Интервью с Русаковым Вячеславом, экспертом "Лаборатории Касперского"

[sww 486]

Привет всем.

Сергеем было предложено провести со мной открытое онлайн интервью.

Готов ответить на различные вопросы о сложных угрозах, руткитах/анти-руткитах, тенденциях, о защитных технологиях, о том как производится анализ и о том как реализуется лечение. Реверсинг, внутренности операционной системы, отладка. Все что Вас интересует

Я работаю в компании «Лаборатория Касперского» на должности ведущего разработчика вот уже год (скоро-скоро будет). Веду свой блог.

Сроки интервью пока не определены, посмотрим по обстоятельствам. Оставляю за собой право не отвечать на провокационные вопросы и троллинг

[Danilka 678]

Ого. Привет.

Ну начнем:

1)Слава, расскажи пожалуйста о QScan в продукте ЛК KIS/KAV 2010 - что это, для чего, как работает и т.д., чтобы просто юзеры поняли для чего запускается автоматом эта проверка в продукте, ее важность и необходимость. А также каково ее развитие будет в 2011 линейке продукта.

2)Как дела у продукции ЛК с TDSS 3 поколения и т.н.TDSS 3.20 ?

Пока вроде все.

[Сергей Ильин 1538]

Вячеслав, большое спасибо за возможность проверсти это интервью! Пока народ раскачивается задам несколько вопросов "от редакции", относящихся как раз к теме руткитов, самозащиты и лечения.

1. Про Windows Vista/7. Microsoft серьезно поработала над безопасностью этих систем, которые разрабатывались в соответствии с принципами SDL. Есть изоляция процессов и сервисов, защита ресурсов Windows, UAC и т.п. На ваш взгляд, насколько эти улучшения в целом повлияли на уровень защищенности этих ОС от заражения вредоносным кодом?

Обратная сторона медали. Возможно ли под этими ОС создать достойную самозащиту для антивирусов? Есть ли уже достойные реализации и нужна ли вообще самозащита в данном случае?

2. Руткиты и Windows Vista/7. Какие технологии сокрытия присутствия вредоносного кода используются вирусописателями под эту ОС? Бытует мнение, что угроз, в том числе сложных, под них почти нет.

[Danilka 678]

Еще 2 вопроса:

1) Как относишься к переименованию Kaspersky Total Security в Kaspersky PURE? Ассоциации никакие не вызывает это название новое?

2) Принимал\принимаешь ли ты участие в разработке Kaspersky PURE ? Если да, то какими модулями занимался\занимаешься?

[priv8v 960]

1). Не возникает ли внутри компании споров между разработчиками по поводу правил КИСа? Т.е (тесты матюшека, например) технологии реализованы мощные, но половиной пожертвовано ради того что бы КИС меньше спрашивал.

2). Неужели до сих пор ведущим отладчиком остается софт_айс?

3). С мощным эмулятором написание распаковщиков в базу ушло на десятый план или нет?

4). Чем чаще всего занимаетесь в рабочее время? Кодите/реверсите/etc ?

[Alex_Goodwin 81]

Здравствуйте.

X64 и руткиты/буткиты: реальность угрозы сейчас и в будущем?

[Protein 5]

Что означает sww? Надеюсь это не провокационный вопрос.

[Ego Dekker 111]

Здравствуйте.

1. Скажите, почему, не смотря на хороший уровень лечения антивируса, он не всегда с этим справляется (например, необходимо вмешательство AVZ)?

2. Сколько проходит времени между добавлением сигнатуры и разработкой процедуры лечения? В чём трудность создания алгоритма лечения?

[sww 486]

1)Слава, расскажи пожалуйста о QScan в продукте ЛК KIS/KAV 2010 - что это, для чего, как работает и т.д., чтобы просто юзеры поняли для чего запускается автоматом эта проверка в продукте, ее важность и необходимость. А также каково ее развитие будет в 2011 линейке продукта.

