Samara Portal Technology, Computers

Самарский портал "Технологии, компьютеры"

21 февраля 2020 года в Самаре состоялся День пользователя Dr.Web – как защититься от современных угроз, что для этого надо предпринять, как российский антивирус помогает компаниям противостоять троянцам и фишингу.

Конечно, предприятия, конструкторские бюро, лаборатории и прочие структуры создавались и в СССР. Но все они создавались государством и обладали весьма условной самостоятельностью.

Dr.Web – нам есть чем гордиться. Статья Владислава Боярова. 29.02.2020 г.

Наверное, вся наша компьютерная безопасность, если не считать организационные меры, берёт своё начало с антивирусной программы Дмитрия Лозинского под названием AIDStest. В вольном переводе – антиСПИД, тогда СПИД гремел покруче нынешнего коронавируса, и ажиотаж, по словам самого автора, и подсказал название. Это был 1988 год – когда у нас на заводе появились первые ПК (это были 286-е с 40-мегабайтными дисками… да, оперативная память тогда была стандартной – 1 МБ из которых системе было доступно 640 КБ), ещё не объединённые в локальную сеть и перенести вирус можно было только на дискете.

Следующим антивирусом был уже наш сегодняшний герой, который на четверть века моложе Дмитрия Лозинского, что для ИТ очень важно. Игорь Данилов создал свой антивирус Dr.Web в 1992 году, а компанию под именем «Доктор Веб» – только в 2003. В 2004 туда в качестве заместителя генерального директора пришёл работать Дмитрий Лозинский – так что, как можно увидеть, компания родилась из технологий, а не из «бизнеса» как средства зарабатывания денег.

Важным отличием продукта Игоря Данилова было умение распознавать полиморфные вирусы – те, что изменяли свой код (как бы мутировали) при каждом заражении. Таким был, к примеру, появившийся в 1994 году вирус OneHalf – половинка. Он прописывал себя в загрузочную область диска (MBR), стартовал раньше операционной системы, перехватывал 21-е прерывание и шифровал по 2 дорожки диска за запуск компьютера. В тот же MBR записывалась таблица соответствия, с помощью которой переадресовывалась FAT, в результате чего пользователь до поры до времени не ощущал результатов шифрования. Наконец, закончив работу, вирус сообщал пользователю: мол, всё, кранты. Денег, насколько я помню, не вымогал, да и не было тогда ни карточек, ни мобильных телефонов, ни, тем более, биткоинов.

Лечение было весьма специфическим. Прежде всего, компьютер надо было запускать исключительно с загрузочной дискеты – рекомендовалась к тому же защитить её от записи. Потом из командной строки (тогда этим навыком владели все ИТ-шники) запустить Dr.Web. В случае с OneHalf самым сложным было не уничтожение вируса – уничтожив вирус, мы теряли возможность работы с таблицей соответствия. Dr.Web умел заставить OneHalf дать задний ход и провести все операции в обратном порядке, вернув всё на место. Однако этот процесс занимал достаточно много времени (если мне не изменяет память – до нескольких часов), сам Dr.Web был не сильно разговорчив (тогда вообще на интерфейсе экономили), поэтому «лечащему врачу» нужно было быть уверенным в том, что он делает всё правильно и по ходу дела успокаивать нетерпеливого (он же весь на нервах) клиента. Финальным аккордом было, собственно, удаление вируса.

Следует отметить, что первые антивирусные продукты были именно лечебными, а не профилактическими (или гигиеническими, то есть, укрепляющими здоровье пациента). Этому способствовали и весьма ограниченные аппаратные ресурсы, которые совсем не хотелось нагружать. При разработке же профилактических программ, не просто излечивающих, а в резидентном режиме защищающих систему от вирусов, была как раз борьба за ресурсы – чтобы не отнимать их слишком много. Тем более, что следующий «главный злодей» – вирус Чернобыль, умудрялся не только уничтожать данные на дисках, но и портить BIOS, что приводило к полной неработоспособности компьютера. Конечно, тут же нашлись мастера выпаивать BIOS из материнской платы и шить его на программаторе, но это уже совсем другой уровень работы, поднимающий при этом вопросы о гарантии.

Dr.Web – нам есть чем гордиться. Статья Владислава Боярова. 29.02.2020 г.

