Может ли разработчик-одиночка успешно конкурировать с мощной антивирусной лабораторией? Ответ не очевиден. Надеюсь, вы его получите в этом интервью, подготовленном на основе почтовой переписки.
Мой собеседник - российский программист Олег Зайцев. Свой продукт - антивирусную утилиту AVZ (z-oleg.com/secur/avz.htm, freeware) - Олег позиционирует в той популярной сегодня нише, которую занимают известные программы LavaSoft Ad-aware и Trojan Hunter. Но если Ad-aware не противодействует троянским и Backdoor-программам, TrojanHunter - не борется со SpyWare и AdWare, то AVZ справляется и с теми, и с другими проблемами. А в дополнение к этому - уничтожает сетевых и почтовых червей, "звонилки" и клавиатурные шпионы. И даже выявляет и блокирует столь сложные для обнаружения вредоносные программы, как руткиты (RootKit - программа, которая перехватывает и модифицирует низкоуровневые системные функции (API). При этом RootKit, как правило, маскирует присутствие в системе: он не виден в стандартном диспетчере процессов, его ключи реестра не отображаются в Regedit, файлы - не видны в Explorer и других программах просмотра диска).
Действие AVZ я испытал месяц назад на своем домашнем ПК. С первого захода эта утилита обнаружила несколько опасных "дыр" и глубоко укоренившихся в системе шпионских программ, мимо которых проходили именитые антивирусные пакеты. Причем, из протокола работы AVZ, весьма грамотно составленного и информативного, было очевидно, что это не "миражи", не следствие "параноидального" эвристического режима. Попробуйте и вы: я уверен - не раз скажете Олегу Зайцеву спасибо.
- Олег, как Вам, типичному
"сисадмину", удается находить
время для антивирусного проекта?
- Это не трудно при правильном подходе. У меня нет антивирусной лаборатории в привычном понимании - мощной организационной структуры с большим штатом сотрудников. Мой принцип: всю рутину должны делать не полсотни аналитиков, а кибернетические системы. Прежде я занимался нейроматематикой, системами с нечеткой логикой и различными системами автоматической обработки и классификации информации - этот опыт помог создать гибкую автоматизированную систему, наделить ее простейшим "интеллектом", переложить на ее плечи множество функций. Я редко вмешиваюсь в анализ присылаемых пользователями завирусованных файлов - за меня это делает автоматика. Я не слежу за обновлением антивирусных баз - это делает машина. Не я "ловлю" новые вирусы. Под рукой у меня большая сеть, скоростной интернет. Весь трафик (а это, минимум, полмиллиона интернет-запросов в сутки) изучает моя программа-анализатор, к тому же в сети установлены специальные компьютеры-"ловушки". Эти и другие методы дают в комплексе целый поток "зверей", причем прогрессия - геометрическая: чем больше данных и образцов накопила программа-анализатор, тем больше вирусов она способна поймать. Кроме автоматики, у меня есть "группа поддержки" - в первую очередь, сотрудники "СмоленскЭнерго" плюс человек сто знакомых: в основном, системные администраторы предприятий, банков, интернет-провайдеров и т.п. Наконец, я вместе с разработчиками антивирусов VBA, UNA, Stop! и Edwido вхожу в закрытую сеть оперативного обмена образцами вредоносного кода, в которую, кстати, меня пригласил руководитель белорусской компании "ВирусБлокАда" Вячеслав Коледа. Все это, в конечном итоге, позволяет мне тратить на развитие AVZ не больше одного дня в неделю. Причем я занимаюсь этим в рабочее время на законных основаниях: мой продукт применяется на всех компьютерах локальной сети "Смо-ленскЭнерго" как штатное средство антивирусной защиты и диагностики.
- Много ли денег экономит AVZ вашей организации?
- Много... Сутки простоя серверов - катастрофа. AVZ и создавался как средство подавления эпидемий, которые парализовали нашу сеть. Сейчас со всеми эпидемиями мы справляемся самостоятельно, не дожидаясь реакции производителей антивирусного ПО. Кроме того, планомерное уничтожение SpyWare-программ экономит нам трафик. Эффект от этого ощутим - предположим, что в месяц один AdWare потребляет 10 мегабайт трафика, поражено 200 ПК - в месяц получаем 2 гигабайта трафика. Это $200 ежемесячно при нынешних ценах на интернет в Смоленске.
- AVZ детектирует несколько видов деструктивных программ. Почему вы выбрали именно их?
