение
Поделиться на другие сайты

@Zaitsev Oleg, если взять  АРТ Night Dragon и Lurid, то в чём заключалась уникальность троянов для удаленного подключения? Уточню, для каждой компании-жертвы генерировался свой троян.

Да нет там никакой супер уникальности, за исключение того, что это APT :) А далее сам термин "APT" предполагает, что малварь будет эксклюзивной, не исключено что очень качественно таргетированной и заточенной под выбранную цель (при этом может учитываться все, в том числе какой антивирус используется в компании-жертве, как там организован выход в Инет и как он защищается, какие ресурсы внутренней сети есть и так далее). В этот то и опасность APT по сравнению с обычными угрозами - в эксклюзивности подхода и таргетированности. Ну и одним из последствий является то, что пишут такую заразу опытные и продвинутые программисты, а не злодеи-любители.

 

 

А вот в Казани не был.

В 2018 году Казань принимает Чемпионат Мира по футболу Вы поедите?

 

1. Какой у Вас телефон? На базе какого ОС: Android, Windows Phone, iOS?

2. Какой антивирус Вы используете дома и на работе или обходитесь групповыми/локальными политиками Windows?

3. Какие службы Windows Вы отключаете по умолчанию при настройке системы? Почему?

4. Какой веб браузер Вы используете? Почему?

5. Какой фильмы Вы можете посоветовать для просмотра, который вышел в 2014-2015?

6. Вы скучаете по СССР?

7. Если у Вас любимый сериал?

8. Как Вы относитесь блокировки веб-ресурсов государством?

 

1. Iphone 6+ (неудобная кстати штука, при использовании он удобен, почти планшет, а вот затолкать в карман такую "лопату" сложно).

2. Дома - никакого, да и политик групповых нет :) Как-то вот получатся, что не хотят ко мне вирусы лезть ... У родителей на ПК  стоит Kaspersky Total Security последней версии.

3. Практически ничего не отключаю. Но в этом надобности особой нет, так как сеть надежно защищена от внешнего мира, а внутри ЛВС разбита на сегменты (отдельно сервера, отдельно WiFi, отдельно сеть для планшетов и прочей ерунды, отдельно сети SCADA и умного дома, отдельно видеонаблюдение - каждая подсеть ограничена своими политиками и мониторится).

4. Internet Explorer :) Почему - да потому, что корпоративная политика такая ... плюc пользуюсь FireFox

5. Сложно сказать ... весьма сложно, чего-то такого запоминающегося, чтобы именно хотелось посоветовать посмотреть другим точно назвать не могу. У меня вообще на телевизоре как правило включен канал Discovery или National Geografic, фильмы редко смотрю. да и времени на это особо нет - когда есьть своя стройка, плюс там-же всякиео опыты с эко-технологиями, оно отбирает все свободное время.

6. Частично. Конечно, по очередям и дефициту я точно не скучаю :) но есть некоторые моменты, которые имхо зря утеряны. В школах например на мой взгляд в те времена порядку было больше намного, и если отбросить перегибы идеалогии, цепочка октябренок-пионер-комсомолец ничему плохому не учила, как раз наоборот.

7. Нету. Обычные принципиально не смотрю, могу одним глазом посмотреть "доктор Хаус" или что-то подобное, но без фанатизма.

8. Двойственно. С одной стороны, блокировать и наводить порядок нужно и жесткая рука государства должна тут ощущаться, это однозначно и неоспоримо. С другой, на мой личный взгляд, в фильтрации есть куча перегибов типа попыток блокировать википедию за статью о какой-то наркотической ерунде, или популярные форумы за шуточный ответ типа "что делать ?!" -> "возьми пистолет и застрелись" (призыв к суициду) - если так рассуждать, нужно спалить энциклопедии и большую часть медицинской литературы, равно как художественной ... возьмем за пример записки о Шерлоке Холмсе - там же сплошная пропаганда курения и приема наркотических препаратов :) Поэтому, на мой взгляд, нужны четкие и подробные законы, детально описывающие процедуры блокировки, разблокировки, критерии отнесения контента к определенной группе, чтобы каждая блокировка была понятна и все могли бы сказать - "да, хорошо, что заблокировали - за дело, так им и надо". Плюс неплохо бы сделать некий глобальный государственный "оценщик контента", который бесплатным плагином можно было бы цеплять к форумам для того, чтобы он мог выдавать оценки постов и вовремя сигнализировать модераторам о том, что фиксируется потенциальное нарушение закона (как следствие, можно не доводить до ситуации, когда решается вопрос о блокировке ресурса, а пресекать потенциальные нарушения на ранней стадии).

