Перейти к содержанию
sww

Интервью с Русаковым Вячеславом, экспертом "Лаборатории Касперского"

Recommended Posts

sww

Привет всем.

Сергеем было предложено провести со мной открытое онлайн интервью.

Готов ответить на различные вопросы о сложных угрозах, руткитах/анти-руткитах, тенденциях, о защитных технологиях, о том как производится анализ и о том как реализуется лечение. Реверсинг, внутренности операционной системы, отладка. Все что Вас интересует :)

Я работаю в компании «Лаборатория Касперского» на должности ведущего разработчика вот уже год (скоро-скоро будет). Веду свой блог.

Сроки интервью пока не определены, посмотрим по обстоятельствам. Оставляю за собой право не отвечать на провокационные вопросы и троллинг :rolleyes:

  • Downvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Ого. Привет. :)

Ну начнем:

1)Слава, расскажи пожалуйста о QScan в продукте ЛК KIS/KAV 2010 - что это, для чего, как работает и т.д., чтобы просто юзеры поняли для чего запускается автоматом эта проверка в продукте, ее важность и необходимость. А также каково ее развитие будет в 2011 линейке продукта.

2)Как дела у продукции ЛК с TDSS 3 поколения и т.н.TDSS 3.20 ?

Пока вроде все. ;)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Вячеслав, большое спасибо за возможность проверсти это интервью! Пока народ раскачивается задам несколько вопросов "от редакции", относящихся как раз к теме руткитов, самозащиты и лечения.

1. Про Windows Vista/7. Microsoft серьезно поработала над безопасностью этих систем, которые разрабатывались в соответствии с принципами SDL. Есть изоляция процессов и сервисов, защита ресурсов Windows, UAC и т.п. На ваш взгляд, насколько эти улучшения в целом повлияли на уровень защищенности этих ОС от заражения вредоносным кодом?

Обратная сторона медали. Возможно ли под этими ОС создать достойную самозащиту для антивирусов? Есть ли уже достойные реализации и нужна ли вообще самозащита в данном случае?

2. Руткиты и Windows Vista/7. Какие технологии сокрытия присутствия вредоносного кода используются вирусописателями под эту ОС? Бытует мнение, что угроз, в том числе сложных, под них почти нет.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Еще 2 вопроса:

1) Как относишься к переименованию Kaspersky Total Security в Kaspersky PURE? Ассоциации никакие не вызывает это название новое?

2) Принимал\принимаешь ли ты участие в разработке Kaspersky PURE ? Если да, то какими модулями занимался\занимаешься?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

1). Не возникает ли внутри компании споров между разработчиками по поводу правил КИСа? Т.е (тесты матюшека, например) технологии реализованы мощные, но половиной пожертвовано ради того что бы КИС меньше спрашивал.

2). Неужели до сих пор ведущим отладчиком остается софт_айс?

3). С мощным эмулятором написание распаковщиков в базу ушло на десятый план или нет?

4). Чем чаще всего занимаетесь в рабочее время? Кодите/реверсите/etc ?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Alex_Goodwin

Здравствуйте.

X64 и руткиты/буткиты: реальность угрозы сейчас и в будущем?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Protein

Что означает sww? Надеюсь это не провокационный вопрос. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Ego Dekker

Здравствуйте.

1. Скажите, почему, не смотря на хороший уровень лечения антивируса, он не всегда с этим справляется (например, необходимо вмешательство AVZ)?

2. Сколько проходит времени между добавлением сигнатуры и разработкой процедуры лечения? В чём трудность создания алгоритма лечения?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
1)Слава, расскажи пожалуйста о QScan в продукте ЛК KIS/KAV 2010 - что это, для чего, как работает и т.д., чтобы просто юзеры поняли для чего запускается автоматом эта проверка в продукте, ее важность и необходимость. А также каково ее развитие будет в 2011 линейке продукта.

