Почитываю я значит в журнальчике Хакер за декабрь этого года интервью с главным антивирусным экспертом «Лаборатории Касперского» Александpом Гocтевым. Интересное интервью с человеком, увлеченным своей работой, судя по всему настоящим специалистом. И вдруг вижу кое-что особенное, процитирую немного:
Вирусная лаборатория занимается входящим потоком угроз. Это тысячи вредоносов, что каждый день валятся к нам от пользователей, наших систем сбора, Kasрersky Sеcurity Network (наше облако КSN, в котором агрегируются обезличенные метаданные с миллионов компьютеров) и так далее.
Скажем, если пользователь попадает на некий сайт, где используется цифровой сертификат для SSL, что мы делаем? При помощи КSN смотрим - тот ли самый сертификат получают и другие пользователи? И если мы видим, что если у этого человека сертификат такой, а у миллионов людей - другой, значит это атака. Такие сертификаты мы смотрим, анализируем.
Например, авторы Stuxnet и Duqu очень любили имена файлов, начинающиеся с ~d. Соответственно, в конкретном регионе нужно было искать подозрительные файлы, которые имеют вот такое название, являются исполняемыми и специфичными. Для этого мы просто запустили соответствующее правило в КSN - почти сразу эти файлы у нас и вылезли. Именно с наибольшим распространением в Иране: этих файлов больше нигде в мире нет, а там есть.
Я раньше про КSN не слышал (или не запомнил), а тут думаю, что любопытная штука, оказывается она фактически позволяет ее оператору искать файлы и другую информацию (SSL-сертификаты хотя бы) на миллионах частных компьютеров. Такого даже гугл просто так не умеет :) Полез в интернет за подробностями. На офсайте о ней написано, действительно есть такая технология для ускорения реакции на угрозы и атаки, улучшения защищенности, для этого собирает самую разнообразную информацию, по сути обо всем, что пользователь делает на своем компьютере, но все разумеется выглядит пристойно. Передача данных в КSN включается в настройках только по желанию пользователя, данные обезличиваются и т.д.
Хе-хе-хе. Но есть и другая информация, один блогер раскопал, что даже выключение КSN очень похоже, что не останавливает передачу кое-какой информации, которой ее владельцы могут и поделиться с «кем надо». О чем и пишет в своем блоге:
Заметил я это довольно давно и совершенно случайно (http://xoxmodav.com/?p=7415) — выяснилось, что с отключенным КSN, но с подключением к сети Интернет, проверка on-demand длится в два раза дольше нежели чем таковая без доступа к сети Интернет. Сотрудники техподдержки сначала попытались свалить это на обновлённые и улучшенные (!!!) технологии и выдали перл о том, что при отключении КSN данные перестают передаваться куда-то, а только принимаются из облака. Вот скриншот официальной переписки с техподдержкой (в блоге есть скриншот)
Но глупо было бы верить «товарищам» из ЛК, у которых приём информации из КSN осуществляется волшебным образом — без отправки каких-либо запросов. Сами представьте процесс проверки файла, принесённый знакомым на флешке, Антивирусом Каспеpского без КSN:
- запускаете проверку файла
- Каспеpский проверяет файл с помощью сигнатурных баз и эвристического анализатора
- из КSN прилетает информация о том, что файл в заражённых не числится и вообще всё «Ол райт»
Но как Каспеpский догадался о том, что именно этот файл я проверяю в данный момент и что именно о нём мне внезапно должна поступить информация из КSN, где по заверениям сотрудников ЛК хранится информация о более чем 200 миллионов только «чистых» файлах? Ответ прост — сначала в КSN отправляется всё та же информация — имя файла, путь к файлу, хеш файла и IP-адрес компьютера, на котором производится проверка. И вот только после этого приходит ответ из КSN. Но отправленный в КSN запрос уже никуда не пропадает и продолжает храниться неизвестное количество времени на серверах ЛК. А раз антивирус с включённым Интернетом всё равно продолжает обращаться к КSN для проверки резидентных и нерезидентных проверяемых модулей/программ/объектов, то вся информации исправно продолжает падать в логи. В тоже запросе сотрудник техподдержки ЛК пообещал, что в новых версиях продукта всё исправят и отключение КSN починят:
Но мы то прекрасно понимаем, что это скорее был вежливый посыл в пешую эротическую прогулку :) и ничего в результате не изменится, разве только в худшую сторону. )))
А вот к чему, привела работа КSN у этого блогера: http://xoxmodav.com/?p=9633
Жене в роддом позвонили из областного УФCБ и сообщили, что с её IP-адреса (договор на услуги Интернет заключен на неё) несколько недель назад осуществлялась атака на посольства и государственными органы РФ и других иностранных государств. Поэтому факту производится расследование и надо бы оказать всестороннюю помощь в его проведении. Жена, недолго думая (и зная о моих экспериментах), перенаправила их на меня. Во время личной встречи с майором УФCБ (да-да, документы оказались весьма реальными, как и их владелец ))) ) выяснилось несколько интересных фактов.
Майор вкратце объяснив, что производится масштабное расследование кибератаки на ряд государственных органов различных стран, попросил произвести посекторное копирование всех жёстких дисков компьютера, на котором был обнаружен образец того самого «кибероружия». Но, узнав, что дисков у меня несколько, да и их общий объём превышает несколько терабайт (представьте сколько по времени будет вестись такое дейтсво), слегка огорчился.
После чего он озвучил путь к этому самому сэмплу и мне внезапно всё стало понятно — путь вёл к тому самому каталогу, в который я поместил частичную копию своей коллекции для вышеописанного теста. Вот тут то я и объяснил, что компьютер заражён не был, ни в каких атаках не участвовал, а виной всему товарищи из Лаборатории Касперского, которые ответственно заявляют о том, что никакая информация, позволяющая идентифицировать конкретного пользователя, их продуктом не собирается. Ну и, понятное дело, тут я пообещал добровольно сотрудничать в проведении данного расследования (интересно же узнать как проводятся подобные расследования :) ). После этого сотрудник УФCБ взял мой контакт в Skype и пообещал, что со мной в ближайшее время свяжется сотрудник ФCБ из Москвы. После этого мы расстались и о данном инциденте на несколько недель было забыто (потом выяснилось, что московский сотрудник ФСБ был не то в зарубежной командировке, не то в отпуске за рубежом).
Позже на меня через сотрудника ФСБ вышел … угадайте кто? :) А вот и не угадали ))) — ведущий антивирусный эксперт «Лаборатории Каспеpского» Bитaлий Кaмлюк. Пообщавшись с ним по скайпу, я скинул указанный сэмпл, а также полный перечень адресов, с которых производил закачку зловредов в тот день. На этом история с данным сэмплом закончилась и больше никакой информации мне не предоставили — всё было покрыто покровом тайны.
В теме я написал про антивирусы вообще, потому что не думаю, что ЛК здесь уникальна. Может быть даже отстает от мировых тенденций.