Изменено пользователем Zaitsev Oleg
  • Спасибо (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

1. Почему именно IPhone 6, а не Nexus 6, Samsung Galaxy S6 edge+ или Nokia Lumia 930?

2. На каких ресурсах Вас еще можно найти?

3. Если Вы в социальных сетях? Если нет, то почему?

4. Создавали ли Вы вирусы для тестирования систем защиты?

5. Какие языки Вы знаете, кроме русского и английского?

Изменено пользователем Friend
Ссылка на сообщение
Поделиться на другие сайты

Добрый день Олег.

Вас несколько раз спрашивали про "Умный дом": у вас есть собственные наработки в этой области? Может патенты?

Покажите пример?


В ближайшее время что-то еще будете патентовать?

Почему ваши "изобретения" (некоторые) вы патентуете в США? Так легче защитить?


Как вы храните свои сбережения? Под подушкой? В банке? В деньгах (в "деревянных" или в валюте)?

Ваш прогноз относительно экономической ситуации в России и мире?


И еще: вы носите часы - для чего? Престиж/имидж, необходимость? Что за марка?

*или уже не носите (фото то старое) :)

Изменено пользователем oit
Ссылка на сообщение
Поделиться на другие сайты

 

 


Я читаю до тысячи листов в сутки, поэтому сложно сказать

Поделитесь, пожалуйста, способом чтения подобных объёмов наряду с выполнением основной работы. Или это уникальная Ваша способность, которой нельзя научиться? 

  • Улыбнуло 1
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте Олег,

Скажите пожалуйста, как относитесь к реверс-инжинирингу ПО различных разработчиков как методу информационной защиты и утечек данных?

Ссылка на сообщение
Поделиться на другие сайты

В настоящее время стали супер популярны Шифровальщики. Как вы защищаетесь от них?

И все-таки, ведется ли работа по развитию функционала, противодействующий этому?

Знаю о многих проблемах, связанных с этим вопросом, но все же ... с каждым днем таких угроз все больше, а государство в законодательном плане пока что молчит.

Спасибо.

Ссылка на сообщение
Поделиться на другие сайты

После небольшого технического перерыва продолжаем! :)

 

Вопросы принимаются до 27 сентября включительно.

Ссылка на сообщение
Поделиться на другие сайты

1. Почему именно IPhone 6, а не Nexus 6, Samsung Galaxy S6 edge+ или Nokia Lumia 930?

2. На каких ресурсах Вас еще можно найти?

3. Если Вы в социальных сетях? Если нет, то почему?

4. Создавали ли Вы вирусы для тестирования систем защиты?

5. Какие языки Вы знаете, кроме русского и английского?

1. Да так уже исторически сложилось, когда покупал первый, Android платформа была еще сырой. А потом просто вопрос инерции и привычки ... НУ а главное, я не фанат техники Apple или какой-то еще, использую базовый функционал (почта, интернет, навигация и карты, фото), потому тип смартфона мне не важен. А вот к примеру в качестве экранов "умного дома" я применяют планшеты под Android - под них софт писать проще, и цена их очень небольшая.

2. На Antimalware, офф. форуме ЛК.

3. Я не любитель социальных сетей. У меня нет там учетных записей, и скорее всего не будет ... Почему - возможно склад ума у меня такой ... я вообще многого не понимаю и не принимаю, например школьники полдня видят друг друга в школе, но придя домой не вылезают из соцсетей, общаясь там ... или например человек попадает в аварию, а толпа зевак кидается это фотографировать, и одержима мыслью побыстрее запостить крутые фото в соцсеть, а не помочь пострадавшим в беде)

4. Для тестирования чего-то вирус писать не нужно, как следствие я этого не делал никогда и не планирую. Есть понятие лик-тест, т.е. это некий код, позволяющий проверить или протестировать наличие какой-то уязвимости (но отличие вируса от ликтеста принципиальное, лик-тест не преследует цели заразить что-то, поломать или уничтожить)

5. А я и указанные два толком не знаю :) (работа с автопроверкой грамматики и орфографии убивает знание правил русского языка наповал ... а по английски я не умею разговаривать, хотя свободно читаю на нем технические тексты). Мне как-то не дается изучение языков

Добрый день Олег.

1. Вас несколько раз спрашивали про "Умный дом": у вас есть собственные наработки в этой области? Может патенты? Покажите пример?

