В этом году выставка GITEX проходила одновременно с форумом ITU (International Telecommunications Union). В рамках последнего “Лаборатория Касперского” впервые официально подтвердила свои планы по созданию собственной защищенной ОС, слухи о которой ходили уже много лет. Место и время выбраны неслучайно. Будучи первоначально российской, “Лаборатория Касперского” уже давно стала компанией международной и работает по всему миру (почти в 200 компаниях), в том числе в арабском регионе. Как глобальный игрок, “Лаборатория Касперского” должна не только отвечать на современные угрозы, но и предугадывать их. Именно поэтому создание защищенной ОС — это логичный шаг.
В своем выступлении на форуме ITU глава компании, Евгений Касперский, много говорил о киберугрозах. По его мнению, кибероружие угрожает не только государствам и компаниям, но и простым людям. Цель “Лаборатории Касперского” состоит в том числе и в том, чтобы не позволить кибервооружению остановить технологический прогресс и не допустить, чтобы киберугрозы влияли на работу критически важных информационных систем. По словам Евгения, это международная задача. Именно поэтому компания не ограничивается российским рынком и говорит об этих проблемах на глобальном уровне.
Защищеная ОС
Операционная система от “Лаборатории Касперского” не является конкурентом Windows или Mac. Это продукт для индустриальных и промышленных систем. Суть в том, чтобы ограничить функциональность и сделать решение максимально надежным и безопасным. Фактически речь идет об интеллектуальной системе противоаварийной защиты нового поколения, которая учитывает весь комплекс показателей предприятия сразу и не позволяет привести к аварии ни в результате неправильных действий оператора, ни в результате ошибок в ПО, ни в результате кибератак. Помимо прочего, такая система сможет дополнить традиционные средства защиты, что позволит отслеживать более сложные и комплексные сценарии происходящего.
По мнению “Лаборатории Касперского”, максимально безопасная среда для контроля информационной инфраструктуры должна соответствовать следующим требованиям:
- ОС не может быть основана на каком-то уже существующем программном коде, поэтому должна быть написана с нуля.
- В целях гарантии безопасности она не должна содержать ошибок и уязвимостей в ядре, контролирующем остальные модули системы. Как следствие, ядро должно быть верифицировано средствами, не допускающими существования уязвимостей и кода двойного назначения.
- По той же причине ядро должно содержать критический минимум кода, а значит, максимально возможное количество кода, включая драйверы, должно контролироваться ядром и исполняться с низким уровнем привилегий.
- Наконец, в такой среде должна присутствовать мощная и надежная система защиты, поддерживающая различные модели безопасности.
На данный момент ядро ОС от “Лаборатории Касперского” занимает всего около 100 КБ. Рабочее название — 11.11. Это не клон Linux, QNX или прочих, это самостоятельный продукт. Разрабатывается он уже несколько лет, с нуля и полностью в России. Важной особенностью является то, что ОС не зависит от архитектуры аппаратных средств. Актуальный прототип работает на x86 (компьютеры), но по желанию заказчика возможна адаптация даже для ARM (смартфоны).
“Лаборатория Касперского” первой в мире занялась разработкой подобного решения. Однако задача не в том, чтобы изобрести велосипед заново и переделать все, а в том, чтобы взаимодействие между узлами было подконтрольным. Например, данные, которые передаются по различным протоколам на насосы, не имеют никакой аутентификации. ОС от “Лаборатории Касперского” позволит избежать несанкционированного доступа (во время которого можно снять данные, перепрошить прошивку и т. д.). По сути, тут ОС выступает в роли firewall.
Сейчас рынка операционных систем для промышленного производства как такового не существует. Конкуренция только на уровне софта. Его много под разные процессоры, ОС и т. д. Мы собираемся встать над всем этим. Нам абсолютно неважно, какие будут ОС и устройства. Мы пытаемся придумать нечто большее. Изначально это для промышленных систем, но потенциально идея универсальная и может быть использована в любых отраслях вплоть до мобильных телефонов. Портировать ее куда-то большого труда не составляет. Это микроядро, а не Windows с его гигабайтами кода. Так что оно сможет функционировать на любом процессоре.
Мы называем нашу ОС 11.11, потому что концепция родилась 11 ноября 2000 года. Все это очень долго пребывало на уровне идеи, которая постепенно реализовывалась. Была создана специальная команда разработчиков в России, и вот уже почти 12 лет мы плавно развиваем проект. Когда случились первые киберугрозы, мы ускорили интенсивность разработки. Что это будет рано или поздно востребовано, было понятно сразу. Реализовать все мы могли еще пять лет назад. Но промышленные системы не испытывали потребности в таких вещах, не было такой проблемы, никто не атаковал. Сейчас ситуация изменилась, появился спрос на защиту подобных систем.
