Мессенджер от ЛК

По слухам от людей, так или иначе связанных с Лабораторией Касперского, в ближайшем времени намечается появление бесплатной программы для обмена мгновенными сообщениями (мессенджер) для мобильных (и не только) платформ с повышенной безопасностью. То есть с обязательным шифрованием трафика, криптографией, обменом ключами и тому подобным. Судя по их словам, мессенджер должен получиться весьма достойным, но как говорится: «поживём — увидим». Ждём его появление в Google Apps, Apple Store и для PC.

Смерть блокеров

Вот и пришла смерть зловредам блокирующим экран, жаль правда что пока только в лице продуктов от ЛК — по нажатию определённого сочетания клавиш запускается процедура выпиливания оной даже в том случае, если до этого вредоносная программа смогла преодолеть всю имеющуюся защиту. Похоже что в Лаборатории Касперского действительно прислушиваются к предложениям, поступившим от пользователей.

Почему я так решил? Пример смотрите в полной версии заметки (жмите «Read more») 🙂

Читать дальше

KSN и ФСБ

Я уже упоминал о том, что благодаря Kaspesky Security Network в прошлом году имел удовольствие общаться с сотрудником областного управления ФСБ и сотрудником Лаборатории Касперского. Вчера мне напомнили об этом случае и я с ужасом обнаружил, что так и не рассказал об этом подробнее в блоге. Сейчас исправлю это недоразумение. 🙂

Одним прекрасным днём я решил проверить разницу в детектировании продуктами Лаборатории Касперского при сканировании как с включенным KSN, так и без его использования (т.е. проверять с выключенным KSN и без доступа к интернету). Для тестирования взял часть своей коллекции зловредов, которая использовалась при проведении «Теста антивирусов 2011». Как и ожидалось — результат детектирования различался совсем немногим (за исключением скорости проверки), эксперимент был проведён успешно и забыт. Но самое удивительное и интересное началось несколькими неделями позже.

Читать дальше

Kaspersky Endpoint Security 8.1.0.1042

Читаю описание свежевышедшего  релиза Kaspersky Endpoint Security восьмой линейки и в разделе «Исправлено» нахожу следующее предложение:

Исправлена несовместимость Kaspersky Endpoint Security с приложением TROLL. Теперь приложение TROLL функционирует в нормальном режиме при установленной Kaspersky Endpoint Security.

Читаю и радуюсь — теперь все тролли, использующие Kaspersky Endpoint Security 8, смогут наконец-то полноценно жить и троллить окружающих. )))

Kaspersky Endpoint Security для бизнеса

Вышла в свет новая линейка корпоративного антивирусного продукта от Лаборатории Касперского — Kaspersky Endpoint Security и Kaspersky Security Center десятой версии. С выходом новой линейки продуктов ЛК изменила лицензирование продукта — сейчас разбиение идёт в большей степени по дополнительному функционалу, большую часть из которого можно приобретать отдельно. По сути же это доработанная предыдущая версия KES и KSC, в которой появилось только две новые или кардинально обновлённые функции:

Шифрование

В продукт теперь встроен модуль шифрования (который пока не поставляется в комплекте установочного пакета KES, а скачивается отдельно). В российской версии модуля используется алгоритм шифрования Advanced Encryption Standard (AES) с длиной ключа в 53 бита. Использовать более стойкие ключи в продукте запрещает наше российское законодательство, зато за рубежом для скачивания доступен без проблем модуль с нормальной длиной ключа в 256 бит.

Средства системного администрирования

Теперь это отдельная фишка продукта, поставляемая только в комплектах «Kaspersky Endpoint Security для бизнеса РАСШИРЕННЫЙ» и «Kaspersky Total Security для бизнеса» (или же приобретается отдельно). Здесь собрали средства установки/удаления стороннего ПО через агенты KSC, возможность поиска уязвимостей операционной системы и установленных программ, патч-менеджмента продуктов Microsoft (присутствует возможность развёртывания «собственного» WSUS через KSC) и самых распространённых программ, развёртывание операционных систем Windows c помощью Windows Automated Installation Kit (WAIK) и систему контроля доступа к сети NAC. Ленивые администраторы могут теперь писаться от счастья — KSC с них снимет необходимость ковыряться во WSUS, WAIK, NAP и т.п.

P.S. Сразу предупрежу всех желающих попробовать развернуть данный продукт в своей сети — это будет вашим первым шагом к куче проблем и возможному увольнению. Ждите первого Critical Fix, а лучше потерпите сразу и до второго. 🙂 Судя по отзывам людей (да-да, есть такие в наших краях 🙂 ), которые рискнули произвести подобное безумство в рабочей сети — ничего хорошего вас не ожидает.

P.P.S. А вообще очень похоже, что ЛК решила срубить немного бабла на разграничении и продаже функционала продукта по отдельным позициям, а также на увеличении стоимости используемых пакетов.