2. В ближайшее время что-то еще будете патентовать?

3. Почему ваши "изобретения" (некоторые) вы патентуете в США? Так легче защитить?

4. Как вы храните свои сбережения? Под подушкой? В банке? В деньгах (в "деревянных" или в валюте)?

5. Ваш прогноз относительно экономической ситуации в России и мире?

6. И еще: вы носите часы - для чего? Престиж/имидж, необходимость? Что за марка?

*или уже не носите (фото то старое) :)

1. Собственных разработок куча, если интересно, расскажу подробнее... У меня все началось с электроотопления коттеджа без перспектив подключения к газу в ближайшей пятилетке, плюс серверов системы "кибера", которые жрут кучу электроэнергиии, и много чего еще энергопотребляющего. Как следствие, я очень плотно занялся экотехнологиями, энергосбережением, всякой зеленой энергетикой  и стал воплощать идеи на практике:

- первой идеей была солнечная электростанция - я ее успешно построил и запустил в работу (получаю примерно 300 кВт/ч в месяц халявной энергии + станция является огромным стабилизатором и бесперебойником с номинальной мощностью 15 кВт), но мониторить то ее нужно как-то, равно как нужно управлять ...

- на случай отключения сети на длительное время есть дизельная электростанция и АВР, опять-же должна решаться проблема управления и мониторинга (штатный алгоритм не выдерживает критики, так как сводится к пуску дизеля через N минут с момента отключения сети, с последующим переключением АВР на дизель после его прогрева, ну и соответственно в обратную сторону после N1 минут с момента появления сети - при этом не учитывается к примеру наличие солнца, быть может стоит отличная погода и солнечной энергии + АКБ вполне хватает, чтобы пережить отключение ... равно как не учитывается тот факт, что при пропадании одной из фаз инверторы создадут переток из исправных фаз в неисправную и переходить на дизель возможно совершенно не обязательно).

- требуется умное управление системами отопления (я за ночь, пока электричество весьма дешевое, могу отбирать из сети порядка 100 кВт/ч и аккумулировать эту энергию, а днем - пользоваться) и горячей водой - у меня всегда есть запас в кубометр горячей воды, его восполнение по возможности идет или в солнечную погоду (когда солнечная станция дает избыток энергии), или ночью, или при переходе на альтернативные источники тепла (дрова, тепловой насос). Всем этим нужно управлять, все это нужно мониторить ... в частности, всех батареях отопления имеются датчики температуры и управляемые клапана, в каждой комнате есть куча датчиков климата, есть управление теплыми полами и так далее

- вентиляции при помощи открывания окон у меня нет - дом герметичен как подводная лодка, свежий воздух фильтруется, обеззараживается, прогоняется через рекуператоры и подается в комнаты по воздуховодам, отработанный воздух выкачивается и удаляется, проходя через рекуператоры. Рекуператорами и заслонками в воздуховодах также нужно управлять, по различным критериям

- у меня есть системы охранной сигнализации с тучей датчиков, пожарная сигнализация и пожаротушение, газоанализаторы, домофон с считывателем пропусков ....

- есть своя система видеонаблюдения, которая умеет генерировать различные события, система по сути является "глазами" дома

- ну и наконец полное управление всеми ресурсами типа освещения, у меня например нет ни одного выключателя света вообще ...

 

С одной стороны, несложно представить, что только проект описанных систем будет оцениваться в сумму с кучей нулей, о цене монтажа и пуско-наладки лучше вообще не думать... с другой - я по специальности промэлектронщик, изучал теорию управления и множество иных наук, связанных с автоматизацией, с другой - у меня имеется шикарная мастерская/лаборатория, где можно изготовить что угодно + большой опыт работы руками. Вот я и решил, что я спроектирую все системы сам, сам же по возможности изготовлю их компоненты или смонтирую готовые там, где изобретать велосипед нет смысла. Вот так родилась идея сделать "умный дом", в который интегрировать абсолютно все ... т.е. я изначально ставил весьма глобальные цели , очень далеко выходящие за пределы классического "включения света с планшета", который почему-то именуют умным домом. При этом одна из поставленных задач состояла в том, что умный дом должен быть незаметен, все, что может происходить автоматически - должно именно так и происходить. Пришлось конечно купить и изучить тучу книжек по отоплению, вентиляции, теплотехнике и прочим наукам, поставить массу опытов, но это в общем-то несложно и очень интересно. Итогом стала свой протокол умного дома, в который я привнес все то хорошее, что видел в системах безопасности и системах SCADA энергетики, собственные контроллеры управления (причем у меня есть разделение на УСПД для опроса датчиков и контроллеры управления, это физически разные устройства, решаются задачи резервирования, в протоколе управления сразу заложены приоритеты разных событий и протокол по сути предполагает решение одних задач в реальном времени, других - с низким приоритетом. Основной интерфейс управления - командная строка). Патентовать эти технологии я пока не планирую, так как изначально делал для себя и эффектом очень доволен. Как "показать" столь глобальную систему - я если честно не представляю

