Перейти к содержанию
vaber

Он-лайн интервью с Василием Бердниковым (vaber)

Recommended Posts

vaber

Здравствуйте!

Мы продолжаем цикл интервью, и эту неделю (с 25 февраля по 2 марта включительно) я буду стараться отвечать на Ваши вопросы.

Оставляю за собой право игнорировать глупые, некорректные, провокационные, оскорбляющие меня вопросы, а также те, ответы на которые я не знаю :).

Поехали!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Расскажите нам что-нибудь интересное из опыта вашей профессиональной деятельности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Вы не получали предложений от АВ компаний по устройству на работу? Как Вы вообще бы отнеслись к таким предложения, если их не было?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Добрый день!

Известно, что Вы участвовали в подготовке и проведении многих тестирований, результаты которых были опубликованы на АМ. Не испытывали ли Вы давление какого-либо рода со стороны представителей вендоров, а также пользователей их продукции?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

С чего Вы начали свою профессиональную работу в данной области? Область компьютерной защиты довольно обширна - что Вам больше всего интересно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Как вы попали на Anti-Malware, откуда узнали о ресурсе?

Где Вы в данный момент работаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

С какой самой первой охранной программой Вы столкнулись? Если не секрет, чем пользуетесь в данный момент?

Как попали в команду Anti-Malware.ru? (Имею ввиду, по проведению тестов.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Вы не получали предложений от АВ компаний по устройству на работу? Как Вы вообще бы отнеслись к таким предложения, если их не было?

Да, такие предложения получал, но в силу обстоятельств пришлось отказаться...учитывая, что у нас в стране есть обязательное распределение бюджетников по окончанию ВУЗа.

Добрый день!

Известно, что Вы участвовали в подготовке и проведении многих тестирований, результаты которых были опубликованы на АМ. Не испытывали ли Вы давление какого-либо рода со стороны представителей вендоров, а также пользователей их продукции?

Какого-либо давления со стороны представителей вендоров или пользователей антивирусных продуктов я не испытывал :), да и мне с трудом представляется, как оно могло бы выглядеть - это самое давление :)

С чего Вы начали свою профессиональную работу в данной области? Область компьютерной защиты довольно обширна - что Вам больше всего интересно?

Профессиональной работай, то чем я занимался трудно назвать. Это скорее хобби. Мне нравится - я этим и занимаюсь. Начал я с чтения этого форума 2 года назад. Меня очень заинтересовала данная тематика, и по тиху в свободное время начал читать литературу, форумы, общаться и учиться :). Но больше всего меня в КБ интересует вирусология. Именно она меня и привлекла, поскольку всегда интересно было узнать - как же работают эти малвары, как их можно обнаружить, как удалить и т.п.

Как вы попали на Anti-Malware, откуда узнали о ресурсе?

Где Вы в данный момент работаете?

Как попал на ресурс АМ - я уже точно не помню. Вроде бы через гугл, когда искал инфу о каком-то вирусе.

На данный момент я только приступил к работе в компании CheckPoint, и параллельно буду делать дипломную работу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
С какой самой первой охранной программой Вы столкнулись? Если не секрет, чем пользуетесь в данный момент?

Как попали в команду Anti-Malware.ru? (Имею ввиду, по проведению тестов.)

С первой охранной - антивирус доктор веб - не помню с какой версией, на университетском ПК. На данный момент использую ForceField. А в тестовую команду попал перед проведением теста на пакеры. Тогда на меня была возложена небольшая часть работы - найти пакеры, отобрать малвар неупакованных, ну и запаковать их теми самыми пакерами и выслать Николаю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
На данный момент я только приступил к работе в компании CheckPoint.

Ну, об этом было несложно догадаться... :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

В работе специалистов в области информационной безопасности предприятия может возникнуть ситуация, когда необходимо быстро сподручными средствами определить с большой долей вероятности, что такой-то подозрительный файл является вредоносным. Обычно средний админ предприятия (а они обычно и являются специалистами по инфобезопасности, к сожалению) не может решить задачу предварительного анализа подозрительных файлов. Какую последовательность действий при таком предварительном анализе (без использования дебаггеров, дизассемблеров и прочих излишне специальных и излишне сложных в использовании инструментов) Вы посоветуете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сейчас под впечатлением от сегодняшнего концерта Александра Дольского (http://www.dolsky.ru/). Мне по душе больше именно такое творческое общение с интересными людьми в тёплой дружеской обстановке, чем нечто модное, мейнстримовое, популярное и дорогое. Жаль, что на таких концертах в наше время не бывает аншлагов. А может быть, наоборот, это хорошо.