QSCAN - это новая технология, совмещающая в себе современный анти-руткит и стартап энумератор (переборщик различных мест автозапуска). Он включает в себя несколько драйверов, парсеры реестра и файловых систем и функции лечения активного заражения. Пока данная компонента вызывается автоматически через некоторое время после перезагрузки компьютера и производит проверку мест автозапуска. Основная задача для 2011 версии - это полная замена старого стартап энумератора QSCAN'ом. Он будет вызываться по кнопке "Быстрая Проверка". Не знаю пока насчет автоматического запуска по определенным событиям.

2)Как дела у продукции ЛК с TDSS 3 поколения и т.н.TDSS 3.20 ?

Можно обновиться с бета-серверов и проверить Над 3.20+ мы работаем.

1) Как относишься к переименованию Kaspersky Total Security в Kaspersky PURE? Ассоциации никакие не вызывает это название новое?

Это решать прежде всего PR-отделу, а не мне. Если было принято решение переименовать, то это неспроста. Возможно, под данное название готовится рекламная кампания. Честно говоря, для англоговорящих стран название более чем интересное и преподнести его можно очень красиво. Что будут делать с "пюре" в России я не знаю

2) Принимал\принимаешь ли ты участие в разработке Kaspersky PURE ? Если да, то какими модулями занимался\занимаешься?

Нет, не принимал.

[Danilka 678]

sww

Благодарю за подробные ответы.

P.S. Сервак http://dnl-test.kaspersky-labs.com/test/emu/ ?

[Zyx 45]

Слава привет!

Ты давно работаешь в АВ, ответь на такой вопрос честно, как часто тебя лично "все эти еба...долбаные вирусы, индустрия и прочая хрень зая... задалбывают так", что хочется все бросить и пойти работать в закусочную на теплом побережье какого-нибудь океана

[sww 486]

1). Не возникает ли внутри компании споров между разработчиками по поводу правил КИСа? Т.е (тесты матюшека, например) технологии реализованы мощные, но половиной пожертвовано ради того что бы КИС меньше спрашивал.

Такие вопросы выносятся на обсуждение и очень долго обсуждаются. Всегда необходимо искать золотую середину между мощностью технологии и ее надоедливостью для пользователя. Продвинутым пользователем нравится управлять и настраивать антивирус, а "обычным" пользователем это все не нужно. Желательно, чтобы продукт не задавал никаких вопросов и все решал сам. Такие же решения принимаются и по отношению к перфомансу различных компонент. Защита защитой, но тормозить и мешать людям работать не надо.

2). Неужели до сих пор ведущим отладчиком остается софт_айс?

Ни в коем случае Разработчики под ядро используют WinDbg, аналитики используют OllyDbg/WinDbg/собственные разработки.

3). С мощным эмулятором написание распаковщиков в базу ушло на десятый план или нет?

Нет, не ушло. Все дело в том, что эмулятор не может быть идеально-универсальным, иначе он превратится в виртуальную машину - тяжелую и медленную. Статические распаковщики хороши именно по скоростным характеристикам, а также они великолепно справляются с официальным упаковщиками и инсталляторами, т.к. нет смысла эмулировать инсталлятор. Не забывайте еще и о том, что против эмулятора существует громадное количество анти-эмуляционных приемов.

4). Чем чаще всего занимаетесь в рабочее время? Кодите/реверсите/etc ?

По-разному. Ситуация меняется каждый день и на нее нужно своевременно реагировать. В мои обязанности входит и кодинг новых технологий, и реверсинг сложных угроз. Еще я пишу статьи, когда есть такая необходимость и время . Сейчас я занимаюсь исследованием новой технологии, которая позволит нам обнаруживать все существующие на текущий момент времени сложные угрозы. При удачном результате мы попытаемся ее внедрить в 2011 версию продукта.

[sww 486]

X64 и руткиты/буткиты: реальность угрозы сейчас и в будущем?

Если говорить только о руткитах и буткитах, то пока на x64 все хорошо. Как мне кажется, прежде всего это связано с малой распространенностью именно x64 систем. С другой стороны, ни PatchGuard, ни какие-либо другие защитные технологии от Microsoft не помешают разработчикам вредоносного ПО. Также не стоит забывать и о том, что легальные способы маскировки отлично работают на этих системах, например, фильтр-драйверы, да и PatchGuard не все контролирует, а скорее мешает разработчикам защитных средств. Ну и юзермодные вредоносные приложения работают и не жужжат

По-сути x64 системы уязвимы примерно также, как и x86 системы.

