Перейти к содержанию
vaber

Он-лайн интервью с Василием Бердниковым (vaber)

Recommended Posts

vaber

Здравствуйте!

Мы продолжаем цикл интервью, и эту неделю (с 25 февраля по 2 марта включительно) я буду стараться отвечать на Ваши вопросы.

Оставляю за собой право игнорировать глупые, некорректные, провокационные, оскорбляющие меня вопросы, а также те, ответы на которые я не знаю :).

Поехали!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel

Расскажите нам что-нибудь интересное из опыта вашей профессиональной деятельности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Вы не получали предложений от АВ компаний по устройству на работу? Как Вы вообще бы отнеслись к таким предложения, если их не было?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Добрый день!

Известно, что Вы участвовали в подготовке и проведении многих тестирований, результаты которых были опубликованы на АМ. Не испытывали ли Вы давление какого-либо рода со стороны представителей вендоров, а также пользователей их продукции?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
rubin-VInfo

С чего Вы начали свою профессиональную работу в данной области? Область компьютерной защиты довольно обширна - что Вам больше всего интересно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Иван

Как вы попали на Anti-Malware, откуда узнали о ресурсе?

Где Вы в данный момент работаете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MiStr

С какой самой первой охранной программой Вы столкнулись? Если не секрет, чем пользуетесь в данный момент?

Как попали в команду Anti-Malware.ru? (Имею ввиду, по проведению тестов.)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Вы не получали предложений от АВ компаний по устройству на работу? Как Вы вообще бы отнеслись к таким предложения, если их не было?

Да, такие предложения получал, но в силу обстоятельств пришлось отказаться...учитывая, что у нас в стране есть обязательное распределение бюджетников по окончанию ВУЗа.

Добрый день!

Известно, что Вы участвовали в подготовке и проведении многих тестирований, результаты которых были опубликованы на АМ. Не испытывали ли Вы давление какого-либо рода со стороны представителей вендоров, а также пользователей их продукции?

Какого-либо давления со стороны представителей вендоров или пользователей антивирусных продуктов я не испытывал :), да и мне с трудом представляется, как оно могло бы выглядеть - это самое давление :)

С чего Вы начали свою профессиональную работу в данной области? Область компьютерной защиты довольно обширна - что Вам больше всего интересно?

Профессиональной работай, то чем я занимался трудно назвать. Это скорее хобби. Мне нравится - я этим и занимаюсь. Начал я с чтения этого форума 2 года назад. Меня очень заинтересовала данная тематика, и по тиху в свободное время начал читать литературу, форумы, общаться и учиться :). Но больше всего меня в КБ интересует вирусология. Именно она меня и привлекла, поскольку всегда интересно было узнать - как же работают эти малвары, как их можно обнаружить, как удалить и т.п.

Как вы попали на Anti-Malware, откуда узнали о ресурсе?

Где Вы в данный момент работаете?

Как попал на ресурс АМ - я уже точно не помню. Вроде бы через гугл, когда искал инфу о каком-то вирусе.

На данный момент я только приступил к работе в компании CheckPoint, и параллельно буду делать дипломную работу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
С какой самой первой охранной программой Вы столкнулись? Если не секрет, чем пользуетесь в данный момент?

Как попали в команду Anti-Malware.ru? (Имею ввиду, по проведению тестов.)

С первой охранной - антивирус доктор веб - не помню с какой версией, на университетском ПК. На данный момент использую ForceField. А в тестовую команду попал перед проведением теста на пакеры. Тогда на меня была возложена небольшая часть работы - найти пакеры, отобрать малвар неупакованных, ну и запаковать их теми самыми пакерами и выслать Николаю :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Илья Рабинович
На данный момент я только приступил к работе в компании CheckPoint.

Ну, об этом было несложно догадаться... :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

В работе специалистов в области информационной безопасности предприятия может возникнуть ситуация, когда необходимо быстро сподручными средствами определить с большой долей вероятности, что такой-то подозрительный файл является вредоносным. Обычно средний админ предприятия (а они обычно и являются специалистами по инфобезопасности, к сожалению) не может решить задачу предварительного анализа подозрительных файлов. Какую последовательность действий при таком предварительном анализе (без использования дебаггеров, дизассемблеров и прочих излишне специальных и излишне сложных в использовании инструментов) Вы посоветуете?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy

Сейчас под впечатлением от сегодняшнего концерта Александра Дольского (http://www.dolsky.ru/). Мне по душе больше именно такое творческое общение с интересными людьми в тёплой дружеской обстановке, чем нечто модное, мейнстримовое, популярное и дорогое. Жаль, что на таких концертах в наше время не бывает аншлагов. А может быть, наоборот, это хорошо.