О сегодняшнем дне Dr.Web рассказал генеральный директор компании Борис Шаров. В компании работают 300 сотрудников, из них 200 в Санкт-Петербурге занимаются разработкой.

Заражение через съёмные носители (будь то дискеты или флешки) уже давно не на первом месте, сейчас вирусы вместе с полезной информацией гуляют по сетям и главной угрозой безопасности, наиболее слабым звеном стал пользователь, которые открывает «не те» письма и ходит «не на те» сайты. Потому что давно уже даже штатные средства безопасности операционных систем, браузеров и почтовых приложений научились предупреждать пользователей: не делай этого, нарвёшься!

А «Доктор Веб» продолжает развивать собственные, уникальные решения, главным образом связанные с эвристикой – возможностью отловить и обезвредить вирус, который она впервые видит. Так, например, получилось со знаменитым шифровальщиком-вымогателем WannaCry, от которого не пострадало ни одного пользователя Dr.Web. Одновременно «Доктор Веб» оказывал поддержку тем, кто пострадал от вымогателей, помогая расшифровывать данные: не в 100% случаев успешно, но, в основном, получалось.

Особенностями современных вымогателей является комплексность решений. Тем, кто платит, они, как правило, расшифровывают их данные – хотя обещать этого ни один консультант не сможет. Кто не платит – наказывают, например, утечками конфиденциальных (в том числе персональных) данных в открытый доступ.

Dr.Web – нам есть чем гордиться. Статья Владислава Боярова. 29.02.2020 г.

Совет: при обнаружении странностей в работе системы следует немедленно отключить питание компьютера (не через кнопку «Пуск» на экране, а «тупо» выдернув вилку из розетки) и вызвать специалиста. Понять, что это специалист, можно по тому, что он не будет штатно включать компьютер, а запустит его с загрузочного внешнего диска (флешки) с DR.Web LiveDisk или сразу извлечёт жёсткий диск для проверки. При наличии своей ИТ-службы нужно иметь как минимум один компьютер для проведения на нём подобных работ.

Dr.Web – нам есть чем гордиться. Статья Владислава Боярова. 29.02.2020 г.

Как и любой вендор, «Доктор Веб» стремится удовлетворить любых клиентов. На деле это означает предоставление только тех решений, за которые покупатель готов заплатить – с одной стороны это определяется реальными потребностями, с другой – банальной платежеспособностью.

Несигнатурный антивирус Dr.Web KATANA предлагается в дополнение к любому традиционному антивирусу. KATANA реагирует на саму активность троянца и уничтожает его до того, как он успеет серьёзно навредить (после шифрования примерно 5 файлов антивирус понимает с чем имеет дело и ликвидирует угрозу).

Dr.Web vxCube. Пользователь отправляет файл на анализ – если файл действительно заражён (Dr.Web помещает файл в «питательную среду», провоцируя вирус на заложенные в нём действия), получает лечащую утилиту направленного действия.

Dr.Web Enterprise Security Suite – как следует из названия, это комплексная централизованная защита всех узлов корпоративной сети с различными ОС. Имеются все необходимые сертификаты ФСТЭК, ФСБ и Министерства обороны, выполнение требований регуляторов по защите ИСПДн и прочие документы, которые защищают компанию уже от претензий регуляторов.

Но самым интересным для меня было взаимодействие «Доктор Веб» с правоохранительными органами, о котором Борис Шаров рассказывал в своём докладе, и про которое мне удалось расспросить его более подробно в неформальной части мероприятия.

Я уже неоднократно сравнивал антивирусную защиту с установкой прочных дверей с хитрыми замками, которые сами по себе, без участия правоохранительных органов с их возможностями привлечения злодеев к ответственности проблему до конца не решают. В ответ производители этих самых «дверей» разводили руками: мол, мы сами по себе, они сами по себе, и вообще до них не достучишься – в общем, покупайте наши надёжные «двери».