- Прежде чем два года назад приступить к созданию AVZ, я три года собирал статистику: что проникает в нашу сеть, в борьбе с какими зловредными программами испытывают затруднения известные антивирусы. Сегодня, на мой взгляд, наиболее опасны трояны, руткиты, кейлоггеры, поскольку они обеспечивают кражу паролей, вторжение в сеть, утечку денег и т.п. Ведь обычные вирусы только заражают файлы, не принося особого вреда, а деструктивные вирусы встречаются все реже. Что касается AdWare-программ, с которыми также борется AVZ, при кажущейся безобидности они нещадно пожирают трафик. AdWare и SpyWare сегодня прогрессируют быстрее, чем аналитики успевают загонять сигнатуры в базы. Набирают обороты и руткиты - технология вмешательства в ядро системы и перехвата API: против них бессильны все существующие антиспайверы и многие антивирусы. Также в последнее время появляются оригинальные технологии - например, заражение системных DLL, установка процессов на автозапуск как сервисов, создание вредоносных программ в виде драйверов. Технологии борьбы со всем этим "зверьем" я и развиваю.
- В паре с каким известным антивирусным пакетом вы бы рекомендовали использовать AVZ?
- По моему мнению, с антивирусом Касперского. KAV на сегодня - лидер, он поддерживает детектирование наибольшего количества вирусов, имеет хорошие анализаторы, понимает форматы многих пакеров, криптеров, инсталляторов/архиваторов и т.п. Но AVZ не будет бесполезен в этой паре, поскольку моя антивирусная утилита располагает множеством антишпионских технологий, плюс антируткитом и антикейлоггером. В результате AVZ часто вылавливает то, что тот же KAV и другие известные антивирусы пропускают. В частности, не имеют прямых аналогов мои микропрограммы эвристики: их сегодня в AVZ более трехсот, при том, что занимают они чуть больше двадцати килобайт. Если запись в стандартной AV базе данных - это шаблон плюс правила его сравнения с исследуемым кодом, то микропрограмма эвристики является небольшой программой, она имеет доступ к реестру, файловой системе, всем функциям ядра AVZ. Похожие технологии применяются в ряде антивирусов для анализа, расшифровки и лечения файлов, у меня же они применены для анализа системы в целом - это дает неплохие результаты в случае с AdWare/Spyware. После поимки "зверя" вручную я закладываю логику его обнаружения в микропрограмму. Также в AVZ на сегодняшний день включено свыше пятидесяти микропрограмм лечения, которые зачищают "хвосты" от удаляемых "зверей", в основном, в реестре. Количество микропрограмм эвристики и лечения с каждым обновлением AVZ увеличивается...
- Лаборатория Касперского планирует внедрить антируткит только в Kaspersky Anti-Virus 2006 и Kaspersky Internet Security 2006. Получается, вы опередили одного из лидеров мирового рынка?
- Да, так уж получилось... Специалисты ЛК сейчас осуждают со мной возможности сотрудничества, в частности, в деле создания антируткита для KIS-2006. Собственно, антируткиты сегодня уже включены во многие известные антивирусные пакеты, просто AVZ - пока единственная русскоязычная программа, обладающая этой возможностью. Кроме того, зарубежные программы чаще всего только детектируют руткиты, в то время как AVZ уже умеет реально противодействовать их работе.
- Если вы по каким-то причинам прекратите свой проект, как долго AVZ будет оставаться эффективным решением?
- Встроенные в AVZ антируткит и антикейлоггер - до тех пор, пока существуют технологии перехвата API и внедрения в DLL. Микропрограммы эвристики - достаточно долго: к примеру, детектирование SpyWare по заложенным в них алгоритмам успешно работает без существенных модификаций уже более года. Что касается сигнатурного сканера, его эффективность упадет почти до нуля примерно через квартал - тут AVZ в равных условиях с конкурирующими программами.
- Хотя это далеко не всегда оправдано, - особенно в вашем случае - многие пользователи отдают предпочтение тем антивирусным пакетам, у которых количество записей в сигнатурной базе выше. Как с этим обстоят дела у AVZ?
- Сегодня в сигнатурной базе AVZ - свыше 16 тысяч вредоносных программ, причем, ни одного устаревшего, только действующие. По моим оценкам, в данный момент AVZ знает 20-30% всех AdWare/SpyWare/троянов, встречающихся в "живой природе". База активно пополняется, через год-полтора AVZ будет ловить не менее 30 тысяч вредоносных программ, что для программы его класса вполне приемлемо. Для сравнения: сегодня в базе LavaSoft Ad-aware - около 30 тысяч сигнатур, но среди них очень много сигнатур cookies и подобных файлов, не несущих прямой угрозы ПК.
- Кстати, насколько продуктивным вы считаете разработку программ, работающих вообще без сигнатурных баз и реагирующих только на поведение вредоносных программ? Могут ли они полностью заменить антивирусы с обновляемыми базами?
