Александр Матросов (ESET): Воровство cookies – это далеко не новый тренд
АрхивИнтерактивные интервьюРуководитель недавно созданного Центра вирусных исследований и аналитики ESET ответил на ваши вопросы. Скорость реакции на угрозы должны ускорить, а пользователям Linux-систем предлагают скачать бета-версию NOD32.
Руководитель недавно созданного Центра вирусных исследований и аналитики (проще говоря, вируслаба) ESET ответил на ваши вопросы.
Сергей Вильянов: Насколько остра необходимость в локальном вируслабе? В каких ещё странах действуют подобные лаборатории?
Исторически сложилось, что в России много высококвалифицированных специалистов по информационной безопасности. Они могут применять свои таланты, как во благо, так и во вред. Необходимость создания Центра вирусных исследований назрела давно, так как количество вредоносного трафика из России с каждым годом растет. Кроме того, существуют и локальные угрозы, которые можно встретить только в нашем регионе. С этими угрозами нам и предстоит бороться.
Не страшно ли бросаться на такую огнедышащую амбразуру?
Бросаться на такую огнедышащую амбразуру совсем не страшно, а даже очень интересно, так как за спиной уже есть большой опыт работы в этой сфере. Я, как любой исследователь, очень увлечён своей работой, и чем сложнее задача, тем она для меня интереснее.
jno: Какова вероятность встречи с "ископаемым" вирусом? Для чего сохраняются в базах антивирусов аж сигнатуры загрузочных вирусов для ДОС?
Чем больше времени проходит от пика распространения той или иной вирусной угрозы, тем меньше вероятность встретить её, конечно если речь идет о компьютере, на котором стоят все последние обновления :). Так как ESET предоставляет комплексную защиту от вредоносных программ, необходимо иметь как можно большее покрытие известных вирусов в нашей базе, даже если они уже устарели.
halted liner: Сам лично неоднократно видел появление трояна (к сожалению, название не запомнил) на машине с установленным NOD32, но просроченной лицензией. Как вы это прокомментируете? В продолжение вопроса, считаете ли вы уместным снижение защиты для антивирусов с просроченной лицензией?
Появление вредоносной программы на компьютере с просроченной лицензией вполне объяснимо. Дело в том, что вы перестаёте получать актуальные обновления сигнатурных баз и становитесь уязвимы к новым угрозам. Поэтому для обеспечения надежной защиты оплачивать лицензию необходимо вовремя.
Если речь идёт о платных антивирусных программах, снижение уровня защиты антивируса при просроченной лицензии вполне предсказуемо, так как поддерживать высокое качество этой защиты можно только обладая высокопрофессиональной командой специалистов. А это удовольствие не из дешёвых. Кстати, поэтому есть существенные отличия в качестве предоставляемой защиты платными антивирусными программами и бесплатными, последние из которых зачастую не имеют высококвалифицированных вирусных лабораторий, ни качественной технической поддержки, ни других сервисов.
santy: Интересно, в каком направлении развивается фирменный инструмент Eset-а Eset SysInspector? Будет ли доработана технология удаления вредоносных файлов (модулей, драйверов, служб) при помощи сервисных скриптов? Как показывает опыт лечения зараженных систем, сильно не хватает инструмента с таким функционалом специалистам технической поддержки. (Хотя есть, в общем, другие – avz, uvs...)
Развитие Eset SysInspector для нас является одним из приоритетных направлений, и, надеюсь, скоро мы вас приятно удивим. :)
WinAdmin: Есть ли какие-то официальные подтверждения проблем работы Eset nod32 Business Edition на Windows 2003 Server?
Этот вопрос не совсем по адресу. Я думаю, если вы зададите его нашим специалистам технической поддержки, они вам с удовольствием помогут. Но, насколько мне известно, данная проблема уже давно решена.
