Касперский выступил против анонимности в Интернете

На бесплатном файловом хостинге Mlfat4arab выложены исходные коды продукта «Лаборатории Касперского» - Kaspersky Internet Security.

Rar-архив размером 182 МБ 26 января 2011 г. загрузил на хостинг неизвестный пользователь, и к моменту написания этого материала файл был скачан 2071 раз. Архив содержит коллекцию файлов с кодом, написанным на C++ в инструменте Visual C, и сборочных файлов.

Судя по названиям папок в архиве, в нем содержится исходный код движка KLAVA, работы над которым в «Лаборатории Касперского» вошли в заключительную фазу в 2008 г. На KLAVA основаны все последующие поколения продуктов компании, начиная с линейки 2009 г., вышедшей на рынок осенью 2008 г.

Эксперты российского дистрибутора ESET (производителя антивируса NOD32), получили возможность изучить утекший архив, рассказал CNews Александр Чачава, президент Leta Group, которой принадлежит дистрибутор. По его словам, специалисты компании пришли к выводу, что архив содержит части кода ядра в версиях 2006 г. и 2007 г. Чачава полагает, что «вряд ли при их изучении конкуренты и злоумышленники смогут узнать какие-то ноу-хау, поскольку эвристика у «Касперского» с тех пор изменилась».

Выложенные на хостинг файлы в полноценный продукт собрать нельзя, подчеркнул он. Однако они содержат слепки сигнатур нескольких вирусов, по которым злоумышленникам и конкурентам можно понять принципы работы «Антивируса Касперского».

По мнению Чачавы, основной ущерб, нанесенный «Лаборатории Касперского» этим инцидентом будет репутационным, поскольку, несмотря на невысокое качество утечки, этот случай все равно можно назвать беспрецедентным для компании, которая занимается безопасностью. Ядро антивируса — это краеугольный камень бизнеса любой секьюрити-компании, «и его исходники она старается защитить сильнее, чем свою финансовую документацию».

Комментируя источник утечки, Александр Чачава вспомнил о некоем недовольном разработчике «Лаборатории Касперского», который, уйдя из компании, выложил исходники на нескольких закрытых ресурсах. Вероятно, сейчас этот архив всплыл на общедоступном файл-сервере.

Член совета директоров и руководитель направления конкурентной разведки «Диалог Наука» Андрей Масалович рассказал CNews, что, прежде чем появиться в публичном доступе, утекший код предлагался к продаже на «черном рынке», причем первые предложения относились к апрелю 2009 г.

Он говорит, что в Сети легко найти документы любого антивирусного разработчика под грифом «конфиденциально», но это не дает оснований бить тревогу: компаний, которые совершенно не допускают подобных утечек, исчезающе мало. Однако, публикация ядра антивируса может составить серьезную проблему для безопасности интернета, поскольку после включения в защитные программы эвристических алгоритмов, кибер-преступники и кибер-разведчики начали настоящую охоту за их описанием.

Масалович напомнил, что крупнейшей в истории утечкой исходников стала несанкционированная публикация кодов ОС Windows NT4 и Windows 2000, которую Microsoft признала в феврале 2004 г.

В «Лаборатории Касперского» признают утечку кода, содержащую «фрагмент устаревшей версии антивирусного ядра, которое после этого было серьезно доработано и обновлено». В компании-разработчике нынешнюю утечку связывают с инцидентом, имевшим место в начале 2008 г.

Пресс-служба «Лаборатории» сообщила CNews, что «бывший сотрудник компании, в свое время имевший правомерный доступ к исходному коду продуктов 2008 г., разместил в интернете объявление о его продаже». После обращения компании в правоохранительные органы виновник утечки был задержан и приговорен к 3 годам лишения свободы условно с испытательным сроком 3 года по статье 183 Уголовного кодекса РФ.

По данным «Лаборатории Касперского», в ноябре 2010 г. тот же исходный код был опубликован на нескольких закрытых форумах.