- Никогда. Сигнатура позволяет сравнить изучаемый объект с известными вредоносными и вынести однозначное решение - и то иногда бывают ложные срабатывания. Конечно, проактивная защита очень важна, поскольку дает возможность пресечь опасные действия, вовремя уведомить о них пользователя, поместить в карантин подозрительные файлы - но вынести однозначный вердикт о вредоносности такой анализатор не может. Кроме того, у любой эвристической системы неизбежны ложные срабатывания.
- Прислушиваются ли к вашему мнению коллеги - специалисты по компьютерной безопасности?
- Да, многие службы компьютерной "Скорой помощи" очень активно сотрудничают со мной: поставляют мне свежих "зверей" и в ответ получают технические заключения. Многие телекоммуникационные компании и интернет-провайдеры рекомендуют мои программы и статьи на своих сайтах (пример: www.tpi.ru/cgi-bin/prnt.cgi?name=services_networks_internet_faq_payment2) ввиду большого количества инцидентов, связанных с троянскими программами, модифицирующими параметры соединения.
- Получали ли вы от компаний-производителей антивирусного ПО предложения о покупке ваших технологий?
- Да. Однако чаще всего поднимаются вопросы не о покупке, а о сотрудничестве в том или ином виде.
- А не возникает ли желания открыть собственный бизнес?
- Все необходимое у меня есть, равно как есть несколько фирм, которые в любой момент готовы взять на себя технические сложности и первоначальные финансовые затраты. Что меня останавливает? Я изучал статистику по продажам ПО. К сожалению, размах пиратства на российском рынке пока не позволяет рассчитывать на реальную прибыль. Кроме того, антивирус или антишпион - это, в первую очередь, круглосуточная техническая поддержка, оперативное реагирование, реклама и маркетинг. Пока я не хочу в это ввязываться, хотя многие убеждают в обратном. Но я сейчас сосредоточен на других коммерческих проектах, например, на разработке и продвижении программно-аппаратных систем экстренной связи со спецслужбами (см.: z-oleg.com/secur/pes_uvd.htm). Что касается AVZ, пока предпочитаю оставить его бесплатным.
- В заключение позвольте "наивный" вопрос пользователя: реально ли изобрести абсолютно безопасный интернет?
- Я в это не верю: в любой программе можно найти "дыру". И даже если это не удается, то у злоумышленников есть безотказные методы социальной инженерии. Например, до сих пор не менее 10-20% пользователей запускают полученный по почте exe-файл неизвестного происхождения... Прошедшая недавно эпидемия ICQ вируса это наглядно продемонстрировала.
- В таком случае, можно ли стопроцентно защитить данные и программы на одном отдельно взятом компьютере, подключенном к интернету?
- Мой любимый каламбур "в тему": стопроцентную защиту дает только дурак, Господь Бог и страховой полис :). Таким образом, если некий разработчик пишет на своем сайте: "Гарантирую стопроцентную защиту..." или "Гарантированно обнаруживаем любой вирус", - его статус можно вывести из данного каламбура методом исключения :). А если серьезно, 100% защита нереальна. Но вполне реально повысить степень защищенности компьютера, например, до уровня > 99%. Но тогда формулировка должна звучать несколько иначе: "Обеспечивается защита либо оперативное диагностирование факта заражения компьютера и принятие немедленных мер..." Именно так обстоит дело в локальной сети "СмоленскЭнерго", где любая зловредная программа будет изучена и нейтрализована в течение часа, где трафик фильтруется по адресам и содержимому и работа идет только через прокси и аппаратные Firewall, в сети применяются HoneyPot. В качестве резюме можно отметить, что все программные/аппаратные меры малоэффективны без продуманной политики информационной безопасности, которая доводится до всех пользователей и соблюдение которой тщательно контролируется.
Беседовал Юрий СМИРНОВ
Комментарии
Ну, и парочку санкционированных увидел.
Потом, выдал такую инфу:
Функция kernel32.dll:LoadLibraryA (578) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FC4<>7C801D77
Функция kernel32.dll:LoadLibraryExA (579) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FD3<>7C801D4F
Функция kernel32.dll:LoadLibraryExW (580) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FF1<>7C801AF1
Функция kernel32.dll:LoadLibraryW (581) перехвачена, метод ProcAddressHijack.GetProcAddress ->7C882FE2<>7C80ACD3
Что это и как такое лечить непонятно.
http://forum.kaspersky.com/index.php?showtopic=427
AVZ - нерезидент, он постоянно не крутится, просто сканер/исследователь.