Привет. Меня зовут Алексей Маланов, я пять лет проработал руководителем Отдела антивирусных исследований в «Лаборатории Касперского». Хочу поделиться с вами своим опытом найма вирусных аналитиков. Пост, надеюсь, будет интересен и полезен в первую очередь молодым специалистам, которые только собираются сделать первый шаг в карьере. Ну а матерым IT-шникам тоже может быть любопытно, какие же вопросы задают на собеседовании в ЛК. В свое время у меня в команде было несколько десятков человек и нанимали мы постоянно. Я стремился присутствовать на каждом собеседовании лично, чтобы быть уверенным, что человек будет что надо.

Доброе утро, Хабр! Нет, сегодня не про вирусы, и даже не про антивирусы. Сегодня про троллей. Патентных. Как вы, возможно, уже слышали, недавно мы («Лаборатория Касперского») задавили еще одного из них — Lodsys. Битва была во всех смыслах эпической: мало того, что само разбирательство длилось аж полтора года, а количество ответчиков превышало 50 штук, так еще и до финиша мы добрались в полном одиночестве, заставив гадину бежать с поля боя, трусливо поджав патенты. Так вот, учитывая, что это была далеко не первая (и не последняя) схватка, можно смело говорить о том, что у нас накопился внушительный опыт в борьбе с патентными троллями разных мастей, размеров и степени наглости. И таким опытом очень хочется поделиться с вами.

Поэтому представляем вашему вниманию 10 основных рекомендаций, которые сформировались во время борьбы с патентными троллями разных стран. Да, у всех есть национальные особенности, но в целом шаблон их действий достаточно однотипен, а приёмчики укладываются в стандарт с небольшими отклонениями. Так что в той или иной степени советы будут полезны любой затролленной компании, не обязательно крупной и не обязательно российской. Вот разве что пост получился немаленький, но мы постарались рассказать обо всем максимально интересно и по существу. Итак…

Каждый двадцатый компьютер, имеющий антивирусную защиту, все же заражен тем или иным вирусом. Именно к такому выводу мы пришли, проанализировав статистику запущенного около года назад бесплатного сервиса Kaspersky Security Scan (KSS).

Это очень большая цифра — по самым скромным оценкам, речь идет о 50 млн. машин — поэтому мы провели дополнительное исследование.

К сожалению, ошибки бывают у всех. И «Антивирус Касперского» не миновал этой участи. У нас случаются «баги» в обновлениях, некоторые из которых доставляют пользователям неприятные хлопоты. Все подобные случаи мы тщательно расследуем, делаем выводы, и «подкручиваем» технологии тестирования.

А как вообще тестируются антивирусные обновления?

По вполне понятной причине в антивирусной индустрии технологические подробности тестирования обычно держатся за семью печатями. Попробуйте поискать в Интернете — сколько-нибудь полезной информации по этому поводу нет.
С другой стороны, тестирование обновлений — очень интересная тема, достойная внимания читателя. И нам здесь есть чем поделиться.
В конце 90-х «Лаборатория Касперского» была одной из первых в индустрии, кто автоматизировал процесс и уже около 15 лет постоянно развивает его.

Всего год назад многие были уверены, что целевые атаки (не путать с кибероружием) были направлены исключительно на американские и западноевропейские компании. Однако, разоблачение кибер-операции Red October экспертами «Лаборатории Касперского» позволило развеять миф об узкой географической направленности подобных угроз.

Очередное доказательство масштабности не заставило себя долго ждать. 27 февраля «Лаборатория Касперского» опубликовала новый отчёт об исследовании ряда инцидентов, связанных с кибершпионажем против правительственных учреждений и научных организаций по всему миру. Вредоносная программа MiniDukе и сегодня продолжает атаковать своих жертв из Украины, Бельгии, Португалии, Румынии, Чехии, Ирландии и других стран. Специально для Хабра отчет об этой новой угрозе подготовил заместитель руководителя глобального центра исследований, руководитель отдела технологического позиционирования «Лаборатории Касперского» Владимир Заполянский.