Александр Сафронов:Скажите, пожалуйста, будут ли входить в зону ответственности Вашего центра вопросы маркетинга, продвижения, продаж и т.п. на территории СНГ или сосредоточитесь только на технических моментах? Мне кажется эта позиция у компании слабая, Касперский очень далеко шагнул.Можете рассказать подробно о том, как будет работать центр: каков штат, круг обязанностей, за который будет отвечать Ваш центр и т.д.?
В мои задачи входят именно технические вопросы, а для маркетинга у нас отдельный департамент, который лучше меня разбирается в этом вопросе. Но могу сказать, что отнюдь не считаю слабой маркетинговую политику ESET в России, так как без правильного маркетинга вряд ли мы бы стали вторым антивирусом на рынке за несколько лет.
Основной круг задач центра – это повышение скорости реакции при появлении новой вирусной заразы в нашем регионе. Мы хотим существенно повысить качество обнаружения вирусных угроз, которые проявляются у нас раньше, чем в других регионах или имеют сугубо локальный характер. Я искренне надеюсь, что наши российские пользователи оценят работу центра по достоинству. Что же касается штата, мы не стремимся набирать людей базового уровня в области вирусной аналитики, а формируем команду высококвалифицированных специалистов. Конечно, это процесс небыстрый, так как люди такого уровня – редкость, но у нас уже сформировалась отличная команда.
Владимир Башкатов: Александр, расскажите, можно ли стать аналитиком у вас в вируслабе? Какие требования предъявляются к сотрудникам, что они должны знать и уметь?
Если чувствуете уверенность в своих силах, тогда присылайте резюме на cv@esetnod32.ru. Вам придётся пройти ряд тестов, после которых мы сможем принять решение. В нашей компании довольно оригинальный способ найма вирусных аналитиков, обещаю, в процессе будет интересно и вам, и нам. :)
Павел Плехов: Как я заметил, антивирус NOD не особо хорошо справляется с активным заражением... Появится ли что-то типа live CD, как у DrWeb или диск аварийного восстановления, как у Касперского, для лечения уже зараженного компьютера?
Если вы имеете в виду разработку отдельных инструментов для лечения активного заражения, не входящих в состав нашего основного продукта, то мы активно работаем в данном направлении, и у нас есть прекрасное приложение для этого – Eset SysInspector. В его основные обязанности входят в том числе и диагностика уже зараженных систем, и помощь в противодействии вирусной заразе.
Vladimir Voronov: Какова вероятность, что Центр вирусных исследований и аналитики действительно будет оперативно(!) выявлять вирусы и уничтожать их?
По чьей инициативе был открыт Центр вирусных исследований и аналитики, и кем он будет спонсироваться?
Вероятность крайне высокая – помимо обработки потока вредоносных программ у нас есть проекты, связанные с автоматизированным сбором новых экземпляров злонамеренного ПО, появляющихся в российской части Интернета. А инициатива создания данного подразделения была обоюдная, так как необходимость в открытии центра назревала уже давно.
Макс С.: С какой целью распространяются триальные ключи, в чём их ограничение, какова функциональность?
Если речь идёт о пробных версиях продуктов ESET с нашего сайта, то цель их распространения – дать опробовать функциональность нашего продукта. А ограничение у пробной версии только одно, это её время работы – 30 дней.
halted liner: Рассматриваете ли вы всерьёз *nix оси для доли своего рынка?
Измерение долей рынка не входит в мою компетенцию, но могу сказать одно, если бы мы не видели здесь для себя перспектив, не было бы разработано решение Антивирус ESET NOD32 for Linux Desktop, которое сейчас находится на стадии открытого бета-тестирования.
SlOPS: В свете массовой доступности бесплатного Microsoft Security Essentials что планирует предпринять компания для сохранения корпоративной базы подписчиков?
Microsoft Security Essentials – это хорошее антивирусное решение среди бесплатных аналогов, но необходимо понимать, что оно дает лишь базовый функционал антивирусной защиты. То, что реализовано в составе наших продуктов, значительно превосходит его по качеству технологий, сервиса и прочим параметрам.