А от чего Вы в жизни получаете кайф?

А что делаете, когда всё надоедает настолько, что необходимо на некоторое время переключиться на что-то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
В работе специалистов в области информационной безопасности предприятия может возникнуть ситуация, когда необходимо быстро сподручными средствами определить с большой долей вероятности, что такой-то подозрительный файл является вредоносным. Обычно средний админ предприятия (а они обычно и являются специалистами по инфобезопасности, к сожалению) не может решить задачу предварительного анализа подозрительных файлов. Какую последовательность действий при таком предварительном анализе (без использования дебаггеров, дизассемблеров и прочих излишне специальных и излишне сложных в использовании инструментов) Вы посоветуете?

Вопрос интересный :) Думаю, что однозначного ответа я дать не смогу, т.к. ситуации бывают различные и требуют различных действий. Но если говорить в общем, то стоит всегда иметь под рукой утилиты М.Руссиновича (reg- и filemon, process explorer, autoruns, tcpview и др.), сниффер (ethereal например). Правда утилиты Руссиновича мало эффективны в случае наличия руткита в системе, поэтому так же обязательно нужно иметь утилиту AVZ (или другой антируткит с широкими возможностями - gmer например), которая позволяет производить исследование системы и сохранять результаты этого исследования в удобочитаемом виде для последующего анализа, а так же с помощью скриптов либо непосредственно из интефейса произвести лечение (удаление вредоносных программ) - причем удаления производится вместе с ключами автозагрузки и, в случае чего, позволяет восстановить нормальную работу системы, в случае изменения вредоносном некоторых ключей реестра. В общем - у этой программы куча всяких возможностей, что позволяет выявить большинство вредоносных программ. Так же всегда стоит знать о существовании таких сервисов как virustotal.com, scanner.virus.org и virusscan.jotti.org, где можно проверить любой файл на наличие вредоносного кода сразу многими антивирусами. Существует и много косвенных признаков, на которые стоит обращать внимание - дата создания, атрибуты, имя, пакер и т.п. которые позволят заподозрить файл, который может являться вредоносным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А от чего Вы в жизни получаете кайф?

А что делаете, когда всё надоедает настолько, что необходимо на некоторое время переключиться на что-то?

Такие моменты всеже бывают не часто. Обычно переключаюсь на что-то, что расслабляет. Могу слушать музыку, могу посмотреть интересную передачу или спорт, сходить по магазинам а если хорошая погода, то и за город отдохнуть - рыбалочка :) . Ну а кайф получаю от всего того, от чего можно получить удовольствие :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Может ответите всё же на мой вопрос, а? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

В работе специалистов в области информационной безопасности предприятия может возникнуть ситуация, когда необходимо быстро сподручными средствами определить с большой долей вероятности, что такой-то подозрительный файл является вредоносным. Обычно средний админ предприятия (а они обычно и являются специалистами по инфобезопасности, к сожалению) не может решить задачу предварительного анализа подозрительных файлов. Какую последовательность действий при таком предварительном анализе (без использования дебаггеров, дизассемблеров и прочих излишне специальных и излишне сложных в использовании инструментов) Вы посоветуете?

Вопрос интересный :) Думаю, что однозначного ответа я дать не смогу, т.к. ситуации бывают различные и требуют различных действий. Но если говорить в общем, то стоит всегда иметь под рукой утилиты М.Руссиновича (reg- и filemon, process explorer, autoruns, tcpview и др.), сниффер (ethereal например). Правда утилиты Руссиновича мало эффективны в случае наличия руткита в системе, поэтому так же обязательно нужно иметь утилиту AVZ (или другой антируткит с широкими возможностями - gmer например), которая позволяет производить исследование системы и сохранять результаты этого исследования в удобочитаемом виде для последующего анализа, а так же с помощью скриптов либо непосредственно из интефейса произвести лечение (удаление вредоносных программ) - причем удаления производится вместе с ключами автозагрузки и, в случае чего, позволяет восстановить нормальную работу системы, в случае изменения вредоносном некоторых ключей реестра. В общем - у этой программы куча всяких возможностей, что позволяет выявить большинство вредоносных программ. Так же всегда стоит знать о существовании таких сервисов как virustotal.com, scanner.virus.org и virusscan.jotti.org, где можно проверить любой файл на наличие вредоносного кода сразу многими антивирусами. Существует и много косвенных признаков, на которые стоит обращать внимание - дата создания, атрибуты, имя, пакер и т.п. которые позволят заподозрить файл, который может являться вредоносным.