Твит аккаунта, созданного операторами командных серверов и содержащий определенный тег, которым помечен зашифрованный URL-адрес, предназначенный для использования бэкдорами.

Это перевод поста, опубликованного в англоязычном блоге «Лаборатории Касперского».
Он не столько о вирусах, сколько о демосцене и лучших произведениях в этом жанре искусства.

Недавно Евгений Касперский опубликовал в своем блоге запись «Призраки вирус-оперы, или Ситхи Ассемблера», посвященную сверхкомпактным и мощным вредоносным приложениям, обнаруженным недавно, но написанным в стиле 15-летней давности. Мой возраст позволяет помнить этих парней и их блестящую работу – речь ведь не обязательно о создателях вирусов, они были лишь частью программистского сообщества, специализировавшегося на «ручном» написании кода и программировании на ассемблере. Это похоже на Джедаев и Ситхов из мира «Звездных войн» – существ, чье оружие, лазерные мечи, было крайне специфическим и, несмотря на это, воспринималось всеми остальными героями как одно из самых мощных (кроме шуток, спросите Йоду). Увы, похоже, людей, которые помнят этих мастеров-программистов, осталось трое (я, Касперский и Билл Гейтс). А если серьезно – в сегодняшнем мире, где драйвер мышки занимает 50 мегабайт, довольно трудно вообразить, на что способен хакер старой школы при совсем небольшом количестве выделенных ресурсов. Поэтому я решил показать, о чем говорит Евгений, на несколько ином примере – а вы уж решайте, насколько плохи новости об «олдскульных» авторах заразы.

Чтобы заработать имя и деньги на информационной безопасности, нужно не ездить по вызовам «домашний мастер для вашего ПК», а внести в индустрию более фундаментальный вклад. Если у вас есть интересные идеи в одной из сфер, интересующих «Лабораторию Касперского», то можно принять участие в конкурсе, проводимом компанией, и получить 100 тысяч рублей на реализацию проекта. А еще опыт предыдущих лет показывает, что само участие в программе становится для конкурсантов «ракетным ранцем», возносящим в мир большого IT.



Победить в конкурсе проще, чем кажется.

Еще одна мировая киберугроза раскрыта экспертами Лаборатории Касперского. На этот раз речь идёт о целевой атаке, а точнее обширной сети кибершпионажа против дипломатических и государственных структур, НИИ, промышленных компаний и военных ведомств разных стран.

Этому событию предшествовало расследование Red October, которое началось в октябре 2012 года, когда по просьбе одного из наших партнеров мы провели анализ атаки и вредоносных модулей на тот момент еще неизвестного вредоносного кода. Это помогло нам определить истинные размеры кампании, которая, как оказалось, охватывает около 20 стран мира.

Расследование показало использование как минимум четырех различных эксплойтов к уже известным уязвимостям: CVE-2009-3129 (MS Excel), CVE-2010-3333 (MS Word) и CVE-2012-0158 (MS Word), CVE-2011-3544 (Java). Эксплойты используются в документах, рассылаемых в ходе целевых фишинговых атак. После открытия такого файла загружается основной модуль вредоносного кода, который выполняет функцию 'точки входа' в систему и позволяет загрузить дополнительные модули для следующих стадий атаки.

Несколько дней назад в списке рассылки Full Disclosure появилось сообщение об интересной вредоносной программе для Linux. Это очень любопытный образец – не только потому, что он предназначен для 64-разрядных платформ Linux и скрывает свое присутствие в системе с помощью хитроумных методов, но прежде всего из-за необычного функционала, связанного с заражением сайтов, размещенных на подвергшемся атаке HTTP-сервере. Таким образом, мы имеем дело с вредоносной программой, используемой для организации drive-by загрузок вредоносного ПО.

