Перейти к содержанию
Ig0r

Александр Гостев: Давать автографы - моя работа

Автор Ig0r, в Жизнь «Лаборатории Касперского»

Рекомендуемые сообщения

Ig0r    1 157

Ig0r
Опубликовано

А также вопросы с форума об авторе GpCode, Kido, Kaspersky Security Network, базе известных приложений и глобальных вирусных эпидемиях.

 

 

Можно смотреть в HD и стандартном качестве. Интервью беру второй раз, не серчайте сильно, на микрофон пока не накопил. :search:

 

Текстовая расшифровка:

 

А.Г. – Александр Гостев, руководитель центра глобальных исследований и анализа угроз Лаборатории Касперского.

 

Kaspersky Club: В прошлом году вы объявили конец глобальных эпидемий. Эпидемия Kido – это исключение или закономерность? Возможно ли появление новых зловредов на его основе?

А.Г.: Это одновременно исключение и одновременно закономерность. Исключение в том, что в последние два-три года эпидемий таких масштабов мы не встречали. Закономерность после того как была обнаружена уязвимость подобного уровня, позволяющая написать червя. Собственно, к этому все и шло. Мы ещё в октября предупреждали пользователей о данной проблеме и настоятельно рекомендовали установить патч, но, как показывает время, история с Kido, более чем двух месяцев было недостаточно пользователям по всему миру, чтобы установить патч для Windows. Что касается эпидемий в целом, которые несколько лет назад закончились, на этот год в наших прогнозах мы ожидаем возвращение глобальных эпидемий. Kido – это только первая ласточка. Я думаю, что в том году эпидемий будет гораздо больше, чем в прошлом или позапрошлом. Эпидемий червей написанных не только на основе уязвимости, которую использовал Kido, но и новых уязвимостей, которые будут обнаружены.

Kaspersky Club: Уязвимость, которую использовал Kido, была известна с 2001 году и её даже закрывали?

А.Г.: Нет, уязвимость была известна с сентября 2008 года, когда её и обнаружили. В 2003 году была подобная по своему функционалу уязвимость, но совершенно другая, она была давным-давно исправлена. Эта появилась не так давно, видимо, в числе последних обновлений, в которых Майкрософт пыталась внедрить новую реализацию сетевых протоколов. Видимо, летом 2008 года эта уязвимость появилась, которая достаточно быстро была обнаружена, к сожалению, вирусописателями.

Kaspersky Club: Как Вы считаете Kido показал несостоятельность современного защитного ПО перед современными же угрозами? Или защита дырявой ОС в принципе невозможна?

А.Г.: Не очень понял, в чем заключается несостоятельность?

Kaspersky Club: Например, в том, что для удаления этого вируса требовалось загрузить специальную программу.

А.Г.: Антивирусную программу? Без антивируса удалить этот вирус довольно сложно.

Kaspersky Club: Было много сообщений на форумах, что у людей стояли антивирусы, но все равно они не могли удалить Kido.

А.Г.: Довольно рядовая ситуация, которая происходит сплошь и рядом. Посмотрите на результаты теста [вырезано цензурой] на лечение активного заражения, вы увидите насколько современные антивирусы способны справлять с активным заражением. Задача лечения активного заражения существует и антивирусные компании пытаются в разной степени с ней справиться: есть антивирусы, которые, вообще, не способны ничего вылечить, есть, которые способны вылечить половину, есть, которые способны вылечить 99%, но 100% современных вирусов взять и вылечить без единой проблемы я думаю не способен ни один антивирус.

Kaspersky Club: Вы знаете как лечение происходило у конкурентов? Они тоже выпускали специальные патчи?

А.Г.: Да, насколько я знаю в случае с Kido…

Kaspersky Club: Специальные программы для удаления.

А.Г.: Насколько я знаю, ещё никто не выпустил патчи. Специальные программы для Kido выпустили все антивирусные компании и не только потому, что их продукт испытывает проблемы с лечением Kido. В случаях эпидемий, антивирусные компании выпускают отдельную утилиту, чтобы защитить пользователей, у которых нет антивируса.

Kaspersky Club: Знаете ли Вы, что случилось с автором вируса GpCode? О них последнее время не слышно.

А.Г.: Я, надеюсь, что о них мы больше не услышим.

Kaspersky Club: О них, в принципе, неизвестно или это закрытая информация?

А.Г.: Та информация, которая была у нас поступила в соответствующие правоохранительные органы. Судя по тому, что больше новых версий GpCode, в последнее время, мы не встречали, возможно, эта информация оказалась правильной. Больше детально рассказать не могу: просто не знаю.

Kaspersky Club: Kido создает http-сервер, есть ли у вас какая-то программа для его удаления?

А.Г.: Зачем? Он использует стандартные средства Windows для того, чтобы поднять http-сервер, удаление его – это удаление легальных честных программ.

Kaspersky Club: Это не требуется?

А.Г.: Да.

Kaspersky Club: Вы можете сказать про белый список?

А.Г.: Наверное, да.