 

3. Собственно, что патентовать и где определяют соответствующие специалисты ЛК, а они в области патентования профи. Я не знаю всех тонкостей, но с точки зрения международного права патент US имеет большой вес

4. Я вообще их стараюсь не хранить. Мне довелось пережить дефолт 90-х годов в сознательном возрасте, когда сбережения на сберкнижках превратились в ничто - такой урок не забывается. Поэтому лучшее вложение имхо - что-то типа недвижимости, техники и т.п. - т.е. то, что окружает человека и работает ему на пользу

5. прогнозировать не берусь ... я вижу несколько сценариев развития ситуации, они все разные и каждый имеет право на жизнь

6. ношу исключительно с целью определения текущего времени :) Часы те-же, что на фото (только серийный номер другой - предыдущие попали вместе с рукой в зону аномальных ЭМ полей, после чего электронике часов полностью "снесло крышу", случай не гарантийный). Марка Tissot T-Touch, собственно именно эта модель потому, что там время цифрами написано :) (там кроме стрелок еще и цифровой индикатор есть). Я пытался таким образом привыкнуть к стрелочным часам, в итоге результат нулевой - глядя на часы, я считываю показания с цифрового индикатора, не обращая значимого внимания на стрелки. Стрелки же пригодились с иной целью - дома есть механические часы (настоящие, напольные, которые громко тикают и обладают "аналоговым" боем), и чтобы корректировать на них время и не ломать голову над переводом часов-минут в римские цифры полезны аналоговые стрелки на наручных часах. Ну и второй критерий выбора - у них металлический корпус, который может пережить неблагоприятные воздействия в разумных рамках.

 

Я читаю до тысячи листов в сутки, поэтому сложно сказать

Поделитесь, пожалуйста, способом чтения подобных объёмов наряду с выполнением основной работы. Или это уникальная Ваша способность, которой нельзя научиться? 

 

Есть курсы скорочтения, а теории они годятся для всех. У меня эта способность врожденная, я как-то сразу умел читать с огромной скоростью и не сильно задумывался о причинах. Может, причина в том, что в детстве я очень много читал.

Здравствуйте Олег,

 

Скажите пожалуйста, как относитесь к реверс-инжинирингу ПО различных разработчиков как методу информационной защиты и утечек данных?

Реверс-инжиниринг - это неизбежный элемент исследования ПО, особенно когда есть более/менее оправданные подозрения на то, что в коде где-то спрятана логическая бомба, сливающий данные "жучек"  или что-то подобное (зачастую эта задача очень сложна, и реверсирование начинается именно тогда, когда есть некие подкрепленные фактами подозрения, собственно тогда при реверсировании идет не лобовое изучение километровых листингов, а поиск вполне конкретного функционала. Например, мониторинг засек, что ПО X вдруг что-то пыталось пересылать на gmail. По логике не должно, и начинается изучение...

1. В настоящее время стали супер популярны Шифровальщики. Как вы защищаетесь от них?

2. И все-таки, ведется ли работа по развитию функционала, противодействующий этому?

3. Знаю о многих проблемах, связанных с этим вопросом, но все же ... с каждым днем таких угроз все больше, а государство в законодательном плане пока что молчит.

Спасибо.

1,2. Лично я - никак :) Но могу заметить, что большинство шифровальщиков на 80% своим успехом обязаны активной помощи со стороны юзера (в плане открытия подозрительных вложений, ссылок и т.п.), в энергетике например я периодически провожу или рассылки с предупреждениями, или очные обучения по факту инцидента, это дает хороший эффект. Бекап как мера защиты также дает 100% гарантию защиты данных, я лично например бекапом никогда не пренебрегал и стараюсь держать по несколько резервных копий важных данных. Ну и плюс есть соответствующие технологии, вот например - http://support.kaspersky.ru/10905#block2 или http://support.kaspersky.ru/12091#block1 (в последнем случае как раз описан функционал защиты, по сути применяется автоматический бекап предположительно зашифрованных файлов)

3. ну почему молчит, законы то есть на эту тему. Другое дело в том, что поймать злодеев и доказать вину - задача не тривиальная. Но и победы бывают, вот например http://www.anti-malware.ru/news/2015-09-18/16868

  • Спасибо (+1) 6
  • Согласен 3
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте Олег,

 

Скажите пожалуйста, как относитесь к реверс-инжинирингу ПО различных разработчиков как методу информационной защиты и утечек данных?