10 сентября в североамериканском офисе Лаборатории Касперского произошла мини-революция. Вместо прежней электронной системы управления связями с клиентами и партнерами, через которую шли все сделки, аналитика и общение, заработала новая ― KARMA (Kaspersky Relationships Management), созданная на мощной CRM-платформе Salesforce.com. Ради чего проектная команда работала круглыми сутками и какие перспективы теперь открываются в отношениях с американскими партнерами?

Доброго дня, хабровчане!

Сегодня у вас есть уникальная возможность задать свои вопросы нашему главному вирусному аналитику. Александр Гостев является экспертом по самому широкому ряду вопросов информационной безопасности: глобальные угрозы, тренды и прогнозы, кибершпионаж, масштабные вирусные атаки, мобильные зловреды. Так что можете не ограничивать свою фантазию. Но мы, в общем-то, не думаем, что вас нужно лишний раз подталкивать задавать смелые вопросы!

В течение недели мы будем принимать отборные остроты и ценные изыскания, после чего Александр со своего дивана ответит на все актуальные вопросы в отдельном посте. Поехали!

На промышленных объектах ключевыми системами информационной инфраструктуры являются автоматизированные системы управления технологическими процессами (АСУТП), а также средства противоаварийной защиты (ПАЗ). От корректной и стабильной работы этих систем зависит безопасность всего объекта.

Для АСУТП характерна ярко выраженная программная и аппаратная неоднородность. В типовую технологическую сеть предприятия, как правило, входят серверы SCADA под управлением Windows либо Linux, серверы СУБД (SQL Server либо Oracle), множество программируемых логических контроллеров (PLC) различных производителей, панели оператора (HMI), интеллектуальные датчики и канал связи с системами бизнес-уровня ERP. При этом, согласно результатам последних исследований DHS, в среднем технологическая сеть имеет 11 (!) точек прямого подключения к корпоративной сети.

Не прошло и пары недель с момента обнаружения Flame, как с помощью коллег из OpenDNS и GoDaddy мы смогли перенаправить вредоносные домены на наш сервер. В результате детального анализа полученной таким образом информации, наши эксперты пришли к следующим выводам:

• Командные серверы Flame, действовавшие в течение нескольких лет, были отключены сразу же после того, как на прошлой неделе «Лаборатория Касперского» раскрыла существование вредоносной программы.
• На данный момент известно более 80 доменов, задействовавшихся для передачи данных на командные серверы Flame, которые были зарегистрированы в период с 2008 по 2012 гг.
• За последние 4 года командные серверы Flame попеременно располагались в различных странах мира, включая Гонконг, Турцию, Германию, Польшу, Малайзию, Латвию, Великобританию и Швейцарию.
• Для регистрации доменов командных серверов Flame использовались фальшивые регистрационные данные и различные компании-регистраторы, причем данная активность началась еще в 2008 году.
• Злоумышленников, использующих Flame для кражи информации, особенно интересовали офисные документы, файлы PDF и чертежи AutoCAD.
• Данные, загружаемые на командные серверы Flame, шифровались с использованием относительно простых алгоритмов. Украденные документы сжимались при помощи библиотеки Zlib с открытым исходным кодом и модифицированного алгоритма PPDM-сжатия.
• По предварительным данным, 64-разрядная версия операционной системы Windows 7, которая ранее уже была рекомендована «Лабораторией Касперского» как одна из самых безопасных, оказалась не подвержена заражению Flame.


География распространения Flame

Вы уже слышали про Flame? Присаживайтесь поудобнее, сейчас мы предоставим вам все подробности.

Вирусы Duqu и Stuxnet повысили градус кибервойны на Ближнем Востоке, однако недавно мы обнаружили, пожалуй, самое изощренное кибероружие на сегодняшний день. Червь Flame, созданный для кибершпионажа, попал в поле зрения экспертов «Лаборатории Касперского» при проведении исследования по запросу Международного союза электросвязи (МСЭ), обратившегося к нам за содействием в поиске неизвестной вредоносной программы, которая удаляла конфиденциальные данные с компьютеров, расположенных в странах Ближнего Востока. В процессе поиска этой программы, получившей название Wiper, мы обнаружили новый образец вредоносного ПО, который был назван Worm.Win32.Flame.


