Перейти к содержанию
Сергей Ильин

Онлайн интервью с Олегом Зайцевым, технологическим экспертом Лаборатории Касперского

Recommended Posts

Зайцев Олег
А это засекречено или нет? :)

Скажем так, эти разработки и исследования не публичные :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Yen-Jasker
имитировал ошибку у случайно выбранного пользователя в процессе его работы с БД, и выдавал диалоговое окно с запросом вида "Внимание ! Обнаружен перегрев ядра атомного реактора. Опустить регулирующие стержни ? [Да] [Нет]". 10 из 10 участников опыта нажали [Да]

Опыт некорректный. С одной стороны, "обезьяны с пулеметом" привыкли всегда нажимать "Да". С другой стороны, если не забыл школьную физику, по-моему при перегреве атомного реактора как раз нужно опускать графитовые стержни, чтобы замедлить или остановить ядерную реакцию.

А сколько пользователей задали вопрос, почему это вдруг БД спрашивает их что делать при перегреве реактора?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Опыт некорректный. С одной стороны, "обезьяны с пулеметом" привыкли всегда нажимать "Да". С другой стороны, если не забыл школьную физику, по-моему при перегреве атомного реактора как раз нужно опускать графитовые стержни, чтобы замедлить или остановить ядерную реакцию.

А сколько пользователей задали вопрос, почему это вдруг БД спрашивает их что делать при перегреве реактора?

Совет конечно был корректным - как можно задавать бухгалтеру некорректные вопросы про реактор, особенно когда он вводит проводку :) Пользователи после этого были опрошены, диалог:

- сегодня на сервере был небольшой сбой, программа не глючила ?

- да, глюкнуло что-то там пару раз ...

- а как проявлялось ?

- программа что-то там спросила, нажали [да] - оно дальше и заработало !

при этом что спрашивалось - никто и не выяснял, сообщение не читалось. Последствием опыта стало:

- создание системы логического контроля, которая на базе системы довольно сложных и многочисленных правил проверяла корректность всего, что могла - и чуть что не так, пользователь просто не мог пойти дальше, пока не отменит ввод или не введет все как надо

- все диалоговые окна были сделаны модальными - т.е. как следствие пока не сделано что-то на уровне N+1, на уровень N возврата нет

- в большинство программ был встроен "почтовый работ", который в случае необработанной ошибки делал лог (что случилось, какое окно в программе было открыто в этот мемент и т.п.), и отсылал его на внутренний корпоративный сервер на особый ящик, с указанием того, что в программе X версии Y возникло такое-то исключения. Письма анализировались, на случай, если письмо не дойдет (часто бывает, что глюк в программе является например следствие глюка на канале связи) - все данные дублировались текстовым логом со стандартным именем. Кроме того, бортового почтаря пользователь мог активировать из меню - и тем самым послать разработчику дополнительные данные, котрые можно было ввести в диалоговом окне - например, уточнение о причинах ошибки или какие-то пожелания и замечания.

Пользователи быстро привыкли к такому порядку (в частности, что жать "да" бесполезно, пока он не сделает что надо, программа просто не отстанет) и все пошло как надо

Этот опыт кстати навел меня на интересную с практической точки зрения идею в области ИБ - можно и нужно проводить учения, например симулировать что-то странное и похожее на вирусную/хакерскую активность на ПК пользователя через некоторое время после его вводного инструктажа по основам ИБ или вирусного инцидента, произошедшего по его вине. И посмотреть, что будет (в КВС при тотальном мониторинге всего это очень просто) ... Например, нетрудно прислать выбранным пользователям безобидный EXE со странным именем или не менее странную ссылку по почте, подменив адрес отправителя на какой-то бредовый. Если пользователь отреагирует как положено (не будет это запускать, не пойдет по ссылкам и т.п., и сообщит службе безопасности или админам) - то все отлично, в противном случае - он "слабое звено" и с ним необходимо проводить углубленный инструктаж еще раз ...

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SWAT

Здравствуйте, Олег!

Как мне известно, Вы активно применяете технологии искусственного интеллекта для решения различных задач. Я начинающий исследователь в данной области, в частности применения данных технологий для борьбы с вредоносными программами. В настоящее время в своей научной работе исследую вопрос кластеризации вредоносных программ по их поведению. Возможно ли обратиться к Вам, как к эксперту в данной области, для консультации по конкретным вопросам? Заранее благодарю и надеюсь на понимание

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Здравствуйте, Олег!

