9 августа 2013

Спроси эксперта: мозговой штурм

Спецпроекты

Всегда хорошо, когда под рукой есть куча экспертов, готовых ответить на разные вопросы. Мы не нашли лучшего из лучших среди команды Kaspersky’s Global Research and Analysis Team (GReAT) – подразделения, занимающегося выявлением, анализом и борьбой с угрозами, пытающимися попасть к вам.

Вопросы специалистам Kaspersky Lab

Кстати, вы знаете, что ежедневно «Лаборатория Касперского» получает около 200 000 уникальных образцов вредоносного кода? Так вот, мы и отправляем вас с вашими вирусами, продуктами и вопросами, связанными с безопасностью, к настоящим специалистам.

Эксперты "Лаборатории Касперского"

Пожалуйста, расскажите, какая рабочая среда используется в вашей работе? Веб-браузер, операционная система, другие компоненты…

Майкл Молснер  micham

Мы не привязываемся к конкретной системе, а составляем нужную конфигурацию по мере необходимости. Мой старый компьютер еще работает, кстати, на Windows 2000, но есть системники под Win XP, Win 7, CentOS, Ubuntu и FreeBSD.

 

Как вы находите вредоносные программы?

Роэл Шоунберг  schouw

Ну, получая около 200 000 образцов вредоносного кода в день, можно говорить только об автоматизации. Мы имеем различные типы поисковых роботов, которые просматривают Интернет в поисках новых вредоносных программ. Эти боты посещают различные веб-сайты с целью проверки – не инфицированы ли они, нет ли там эксплойтов или еще какой гадости. Помимо этого у нас имеются специальные ловушки для электронной почты и для сетевого трафика. Иногда мы обрабатываем какую-то вредоносную программу, а в ней обнаруживаем путь к еще более сильной гадости. Естественно, и в этом случае у нас производится автоматическая обработка пойманного. Помимо этого мы сотрудничаем с другими антивирусными компаниями, которые делятся  с нами образцами пойманных ими вредоносов. Последнее, но не менее важное – помощь энтузиастов и профессионалов, сигнализирующих нам о подозрительных вещах.

В последнее время разработчики вредоносного кода ориентируются больше на ПК или на мобильные платформы? Какие цели они в первую очередь перед собой ставят?

Сергей Новиков

Ну, в первую очередь вирусописатели ориентированы на тех, у кого есть деньги, у кого есть что украсть. А сейчас все это есть и на компьютерах, и на мобильных устройствах. И то, что легче взломать, и является их целью. Если говорить о мобильных устройствах, то пользователи абсолютно беспечны. Они не задумываются о защите данных на своих смартфонах и планшетах. Поэтому они являются удобной мишенью. Что касается конкретно платформ, то большинство атак (98–99%) направлено на Android. В мире персональных компьютеров по-прежнему в угрозах доминирует Windows, пользователей которого большинство.

О целях разработки вредоносного софта. Понятно, что основная – заработать. Если речь о простых пользователях, то у них пытаются украсть финансовую информацию, личные данные, логины и пароли. Затем все это можно будет перепродать. Какой-никакой, а заработок. Другая цель – просто заражение компьютера, чтобы в будущем его можно было использовать в каких-то своих целях. Чаще всего это делают для рассылки спама, DoS-атак и т.д. То есть в первую очередь они хотят заработать. Как я уже говорил, среди мобильных платформ лидер у нас Android, а среди ПК – Windows. Про Mac-угрозы тоже не стоит забывать. Да, это пока не столь массовое явление, но они есть. Помните историю про фейковый Adobe Flash и атаку Flashback? Примерно год назад в эту историю попало почти миллион Маc-пользователей по всему миру, подцепивших на свои компьютеры эту заразу. Это был единичный случай, но уверенность в своей безопасности и беспечность рано или поздно сыграют с маководами злую шутку.

 

Какова наиболее распространенная уязвимость среди смартфонов?

Кристиан Фанк

Обычная практика, когда преступники распространяют вредоносный код, внедряя его в «легальную» программу, которую предлагают скачать в обход официального магазина приложений.

 

Какие страны лучше подготовлены для кибервойны? Как считаете, политические партии и институты Испании и Европы осознают опасность угрозы и выделяют ли достаточные ресурсы?

Висенте Диас  trompi

Ни одна страна не раскрывает такие вопросы. Однако понятно, что больше всего этому уделяет внимание Америка. Китай имеет огромные ресурсы, а также в технологическом плане уже куда сильнее, чем те же Франция, Великобритания, Германия, Россия или Израиль.