K_Mikhail: Центр вирусных исследований и аналитики предполагается быть сугубо мониторинговым центром или в нём также будут добавляться вирусные базы NOD32? И, как следствие, в каком именно направлении вы работали в "Доктор Веб" по части вредоносного кода? Добавляли ли сами вирусные записи в базы? Имеете ли опыт обработки запросов от пользователей в плане лечения вирусных заражений?
Одна из основных целей нашего центра – это увеличение скорости реакции на локальные угрозы в нашем регионе, а без оперативного добавления новых записей в антивирусные базы этого сделать нельзя.
В компании "Доктор Веб" мне приходилось решать много интересных аналитических задач, начиная с поиска образцов новых угроз и заканчивая проведением подробных исследований вредоносных программ по запросу компетентных органов.
san411: Сталкивался со случаем, когда обновленные антивирусы не могли распознать вирус, отсюда вопрос: на что фактически стоит рассчитывать большинству пользователей от систем автоматической защиты (различных приложений и, в частности, антивирусов)? Что в обязательном порядке стоит сохранять на резервных носителях/шифровать/каким-то другим образом защищать?
И второй вопрос: в чём фактическая разница между одним крупной вирусной лабораторией и множеством средних и небольших (помимо разницы во времени)? Какие преимущества и недостатки?
Ни один антивирусный продукт не имеет возможности обнаруживать абсолютно все вирусы – это сродни задаче знать ответы на абсолютно любые вопросы. Цель антивирусного продукта – снизить вероятность потенциально возможного заражения вашей системы. Помимо сигнатурного анализа наш продукт имеет эвристические технологии, которые позволяют ему обнаруживать ранее неизвестные модификации вирусных угроз. Если у вас возникла проблема с нашим антивирусом, вы всегда можете обратиться к специалистам технической поддержки, которые обладают достаточной квалификацией, чтобы помочь вам в любой ситуации.
Что стоит хранить в резервных копиях – вопрос очень личный и для каждого пользователя имеет индивидуальный ответ. Но совершенно точно, что всю информацию, которая представляет для вас какую-то ценность, стоит хранить в нескольких местах, а лучше всего делать регулярные резервные копии.
Распределённый офис в наше время стал неотъемлемой частью работы крупных международных компаний – это не альтернатива локальному офису, а, скорее, неотъемлемая часть целостного подразделения компании. А с точки зрения достоинств, здесь одни плюсы, так как людям знающим специфику определенного региона проще быстрее реагировать на постоянно меняющуюся вирусную обстановку в конкретно взятом районе.
Людмила Головченко: Рассматривает ли Eset облачные технологии (в частности SaaS) как одну из возможных форм предоставления услуг конечным потребителям? подобные технологии уже используются Dr. Web, Panda Lab. и вообще как вы оцениваете рынок SaaS и возможности подобных технологий (SaaS, S+S) в сегменте антивирусного ПО?
Не связано ли усиление позиций Eset в РФ с введением новой партнёрской программы KAV осенью прошлого года?
Что касается облачных технологий, то мы уже давно развиваем данное направление в рамках нашей системы глобального вирусного мониторинга ESET ThreatSense.Net. По поводу партнёрской программы и открытия центра – не вижу абсолютно никакой взаимосвязи.
Сергей Левченко: Что делает Eset для продвижения своего продукта на рынке?
Боюсь, этот вопрос выходит за рамки моей компетенции, в которую входят сугубо технические вопросы.
Rene Filin: Вирусы имеют общую опасность в Интернет для всех пользователей. Однако, как можно ожидать, пишут их в основном в трёх регионах: России, Америке, Китае. Интересует ваше мнение, как сотрудника компании, по следующим вопросам:
Является ли открытие российского представительства вируслаба NOD32 некоторым хитрым шагом быть поближе к местным вирусописателям? Если да, то что именно ожидаете?
