Интервью с Ильёй Рабиновичем, экспертом Anti-Malware.ru Опции

[Илья Рабинович]

Всем доброго времени суток!

По предложению администрации портала Anti-Malware, мне было предложено провести онлайн-интервью.

Как, наверное, многие здесь знают, я специализируюсь в области поведенческих защит от вирусов и иных зловредных кодов, придумал и пишу DefenseWall. Так что если вам интересны нетрадиционные взляды на эту область- задавайте вопросы.

[Сергей Ильин]

Илья, спасибо, что согласился на онлайн-интервью, поехали

Задам сразу пару вопросов от редакции:

1. Идут годы, выходят новые версии разных ОС, совершенствуется защитный софт (персональные комбайны "жирнеют" на глазах, потребности безопасников в средствах защиты растут на глазах). При этом реальная защищенность снижается, так как количество новых угроз растет быстрее. К чему на твой взгляд это в конечном итоге приведет и есть ли все таки шанс кардинального решения хотя бы части проблем безопасности?

2. Нет ли ощущения, что у киберпреступности и у подавляющей массы вендоров абсолютно некоррелирующие векторы развития? Т.е. все по-своему делают деньги, окучивая юзеров с двух сторон, которые мечатся в поисках меньшего из зол.

[alexgr]

Илья, добрый день!
Знаю про ваши планы про файрволл и развитие базового продукта. Вопросы таковы
1. Дальнейшие планы - может, есть мысль по созданию некоего допмодуля по удалению - для установки на зараженную систему?
2. Планируете ли как директор экспансию на новые рынки?
3. Есть ли планы создания центра управления для ваших HIPS, скажем, для оценки корпоративного "здоровья"?
Спасибо

[Umnik]

Предлагали ли Вы свои разработки крупным вендорам, кому-нибудь из первой 5-ки.

[Виталий Я.]

1. Видите ли вы себе конкурентов в лице продуктов таких компаний, как Safe'n'Sec, является ли конкрентом Sandboxie?

2. Не являются ли HIPS-функционал KIS (Kaspersky), OSSP (Outpost), CIS (Comodo) и других продуктов достаточным для вытеснения вашего продукта с рынка?

3. не думали ли Вы о выходе на партнеров в зонах основных продаж, чтобы расширить зону своего влияния?

4. Расширять штат, пестовать преемников и соратников планируете?

[Илья Рабинович]

Илья, спасибо, что согласился на онлайн-интервью, поехали

"И взмахнул рукой"

1. Идут годы, выходят новые версии разных ОС, совершенствуется защитный софт (персональные комбайны "жирнеют" на глазах, потребности безопасников в средствах защиты растут на глазах). При этом реальная защищенность снижается, так как количество новых угроз растет быстрее.

Защитный софт "комбайнов" не сколько совершенствуется, сколько пытается подскатить костыли под несоответствующие уровню угроз антивирусные технологии двадцатилетней давности. Отсюда и снижение реальной защищённости.

К чему на твой взгляд это в конечном итоге приведет и есть ли все таки шанс кардинального решения хотя бы части проблем безопасности?

В конечном итого, всё сведётся к двум вещам:
1. Ведущие тестовые лаборатории вводят динамические тесты примерно в середине-конце 2010, к 2011 их результаты де-факто станут ориентирами для крупных заказчиков средств ИБ.
2. По их результатам станет видно, что единственное средство кардинального решения проблем-это песочницы, единственные решения, демонстрирующие 100% показатели либо очень близко к ним.

Но реально уйдёт ещё лет пять минимум, прежде чем люди в большинстве своём привыкнут к новым подходам в защите и ситуация с заражениями сдвинется с мёртвой точки.

2. Нет ли ощущения, что у киберпреступности и у подавляющей массы вендоров абсолютно некоррелирующие векторы развития? Т.е. все по-своему делают деньги, окучивая юзеров с двух сторон, которые мечатся в поисках меньшего из зол.

Нужно понимать ключевую вещь. Продажа средств безопасности- это бизнес. Если существующие традиционные продукты замечательно продаются и растут в показателях даже в кризис, то зачем что-то менять? Мнение пользователя учитывается здесь в последнюю очередь, оно никому не интересно. Так что да, я совершенно согласен. Правда, и сам пользователь также не хочет защищаться, но это немного другая история.

1. Дальнейшие планы - может, есть мысль по созданию некоего допмодуля по удалению - для установки на зараженную систему?