 

Какие вирусы есть для Mac OS X и где их скачать?

Сергей Новиков

Начнем с того, что на самом деле вирусы под Маc есть. Их немного – это правда. Но количество их растет. И это тоже правда. Кстати, стереотип о том, что Маc-пользователь должен запустить этот вирус сам, не совсем верный. Про тот же Flashback я уже говорил. Он сам получал права администратора и сам заражал компьютер. Но пока это редкость. Основная угроза для Маc – это фишинг: поддельные сайты, письма. Вы легко расстанетесь с вашими данными, если не подумав кликнете на фишинговую ссылку и введете в открывшемся поддельном окне свои данные, тот же Apple ID. Кстати, для фишинга Apple является весьма привлекательной платформой, и поддельные сайты для Mac-юзеров уверенно занимают топовые места.

А где скачать вирусы под Маc? Не скажу! Мы не распространяем такую информацию. Это противозаконно.

 

Здравствуйте! Я хотел бы знать, что пользователи должны сделать, чтобы оптимизировать защиту от троянов, скрытых в PDF-файлы и другие вложения?

Стефано Ортолани

Интересный вопрос. Действительно, существует сразу несколько угроз, которые используют и будут впредь использовать PDF и офисные документы в качестве основного носителя для распространения. К сожалению, и PDF, и офисные файлы усложняются, получая все более широкие возможности. Но вместе с этим растет и количество ошибок и недоработок, приводящих к уязвимостям. И через них совершенно спокойно можно внедрить вредоносный код. Поэтому стоит пользоваться хорошим антивирусом. И еще совет: для чтения PDF используйте простые просмотрщики (например, Sumatra PDF), не обремененные дополнительными возможностями. Чем меньше этих возможностей кроме основной, чтения файла, тем безопаснее. Конечно, это не кардинальное решение проблемы, но вполне приличное средство безопасности.

Ну, и самое основное, что нужно делать, – это не открывать файлы и документы, источник которых неизвестен или непонятен для вас.

Роэл Шоунберг

Самое основное, что нужно делать, – это не открывать файлы и документы, источник которых неизвестен или непонятен для вас.

Считаю, что наиболее эффективным методом является удаление всех PDF-читалок. Используйте официальные Adobe Reader и Microsoft Office со всеми обновлениями. Прежде чем их выпускают для простых пользователей, они проходят всесторонние испытания. Также стоит работать с самой последней версией операционной системы Windows, так как у нее стоит очень серьезная защита. Иногда советуют, наоборот, использовать менее популярный софт для просмотра файлов в качестве способа избежать заражения. Однако это работает только в случае массовой атаки, которая обычно планируется для популярных программ. Однако если атака целенаправленная, то именно менее распространенная программа может стать слабым звеном.

 

Я ни разу не попал на фишинговый сайт. Возможно, просто потому, что был не в курсе, что это именно он. В связи с этим у меня вопрос: могу ли я без антивирусной защиты узнать, что это именно фишинговый сайт до или после его посещения? А если антивирус установлен? Будет ли он извещать меня об опасности фишинга?

Майкл Молснер

Поход в Интернет без антивирусника в наше время крайне опасен. Я это говорю не потому, что хочу продать вам эту программу, а потому, что мы ежедневно обнаруживаем очень много взломанных сайтов. Именно взломанных, а не поддельных. Вредоносный код нередко встраивают прямо в легальный контент, после чего он попадает на незащищенные компьютеры. Без надлежащей защиты посещение подобных ресурсов крайне опасно. И даже не обязательно там что-то нажимать или скачивать.

С защитным ПО вы, скорее всего, даже не увидите все эти фишинговые письма, поскольку наш софт содержит все необходимые компоненты для защиты от опасностей и нежелательного контента. Около 99,5% фишинговых писем автоматически попадают в мусорную корзину.

Ну, а при нажатии на фишинговую ссылку вы в обязательном порядке получите всплывающее окно с предупреждением об опасности и советами, как поступить.

 

Где вы найдете фишинговые ссылки? Можем ли мы доверять ссылкам на веб-сайтах известных компаний и в блогах? Рекламная ссылка на блог – это не опасно?

Майкл Молснер

Большинство фишинговых ссылок приходит в письмах, но существуют и иные способы распространения. Например, в сообщениях на форуме или в комментариях.