Планируется ли открыть подразделение вируслаба NOD32 в Китае?
Различаются ли подходы к созданию антивирусов в зависимости от мирового региона? Если да, то чем в данном случае выгодно отличается NOD32 для российского пользователя?
Распределённые центры вирусной аналитики – это вынужденная мера, которая просто необходима для увеличения качества обнаружения сугубо локальных угроз для каждого конкретно взятого региона. Взаимосвязи с вирусописателями тут нет абсолютно никакой, злоумышленник может создавать вредоносные программы из любой точки нашей планеты, ну или почти из любой. :) А вот быть ближе к вредоносному трафику российского региона – это наша основная цель. Что касается Китая, ничего конкретного сказать не могу. Я в ответе только за свой регион.
Я не думаю, что региональность как-то сказывается на разработке антивирусного продукта, основная задача которого – защита пользователя от вредоносного ПО. А эффективно это можно сделать, только обладая высококвалифицированной командой разработчиков и аналитиков.
Мусаев Карим: Александр, в нашей компании используется лицензионный НОД32 4 версии и что касается впечатлений от использования вашего продукта, то в первую очередь радует очень малая загрузка и использование ресурсов компьютера, невысокие системные требования. Но у меня вот какой вопрос: почему до сих пор не внедрена защита от fakeware-программ, блокирующих компьютер с требованием отправить СМС на платный номер?
Вы не поверите, мы каждый день добавляем такую защиту в наши антивирусные базы :)
Дмитрий Ковец: Когда будет реализована возможность отключать срабатывание антивируса на отдельные типы тревог и отдельные url-адреса, чтобы исключить ложные срабатывания (на свой страх и риск, под мою ответственность ;)?
Сейчас одним из "трендов" стало воровство файлов cookie у пользователей социальных сетей при помощи XSS. Хотелось бы узнать, насколько nod32 способен противостоять этому?
В новой версии 4.2 продуктов ESET NOD32, которая сейчас находится на стадии бета-тестирования, добавлена возможность гибкой настройки проверки URL. Вы сами можете выбрать браузер, для которого должна быть проверка, или можете отключить её вовсе.
Поверьте, воровство cookies – это далеко не новый тренд, и, как правило, является следствием заражения вашего компьютера вредоносной программой, а с предотвращениями подобных инцидентов ESET борется достаточно эффективно. Что касается XSS, то мы думаем над тем, как нам обнаруживать подобные атаки с наименьшим числом ложных срабатываний. Пока мы не разработаем полноценное для этого решение, данные технологии останутся за стенами нашей лаборатории. Мы не хотим повторять ошибки наших конкурентов и доставлять столько же хлопот нашим пользователям. Тем более, современные браузеры имеют подобного рода защиту в своём составе.
Igor Suntsev: Повторю ещё вопрос, который уже прозвучал, Nod32 не видит fakeware в упор. Удаляю руками, скриптами, но для чего тогда антивирус? Иногда больше часа на машину уходит.
Я уже ответил на похожий вопрос выше, сообщить о новом вирусе вы можете через систему обратной связи с клиентом, которая встроена в каждый продукт ESET NOD32 или на сайте.
Rene Filin: Поскольку несмотря на работающий антивирус некоторые личности умудряются настойчиво самостоятельно устанавливать себе вирус, было бы очень интересно иметь возможность защищённого восстановления системы. Чтобы, так сказать вирус не восстанавливался. Планируется ли в дальнейшем такая добровольная функциональная возможность?
Восстановление системы – это функциональность скорее ОС, нежели антивирусной программы. Пока мы не собираемся превращать наш антивирус в операционную систему :)
Вопросы в этом интервью задавали читатели "Компьютерры-Онлайн" на нашем форуме. С какими компаниями вы бы хотели пообщаться? Пишите на адрес site@computerra.ru письма с заголовком "интерактивное интервью", и мы постараемся его организовать.