«Лаборатория Касперского» заверяет, что инцидент не представляет угрозы безопасности пользователей продуктов, решений и услуг компании, поясняя, что украденный код относится к устаревшей продуктовой линейке. По сообщению компании, в ее современные продукты входит «крайне малая часть» опубликованного кода, которая не относится к защитным функциям. Кроме того, «Лаборатория Касперского» предупредила, что исходный код ее продуктов защищен авторским правом, и «размещение в интернете, скачивание, распространение или использование кода без согласия компании являются незаконными».

_http://www.kaspersky.ru/why_certificates

Соединенные Штаты, которые в ноябре и декабре 2010 года покинули ТОП-20 рейтинга стран-распространителей спама, вернулись в «двадцатку». В минувшем месяце возросло количество срабатываний почтового антивируса на территории этой страны, что связано с распространением вредоносных программ, «вербующих» компьютеры пользователей в зомби-сети для последующей рассылки с них спама. Таким образом спамеры попытались восстановить утраченные позиции. В результате объем почтового мусора, рассылаемого с территории США, увеличился, а сама страна поднялась в нашем рейтинге сразу на 10 строчек – с 24-го на 14-е место. В целом же, по сравнению с предыдущим месяцем тройка «лидеров» не изменилась: список возглавляют Индия (9,01% нежелательной корреспонденции в почтовом трафике), Россия (8,21%) и Италия (5,07%).

Наиболее популярной темой в рассылках января была реклама образовательных услуг (27%). На втором месте оказался медицинский спам (21,2%): он вернул себе прежние позиции после спада, вызванного закрытием в конце прошлого года специализированных партнерских программ (например, SpamIt). Его удельный вес в почтовом трафике увеличился на 12,2%. Третьей по популярности была реклама услуг самих спамеров (7,8%), доля которой незначительно сократилась (-1,6%).

Особенностью января стало попадание в рейтинг сообщений с предложениями на рынке недвижимости, а также рекламных рассылок, посвященных Дню святого Валентина. Первые «валентинки» начали поступать в почтовые ящики пользователей уже с 7 января. Одновременно в минувшем месяце изменилось соотношение партнерского и заказного спама. Если в начале месяца из-за праздников заказчики рекламных рассылок были не слишком активны, то потом ситуация изменилась, и доля заказного спама стала увеличиваться, достигнув на последней неделе января 60% (+9,0%).

Первый месяц нового года принес разочарование обладателям почтовых ящиков в доменной зоне .рф. До недавнего времени считалось, что этот сегмент сети практически не подвержен воздействию навязчивой рекламы, однако, как выяснилось, это не так.

Эксперты «Лаборатории Касперского» уже отмечали, что спамеры используют домены .рф как платформу для размещения своих ресурсов. Теперь же их базы пополнились еще и адресами пользователей, чьи почтовые ящики расположены в кириллической доменной зоне. Часть писем, попавших на такие адреса, была на английском языке, и во многих из них предлагались рекламные рассылки. Это позволяет сделать вывод о том, что и здесь пользователи не могут рассчитывать на спокойную жизнь без спама. Пока его объем в зоне .рф невелик, однако очевидно, что он будет расти.

Спамеры в январе небезуспешно использовали свои возможности для восстановления мощностей по рассылке почтового мусора. Их активность свидетельствует о том, что США в силу высокой компьютеризации по-прежнему представляют для них интерес как место для создания зомби-сетей. Одновременно никак нельзя считать побежденным и фармацевтический спам, доля которого вновь пошла вверх. Сейчас очевидно, что спамеры не намерены расставаться с этой доходной статьей своего бизнеса. Таким образом, если в ближайшее время не активизируется борьба с распространителями нежелательной корреспонденции, то к весне ее объем может приблизиться к показателям лета 2010 года, когда он составлял в среднем 82-83%, отмечается в отчете «Лаборатории Касперского».

В 2010 году эксперты «Лаборатории Касперского» ежедневно обнаруживали более 35 тыс. новых вредоносных программ. Для компаний любого размера защита от современных угроз, количество которых стремительно растет, - непростая задача. Положение еще более усложняется децентрализацией и расширением вычислительных сред. Кроме того, многие организации не обладают ресурсами, необходимыми для эффективного обеспечения безопасности своей ИТ-инфраструктуры. В то же время, низкое качество защиты может причинить серьезный ущерб их коммерческой деятельности.