Я не решаюсь использовать слово «доверие», когда дело касается онлайна. Даже сайты и блоги известных компаний рискуют быть взломанными и напичканными вредоносным содержимым. Это было раньше, будет и впредь.

 

Меня терзают смутные сомнения: а не антивирусные ли компании пишут эти вирусы? Например, первый вирус под Android появился как раз после того, как на рынок поступил первый антивирус под эту систему.

Висенте Диас

Вот смотрите. Мы анализируем порядка 200 000 образцов вредоноса каждый день. Если «Касперский» создает новый вирус, но это не подстегивает пользователей покупать наш антивирус, то прибыль будет нулевая. Однако рано или поздно это станет известно, и компании придется со скандалом закрыться.

Как видите, смысла в этом нет. Мы живем в таком мире, где и так достаточно угроз разного рода. И уже есть люди, которые зарабатывают тем, что эти угрозы создают.

 

Зачем мне антивирус для смартфона, если за два года я не столкнулся ни с одним вирусом? Это антивирус плохой или он просто не нужен? Актуален только модуль проверок ссылок.

Сергей Новиков

Думаю, это ошибочное мнение, некий ошибочный стереотип, особенно поражающий продвинутых гиков: «Мне ничего не угрожает, я сам в состоянии себя защитить. Антивирус – лишний в моей системе». К сожалению, друзья, это в корне неверно! То, что вы не столкнулись еще ни с одним вирусом, не значит, что их не было. Возможно, вы эти вирусы и не видите. Главная стратегия злоумышленника – оставаться незамеченным как можно дольше. Такая тактика ослабляет бдительность пользователя, который считает, что вирусов-то и нет. И отключает антивирус. В это самое время злоумышленник вовсю собирает интересующую его информацию, оставаясь невидимым. А если это бэкдор, то он вообще себя сразу не проявит, а будет спокойно спать, дожидаясь своего часа.

Второй, не менее важный аспект заключается в том, что устройства без антивирусника и теоретически, и практически могут являться источниками заразы. То есть вы и знать не знаете о том, что ваш смартфон втихую заражает другие девайсы или участвует в атаке. И поэтому я совершенно серьезно считаю владельцев гаджетов, не использующих антивирусное ПО, людьми безответственными. Практически это соучастники киберпреступлений, если разобраться.

 

Что делает Kaspersky лучше, чем Norton или McAfee?

Дэвид Эмм  emm_david

Это всегда сложный вопрос для любого, кто работает в подобной компании, так как почти всегда заподозрят в лояльности к своему работодателю. Но «Лаборатория Касперского» явно в авангарде защиты от вредоносных программ. Вы можете увидеть это на нашем ресурсе www.securelist.ru, где мы публикуем различные исследования. Также можно увидеть, сколь широк диапазон разрабатываемых компанией технологий. Именно разрабатываемых, создаваемых самостоятельно, а не купленных. И эти технологии направлены на безопасность наших клиентов, о чем особенно хорошо разъясняется в официальном блоге Евгения Касперского, генерального директора и основателя компании. Помимо этого можно посмотреть наш послужной список в различных независимых тестах, в том числе www.av-test.org, www.av-comparatives.org, www.anti-malware-test.com.

 

Вопрос о встроенной рекламе (adware). Вы собираетесь предпринимать какие-либо действия или изменение политики? Я думаю, что стоит озаботиться тем, чтобы можно было причислять adware к «потенциально нежелательным программам». Нынешняя же политика такова, что эти встроенные дополнения создают реальные проблемы у конечных пользователей, так как немало и других «плюшек» ставится вместе с этими рекламными дополнениями.

Висенте Диас

Ну, такое программное обеспечение не всегда является вредоносным. На самом деле иногда сложно определить, что является вредоносным действием, а что нет. Тем не менее очевидно, что действия этих дополнений неясны пользователям и часто вводят их в заблуждение. Вы должны блокировать то, что действительно вредно, а не просто раздражает. Еще вот что. Если законы разрешают такой тип поведения программ, то вам нужно обращаться в союз антивирусной индустрии, а пользователям везде и всюду блокировать этот тип программного обеспечения. Мы стараемся улучшать наши продукты, так что наши пользователи обычно хорошо защищены. И если мы обнаружим, что от какой-то программы класса adware исходит опасность, то она будет немедленно блокирована.

 

Что может предложить «Лаборатория Касперского» для обеспечения безопасных онлайновых транзакций?