QSCAN - это новая технология, совмещающая в себе современный анти-руткит и стартап энумератор (переборщик различных мест автозапуска). Он включает в себя несколько драйверов, парсеры реестра и файловых систем и функции лечения активного заражения. Пока данная компонента вызывается автоматически через некоторое время после перезагрузки компьютера и производит проверку мест автозапуска. Основная задача для 2011 версии - это полная замена старого стартап энумератора QSCAN'ом. Он будет вызываться по кнопке "Быстрая Проверка". Не знаю пока насчет автоматического запуска по определенным событиям.

2)Как дела у продукции ЛК с TDSS 3 поколения и т.н.TDSS 3.20 ?

Можно обновиться с бета-серверов и проверить :) Над 3.20+ мы работаем.

1) Как относишься к переименованию Kaspersky Total Security в Kaspersky PURE? Ассоциации никакие не вызывает это название новое?

Это решать прежде всего PR-отделу, а не мне. Если было принято решение переименовать, то это неспроста. Возможно, под данное название готовится рекламная кампания. Честно говоря, для англоговорящих стран название более чем интересное и преподнести его можно очень красиво. Что будут делать с "пюре" в России я не знаю :)

2) Принимал\принимаешь ли ты участие в разработке Kaspersky PURE ? Если да, то какими модулями занимался\занимаешься?

Нет, не принимал.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zyx

Слава привет!

Ты давно работаешь в АВ, ответь на такой вопрос честно, как часто тебя лично "все эти еба...долбаные вирусы, индустрия и прочая хрень зая... задалбывают так", что хочется все бросить и пойти работать в закусочную на теплом побережье какого-нибудь океана :rolleyes::D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
1). Не возникает ли внутри компании споров между разработчиками по поводу правил КИСа? Т.е (тесты матюшека, например) технологии реализованы мощные, но половиной пожертвовано ради того что бы КИС меньше спрашивал.

Такие вопросы выносятся на обсуждение и очень долго обсуждаются. Всегда необходимо искать золотую середину между мощностью технологии и ее надоедливостью для пользователя. Продвинутым пользователем нравится управлять и настраивать антивирус, а "обычным" пользователем это все не нужно. Желательно, чтобы продукт не задавал никаких вопросов и все решал сам. Такие же решения принимаются и по отношению к перфомансу различных компонент. Защита защитой, но тормозить и мешать людям работать не надо.

2). Неужели до сих пор ведущим отладчиком остается софт_айс?

Ни в коем случае :) Разработчики под ядро используют WinDbg, аналитики используют OllyDbg/WinDbg/собственные разработки.

3). С мощным эмулятором написание распаковщиков в базу ушло на десятый план или нет?

Нет, не ушло. Все дело в том, что эмулятор не может быть идеально-универсальным, иначе он превратится в виртуальную машину - тяжелую и медленную. Статические распаковщики хороши именно по скоростным характеристикам, а также они великолепно справляются с официальным упаковщиками и инсталляторами, т.к. нет смысла эмулировать инсталлятор. Не забывайте еще и о том, что против эмулятора существует громадное количество анти-эмуляционных приемов.

4). Чем чаще всего занимаетесь в рабочее время? Кодите/реверсите/etc ?

По-разному. Ситуация меняется каждый день и на нее нужно своевременно реагировать. В мои обязанности входит и кодинг новых технологий, и реверсинг сложных угроз. Еще я пишу статьи, когда есть такая необходимость и время :). Сейчас я занимаюсь исследованием новой технологии, которая позволит нам обнаруживать все существующие на текущий момент времени сложные угрозы. При удачном результате мы попытаемся ее внедрить в 2011 версию продукта.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
X64 и руткиты/буткиты: реальность угрозы сейчас и в будущем?

Если говорить только о руткитах и буткитах, то пока на x64 все хорошо. Как мне кажется, прежде всего это связано с малой распространенностью именно x64 систем. С другой стороны, ни PatchGuard, ни какие-либо другие защитные технологии от Microsoft не помешают разработчикам вредоносного ПО. Также не стоит забывать и о том, что легальные способы маскировки отлично работают на этих системах, например, фильтр-драйверы, да и PatchGuard не все контролирует, а скорее мешает разработчикам защитных средств. Ну и юзермодные вредоносные приложения работают и не жужжат :)

По-сути x64 системы уязвимы примерно также, как и x86 системы.