Вопрос Валерия очень напоминает мне "вопрос на пятерку" какого-то выпускного экзамена.

Очень хочется услышать от автора вопроса правильный ответ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Василий, Вы колупаете зловредов с энтузиазмом ушлого "дятла". Можете сказать, есть ли какая-то тенденция противодействия конкретным АВ сейчас. И каким чаще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Вопрос Валерия очень напоминает мне "вопрос на пятерку" какого-то выпускного экзамена.

Очень хочется услышать от автора вопроса правильный ответ smile.gif

Виктор, это интервью, а не балаган. Мне действительно было интересно услышать мнение Василия по этому вопросу.

Я не являюсь экспертом по анализу подозрительных файлов. Сфера деятельности несколько другая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Виктор, это интервью, а не балаган.

Мне действительно было интересно услышать мнение Василия по этому вопросу.

Я не являюсь экспертом по анализу подозрительных файлов. Сфера деятельности несколько другая.

Валерий, странно, что мой комментарий, видимо уже по инерции, вызвал у Вас такие ассоциации. Вы задали интересный вопрос, я отметил, что было бы интересно узнать и Ваше мнение, ведь вопросы подобные данному спонтанно не возникают.

Но поскольку Вы только что сказали, что не являетесь экспертом в данной области, то вопрос снимается. Приношу свои извинения, если чем-либо обидел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Валерий, странно, что мой комментарий, видимо уже по инерции, вызвал у Вас такие ассоциации. Вы задали интересный вопрос, я отметил, что было бы интересно узнать и Ваше мнение, ведь вопросы подобные данному спонтанно не возникают.

Но поскольку Вы только что сказали, что не являетесь экспертом в данной области, то вопрос снимается. Приношу свои извинения, если чем-либо обидел.

Я не сказал бы, что вообще не пытался никогда проанализировать подозрительные файлы, но не считаю, что мой уровень знаний в этом вопросе достаточно высок. Перечисленные Василием методы почти все я использовал в своей работе, и этим ответом подтвердил своё мнение по данному вопросу.

Мне просто не понравился сам факт комментария. Я считаю, что интервью - это последовательность из вопросов и ответов, без комментариев. Если в моём интервью убрать обсуждения вокруг интервью, то сухого остатка из вопросов/ответов там было бы максимум 3 страницы из 8, и больше бы людей с интересом его прочитали, а не писали, что там переливается из пустого в порожнее. Хотелось бы в будущем приблизиться к этому идеалу.

Но раз комментарии делать так хочется, то было бы неплохо иметь возможность в данных темах с интервью оставлять комментарии, которые касаются тем, затронутых в интервью. Но мухи отдельно, котлеты отдельно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Василий, какой области деятельности вы планируете посветить свое будущее время? В каком качестве или на какой позиции хотели бы видеть себя в будущем, например, через 10 лет?

Насколько я знаю, вы по образованию химик. Почему для вас интересна антивирусная тематика или информационная безопасность в целом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

Василий!

У Вас есть образно говоря конкретно "любимая" вредоносная программа, или такая, с которой пришлось в свое время повозиться при исследовании, и которая заслужила "особого внимания" к себе?

Я представляю какой поток новых вредоносных программ к Вам попадает в руки, как Вы считаете, чем мы будем "обрадованы" (каким типом вирусов скорее) в 2008 году в мире вредоносных программ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

vaber, я в Минске был первый и единственный раз году этак в 86-м.

Правда , что у вас гаишники взяток не вымогают и не берут?

Или это опять черный пиар? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Василий, Вы колупаете зловредов с энтузиазмом ушлого "дятла". Можете сказать, есть ли какая-то тенденция противодействия конкретным АВ сейчас. И каким чаще?

Не, я себя к отряду дятлообразных не приписываю :) Какой-либо статистики по распространенности антивирусных продуктов в списке "убиваемых" малварами я не имею. Могу лишь отметить, что зачастую сейчас используется для завершения процессов AV продуктов драйвер, в силу того, что во многих продуктах реализована самозащита. Завершение процессов в большинстве случаев идет по имени процесса, хотя бывает, что и по другим признакам - по имени окна, по сигнатуре...

Василий, какой области деятельности вы планируете посветить свое будущее время? В каком качестве или на какой позиции хотели бы видеть себя в будущем, например, через 10 лет?

Насколько я знаю, вы по образованию химик. Почему для вас интересна антивирусная тематика или информационная безопасность в целом?