Кристиан Фанк

Онлайновые финансовые сделки, как и любая серьезная операция, должны проводиться в первую очередь на надежных, проверенных компьютерах, а не из интернет-кафе или на РС-терминалах. Вы никогда не можете быть уверены в том, что работающее программное обеспечение безопасно и имеет все апдейты. Может, оно уже заражено? Кроме того, если сделка производится через банковский сайт, то открывать его нужно, либо набрав вручную, либо из ранее сохраненных закладок. Но никак не через присланную якобы от вашего банка ссылку. Это поможет избежать фишинга или мошенничества.

Кроме того, у пользователя должны стоять все свежайшие апдейты для операционной системы и используемых для платежей программ. Отсутствие обновлений нередко является теми самыми уязвимостями, через которые открываются двери для вредоносных программ.

О том, как лучше защитить онлайновые банковские операции, стоит поинтересоваться и у своего банка, так как большинство из них предлагают различные способы защиты.

Банковские рекомендации вместе с современным антивирусным ПО позволяют добиться очень высокого уровня защиты и сохранить ваши деньги там, где им и положено быть, – на вашем банковском счете.

 

Почему вы закрыли «песочницу»?

Дэвид Эмм

Мы не закрывали «песочницу». Но мы изменили ее название и саму технологию с «Безопасной среды» на «Безопасные платежи». Мы сделали это, чтобы более точно отражать основную причину, для чего мы используем эту технологию – для проведения безопасных онлайновых транзакций. Кроме того, мы упростили использование системы. Вместо ручной регистрации для проведения операции система автоматически определяет, когда проводится финансовая операция. Кстати, список разрешенных для транзакций ресурсов можно пополнять, если это необходимо.

И да – мы используем в наших «песочницах» наше антивирусное ядро, чтобы определить наличие вредоносного кода.

 

Какие плагины, приложения и расширения (вроде KIS) помогают пользователям безопасно находиться в Интернете и шифровать связь?

Дэвид Эмм

У нас есть ряд расширений для браузеров Internet Explorer, Chrome и Firefox:

• Анти-Баннер проверяет адреса, с которых могут быть загружены баннеры.

• Блокировщик содержимого блокирует контент от опасных URL-адресов.

• URL Advisor проверяет безопасность URL-адресов и выступает в роли некоего «светофора», показывая статус выбранного адреса.

• «Безопасные платежи» обеспечивают безопасность онлайн-транзакций.

• «Виртуальная клавиатура» защищает пароли от чтения кейлоггером.

 

Вредоносная программа может быть идентифицирована с помощью антивирусных программ или сверена с присвоенной ей ранее подписью. У всех программ есть такая подпись? И как антивирус классифицирует подписи по угрозам? Что вообще актуально для определения вредоносности?

Роэл Шоунберг

Подпись – это то, что однозначно определяет вредоносность программы, семейство программ и их тип воздействия. Они могут быть разными. Подпись может описывать и определенное поведение системы. Вообще, сегодня подписи крайне гибкие. Так, используя всего лишь одну, но «умную» подпись, можно обнаружить десятки тысяч различных вредоносных файлов.

Аналитик или система в автоматическом режиме определяют, как поступать. Если это явно выраженный фрагмент вредоносной программы, то уже не нужно создавать новую подпись, так как можно присвоить уже имеющуюся, созданную на основе ранее заданных параметров поведения программы. Это приводит к тому, что авторам вредоносных программ приходится прилагать усилия для создания новых алгоритмов, пока еще не имеющих описаний и затрудняющих обнаружение. Этакая бесконечная игра в кошки-мышки, где один старается спрятаться, а другой – найти.

Мы используем «умные» черный и белый списки. Имея огромную и постоянно пополняемую базу белых списков, мы можем ускорить процесс сканирования, свести к минимуму ложные срабатывания. А освободившиеся ресурсы направить на изучение незнакомых подозрительных файлов.

 

Как мне лучше всего защититься от DDoS-атаки?

Роэл Шоунберг

DDoS – проблема сложная. Ее просто так не решить. DDoS-атаки отличаются друг от друга по типу и активности. Если злоумышленник пытается просто подавить ваш сетевой трафик, то лучше всего будет в срочном порядке сменить провайдера либо попробовать обратиться в поддержку, которая поможет справиться с этой напастью. Для атаки типа IDS/IPS придется проделать крайне много непростой работы, которая под силу только опытным специалистам.