Хочу напомнить о том, что самое уязвимое звено - это не операционная система, не сторонние приложения, а человек.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
1. Про Windows Vista/7. Microsoft серьезно поработала над безопасностью этих систем, которые разрабатывались в соответствии с принципами SDL. Есть изоляция процессов и сервисов, защита ресурсов Windows, UAC и т.п. На ваш взгляд, насколько эти улучшения в целом повлияли на уровень защищенности этих ОС от заражения вредоносным кодом?

Ну, стремление Microsoft похвальны. Научить всех (и себя в том числе) программировать правильно и без ошибок (SDL). Вопрос только в том прислушаются ли разработчики к этой новой инициативе. Ошибки всегда были и всегда будут, однако, судя по статистике за последний год уязвимостей под ОС Windows стало меньше, а их ищут ой как активно. В любом случае все эти стремления не приведут нас к идеальной операционной системе без ошибок, да и сама по-себе голая ОС никому не нужна, а значит будут сторонние приложения, в которых обязательно будут уязвимости.

Если говорить про способы заражения, то даже если не останется ни одного автоматического способа (что маловероятно, но мы помечтаем), то всегда остается социальная инженерия.

Обратная сторона медали. Возможно ли под этими ОС создать достойную самозащиту для антивирусов? Есть ли уже достойные реализации и нужна ли вообще самозащита в данном случае?

Самозащита нужна обязательно, однако, самозащита - ничто, если основные модули пропускают заражение, а в частности загрузку драйверов в нулевое кольцо. Я считаю, что самозащита должна быть сбалансирована между производительностью операционной системы и энергозатратами на ее создание. Если есть возможность сделать какую-либо защиту от вредоносных программ нулевого кольца, то необходимо серьезно все обсудить и обдумать, ведь в ядре можно все.

2. Руткиты и Windows Vista/7. Какие технологии сокрытия присутствия вредоносного кода используются вирусописателями под эту ОС? Бытует мнение, что угроз, в том числе сложных, под них почти нет.

К сожалению это неправда. На данных операционных системах работают (и будут работать) практически все современные руткиты (некоторые надо просто немножко дописать). Специально ради тех, кто сомневается (TDL3 в W7):

Microsoft ® Windows Debugger Version 6.11.0001.404 AMD64

Copyright © Microsoft Corporation. All rights reserved.

Opened \\.\pipe\com_1

Waiting to reconnect...

Connected to Windows 7 7600 x86 compatible target at (Fri Dec 4 14:02:51.563 2009 (GMT+3)), ptr64 FALSE

Kernel Debugger connection established. (Initial Breakpoint requested)

Symbol search path is: c:\symserver;SRV*c:\symserver*http://msdl.microsoft.com/download/symbols;

Executable search path is:

Windows 7 Kernel Version 7600 MP (1 procs) Free x86 compatible

Product: WinNt, suite: TerminalServer SingleUserTS

Built by: 7600.16385.x86fre.win7_rtm.090713-1255

До заражения TDL3:

kd> !devstack \Device\Harddisk0\DR0

!DevObj !DrvObj !DevExt ObjectName

84be2d18 \Driver\partmgr 84be2dd0

> 84be2030 \Driver\Disk 84be20e8 DR0

83db9398 \Driver\LSI_SCSI 83db9450 00000053

После заражения TDL3:

kd> !devstack \Device\Harddisk0\DR0

!DevObj !DrvObj !DevExt ObjectName

84be2d18 \Driver\partmgr 84be2dd0

> 84be2030 \Driver\Disk 84be20e8 DR0

83db9398 83f27ed0: is not a driver object

kd> dt nt!_DRIVER_OBJECT 83f27ed0

+0x000 Type : 0

+0x002 Size : 168

+0x004 DeviceObject : 0x855d41d8 _DEVICE_OBJECT

+0x008 Flags : 4

+0x00c DriverStart : (null)

+0x010 DriverSize : 0

+0x014 DriverSection : (null)

+0x018 DriverExtension : 0x83f27f78 _DRIVER_EXTENSION

+0x01c DriverName : _UNICODE_STRING "\Driver\00026095"

+0x024 HardwareDatabase : (null)