Оказалось, что «Доктор Веб» здесь занимает принципиально иную, и, на мой взгляд, единственно правильную позицию: компания активно контактирует с правоохранителями и одним из важных свойств своих продуктов видит предоставление полиции доказательств преступной деятельности. И, что важно, активно призывает пользователей, подвергшихся нападению, подавать заявления, обещая оказать посильную помощь в фиксировании улик. Конечно, не всё там пока гладко (я сам, будучи истцом, так и не смог объяснить судье с прокурором, чем отличается получение файла вложением в электронной почте от его скачивания с сайта), но дорогу осилит идущий, а без активной работы ИТ-шников вообще ничего не будет. Специалисты «Доктор Веб», используя как свою квалификацию, так и репутацию компании, регулярно проводят «ликбез» среди сотрудников правоохранительных органов. Пока плоды их усилий заметны только в Москве, но если замкадыши проявят инициативу, «Доктор Веб» готов к сотрудничеству.Dr.Web – нам есть чем гордиться. Статья Владислава Боярова. 29.02.2020 г.

Хорошая новость в том, что если поначалу в полиции вообще не было специалистов по информационной безопасности, а позже стали появляться отдельные энтузиасты среди молодёжи (у которых и звания и должности были соответствующими), то к настоящему времени некоторые из них поднялись по служебной лестнице и грамотно организовывают работу своих подразделений.

Внимательный читатель, наверное, уже готов возразить: как в наш век глобализации можно говорить об ИТ-безопасности исключительно в границах РФ. Да, в плане международного сотрудничества всё стало хуже. Борис Шаров рассказал об украинских хакерах, которых до 2014 года российские спецслужбы ловили совместно с украинскими, а теперь большинство из них вместе с украинскими спецслужбами противодействуют РФ. Другой важный момент: даже в том случае, когда между государствами существуют нормальные отношения, или когда злоумышленники представляют глобальную опасность, российские правоохранители не всегда знают, как выйти на нужные зарубежные контакты и как правильно оформить запросы. Но и здесь та же логика – под лежачий камень вода не течёт, если мы не будем теребить правоохранителей, то они никогда ничему и не научатся.

Dr.Web – нам есть чем гордиться. Статья Владислава Боярова. 29.02.2020 г.

Конечно, это ломает привычные стереотипы: те, чья «служба и опасна, и трудна», особо не рвутся вести незримый бой с информационными злоумышленниками, даже когда в беду попадает не один человек, а тысячи или миллионы. И здесь, наверное, не только слово «вирус», но и сама природа явления говорит нам о том, что работать должна некая государственная санитарно-эпидемиологическая служба (потому что негосударственную никто силовыми полномочиями не наделит). Но ведь, с другой стороны, мы всегда опасаемся полицейского государства.

Тут необходимо отметить, что когда дело доходит до взаимодействия компании с государством, руководство компании должно понимать проблемы информационной безопасности и, как бы это банально не звучало, быть на стороне своей ИТ-службы, а не винить её в случившемся.

Dr.Web – нам есть чем гордиться. Статья Владислава Боярова. 29.02.2020 г.

О некоторых практических приёмах и особенностях продуктов «Доктор Веб» рассказал ведущий аналитик отдела развития компании Вячеслав Медведев.

В перерывах на кофе специалисты могли протестировать продукты Dr.Web в «боевых условиях».

Dr.Web – нам есть чем гордиться. Статья Владислава Боярова. 29.02.2020 г.

Завершилось мероприятие викториной по информационной безопасности с использованием ресурса kahoot.it: на экране появлялись вопросы, а на своих смартфонах надо было давать ответы. Хочу сказать своим сверстникам: в нашем возрасте можно не только осваивать информационные технологии, но и выигрывать в скорости у более молодых коллег.

Dr.Web – нам есть чем гордиться. Статья Владислава Боярова. 29.02.2020 г.

----

Информационная гигиена в эпоху интернета

Информационная гигиена в эпоху интернета. Статья Владислава Боярова. 12.08.2024 г.

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть четвёртая

Blood, Sweat & Tears, или Кровь, пот и слёзы – часть четвёртая. Статья Владислава Боярова. 12.03.2024 г.

«КАТЮША» в «Пастернаке»: «КАТЮША»

«КАТЮША» в «Пастернаке»: «КАТЮША». Статья Владислава Боярова. 08.04.2024 г.

Pantum в Самаре: business as usual

Галопом по вычислительным Европам. Часть 10. Китайский путь и персональная безопасность.

Галопом по вычислительным Европам. Часть 10. Китайский путь и персональная безопасность. Статья Ильи Вайцмана. 11.12.2023 г.