Хочу напомнить о том, что самое уязвимое звено - это не операционная система, не сторонние приложения, а человек.

[sww 486]

1. Про Windows Vista/7. Microsoft серьезно поработала над безопасностью этих систем, которые разрабатывались в соответствии с принципами SDL. Есть изоляция процессов и сервисов, защита ресурсов Windows, UAC и т.п. На ваш взгляд, насколько эти улучшения в целом повлияли на уровень защищенности этих ОС от заражения вредоносным кодом?

Ну, стремление Microsoft похвальны. Научить всех (и себя в том числе) программировать правильно и без ошибок (SDL). Вопрос только в том прислушаются ли разработчики к этой новой инициативе. Ошибки всегда были и всегда будут, однако, судя по статистике за последний год уязвимостей под ОС Windows стало меньше, а их ищут ой как активно. В любом случае все эти стремления не приведут нас к идеальной операционной системе без ошибок, да и сама по-себе голая ОС никому не нужна, а значит будут сторонние приложения, в которых обязательно будут уязвимости.

Если говорить про способы заражения, то даже если не останется ни одного автоматического способа (что маловероятно, но мы помечтаем), то всегда остается социальная инженерия.

Обратная сторона медали. Возможно ли под этими ОС создать достойную самозащиту для антивирусов? Есть ли уже достойные реализации и нужна ли вообще самозащита в данном случае?

Самозащита нужна обязательно, однако, самозащита - ничто, если основные модули пропускают заражение, а в частности загрузку драйверов в нулевое кольцо. Я считаю, что самозащита должна быть сбалансирована между производительностью операционной системы и энергозатратами на ее создание. Если есть возможность сделать какую-либо защиту от вредоносных программ нулевого кольца, то необходимо серьезно все обсудить и обдумать, ведь в ядре можно все.

2. Руткиты и Windows Vista/7. Какие технологии сокрытия присутствия вредоносного кода используются вирусописателями под эту ОС? Бытует мнение, что угроз, в том числе сложных, под них почти нет.

К сожалению это неправда. На данных операционных системах работают (и будут работать) практически все современные руткиты (некоторые надо просто немножко дописать). Специально ради тех, кто сомневается (TDL3 в W7):

Microsoft ® Windows Debugger Version 6.11.0001.404 AMD64

Copyright © Microsoft Corporation. All rights reserved.

Opened \\.\pipe\com_1

Waiting to reconnect...

Connected to Windows 7 7600 x86 compatible target at (Fri Dec 4 14:02:51.563 2009 (GMT+3)), ptr64 FALSE

Kernel Debugger connection established. (Initial Breakpoint requested)

Symbol search path is: c:\symserver;SRV*c:\symserver*http://msdl.microsoft.com/download/symbols;

Executable search path is:

Windows 7 Kernel Version 7600 MP (1 procs) Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Built by: 7600.16385.x86fre.win7_rtm.090713-1255

До заражения TDL3:

kd> !devstack \Device\Harddisk0\DR0

!DevObj !DrvObj !DevExt ObjectName

84be2d18 \Driver\partmgr 84be2dd0

> 84be2030 \Driver\Disk 84be20e8 DR0

83db9398 \Driver\LSI_SCSI 83db9450 00000053

После заражения TDL3:

kd> !devstack \Device\Harddisk0\DR0

!DevObj !DrvObj !DevExt ObjectName

84be2d18 \Driver\partmgr 84be2dd0

> 84be2030 \Driver\Disk 84be20e8 DR0

83db9398 83f27ed0: is not a driver object

kd> dt nt!_DRIVER_OBJECT 83f27ed0

+0x000 Type : 0

+0x002 Size : 168

+0x004 DeviceObject : 0x855d41d8 _DEVICE_OBJECT

+0x008 Flags : 4

+0x00c DriverStart : (null)

+0x010 DriverSize : 0

+0x014 DriverSection : (null)

+0x018 DriverExtension : 0x83f27f78 _DRIVER_EXTENSION

+0x01c DriverName : _UNICODE_STRING "\Driver\00026095"

+0x024 HardwareDatabase : (null)