Kaspersky ONE: Tablet Security

Дошли руки посмотреть на это чудо природы, призванное защитить ваш планшет. Сразу же выяснилось, что большинство непродвинутых пользователей не сможет просто так его установить себе на устройство, так как в «Google Play Маркет» приложения Kaspersky ONE: Tablet Security нет по определению, а Kaspersky Tablet Security стоит 300 рублей, которые надо бы заплатить ещё до установки. Единственный вариант — включить возможность установки из неизвестных источников и установить, скачав APK-файл с официальной страницы программы (при этом в Руководстве пользователя об установке продукта вообще нет ни слова).

После запуска и проведения предварительной настройки я столкнулся с … потрясающий неграмотностью при локализации продукта (а вы нашли ошибку? 🙂 ):

Kaspersky Tablet Security

Я насчитал 11 (!!!) орфографических ошибок! И это с учётом того, что данный продукт разрабатывает РОССИЙСКАЯ, а не какая-нибудь там китайская компания!!!

Второе с чем я столкнулся — зарегистрированные устройства нигде не отображаются в личном кабинете, хотя при установке они вроде как привязывается к конкретному аккаунту, зарегистрированному в Лаборатории Касперского. Как потом и где искать своё украденное/потерянное устройство, а также как им управлять — для непродвинутых пользователей останется загадкой до тех пор пока они не прочитают руководство пользователя на 37 страницах. Тогда-то и выяснится, что есть такой портал anti-theft.kaspersky.com, на котором и можно будет поуправлять своими устройствами. В чём проблема добавления отдельной ссылки для перехода на него прямо из личного кабинета — не знаю, видимо сотрудники ЛК просто забыли об этом или просто забили на это.

Интереса ради, я получил пять фотографий своей «морды лица», включив опцию «Тайное фото», однако при создании фотоснимков приложение «Kaspersky Тablet Security» вело себя ни разу не тайно, запускаясь и предлагая ввести пароль доступа к программе пять раз (делая при этом снимки). Боюсь, что после такого злоумышленники быстро просекут откуда дует ветер и больше мы своё устройство в онлайне не увидим, вплоть до полного удаления с него Касперского или до переустановки ОС Android. Разве нельзя было реализовать скрытую съёмку как действительно скрытую съёмку, а не как некую пародию на неё?

P.S. Поработав весьма поверхностно с данным продуктом пока сложилось скорее негативное впечатление о том, что было бы неплохо этот продукт хотя бы немного довести до ума перед тем как выбрасывать его в продажу на рынок.

ЛК всех порадовала…

«Лаборатория Касперского» внезапно решила сделать всем необычайно весёлый подарок и 5 февраля выпустила автопатч «b» к продукту Kaspersky Endpoint Security 8. Не прошло и пары дней как у счастливых пользователей данного продукта начались проблемы — пропадание компьютеров из Kaspersky Security Center, 100% загрузка процессора, жесткие тормоза без загрузки процессора и т.п. 9 февраля был выпущен очередной автопатч «c», который должен был исправить ошибки автопатча «b»:

Автопатч «с» исправляет ситуацию, при которой после установки автопатча «b» в Консоли администрирования Kaspersky Security Center 9 статус клиентского компьютера меняется на «Защита отключена», если завершены все сеансы пользователей на этом клиентском компьютере.

однако, как показала практика, это ему не совсем удалось. Продолжаются эксперименты на подопытных кроликах, которые думали, что заплатили за готовый продукт, а оказались обычными бета-тестерами… 🙁

Анализ минидампов

Разобрал 139 минидампов, собранных с рабочих станций в этом году (разбирал через скрипт kdfe, который по нескольким файлам не смог выявить причину) и получил следующую статистику:

Статистика как бы говорит о том, что Антивирус Касперского всё же доставляет проблем больше чем этого бы хотелось пользователям и разработчикам продукта.

Kaspersky Security Network (KSN)

На прошлой неделе, благодаря Kaspersky Security Network (KSN), я имел удовольствие пообщаться с сотрудниками областного ФСБ по весьма любопытному поводу. Почему это ещё «благодаря KSN», спросите вы недоумевая, а самые рьяные фанатики фанаты Лаборатории Касперского сразу же начнут всё отрицать и говорить, что это наветы и происки врагов. 🙂 Но факт остаётся фактом — KSN гласно и негласно собирает о пользователях кучу информации и отказаться от этой «услуги» можно только нестандартными способами (типа блокирования отправки информации другим файерволом и т.п.). Для начала давайте посмотрим, что же написано в пользовательском соглашении KSN — там приводится довольно подробный список собираемой информации:

  1. Информация об установленном на компьютере аппаратном и программном обеспечении, в том числе версия операционной системы и установленные пакеты обновлений, объекты ядра, драйверы, сервисы, расширения Microsoft Internet Explorer, расширения системы печати, расширения Windows Explorer, загруженные объекты, элементы Active Setup, апплеты панели управления, записи файла hosts и системного реестра, версии браузеров и почтовых клиентов.
  2. Информация о состоянии антивирусной защиты компьютера, а также данные обо всех потенциально вредоносных объектах и действиях (в том числе название детектируемого объекта, дата и время обнаружения, URL-адрес, по которому он был загружен, названия и размер зараженных файлов и пути к ним, IP-адрес атакующего компьютера и номер порта компьютера пользователя, на который была направлена сетевая атака, перечень активностей вредоносной программы, потенциально вредоносные URL-адреса) и решениях продукта и пользователя по ним.
  3. Информация о загружаемых пользователем программах (URL-адрес, атрибуты, размер файла, информация о процессе, загрузившем файл).
  4. Информация о запускаемых программах и их модулях (размер, атрибуты, дата создания, информация заголовка PE, регион, имя, местоположение, упаковщики).
  5. Информация об ошибках и использовании пользовательского интерфейса установленного продукта Лаборатории Касперского.
  6. Также для дополнительной проверки в Лабораторию Касперского могут отправляться файлы, в отношении которых существует риск использования их злоумышленником с целью нанесения вреда компьютеру Пользователя, или их части.

Читать дальше

Кибервойны

Сегодня спецслужбы различных стран не скрывают того, что кибервойны ведутся уже сейчас и дальше их размах будет только шириться и их последствия будут становиться всё более и более серьёзными. На прошлой неделе об этом открыто заявили ВВС США, и кто знает сколько ещё стран уже ведут свою виртуальную войну, о которой мало кто догадывается из обывателей. Stuxnet, Duqu, Gauss, Flame, неуловимый Wiper — всё это только вершина айсберга, который наверняка способен не раз удивить страны-«титаники».

Представим гипотетическую ситуацию — некая государственная спецслужба, занимающаяся кибершпионажем, разведкой и диверсиями против недружественно настроенных стран/организаций использует в своей  повседневной деятельности ряд дорогостоящих и «невидимых» антивирусами инструментов. Для того, чтобы не быть скомпрометированными ими используется не только знания и навыки собственных сотрудников, но и привлекаются наёмные лица высокой квалификации, профессионально занимающиеся незаконной деятельностью в ИТ-сфере. Для выявления компрометации используются не только какие-то свои инструменты для наблюдения за деятельностью на скомпрометированных системах, но и мониторинг ресурсов по информационной безопасности (мало ли кто чего найдёт и заявит об этом во всеуслышание). В случае риска компрометации запускается утилита по удалению инструментария и зачистке всех хвостов за ним (что-то типа неуловимого Wiper).

Но как наиболее оперативно узнать о том, что возникла угроза компрометации? Для этого всего-то надо:

  • получить негласный контроль над одной или несколькими известными антивирусными лабораториями. Вы же все помните, что антивирусные компании постоянно обмениваются информацией по зловредам, оповещают о новых серьёзных киберугрозах и привлекают к расследованию «дружественные» вируслабы. Вот и здесь — как только проскользнёт мало-мальский шум среди антивирусных вендоров, касающийся некого инструмента, сразу же происходит его сворачивание.
  • оперативно получать информацию о  файлах, появляющихся в сети и проверяемых на онлайн-сервисах типа VirusTotal.com. Для этого надо тоже не так много — всего-то одной из контролируемых антивирусных компаний заключить договор, на основании которого будут предоставляться не только почасовая статистика по заново проверенным файлам, но и сами файлы, а также запросы по предыдущим проверкам. Т.е. если вдруг какой-то Вася Пупкин внезапно заполучит в руки любой кусок дорогостоящего кибер-оружия, то его владелец сможет в момент это засечь и убрать скомпрометированные компоненты.

Ну и конечно же — контроль за бесплатными почтовыми сервисами (Hotmail, Gmail, Yahoo!, Mail.Ru, Яндекс.Почта), онлайн-мессенджерами (Skype, Jabber, ICQ), SMS/MMS, сайтами/форумами, телефонными звонками и т.п., что уже имеется в наличии у большинства серьёзных спецслужб.

P.S. Что ещё может использоваться спецслужбами для отслеживания безопасности своего кибероружия?

P.P.S. Только написал заметку и сразу же в голову пришли облачные сервисы, которыми пользуются антивирусные компании, и которые мало того, что без спроса собирают информацию, так ещё не стесняются ею делиться с дружественными спецслужбами. Например Лаборатория Касперского весьма успешно использует свой Kaspersky Security Network (KSN) для сбора информации о сотнях тысяч пользователей, и, как я недавно узнал на своём примере, весьма плотно работает с ФСБ, но это уже другая история…