Семь стран, подвергшихся наибольшему количеству атак

30 и 31 мая в техноцентре Digital October в Москве проходит международный форум по практической безопасности Positive Hack Days, о котором уже все наслышаны. Вчера в полдень открылась регистрация на мероприятие, и вероятно, сейчас попасть туда уже очень трудно. Поэтому мы сперва обратим ваше внимание на полезную информацию в посте Positive Technologies.

Что касается наших ожиданий от форума, как всегда, трудно скрыть восторг по поводу состава. Друзья, это будет столкновение стихий, что-то космическое. Возможно, для кого-то даже шокотерапия. Главное, чтобы все по итогам перешли на светлую сторону силы, и молодые дарования направили свои таланты в мирное русло, а компании правильно обеспечивали информационную безопасность своих ресурсов. А уж печеньки мы обеспечим…

Привет, Хабр!

На днях наши коллеги из компании Dr. Web обнаружили ботнет из более чем 550 тысяч Маков. Ну вот, «опять начинается», скажете вы. Но ведь правда же! На данный момент по миру уже зафиксировано более 670 тыс. зараженных компьютеров, хоть нас, русских пользователей, это пока и не касается особо (см. карту):

Привет, хабр!
Спешите видеть пост нашего эксперта Курта Баумгартнера о мартовском «Вторнике патчей»!

Порция патчей за март 2012 устраняет ряд уязвимостей в технологиях Microsoft, включая баг в службе Remote Desktop (pre-authentication ring0 use-after-free RCE), DoS-уязвимость в Microsoft DNS Server и несколько менее критичных локальных уязвимостей EoP.

А знаете ли вы, что...

Евгений Касперский дочитал биографию Стива Джобса и написал содержательную рецензию на этот многостраничный эпос. В своем посте он рекомендует ее тем, кто наблюдает или участвует в бесконечных религиозных форумных холиварах “чья система круче и чей диаметр толще”.

В том же посте он наконец-то охарактеризовал свое отношение к компании Apple как «восторженно-критическое». И в целом отличился умеренными высказываниями по теме, на которую всегда сам любил развести холивар.

Если приводить краткое содержание поста, Евгений называет три тезиса, отражающих главную суть книги, которую он для себя постиг. Нет, наверное, в них все же есть немного поводов для срача.

Итак:

1. Что позволено Юпитеру, не дозволено быку
Здесь речь идет о воровстве идей, и помимо приведенной римской народной мудрости можно вспомнить изречение Бэнкси: «Плохой художник подражает, хороший художник крадет». Пожалуй, оно неплохо отражает лояльность Евгения к приведенным им же самим примерам подобного поведения компании Apple.

2. Будь как все
Ну вот тут, может, и «началось». Читайте сами, и попробуйте оспорить справедливость его слов.

3. “Будь проще – к тебе понятутся люди”, или открытая система против закрытой
Здесь, наверное, и раскрывается смысл того, почему так умеренно выражается в новом посте Евгений. Все-таки, книга сумела его удивить, хоть и не смогла снизить скепсис. Но какой руководитель откажется от мысли «контролировать всех и вся»?

И, наконец, предлагаем вам заключение самого Евгения, и тем самым как бы предлагаем подумать. Может быть, вас не затруднит ответить на его вопросы:

P.S. Интересно, как бы выглядел мир, если бы Apple открыла свои операционки – и сделала бы их доступными сторонним производителям компьютеров, смартфонов, таблеток и софтверным компаниям? Если бы они при этом продолжали выпускать новые супер-железки, генерить новые идеи дизайна пользовательского интерфейса и создавать новые медийные сервисы? Было бы в этом мире место для Microsoft Windows, Google Android и прочих?