+0x028 FastIoDispatch : (null)

+0x02c DriverInit : 0x8401fdbe long +ffffffff8401fdbe

+0x030 DriverStartIo : (null)

+0x034 DriverUnload : (null)

+0x038 MajorFunction : [28] 0x8401ee07 long +ffffffff8401ee07

kd> u 0x8401ee07

8401ee07 55 push ebp

8401ee08 8bec mov ebp,esp

8401ee0a a10803dfff mov eax,dword ptr ds:[FFDF0308h]

8401ee0f 8b4d08 mov ecx,dword ptr [ebp+8]

8401ee12 83ec0c sub esp,0Ch

8401ee15 53 push ebx

8401ee16 56 push esi

8401ee17 8b750c mov esi,dword ptr [ebp+0Ch]

ЧТД!

[sww 486]

Ты давно работаешь в АВ, ответь на такой вопрос честно, как часто тебя лично "все эти долбаные вирусы, индустрия и прочая хрень задалбывают так", что хочется все бросить и пойти работать в закусочную на теплом побережье какого-нибудь океана

Ром, спасибо за вопрос, на который ты итак знаешь ответ

В свое время у меня был период когда хотелось все бросить и начать "торговать яблоками", так как ежедневная "долбежка" вирусов достала, но потом я сменил работу и все наладилось

Теперь я занимаюсь любимым делом, могу использовать весь имеющийся в моем арсенале креатив. Я участвую в нескольких интересных проектах, а это важно для человека - не зацикливаться на одном. С другой стороны, теплая Испания мне бы подошла больше, чем серый Питер, к которому я отношусь амбивалентно

[sww 486]

1. Скажите, почему, не смотря на хороший уровень лечения антивируса, он не всегда с этим справляется (например, необходимо вмешательство AVZ)?

Примеры?

Ну, на самом деле не корректно сравнивать AVZ и продукт. В продукте реализованы универсальные методы обнаружения и лечения заразы, а AVZ предоставляет некий функционал, по-сути дела кирпичики, из которых хелпер самостоятельно может собирать свою мозаику (или дом). Универсальные средства страдают тем, что они чего-то могут не знать, но в современных реалиях разработки эти моменты очень быстро решаются.

2. Сколько проходит времени между добавлением сигнатуры и разработкой процедуры лечения? В чём трудность создания алгоритма лечения?

Обычно сигнатура добавляется очень быстро, намного быстрее, чем реализуется лечение - это если мы говорим о сложных угрозах. Иногда новые угрозы не поддаются универсальным алгоритмам лечения и вот тогда начинается разработка необходимого функционала. Для этого необходимо провести глубочайший анализ вредоносного кода, потом придумать алгоритм лечения, потом его реализовать, потом необходимо этот функционал протестировать (не отвалилось ли чего-либо старого, не роняем ли мы операционную систему в BSOD и так далее).

Сложности бывают самые разнообразные. Это может быть новый сложный полиморфный упаковщик, который мешает проанализировать код. Это могут быть нестандартные перехваты и необходимо придумывать что с ними делать и так далее.

[RHF 0]

Слава, АВ-индустрия развивается, подпираемая вирмейкерами, которые, в свою очередь стараются обойти современную защиту. Есть одни, будут и другие, никуда не денешься.

Причем сейчас разработчики средств защиты постоянно вынуждены "догонять" вирмейкеров.

Как по-твоему, есть ли вообще у хороших парней шанс выйти вперед?

Может есть перспективные технологии, которые позволят это сделать? Или, как говорится, индустрия во мгле?

[Mr. Justice 771]

Все лишнее удалил. Господа заниматься троллингом, флеймом тут не нужно.

[SDA 750]

SWW, хотел узнать Ваше отношение к антивирусу под Mac OS X (не обязательно касперского). Вы наверное в курсе, параллельно на virusinfo.info идет онлайн-интервью с Сергем Головановым, так вот любопытно бы было услышать Ваше мнение не с позиции сотрудника ЛК, а пользователя мака, или предпологаемого пользователя макбука, если Вы им не пользуетесь. Поставили бы Вы антивирус на свой макбук? или нет? И Ваши аргументы.