Надеюсь, что в дальнейшим моя деятельности так или иначе будет связана в вредоносными программами и с борьбой с ними. Что касается далекого будущего :), то хотелось бы, конечно, через 10 лет быть каким-нибудь известным специалистом в области ИБ :)

Данная тематика мне интересна прежде всего тем, что это постоянная борьба, причем весьма динамичная. Вирмейкеры задают темп, за которым пытаются поспеть защитники. Это и привлекает - постоянно что-то новое, все развивается - и защита и нападение.

Василий!

У Вас есть образно говоря конкретно "любимая" вредоносная программа, или такая, с которой пришлось в свое время повозиться при исследовании, и которая заслужила "особого внимания" к себе?

Я представляю какой поток новых вредоносных программ к Вам попадает в руки, как Вы считаете, чем мы будем "обрадованы" (каким типом вирусов скорее) в 2008 году в мире вредоносных программ?

Любимчиков нету, а вот интересные самплы попадались и многие как стали распространены попали в тесты. Например, летом мне попался интересный руткит. Ставил драйвер и библиотеку (расширение winlogon и BHO). Интересен был тем, что к драйверу никак нельзя было получить доступ (он не маскируется на диске), а ключи автозагрузки нельзя удалить. А все потому, что этот руткит "хитрым" образом ставит хук на ObOpenObjectByName и ни один антируткит на тот момент не видел этого перехвата. В последствии этого руткита обозвали Rootkit.Win32.Podnuha (наверное, производное от некоего слова :)). Модификации этого руткита стали весьма распространены, что позволило его взять в тест с руткитами. Как видно из него - большинство антируткитов и почти все антивирусы не могут с ним справиться. Замечу, что и сейчас пошла тенденция не прятать файлы, а блокировать доступ к ним (антивирус банально не может проверить файл) и это вылилось в очень распространенного на данный момент руткита Bulknet - теперешние его модификации тоже видны на диске, но антивирусы не могут его открыть его файл и проверить, а ключи блокируются от удаления с помощью установки колбеков на реестр (CmRegisterCallback). На данный момент все антивирусы бессильны. Так же как-то попадался троянский загрузчик, который снимал перехваты в tableshadow :))

Что касается "потока вирей" - то нет, через меня совсем мало проходит. Если говорить о развития вредоносных программ в 2008 году... - однозначно их меньше не станет :). Еще больший процент будет оснащаться руткитом. "Новых типов" - врядли будет что-то сверхестественное.

vaber, я в Минске был первый и единственный раз году этак в 86-м.

Правда , что у вас гаишники взяток не вымогают и не берут?

Или это опять черный пиар? smile.gif

Берут. Но, думаю по-меньше чем в той же России или Украине :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
Модификации этого руткита стали весьма распространены, что позволило его взять в тест с руткитами. Как видно из него - большинство антируткитов и почти все антивирусы не могут с ним справиться. ... но антивирусы не могут его открыть его файл и проверить, а ключи блокируются от удаления с помощью установки колбеков на реестр (CmRegisterCallback). На данный момент все антивирусы бессильны.