А от чего Вы в жизни получаете кайф?

А что делаете, когда всё надоедает настолько, что необходимо на некоторое время переключиться на что-то?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
В работе специалистов в области информационной безопасности предприятия может возникнуть ситуация, когда необходимо быстро сподручными средствами определить с большой долей вероятности, что такой-то подозрительный файл является вредоносным. Обычно средний админ предприятия (а они обычно и являются специалистами по инфобезопасности, к сожалению) не может решить задачу предварительного анализа подозрительных файлов. Какую последовательность действий при таком предварительном анализе (без использования дебаггеров, дизассемблеров и прочих излишне специальных и излишне сложных в использовании инструментов) Вы посоветуете?

Вопрос интересный :) Думаю, что однозначного ответа я дать не смогу, т.к. ситуации бывают различные и требуют различных действий. Но если говорить в общем, то стоит всегда иметь под рукой утилиты М.Руссиновича (reg- и filemon, process explorer, autoruns, tcpview и др.), сниффер (ethereal например). Правда утилиты Руссиновича мало эффективны в случае наличия руткита в системе, поэтому так же обязательно нужно иметь утилиту AVZ (или другой антируткит с широкими возможностями - gmer например), которая позволяет производить исследование системы и сохранять результаты этого исследования в удобочитаемом виде для последующего анализа, а так же с помощью скриптов либо непосредственно из интефейса произвести лечение (удаление вредоносных программ) - причем удаления производится вместе с ключами автозагрузки и, в случае чего, позволяет восстановить нормальную работу системы, в случае изменения вредоносном некоторых ключей реестра. В общем - у этой программы куча всяких возможностей, что позволяет выявить большинство вредоносных программ. Так же всегда стоит знать о существовании таких сервисов как virustotal.com, scanner.virus.org и virusscan.jotti.org, где можно проверить любой файл на наличие вредоносного кода сразу многими антивирусами. Существует и много косвенных признаков, на которые стоит обращать внимание - дата создания, атрибуты, имя, пакер и т.п. которые позволят заподозрить файл, который может являться вредоносным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
А от чего Вы в жизни получаете кайф?

А что делаете, когда всё надоедает настолько, что необходимо на некоторое время переключиться на что-то?

Такие моменты всеже бывают не часто. Обычно переключаюсь на что-то, что расслабляет. Могу слушать музыку, могу посмотреть интересную передачу или спорт, сходить по магазинам а если хорошая погода, то и за город отдохнуть - рыбалочка :) . Ну а кайф получаю от всего того, от чего можно получить удовольствие :))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dr_dizel
...

Может ответите всё же на мой вопрос, а? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

В работе специалистов в области информационной безопасности предприятия может возникнуть ситуация, когда необходимо быстро сподручными средствами определить с большой долей вероятности, что такой-то подозрительный файл является вредоносным. Обычно средний админ предприятия (а они обычно и являются специалистами по инфобезопасности, к сожалению) не может решить задачу предварительного анализа подозрительных файлов. Какую последовательность действий при таком предварительном анализе (без использования дебаггеров, дизассемблеров и прочих излишне специальных и излишне сложных в использовании инструментов) Вы посоветуете?

Вопрос интересный :) Думаю, что однозначного ответа я дать не смогу, т.к. ситуации бывают различные и требуют различных действий. Но если говорить в общем, то стоит всегда иметь под рукой утилиты М.Руссиновича (reg- и filemon, process explorer, autoruns, tcpview и др.), сниффер (ethereal например). Правда утилиты Руссиновича мало эффективны в случае наличия руткита в системе, поэтому так же обязательно нужно иметь утилиту AVZ (или другой антируткит с широкими возможностями - gmer например), которая позволяет производить исследование системы и сохранять результаты этого исследования в удобочитаемом виде для последующего анализа, а так же с помощью скриптов либо непосредственно из интефейса произвести лечение (удаление вредоносных программ) - причем удаления производится вместе с ключами автозагрузки и, в случае чего, позволяет восстановить нормальную работу системы, в случае изменения вредоносном некоторых ключей реестра. В общем - у этой программы куча всяких возможностей, что позволяет выявить большинство вредоносных программ. Так же всегда стоит знать о существовании таких сервисов как virustotal.com, scanner.virus.org и virusscan.jotti.org, где можно проверить любой файл на наличие вредоносного кода сразу многими антивирусами. Существует и много косвенных признаков, на которые стоит обращать внимание - дата создания, атрибуты, имя, пакер и т.п. которые позволят заподозрить файл, который может являться вредоносным.