[Mr. Justice 771]

Еще раз повторяю: здесь задаются вопросы Вячеславу Русакову. Общаться между собой можно в личке. Еще раз увижу нарушения правил в этой ветке - буду включать премодерацию!

[sww 486]

Слава, АВ-индустрия развивается, подпираемая вирмейкерами, которые, в свою очередь стараются обойти современную защиту. Есть одни, будут и другие, никуда не денешься.

Причем сейчас разработчики средств защиты постоянно вынуждены "догонять" вирмейкеров.

Как по-твоему, есть ли вообще у хороших парней шанс выйти вперед?

Может есть перспективные технологии, которые позволят это сделать? Или, как говорится, индустрия во мгле?

Все не совсем так. Игра не идет в одни ворота, ведь вирмейкерам необходимо сначала изучить антивирусный продукт, придумать метод его обхода, поэтому игра идет шаг за шагом. Сначала антивирусный продукт обходится, потом антивирусный продукт улучшается. Хорошие парни итак придумывают и улучшают проактивные технологии, но идеала в этой борьбе не добиться, как мне кажется. И только благодаря вирмейкерам мы эволюционируем, а они благодаря нам.

"Индустрия во мгле" для некоторых вендоров, для топ все хорошо - движемся вперед и очень быстро.

SWW, хотел узнать Ваше отношение к антивирусу под Mac OS X (не обязательно касперского). Вы наверное в курсе, параллельно на virusinfo.info идет онлайн-интервью с Сергем Головановым, так вот любопытно бы было услышать Ваше мнение не с позиции сотрудника ЛК, а пользователя мака, или предпологаемого пользователя макбука, если Вы им не пользуетесь. Поставили бы Вы антивирус на свой макбук? или нет? И Ваши аргументы.

Да, я в курсе, что Сергей дает интервью Так вот, отношение к продукции компании Apple у меня скорее отрицательное, поэтому я вряд ли когда-либо стану пользователем мака. Мак не может мне дать ничего нового, iPhone не может мне дать ничего интересного.

Что касается антивируса, то я, пожалуй, соглашусь с Сергеем: "С моей точки зрения, разрабатывать антивирус имеет смысл при наличии даже одного единственного вируса, и иных случаях разрабатывать антивирус я думаю не нужно…"

Вероятность заражения даже единственным вирусом есть. Что делать пользователю который заразился, а в мире не существует защитного средства? Однако, приоритет у такого продукта должен быть явно ниже, т.к. количество угроз под мак ничтожны по-сравнению с угрозами под Windows.

[Васька 45]

А почему KAV 2010 не совместим с Outpost PRO?

[dr_dizel 385]

На данных операционных системах работают (и будут работать) практически все современные руткиты (некоторые надо просто немножко дописать). Специально ради тех, кто сомневается (TDL3 в W7)... ЧТД!

Вы написали пару команд в отладчике и все сразу пустили струю радости. Но хотелось бы узнать: почему и вы потакаете заблуждениям пользователей в каких-то сильных изменениях Vista&7 x32? Почему бы сразу не сказать, что различия в x32 и x64 намного масштабнее, чем между представителями одной лини, например, x32 XP и 7? Что тот же TDL3 невозможно переписать с x32 на x64? Антивирусным вендорам выгодна такая путаница в головах пользователей?

По-сути x64 системы уязвимы примерно также, как и x86 системы.

А как вы относитесь к утверждению, что на x32 и вендоры и вирусописатели находились на одном уровне возможностей, но в мире x64 хотя бы просто с той же необходимостью в цифровой подписи драйверов вирусописатели остались позади ведндоров - фактически противостояние режима ядра против юзермода? Не кажутся ли вам забавными жалобы ведноров на неприменимость старых технологий в противостоянии на x64, которое можно красноречиво охарактеризовать фразой из иллюстрированного журнала: "раньше в попу было можно, а теперь не дают"?

[sww 486]

А почему KAV 2010 не совместим с Outpost PRO?

А должен?

Довольно известный факт, что антивирусные продукты разных производителей не совместимы. К сетевым экранам это тоже относится. Все дело в драйверах.

[rem 15]

Русаков, хочу задать вопрос:

Под Win7 когда рабочее-настояще чтонить появится?