Kaspersky Club: ЛК заявляла, что она сотрудничает с компанией bit9, но почему-то в их базе некоторые программы есть, а KIS их не знает. С чем это может быть связано?

А.Г.: Это может быть связано с тем, что мы используем не всю базу компании bit9, точно так же как не вся наша база состоит из данных компании bit9. В настоящий момент, мы берем у bit9 порядка 10% от общего нашего белого списка. К сожалению, есть моменты, когда наш вердикт расходится с вердиктом bit9, bit9 считает этот файл чистым, мы же считаем его грязным. Речь, в первую очередь, идет о различных рекламных программах (Adware), которые иногда у bit9 проходят как чистые, с нашей точки зрения являются совсем нечистыми.

Kaspersky Club: Кто, в основном, занимается созданием белого списка?

А.Г.: По большому счету, сейчас базы whitelisting составляются при помощи наших пользователей, которые участвую в KSN (Kaspersky Security Network). Информация о файлах, которые пользователи загружают на компьютер, поступает к нам, анализируется, белые файлы собираются и добавляются в нашу базу. На 90% эта работа полностью автоматизирована. Многие файлы из разных источников добавляются нами вручную, либо мы получаем их от компаний-производителей.

Kaspersky Club: Можно узнать поподробнее о системе KSN, каким образом используется, отправляемая программой информация?

А.Г.: Например, для составления белых списков. Другой пункт – это сбор статистической информации: о том какие вирусы были обнаружены, откуда эти вирусы загружались, что они делали и т.д. и т.п… Третий – это наша скорость реакции. С помощью KSN мы в состоянии обнаружить новый вирус в течение одного часа с тех пор как он появился в сети и выпустить против него защиту, реализованную в рамках KSN без использования антивирусных баз в течение одной минуты. В течение минуты мы способны заблокировать запуск вредоносного кода на компьютере пользователей без реализации антивирусных баз как таковых! Если мы раньше хвастались своей скоростью реакции (1 час), сейчас это уже недостаточно. Мы выходим на скорость реакции, которая исчисляется минутами. Для этого и нужна KSN – это информация, которая нам поступает.

Kaspersky Club: KSN – аналог того, что вам присылают на почту?

А.Г.: Нет, совсем не аналог. С помощью KSN мы получаем информацию о имени файла, его размере, чем он упакован, в каком каталоге находится, откуда был загружен и т.д. и т.п. (Сам файл в ЛК не поступает –Авт.)

Kaspersky Club: Последний неформальный вопрос. Как Вы относитесь к тому, что к Вам подходят много людей и берут автографы?

А.Г.: Никак не отношусь. На самом деле, ко мне подходят не так много людей и автографы берет только фан-клуб: это случается пару раз в год и отношусь к этому… работа у нас такая. Пускай подходят, я не обижаюсь. :)

Kaspersky Club: Спасибо.

  • Согласен 3

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Ig0r    1 157

Ig0r
Опубликовано
клёво. но мало вопросов...

Мало отправили... Мне дали только 15 минут. Итак еле выпросил. :search:

 

Кстати, громадное спасибо пресс-службе ЛК в лице: Светланы Новиковой, Михаила Васина и Станислава Миронова. Без них Александра Гостева я бы не получил. :)

  • Согласен 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Falcon    169

Falcon
Опубликовано

Класс! Слышно не очень, но мне и так хватило. Побольше бы таких интервью.

 

P.S. Игорь такой серьезный, ужас просто =)))

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Ig0r    1 157

Ig0r
Опубликовано
Игорь

Сделай текстовую версию, а то плохо слышно.

Сделал. Все утро писал, всем читать.

P.S. Игорь такой серьезный, ужас просто =)))

А какой я мог быть? :) С 8 утра после толкучек в электричке, метро... Сзади сидел маркетинговый гений ЛК и усмехался. :search: Сбоку стоял оператор и возмущался, что я закрыл ему вид. Ну и сам... Александр Гостев. Такая фигура...

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

AZЪ    261

AZЪ
Опубликовано

Игорь спасибо! Интервью хорошее получилось.

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Сергей 1    12

Сергей 1
Опубликовано (изменено)
Задача лечения активного заражения существует и антивирусные компании пытаются в разной степени с ней справиться: есть антивирусы, которые, вообще, не способны ничего вылечить, есть, которые способны вылечить половину, есть, которые способны вылечить 99%, но 100% современных вирусов взять и вылечить без единой проблемы я думаю не способен ни один антивирус.

Ну и к какой же категории относится KAV и KIS?

 

Kaspersky Club: Kido создает http-сервер, есть ли у вас какая-то программа для его удаления?

А.Г.: Зачем? Он использует стандартные средства Windows для того, чтобы поднять http-сервер, удаление его – это удаление легальных честных программ.

Так это вирус или нет? А то что-то нехорошее про него писали. Может ли его удалить KAV/KIS 7 или 2009?

Изменено пользователем Сергей 1

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Elly    1 996

Elly
Опубликовано

Вы думаете, что вам Гостев персонально ответит? :search:

Поделиться сообщением

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
Перейти к списку тем
×
×
  • Создать...