«Лаборатория Касперского» рада возможности предоставить поддержку решения VMware vShield Endpoint, отмечается в пресс-релизе ЛК. Это позволит компаниям реализовывать самые современные, многоуровневые стратегии защиты виртуализированных сред и гетерогенных ИТ-инфраструктур от вредоносного ПО. При этом уровень производительности и совокупная стоимость защиты будут полностью соответствовать потребностям клиента», - говорит Николай Гребенников, директор по исследованиям и разработке «Лаборатории Касперского».

«Компания VMware является ведущим разработчиком высокопроизводительных решений в области безопасности отдельных узлов сети. Мы работаем в тесном сотрудничестве с «Лабораторией Касперского», чтобы обеспечить надежную защиту виртуализированных сред, которые получают широкое распространение сегодня, - отмечает Параг Пател, вице-президент по глобальным стратегическим альянсам компании VMware. - С «Лабораторией Касперского» мы создаем полностью интегрированное решение, которое позволит добиться оптимальной производительности и обеспечить безопасную работу и защиту наших общих клиентов».

Также в феврале было обнаружено сразу несколько новых видов вредоносного ПО для мобильной платформы Google Android. Эти зловреды обладают функционалом бэкдора, то есть используются злоумышленниками для получения несанкционированного доступа к устройству пользователя. В данном случае троянцы использовали идентификационные данные мобильного телефона для осуществления запросов к поисковой системе в фоновом режиме и последующей накрутки посещения сайтов. Зловреды действовали на территории Китая, США, Испании, Бразилии и России.

Не теряет популярность в России и такой вид мобильных угроз как SMS-троянцы для платформы J2ME, охватывающей самый широкий спектр мобильных устройств. Заражение чаще всего происходит через ссылки в спам-сообщениях, распространяемых в ICQ. Попав на телефон, зловред осуществляет скрытую рассылку SMS-сообщений на премиум-номер, стремительно сокращая баланс пользователя.

_http://www.securelist...ti_fevral_2011

Попав на компьютер, зловред выводит на Рабочий стол окно с предложением отправить СМС-сообщение на короткий номер, чтобы получить программу для доступа к личным данным пользователей сети «ВКонтакте». Одновременно троянец блокирует работу системы до тех пор, пока вымогатели не получат выкуп в виде СМС-ки.

Однако, отправив СМС-сообщение, пользователь оказывается дважды «наказан» злоумышленниками. Троянец скачает архив VK-Hack.zip, в котором находятся программа для подбора паролей к аккаунтам в популярных почтовых сервисах, а также ПО класса ShareWare, за полноценное использование которого необходимо заплатить дополнительно. Таким образом, жертва уловки мошенников не только оплачивает отправку дорогостоящей СМС-ки, но и получает совсем не бесплатные программы сомнительного функционала.

Виртуальное пространство сегодня становится все более опасным. К сожалению, долю ответственности за это несут и пользователи, которые выбирают нечестные правила игры, предложенные злоумышленниками. При обнаружении же СМС-блокера на компьютере, прежде всего, рекомендуется не идти на поводу у мошенников и не отправлять сообщения. Удалить назойливый баннер с Рабочего стола можно с помощью бесплатного сервиса на сайте «Лаборатории Касперского». Данная услуга доступна также и через мобильное устройство.

«Применение инновационных технологий и усовершенствованных методов и алгоритмов обнаружения вредоносных программ позволяет повысить эффективность и скорость работы существующих антивирусных решений, сократить количество ложных срабатываний, снизить нагрузку на систему и оптимизировать настройку приложений.

«Инновации всегда были основным фактором развития и поддержания конкурентоспособности «Лаборатории Касперского», – комментирует Надежда Кащенко, руководитель отдела по управлению интеллектуальной собственностью «Лаборатории Касперского». – Получение сразу десяти новых патентов, и при этом в самых разных областях защиты информации, подтверждает высочайший уровень квалификации наших разработчиков. Новые запатентованные технологии открывают для наших клиентов более высокий уровень безопасности, производительности и удобства».