Как мне известно, Вы активно применяете технологии искусственного интеллекта для решения различных задач. Я начинающий исследователь в данной области, в частности применения данных технологий для борьбы с вредоносными программами. В настоящее время в своей научной работе исследую вопрос кластеризации вредоносных программ по их поведению. Возможно ли обратиться к Вам, как к эксперту в данной области, для консультации по конкретным вопросам? Заранее благодарю и надеюсь на понимание

Да, я уже лет десять активно применяю технологии ИИ в разных областях, обращайтесь, чем смогу - помогу

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Олег

Планируются ещё какие-нить новые внедрения технологий в AVZ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Олег

Планируются ещё какие-нить новые внедрения технологий в AVZ?

Да, несомненно планируются - уже появилась версия 4.33, которая скоро пойдет в приватное тестирование. Конкретных планов в этой области нет, общая идея - повышение качества карантина, обнаружения и убиения зловредов при удаленном лечении ПК

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

Олег

Насчёт карантина.Бывают файлы туда не попадают.Можно ли сделать так,чтобы файл в любом варианте туда попал,не битым,а как положено.Жалко,если вирус удаляют,а тот в карантин не попал,а жалко потеря драгоценного экземпляра.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Олег

Насчёт карантина.Бывают файлы туда не попадают.Можно ли сделать так,чтобы файл в любом варианте туда попал,не битым,а как положено.Жалко,если вирус удаляют,а тот в карантин не попал,а жалко потеря драгоценного экземпляра.

Это нормально - зачастую причины в том, что или файла нет, или путь к нему не указан, или он слишком хорошо защищается, или антивирусный монитор мешает карантину, или монитор антивируса залечивает файл уже в карантине. В случае блокировки файла со стороны зверя есть пути для улучшения, в остальных случаях "медицина бессильна".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SWAT
Да, я уже лет десять активно применяю технологии ИИ в разных областях, обращайтесь, чем смогу - помогу

Спасибо!

А куда можно писать? :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Спасибо!

А куда можно писать? :rolleyes:

Если тема может быть интересна общественности, то в соответствующий раздел на данном форуме или в раздел для разработчика на VirusInfo. Если нужна просто консультация или совет - то в PM, я дам контакты для связи (можно конечно и на мои публичные ящики написать, типа avz@z-oleg.com, но там письмо может затеряться)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
Это нормально - зачастую причины в том, что ...он слишком хорошо защищается... В случае блокировки файла со стороны зверя есть пути для улучшения, в остальных случаях "медицина бессильна".

Как раз к AVZ обращаются именно тогда, когда ручные методы не срабатывают, и программа сообщает о невозможности помещения зловреда в карантин. Если "медицина бессильна", то нужен какой-то кувалдометр для того, чтобы оглушить "пациента" перед изоляцией.

Если в AVZ его нет, то где же его взять тогда? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Зайцев Олег
Как раз к AVZ обращаются именно тогда, когда ручные методы не срабатывают, и программа сообщает о невозможности помещения зловреда в карантин. Если "медицина бессильна", то нужен какой-то кувалдометр для того, чтобы оглушить "пациента" перед изоляцией.

Если в AVZ его нет, то где же его взять тогда? :)

Я имел в виду, что нет 100% гарантии и никогда не будет (средства есть - прямое чтение диска, карантин из BootCleaner и т.п. - но против каждого из них можно придумать меру борьбы или маскировки, и это бесконечная борьба меча и щита)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

К сожалению, время нашего интервью подошло к концу. Всем большое спасибо за интересные и конструктивные вопросы, мне кажется было интересно :)

Ну и, конечно, большое спасибо Олегу за возможность провести это интервью и интересные ответы!

P.S. Если у кого-то будут дополнительные вопросы, то вы можете всегда задать их на нашем форуме в соответствующем разделе или же обратившись лично к Олегу, как это лучше сделать он написал выше.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Зайцев Олег

Олег, и я тоже не могу не поблагодарить Вас за великолепные и содержательные ответы.

Действительно, было интересно читать каждое Ваше сообщение. Заходите почаще.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Сообщения о взаимоотношениях Eset и AVZ были выделены в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=9496

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×