 

Наличие открытых портов – это уязвимость?

Роэл Шоунберг

Ответственность за открытие портов несут программы. Что автоматически поднимает вопрос доверия к той программе, которая это делает. Если порт открыло вредоносное ПО, то это реальная уязвимость. Такие открытия, как правило, представляют собой «черный ход» в систему. А вот если порт открывает какая-то «легальная» программа, то стоит для начала выяснить, зачем ей это надо. Кстати, это довольно редко нужно, поэтому стоит отказать такой программе. Ну, и надо бы включить брандмауэр, который не даст несанкционированно открыть какой-либо порт.

 

Защищает ли ваш антивирус для Android от вируса Obad?

Сергей Новиков

Да, конечно, защищает! Про этот вирус много сказано и написано, он не такой уж редкий, чтобы обходить его вниманием.

 

Есть ли планы по созданию своего безопасного браузера для Kaspersky Internet Security?

Сергей Новиков

Получается, что вы мне предлагаете в этот наш супербандл из множества крутых инструментов для безопасности встроить еще и собственный браузер? Нет, таких планов нет. Видимо, мы не станем создавать свой браузер. Дело в том, что мы специалисты в своей области, в безопасности. Нам нравится наша работа, мы делаем ее с удовольствием, и делаем хорошо. А это чуть-чуть иное, чем создание браузеров. Мы не хотим этим заниматься. Это не наш профиль, не наши интересы. Мы можем оснастить любой из имеющихся браузеров мощнейшим набором защитных функций, и это наша работа. Мы это умеем делать. Зачем пользователям  еще один браузер?! Нет, не будем мы делать еще один.

 

Есть ли в планах создание антивируса для веб-сайтов такого, чтобы он располагался на сервере и защищал сайты от атак?

Сергей Новиков

Видимо, речь идет о специализированных антивирусах для CMS и прочих движков? Интересный вопрос. Почему-то очень многие уверены, что для защиты сайтов требуется специальный антивирус. Скажу сразу: мы не планируем создавать такой продукт. Однако дам несколько советов. Обязательно ставьте на сервер сложный пароль. Регулярно обновляйте программное обеспечение. Активно занимайтесь администрированием вашего ресурса, чтобы своими глазами видеть, что происходит с сайтом. Проблема в том, что создатели сайтов очень мало внимания уделяют безопасности. Особенно в условиях ограниченного бюджета. Сделал – и забыл. Особенно это касается небольших сайтов, которые очень часто не получают элементарных обновлений системы. И это проблема, так как очень большое количество этих сайтов заражено. Однако мы делаем все возможное, чтобы защитить пользователей от заражения. Наши антивирусные продукты надежно защищают от посещения таких страничек и от вредоносного кода, который может попасть от них.

 

Что является лучшим способом борьбы с программой-вымогателем?

Кристиан Фанк

Если вы уже попались в сети программы-вымогателя, то установите себе хорошую антивирусную защиту, а также выполните все обновления операционной системы и программ. Однако если это не помогло или вообще нет возможности что-то предпринять, то скачайте наш бесплатный Rescue CD, который просканирует компьютер и очистит от заразы. На диске записана портативная сборка Linux со всеми необходимыми инструментами, в том числе и с программой восстановления системы.

Сергей Новиков

В ближайших версиях Kaspersky Internet Security появится совершенно новый универсальный антиблокер. И можно будет нажать заранее заданную комбинацию клавиш, чтобы запустить его и избавиться от процесса-вымогателя.

 

Насколько безопасна Windows 8? И будет ли еще улучшена защита после обновления на Windows 8.1?

Сергей Новиков

Windows 8 – отличная система. Мы очень серьезно подошли к изучению безопасности этой системы. И с уверенностью можем сказать, что защита тут на очень высоком уровне, во много раз лучше, чем в Windows 7. Это самая защищенная ОС. Конечно, и ей необходим антивирус, так как многие угрозы актуальны и для «восьмерки», но сама по себе система очень хороша.

 

Мне несколько не по себе от увиденных по ТВ российских хакеров, проникающих в любой компьютер буквально за 30 минут. Антивирус Касперского, установленный у меня, является хорошей защитой?

Майкл Молснер

Никогда не стоит быть уверенным в безопасности на все 100%. Такое никто гарантировать не может. Но с Антивирусом Касперского онлайновая жизнь намного спокойнее и безопаснее.