+0x028 FastIoDispatch : (null)

+0x02c DriverInit : 0x8401fdbe long +ffffffff8401fdbe

+0x030 DriverStartIo : (null)

+0x034 DriverUnload : (null)

+0x038 MajorFunction : [28] 0x8401ee07 long +ffffffff8401ee07

kd> u 0x8401ee07

8401ee07 55 push ebp

8401ee08 8bec mov ebp,esp

8401ee0a a10803dfff mov eax,dword ptr ds:[FFDF0308h]

8401ee0f 8b4d08 mov ecx,dword ptr [ebp+8]

8401ee12 83ec0c sub esp,0Ch

8401ee15 53 push ebx

8401ee16 56 push esi

8401ee17 8b750c mov esi,dword ptr [ebp+0Ch]

ЧТД!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Ты давно работаешь в АВ, ответь на такой вопрос честно, как часто тебя лично "все эти долбаные вирусы, индустрия и прочая хрень задалбывают так", что хочется все бросить и пойти работать в закусочную на теплом побережье какого-нибудь океана :rolleyes::D

Ром, спасибо за вопрос, на который ты итак знаешь ответ :rolleyes:

В свое время у меня был период когда хотелось все бросить и начать "торговать яблоками", так как ежедневная "долбежка" вирусов достала, но потом я сменил работу и все наладилось :P

Теперь я занимаюсь любимым делом, могу использовать весь имеющийся в моем арсенале креатив. Я участвую в нескольких интересных проектах, а это важно для человека - не зацикливаться на одном. С другой стороны, теплая Испания мне бы подошла больше, чем серый Питер, к которому я отношусь амбивалентно ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
1. Скажите, почему, не смотря на хороший уровень лечения антивируса, он не всегда с этим справляется (например, необходимо вмешательство AVZ)?

Примеры? :)

Ну, на самом деле не корректно сравнивать AVZ и продукт. В продукте реализованы универсальные методы обнаружения и лечения заразы, а AVZ предоставляет некий функционал, по-сути дела кирпичики, из которых хелпер самостоятельно может собирать свою мозаику (или дом). Универсальные средства страдают тем, что они чего-то могут не знать, но в современных реалиях разработки эти моменты очень быстро решаются.

2. Сколько проходит времени между добавлением сигнатуры и разработкой процедуры лечения? В чём трудность создания алгоритма лечения?

Обычно сигнатура добавляется очень быстро, намного быстрее, чем реализуется лечение - это если мы говорим о сложных угрозах. Иногда новые угрозы не поддаются универсальным алгоритмам лечения и вот тогда начинается разработка необходимого функционала. Для этого необходимо провести глубочайший анализ вредоносного кода, потом придумать алгоритм лечения, потом его реализовать, потом необходимо этот функционал протестировать (не отвалилось ли чего-либо старого, не роняем ли мы операционную систему в BSOD и так далее).

Сложности бывают самые разнообразные. Это может быть новый сложный полиморфный упаковщик, который мешает проанализировать код. Это могут быть нестандартные перехваты и необходимо придумывать что с ними делать и так далее.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
RHF

Слава, АВ-индустрия развивается, подпираемая вирмейкерами, которые, в свою очередь стараются обойти современную защиту. Есть одни, будут и другие, никуда не денешься.

Причем сейчас разработчики средств защиты постоянно вынуждены "догонять" вирмейкеров.

Как по-твоему, есть ли вообще у хороших парней шанс выйти вперед?

Может есть перспективные технологии, которые позволят это сделать? Или, как говорится, индустрия во мгле?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Все лишнее удалил. Господа заниматься троллингом, флеймом тут не нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

SWW, хотел узнать Ваше отношение к антивирусу под Mac OS X (не обязательно касперского). Вы наверное в курсе, параллельно на virusinfo.info идет онлайн-интервью с Сергем Головановым, так вот любопытно бы было услышать Ваше мнение не с позиции сотрудника ЛК, а пользователя мака, или предпологаемого пользователя макбука, если Вы им не пользуетесь. Поставили бы Вы антивирус на свой макбук? или нет? И Ваши аргументы.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Еще раз повторяю: здесь задаются вопросы Вячеславу Русакову. Общаться между собой можно в личке. Еще раз увижу нарушения правил в этой ветке - буду включать премодерацию!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
Слава, АВ-индустрия развивается, подпираемая вирмейкерами, которые, в свою очередь стараются обойти современную защиту. Есть одни, будут и другие, никуда не денешься.