Реверс-инжиниринг - это неизбежный элемент исследования ПО, особенно когда есть более/менее оправданные подозрения на то, что в коде где-то спрятана логическая бомба, сливающий данные "жучек"  или что-то подобное (зачастую эта задача очень сложна, и реверсирование начинается именно тогда, когда есть некие подкрепленные фактами подозрения, собственно тогда при реверсировании идет не лобовое изучение километровых листингов, а поиск вполне конкретного функционала. Например, мониторинг засек, что ПО X вдруг что-то пыталось пересылать на gmail. По логике не должно, и начинается изучение...

Спасибо, скажите пожалуйста попадалось ПО, которое не подавалась к реверс-инжинерингу и максимально по времени сколько занимает согласно Вашему опыту реверс-инжинеринга средне-статистического вредоносного ПО?

Ссылка на сообщение
Поделиться на другие сайты

 

Здравствуйте Олег,

 

Скажите пожалуйста, как относитесь к реверс-инжинирингу ПО различных разработчиков как методу информационной защиты и утечек данных?

Реверс-инжиниринг - это неизбежный элемент исследования ПО, особенно когда есть более/менее оправданные подозрения на то, что в коде где-то спрятана логическая бомба, сливающий данные "жучек"  или что-то подобное (зачастую эта задача очень сложна, и реверсирование начинается именно тогда, когда есть некие подкрепленные фактами подозрения, собственно тогда при реверсировании идет не лобовое изучение километровых листингов, а поиск вполне конкретного функционала. Например, мониторинг засек, что ПО X вдруг что-то пыталось пересылать на gmail. По логике не должно, и начинается изучение...

Спасибо, скажите пожалуйста попадалось ПО, которое не подавалась к реверс-инжинерингу и максимально по времени сколько занимает согласно Вашему опыту реверс-инжинеринга средне-статистического вредоносного ПО?

 

Есть куча технологий, которые значительно затрудняют реверсирование вплоть до невозможности анализа в приемлемое время, в частности:

- всевозможные пакеры и криптеры. Конечно, так или иначе их можно снимать, иногда автоматическими распаковщиками, иногда вручную, но в любом случае это нецелевая трата времени, так как колупание в криптере не относится к изучению самого семпла

- привязка семпла к железу или некоему ключу, хранимому на зараженном ПК. Это серьезнее, т.е. например может применяться криптер, ключом к расшифровке является некий идентификатор ПК, под который был собран зловред. В таком случае реверсирование очень сильно затрудняется, вплоть до полной невозможности

- многокомпонентный зловред. например, закарантинен EXE, но к нему шло еще 2-3 DLL - без них изучение может быть бесполезным, а в карантин они не попали - изучать как следствие нечего

Этот список можно долго продолжать, поэтому кроме реверсирования кода в арсенале современного аналитика имеется куча иных технологий, нередко позволяющих ускорить анализ на порядки - если они срабатывают, можно обойтись без трудозатратного занятия реверс-инженерией. В моей практике процесс "колупания"  в коде мог растягиваться на несколько дней.

  • Спасибо (+1) 2
  • Согласен 2
Ссылка на сообщение
Поделиться на другие сайты

@Zaitsev Oleg,

1. Сколько времени у Вас ушло на реализацию "Умного дома" начиная с проектирования?

2. Если у Вас музыкальное образование?

3. Вы используете коммерческое лицензионное ПО или бесплатное? Например, вместо Microsoft Office -- Open Office.

4. Много уязвимостей Вы находили в продуктах Microsoft?

5. Сколько  личных сайтов у Вас есть, кроме http://www.z-oleg.com ?

6. Пишите ли Вы свою автобиографию?

7.  Если у Вас генеалогическое древо? Если да, то начиная с какого поколения?

 

 

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,Олег.Рад Вас видеть.

На Ваш взгляд,более достойнее и лучше воспитывать в человеке творца или потребителя?

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

×
×
  • Создать...