Вопрос Валерия очень напоминает мне "вопрос на пятерку" какого-то выпускного экзамена.

Очень хочется услышать от автора вопроса правильный ответ :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Василий, Вы колупаете зловредов с энтузиазмом ушлого "дятла". Можете сказать, есть ли какая-то тенденция противодействия конкретным АВ сейчас. И каким чаще?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Вопрос Валерия очень напоминает мне "вопрос на пятерку" какого-то выпускного экзамена.

Очень хочется услышать от автора вопроса правильный ответ smile.gif

Виктор, это интервью, а не балаган. Мне действительно было интересно услышать мнение Василия по этому вопросу.

Я не являюсь экспертом по анализу подозрительных файлов. Сфера деятельности несколько другая.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Виктор, это интервью, а не балаган.

Мне действительно было интересно услышать мнение Василия по этому вопросу.

Я не являюсь экспертом по анализу подозрительных файлов. Сфера деятельности несколько другая.

Валерий, странно, что мой комментарий, видимо уже по инерции, вызвал у Вас такие ассоциации. Вы задали интересный вопрос, я отметил, что было бы интересно узнать и Ваше мнение, ведь вопросы подобные данному спонтанно не возникают.

Но поскольку Вы только что сказали, что не являетесь экспертом в данной области, то вопрос снимается. Приношу свои извинения, если чем-либо обидел.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Валерий, странно, что мой комментарий, видимо уже по инерции, вызвал у Вас такие ассоциации. Вы задали интересный вопрос, я отметил, что было бы интересно узнать и Ваше мнение, ведь вопросы подобные данному спонтанно не возникают.

Но поскольку Вы только что сказали, что не являетесь экспертом в данной области, то вопрос снимается. Приношу свои извинения, если чем-либо обидел.

Я не сказал бы, что вообще не пытался никогда проанализировать подозрительные файлы, но не считаю, что мой уровень знаний в этом вопросе достаточно высок. Перечисленные Василием методы почти все я использовал в своей работе, и этим ответом подтвердил своё мнение по данному вопросу.

Мне просто не понравился сам факт комментария. Я считаю, что интервью - это последовательность из вопросов и ответов, без комментариев. Если в моём интервью убрать обсуждения вокруг интервью, то сухого остатка из вопросов/ответов там было бы максимум 3 страницы из 8, и больше бы людей с интересом его прочитали, а не писали, что там переливается из пустого в порожнее. Хотелось бы в будущем приблизиться к этому идеалу.

Но раз комментарии делать так хочется, то было бы неплохо иметь возможность в данных темах с интервью оставлять комментарии, которые касаются тем, затронутых в интервью. Но мухи отдельно, котлеты отдельно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Василий, какой области деятельности вы планируете посветить свое будущее время? В каком качестве или на какой позиции хотели бы видеть себя в будущем, например, через 10 лет?

Насколько я знаю, вы по образованию химик. Почему для вас интересна антивирусная тематика или информационная безопасность в целом?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ice-berg

Василий!

У Вас есть образно говоря конкретно "любимая" вредоносная программа, или такая, с которой пришлось в свое время повозиться при исследовании, и которая заслужила "особого внимания" к себе?

Я представляю какой поток новых вредоносных программ к Вам попадает в руки, как Вы считаете, чем мы будем "обрадованы" (каким типом вирусов скорее) в 2008 году в мире вредоносных программ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

vaber, я в Минске был первый и единственный раз году этак в 86-м.

Правда , что у вас гаишники взяток не вымогают и не берут?

Или это опять черный пиар? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
vaber
Василий, Вы колупаете зловредов с энтузиазмом ушлого "дятла". Можете сказать, есть ли какая-то тенденция противодействия конкретным АВ сейчас. И каким чаще?