Заметил ли случайно,какие АВ,сканирующие не стартовавшую систему (копию системы на внешнем диске),видят подобное или тот же "заражённый" МБР (там же,на нестартовавшей ОС)?То есть,какие добавляют сигнатуры инсталлированных невидимых "вирусов", а какие нет (по причине,скажем,что АВ пока в своей системе это не увидит,поэтому бесполезно)?Далее,если есть такие АВ,какие могут эту ОС на внешнем диске вылечить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Dmitrius
      Сервис подбора и сравнение кредитов Случается так, что деньги нужны срочно. Поэтому если у вас нет накоплений, рациональней всего обратиться за помощью на этот сайт, где собраны надежные, проверенные банки, которым точно можно доверять. Учреждения подготовили лучшие предложения, которые только возможны. На этом сайте есть возможность подобрать кредит, а также оформить займ либо взять деньги на приобретение автомобиля. И самое главное, что все это на наиболее выгодных для вас условиях. Автокредит Казахстан проценты - это шанс купить все, что нужно, не отказывая себе в покупке. Все банковские продукты различаются требованиями, условиями выдачи, а потому рекомендуется детально изучить условия договора и особенности выдачи денежных средств. Потребительский кредит оформить (рассчитать) в Алматы получится в данный момент. На этом сайте вы сможете не только подобрать подходящий вариант, но и сравнить имеющиеся. Затем следует определиться с тем, в какой банк обратиться за материальной поддержкой. Составить заявку на выдачу средств можно в режиме реального времени. Кредит наличными заявка онлайн выдается в течение часа наиболее комфортным для вас способом. На портале опубликован список всех доступных предложений, имеется необходимая информация о каждом банке и кредитах. Выберете самую низкую процентную ставку, а также сумму и сроки, на которые планируете занять сумму. Все максимально просто, быстро и понятно. Ипотека проценты Казахстан (ипотека Казахстан) - это отличная возможность решить свои жилищные проблемы. Важно помнить о том, что лишь надежные компании с огромным опытом готовы предложить приемлемые условия. Выберете подходящий для себя банковский продукт, чтобы поправить материальное положение.
    • Dmitrius
      Интернет магазин автозапчастей  Интернет-магазин «AUTOSHOP» реализует внушительный выбор деталей на автомобили - их можно подобрать не только по наименованию, но и артикулу и другим параметрам. Имеются разные запчасти на любые автомобили самых разных марок и моделей - вы сможете их найти в один клик. Запчасти находятся на складе - это дает возможность осуществить быструю транспортировку. Сотрудничество исключительно с надежными, проверенными поставщиками, которые работают на совесть и предлагают продукцию безупречного качества и с длительными эксплуатационными сроками. Автозапчасти интернет магазин для иномарок рекомендует ознакомиться с полным ассортиментом – он даст возможность подобрать вариант с учетом обозначенных требований. Перед тем, как осуществить приобретение, необходимо детально изучить технические аспекты, ведь именно они влияют на сроки эксплуатации и внешний вид авто. Но если вам требуется помощь специалиста, то вы всегда можете воспользоваться профессиональной консультацией. Автозапчасти для иномарок Курск вы обязательно подберете для любой машины, несмотря на год производства. Изучите справочник автотоваров, каталог, а также новости, представленные на данную тематику - информация поможет принять правильное решение. Сотрудники интернет-магазина быстро реагируют на появление новых деталей в европейских магазинах для того, чтобы в ближайшее время пополнить ими свой ассортимент. Это даст возможность быстро среагировать за изменяющуюся ситуацию. Каталог автозапчастей Курск содержит огромный перечень деталей. Они созданы в соответствии с самыми высокими стандартами, нормами, требованиями. Администрация проверяет запчасти на соответствие заданным характеристикам, поэтому в продажу попадает только та продукция, которая имеет сопроводительную документацию, сертификаты. На продукцию есть гарантии, подтверждающие безупречное качество, оригинальность.
    • JamesBisee
      Купить газовый котел с закрытой камерой сгорания в Москве
      https://www.fire-flower.ru/
      https://www.google.tg/url?q=https://fire-flower.ru
    • PR55.RP55
      По всей видимости uVS не всегда может получить доступ к: Hosts Нужно чтобы в Лог писалась информация: "Нет доступа  к Hosts " Вроде сейчас uVS  соответствующих записей не создаёт?
    • Dmitrius
      Канализация из септиков под ключ На предприятии каждый сможет заказать установку септиков, созданных из ЖБ конец - они не только практичны, но и отличаются безукоризненным качеством. Ищите где заказать монтаж септика астра - получите всю необходимую информацию на сайте. Важным моментом является то, что услуги оказываются на должном, профессиональном уровне. Это достигается за счет того, что в бригаде трудятся специалисты, которые знают все особенности своей работы. При этом стоимость работ остается на доступном уровне. Огромный стаж работы позволил приобрести большое количество клиентов – они советуют предприятие знакомым. Бетонные септики пользуются популярностью не только за счет своей небольшой стоимости, но и благодаря прочности, а также невосприимчивы к негативным условиях среды, они не нуждаются в сервисном обслуживании. И самое важное, что установка проводится на грунте любого типа. Такой вид септика считается самым быстрым способом организовать очистное сооружение на дачном участке. Сотрудники предприятия специально для вас подготовят предложение, произведут расчеты, грамотно расположат септик, а заодно и закупят все необходимые материалы по доступным ценам, выполнят доставку и монтажные работы. На все, включая материалы, предоставляются гарантии. Услуги оказываются не только по столице, но и области, на любом грунте: песке, глине и др. Монтаж септиков различной сложности, а также с подключением бани или дачи, переливом, любых соединений. Есть возможность вызвать целую бригаду специалистов на малый участок либо дачу, на которой вы проживаете время от времени или постоянно. Монтажные работы в ограниченные сроки. Во время монтажных работ учитывается то, сколько человек проживает в доме, особенности – о них поведает консультант. Теперь и вы сможете заказать высококлассные работы.
×