Это, в принципе, возможно, но зачем мне дублировать при этом CureIt/AVPTool/AVZ если, по крайней мере, два из них можно использовать совершенно бесплатно?

2. Планируете ли как директор экспансию на новые рынки?

Не совсем понимаю сей вопрос. "Экспансия" подразумевает некую основу. Основа экспансии песочниц (любых)- это динамические тесты.

3. Есть ли планы создания центра управления для ваших HIPS, скажем, для оценки корпоративного "здоровья"?

Да, есть. Но не сколько для оценки, сколько для возможностей централизованного контроля.

Предлагали ли Вы свои разработки крупным вендорам, кому-нибудь из первой 5-ки.

Нет, конечно. Если ты начинаешь бегать, как подорванный с криком "купите меня, пожалуйста!", то это расценивается как "ага, у него кончились деньги, сейчас скупим дёшево". Мне оно надо?

1. Видите ли вы себе конкурентов в лице продуктов таких компаний, как Safe'n'Sec, является ли конкрентом Sandboxie?

Для того, чтобы быть конкурентами, для начала нужно иметь рынок. Рынка поведенческих средств защиты не существует.

2. Не являются ли HIPS-функционал KIS (Kaspersky), OSSP (Outpost), CIS (Comodo) и других продуктов достаточным для вытеснения вашего продукта с рынка?

Нет, не является. Как раз наоборот.

3. не думали ли Вы о выходе на партнеров в зонах основных продаж, чтобы расширить зону своего влияния?

Думал. Но одного "думать" мало.

4. Расширять штат, пестовать преемников и соратников планируете?

Ну, они и так постепенно подтягиваются сами. Правда, мне меня пока что вполне хватает.

[alexgr]

Не совсем понимаю сей вопрос. "Экспансия" подразумевает некую основу. Основа экспансии песочниц (любых)- это динамические тесты.

имелся в виду корпоративный рынок

[Илья Рабинович]

имелся в виду корпоративный рынок

А, теперь понятно. Мы уже говорили на эту тему, в принципе- им придётся сильно ломать текущие ИБ-процессы, подстраиваясь под новую парадигму защиты. Пока динамические тесты не докажут реальную выгоду от этого, идти в Enterprise бесполезно, они будут как те ежики, колоться, но продолжать лезть на кактус.

Более того, есть ещё такая штука, как бюджет. Графа "антивирус" там есть, "файервол"- возможно, а вот "HIPS"- ну сильно сомневаюсь. А нет бюджета- нет денег.

[OlegAndr]

Знаете ли вы про конкурента http://www.torchsoft.com/en/md_information.html и что думаете про их продукт.

[SBond]

Илья здравствуйте, вот такой вопрос:
Очень хотелось бы чтобы у вас появилась программа с поддержкой Windows7 64bit, как скоро возможно ее выход для конечных пользователей. (Возможно вам подобные вопросы задавались не раз, но все-таки)

[Илья Рабинович]

Знаете ли вы про конкурента http://www.torchsoft.com/en/md_information.html и что думаете про их продукт.

Китайцы неплохо скопировали технологии ProcessGuard/SSM десятилетней давности. У классических HIPS только одна проблема- они не продаются.

Очень хотелось бы чтобы у вас появилась программа с поддержкой Windows7 64bit, как скоро возможно ее выход для конечных пользователей. (Возможно вам подобные вопросы задавались не раз, но все-таки)

Пока не обойду PatchGuard надёжно, раз и навсегда, можно и не рассчитывать. Не забудьте передать "большое спасибо" корпорации Microsoft!

[Виталий Я.]

Пока не обойду PatchGuard надёжно, раз и навсегда, можно и не рассчитывать. Не забудьте передать "большое спасибо" корпорации Microsoft!

Большое им спасибо! Илья, сознайтесь, не будь Microsoft и рыночной ниши, которую они создали для решений для ИБ Windows, чем бы Вы занялись?

[apq]

Илья Рабинович
со времени релиза DefenseWall HIPS 2.56 прошло почти 9-ть месяцев, с того времени у вас в разделе новости компании затишье. когда следующий релиз ожидается?

[Илья Рабинович]

Большое им спасибо! Илья, сознайтесь, не будь Microsoft и рыночной ниши, которую они создали для решений для ИБ Windows, чем бы Вы занялись?