Не, я себя к отряду дятлообразных не приписываю :) Какой-либо статистики по распространенности антивирусных продуктов в списке "убиваемых" малварами я не имею. Могу лишь отметить, что зачастую сейчас используется для завершения процессов AV продуктов драйвер, в силу того, что во многих продуктах реализована самозащита. Завершение процессов в большинстве случаев идет по имени процесса, хотя бывает, что и по другим признакам - по имени окна, по сигнатуре...

Василий, какой области деятельности вы планируете посветить свое будущее время? В каком качестве или на какой позиции хотели бы видеть себя в будущем, например, через 10 лет?

Насколько я знаю, вы по образованию химик. Почему для вас интересна антивирусная тематика или информационная безопасность в целом?

Надеюсь, что в дальнейшим моя деятельности так или иначе будет связана в вредоносными программами и с борьбой с ними. Что касается далекого будущего :), то хотелось бы, конечно, через 10 лет быть каким-нибудь известным специалистом в области ИБ :)

Данная тематика мне интересна прежде всего тем, что это постоянная борьба, причем весьма динамичная. Вирмейкеры задают темп, за которым пытаются поспеть защитники. Это и привлекает - постоянно что-то новое, все развивается - и защита и нападение.

Василий!

У Вас есть образно говоря конкретно "любимая" вредоносная программа, или такая, с которой пришлось в свое время повозиться при исследовании, и которая заслужила "особого внимания" к себе?

Я представляю какой поток новых вредоносных программ к Вам попадает в руки, как Вы считаете, чем мы будем "обрадованы" (каким типом вирусов скорее) в 2008 году в мире вредоносных программ?

Любимчиков нету, а вот интересные самплы попадались и многие как стали распространены попали в тесты. Например, летом мне попался интересный руткит. Ставил драйвер и библиотеку (расширение winlogon и BHO). Интересен был тем, что к драйверу никак нельзя было получить доступ (он не маскируется на диске), а ключи автозагрузки нельзя удалить. А все потому, что этот руткит "хитрым" образом ставит хук на ObOpenObjectByName и ни один антируткит на тот момент не видел этого перехвата. В последствии этого руткита обозвали Rootkit.Win32.Podnuha (наверное, производное от некоего слова :)). Модификации этого руткита стали весьма распространены, что позволило его взять в тест с руткитами. Как видно из него - большинство антируткитов и почти все антивирусы не могут с ним справиться. Замечу, что и сейчас пошла тенденция не прятать файлы, а блокировать доступ к ним (антивирус банально не может проверить файл) и это вылилось в очень распространенного на данный момент руткита Bulknet - теперешние его модификации тоже видны на диске, но антивирусы не могут его открыть его файл и проверить, а ключи блокируются от удаления с помощью установки колбеков на реестр (CmRegisterCallback). На данный момент все антивирусы бессильны. Так же как-то попадался троянский загрузчик, который снимал перехваты в tableshadow :))

Что касается "потока вирей" - то нет, через меня совсем мало проходит. Если говорить о развития вредоносных программ в 2008 году... - однозначно их меньше не станет :). Еще больший процент будет оснащаться руткитом. "Новых типов" - врядли будет что-то сверхестественное.

vaber, я в Минске был первый и единственный раз году этак в 86-м.

Правда , что у вас гаишники взяток не вымогают и не берут?

Или это опять черный пиар? smile.gif

Берут. Но, думаю по-меньше чем в той же России или Украине :)))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Werasy
Модификации этого руткита стали весьма распространены, что позволило его взять в тест с руткитами. Как видно из него - большинство антируткитов и почти все антивирусы не могут с ним справиться. ... но антивирусы не могут его открыть его файл и проверить, а ключи блокируются от удаления с помощью установки колбеков на реестр (CmRegisterCallback). На данный момент все антивирусы бессильны.

Заметил ли случайно,какие АВ,сканирующие не стартовавшую систему (копию системы на внешнем диске),видят подобное или тот же "заражённый" МБР (там же,на нестартовавшей ОС)?То есть,какие добавляют сигнатуры инсталлированных невидимых "вирусов", а какие нет (по причине,скажем,что АВ пока в своей системе это не увидит,поэтому бесполезно)?Далее,если есть такие АВ,какие могут эту ОС на внешнем диске вылечить?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×