Зарегистрированные технологии оптимизируют работу существующих систем информационной безопасности и повышают эффективность их работы. Так, например, одна из технологий дает возможность осуществлять проверку подозрительного ПО в зависимости от его положения в рейтинге вредоносных программ, а система адаптивного управления безопасностью мобильного устройства минимизирует трафик за счет загрузки только тех обновлений базы угроз, которые являются потенциально опасными для конкретного смартфона. Кроме того, ряд патентов описывают способы выбора оптимальных настроек нескольких приложений, использующих ресурсы одного компьютера, новые методы выявления активных спам-ботов, а также систему ускорения проверки файлов при эмуляции.

В настоящее время Роспатентом зарегистрировано более 30 технологий, разработанных «Лабораторией Касперского». Патентные ведомства США, России, Китая и Европы рассматривают более шестидесяти патентных заявок «Лаборатории», описывающих уникальные инновационные технологии в области информационной безопасности.

Информация о полученных патентах:

Патент № 101217 описывает систему ускорения проверки файлов при эмуляции. В изобретении «Лаборатории Касперского» используется специальный ускоритель, который выполняет часть инструкций эмулируемой программы на процессоре компьютера пользователя. Подобный подход значительно снижает время эмуляции для безопасных команд.

Еще один российский патент № 101222 выдан системе, осуществляющей выбор оптимальных настроек нескольких приложений, использующих ресурсы одного компьютера. Преимущество новой технологии заключается в типизации основных политик использования ресурсов, а также в возможности создать новую политику для заданной конфигурации компьютера и настроек приложений.

Описанная в патенте № 101223 система обеспечивает быстрое определение сходства между различными файлами для их оперативной классификации путем сравнения специальным образом подобранных характеристик файла с имеющейся базой данных выбранных характеристик.

Ещё одна запатентованная в России система, описанная в патенте № 101224, позволяет обнаруживать и минимизировать риск ложных срабатываний. Система создаёт и поддерживает в актуальном состоянии списки вредоносных и безопасных программ и ищет между ними пересечения. При их обнаружении на основании имеющихся у нее данных система принимает решение о правке либо списки безопасных, либо вредоносных. Выявление и исправление ложных срабатываний может происходить как до, так и после выпуска антивирусных баз данных.

Технология, на которую выдан патент № 101229, позволяет уменьшать объём обновлений программных продуктов и, соответственно, объем трафика между сервером и клиентом. Суть изобретения заключается в том, что клиенту передается лишь разница между последней актуальной версией антивирусных баз данных на сервере и текущей версией баз данных у клиента.

В патенте № 101231 описана система адаптивного управления безопасностью мобильного устройства. Согласно данной технологии, политику безопасности устройства можно привязать к месту его нахождения и к типу установки защитного приложения. В целях минимизации трафика может быть использована схема загрузки не всех обновлений базы угроз, а только той её части, которая относится к потенциально опасным для конкретного мобильного телефона. Система безопасности будет продолжать отслеживать установку новых программ и, в случае необходимости, подгрузит необходимые обновления в реальном времени.

Ещё одна новая технология позволяет автоматически создавать инструменты противодействия определённому типу вредоносных приложений. В системе используется база универсальных сценариев лечения. На её основе создается сценарий, подходящий для конкретного инцидента, отражённого в журнале событий на компьютере пользователя. На эту новую технологию был получен патент № 101232.

Технология, на которую выдан российский патент под номером 101233, позволяет рассчитывать рейтинг безопасности программ с целью наиболее точного обнаружения. На основании рассчитанного рейтинга для подозрительных программ вводятся ограничения на доступ к определенным компьютерным ресурсам, что предотвращает ущерб от действий потенциально опасной программы.

Российский патент № 101234 описывает новый метод выявления активных спам-ботов, для чего используется специальный обработчик SMTP-сессии. Обработчик SMTP-сессии также следит за выполнением политик работы с почтовым клиентом. Эти политики могут включать использование «черных» списков IP-адресов, различные правила обработки команд протокола и т.д.

И, наконец, новый метод, описанный в патенте № 101235, предлагает алгоритм ускорения проверки исполняемых файлов. Сам метод начинается с проверки, является ли файл известным, то есть, находится ли он в списке безопасных объектов. Для неизвестных файлов происходит анализ и оценка риска, на основании которых определяются используемые методы обнаружения вредоносных программ.»