Да я бы нашёл, чем заняться (я ведь инженер-физик по специальности "ядерная физика" по официальному образованию), а вот чем бы занялись они- вот это действительно вопрос!

со времени релиза DefenseWall HIPS 2.56 прошло почти 9-ть месяцев, с того времени у вас в разделе новости компании затишье. когда следующий релиз ожидается?

Как я уже писал, релиз будет как только я получу файл справки для третьей версии.

[sww]

Илья,

1) Не думаете ли вы, что ваш продукт получил высокое место в динамическом тесте АМ только потому, что вирусмейкерам ваш продукт совершенно не интересен? Рынка нет, ниши нет, нет смысла бороться и придумывать методы его обхода.

2) Насколько ваш продукт отвечает требованиям домохозяйки? Поставил - забыл. Никаких тонких настроек, никакого редактирования правил вручную и т.д.

3) Каким образом вы добываете вредоносный код?

4) Что вы предложите пользователю, который все-таки заразился, имея установленным на машине ваш продукт?

5) В чем конкретно сложности с PatchGuard? Ну да, SSDT/IDT не перехватить, но в чем проблема перехватить что-нибудь другое? Вы самостоятельно его смотрели или просто читали статью на uninformed?

6) Как вы считаете, возможно ли создать качественный коммерческий программный продукт, который не будет уступать современным аналогам (или отдельным компонентам антивирусных вендоров) в одиночку?

[Сергей Ильин]

Цитата(Виталий Я. @ 12.03.2010, 11:49) *
3. не думали ли Вы о выходе на партнеров в зонах основных продаж, чтобы расширить зону своего влияния?

Думал. Но одного "думать" мало.

Почему не предлагаете аффилиатные программы на западе через крупные площадки типа Element 5? И для продвижения хорошо и продаж было бы больше.

[Илья Рабинович]

1) Не думаете ли вы, что ваш продукт получил высокое место в динамическом тесте АМ только потому, что вирусмейкерам ваш продукт совершенно не интересен? Рынка нет, ниши нет, нет смысла бороться и придумывать методы его обхода.

Нет, не думаю. В этом тесте были также и иные программы с стиле "Неуловимый Джо", но ни одна из них и близко не приблизилась к 100%. Вообще, такие тесты можно лишь случайно проиграть, но никогда- случайно выиграть.

2) Насколько ваш продукт отвечает требованиям домохозяйки? Поставил - забыл. Никаких тонких настроек, никакого редактирования правил вручную и т.д.

Уже достаточно неплохо в третьей версии. А будет ещё лучше в будущем.

3) Каким образом вы добываете вредоносный код?

Способов много, это не для паблика.

4) Что вы предложите пользователю, который все-таки заразился, имея установленным на машине ваш продукт?

CuerIt/AVPTool/AVZ/GMer/VBA anti-rootkit.

5) В чем конкретно сложности с PatchGuard? Ну да, SSDT/IDT не перехватить, но в чем проблема перехватить что-нибудь другое? Вы самостоятельно его смотрели или просто читали статью на uninformed?

Мне не нужно "что-нибудь", мне нужны конкретные функции-переходники из приложений в ядро. Нет, сам я пока PG не смотрел, читал как uninformed, так и Крыса. Оба неидеальны, буду думать.

6) Как вы считаете, возможно ли создать качественный коммерческий программный продукт, который не будет уступать современным аналогам (или отдельным компонентам антивирусных вендоров) в одиночку?

Смотря какой. Если что-то на чёрных списках- это нереально, слишком много ручного труда. А если что-то другое, то это более чем возможно.

[wert]

ни одна из них и близко не приблизилась к 100%.

Планируете ли Вы предложить что-либо для защиты от заражений с помощью "социальной инженерии"?
Например, Ваша песочница отлично защищает от винлоков, распространяющихся через уязвимости, но никак от запуска их доверенными.
Ясно, что таков принцип действия DW и что "дурака" ничто не спасет, но сигнатура пока еще это наше всё от "социальной инженерии" ?

[Liam]

Как вы относитесь к незаконному использованию вашего ПО - это недочет,или способ заинтересовать и привлечь в дальнейшем новых клиентов? Или частные лица не ваш сектор?

http://i052.radikal.ru/0912/89/b1f4ca0da56b.jpg

[Lias]

Добрый вечер! Какой по вашему мнению самый лучший антивирус и файрвол? Что бы вы посоветовали прикрутить/улучшить?