Причем сейчас разработчики средств защиты постоянно вынуждены "догонять" вирмейкеров.

Как по-твоему, есть ли вообще у хороших парней шанс выйти вперед?

Может есть перспективные технологии, которые позволят это сделать? Или, как говорится, индустрия во мгле?

Все не совсем так. Игра не идет в одни ворота, ведь вирмейкерам необходимо сначала изучить антивирусный продукт, придумать метод его обхода, поэтому игра идет шаг за шагом. Сначала антивирусный продукт обходится, потом антивирусный продукт улучшается. Хорошие парни итак придумывают и улучшают проактивные технологии, но идеала в этой борьбе не добиться, как мне кажется. И только благодаря вирмейкерам мы эволюционируем, а они благодаря нам.

"Индустрия во мгле" для некоторых вендоров, для топ все хорошо - движемся вперед и очень быстро.

SWW, хотел узнать Ваше отношение к антивирусу под Mac OS X (не обязательно касперского). Вы наверное в курсе, параллельно на virusinfo.info идет онлайн-интервью с Сергем Головановым, так вот любопытно бы было услышать Ваше мнение не с позиции сотрудника ЛК, а пользователя мака, или предпологаемого пользователя макбука, если Вы им не пользуетесь. Поставили бы Вы антивирус на свой макбук? или нет? И Ваши аргументы.

Да, я в курсе, что Сергей дает интервью :) Так вот, отношение к продукции компании Apple у меня скорее отрицательное, поэтому я вряд ли когда-либо стану пользователем мака. Мак не может мне дать ничего нового, iPhone не может мне дать ничего интересного.

Что касается антивируса, то я, пожалуй, соглашусь с Сергеем: "С моей точки зрения, разрабатывать антивирус имеет смысл при наличии даже одного единственного вируса, и иных случаях разрабатывать антивирус я думаю не нужно…"

Вероятность заражения даже единственным вирусом есть. Что делать пользователю который заразился, а в мире не существует защитного средства? Однако, приоритет у такого продукта должен быть явно ниже, т.к. количество угроз под мак ничтожны по-сравнению с угрозами под Windows.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Васька

А почему KAV 2010 не совместим с Outpost PRO?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
На данных операционных системах работают (и будут работать) практически все современные руткиты (некоторые надо просто немножко дописать). Специально ради тех, кто сомневается (TDL3 в W7)... ЧТД!

Вы написали пару команд в отладчике и все сразу пустили струю радости. Но хотелось бы узнать: почему и вы потакаете заблуждениям пользователей в каких-то сильных изменениях Vista&7 x32? Почему бы сразу не сказать, что различия в x32 и x64 намного масштабнее, чем между представителями одной лини, например, x32 XP и 7? Что тот же TDL3 невозможно переписать с x32 на x64? Антивирусным вендорам выгодна такая путаница в головах пользователей?

По-сути x64 системы уязвимы примерно также, как и x86 системы.

А как вы относитесь к утверждению, что на x32 и вендоры и вирусописатели находились на одном уровне возможностей, но в мире x64 хотя бы просто с той же необходимостью в цифровой подписи драйверов вирусописатели остались позади ведндоров - фактически противостояние режима ядра против юзермода? Не кажутся ли вам забавными жалобы ведноров на неприменимость старых технологий в противостоянии на x64, которое можно красноречиво охарактеризовать фразой из иллюстрированного журнала: "раньше в попу было можно, а теперь не дают"?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sww
А почему KAV 2010 не совместим с Outpost PRO?

А должен? :)

Довольно известный факт, что антивирусные продукты разных производителей не совместимы. К сетевым экранам это тоже относится. Все дело в драйверах.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rem

Русаков, хочу задать вопрос:

Под Win7 когда рабочее-настояще чтонить появится?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×