У нас уже есть несколько заказчиков и конкретные сроки исполнения, но о первых проектах я бы говорил по завершении. В любом случае Касперский видит будущее нашей компании именно в этой области, а не в области антивирусов.
Киберугрозы
“Лаборатория Касперского” ведет активную борьбу с кибертерроризмом. 2012 год ознаменовался началом эпохи кибервойн, весь мир узнал о том, что кибероружие — это уже не только выдумки фантастов, но и реальность сегодняшнего дня. Flame, Duqu, Stuxnet, Gauss — лишь первые “ласточки”. Мир изменился, и теперь войны ведутся по-новому. В этих условиях киберугрозы могут иметь национальный и даже международный характер. Не зря в НАТО назвали Россию, Иран и Китай главными киберпротивниками. В ноябре страны альянса проведут учения Cyber Coalition 2012, на которых будут отрабатываться сценарии кибератаки на НАТО и ответного удара.
По этому сценарию кибернападению подвергаются Венгрия и Эстония. В результате атаки жизнедеятельность Эстонии оказывается полностью парализованной. Кроме этого, хакеры выводят из строя военно-транспортный самолет НАТО, что приводит к его крушению. После этих инцидентов НАТО в ходе совещания решает нанести противнику ответный удар, в том числе при помощи военных средств. Известно, что Россия также начала приготовления к возможной кибервойне. К примеру, недавно Министерство обороны РФ объявило тендер на разработку методов обхода антивирусных систем, средств защиты операционных систем и сетевой защиты. За усиление кибербезопасности России в начале года выступал и начальник Генштаба РФ Николай Макаров. Тогда он заявил, что военные действия все чаще ведутся нетрадиционными методами и средствами, в том числе в киберпространстве.
Как видим, внимание “Лаборатории Касперского” к киберугрозам вполне актуально. Самой новой находкой компании стал miniFlame — это небольшая и очень гибкая вредоносная программа, предназначенная для кражи данных и управления зараженными системами в ходе точечных атак, проводимых с целью кибершпионажа. Проникнув в систему, miniFlame выполняет функции бэкдора, позволяя оператору вредоносной программы получить с зараженной машины любой файл. В число дополнительных возможностей, связанных с кражей данных, входит создание снимков экрана зараженного компьютера при работе в отдельных программах и приложениях, таких как браузеры, программы Microsoft Office, Adobe Reader, сервисы мгновенного обмена сообщениями и FTP-клиенты. miniFlame передает украденные данные, соединившись со своим сервером управления (который может быть выделенным или общим с Flame). Кроме того, по запросу оператора сервера управления miniFlame на зараженную систему может быть загружен дополнительный модуль для кражи данных, заражающий USB-накопители и использующий их для хранения данных, собранных на зараженных машинах, в отсутствие интернет-соединения.
miniFlame представляет собой инструмент для проведения высокоточных атак. Вероятнее всего, это кибероружие с четко обозначенными целями, применяемое в ходе того, что можно назвать второй волной кибератаки. Вначале используется Flame или Gauss для заражения как можно большего числа жертв и сбора значительного объема информации. После этого собранные данные анализируются, определяются и идентифицируются потенциально интересные жертвы, и уже на их компьютерах устанавливается miniFlame для осуществления углубленной слежки и кибершпионажа.
Мы попросили Александра Гостева рассказать подробнее про современные киберугрозы.
Мы занимаемся мониторингом срабатываний нашего антивируса в разных странах мира. По этой статистике Россия на первом месте. Каждый второй пользователь нашего продукта раз в месяц подвергается атаке. Во многом это следствие поведения в сети, в частности набора посещаемых сайтов. В России это социальные сети, развлекательные ресурсы, торренты и т. д., т. е. сайты повышенной группы риска.
Ситуация в России будет улучшаться. Дело в том, что сейчас в рунете много новичков, которые становятся жертвами. Со временем вырастет уровень знаний и понимания киберугроз. С другой стороны, раньше атаки из России были в основном на западном направлении. Теперь же 90% киберпреступников работает по России. Это произошло буквально за 5 лет. Причина банальная — раньше в России не было онлайн-банкинга и прочих целей для атаки.
На первом месте по вирусописательству Китай. 60—70% всех вирусов, которые мы каждый день находим, оттуда. На втором месте русскоязычные страны (Россия, Украина, Беларусь, Прибалтика и т. д.). Причем, если раньше здесь была лидером Россия, то в последнее время нас обгоняет Украина. Даже наблюдается трудовая миграция — российские киберпреступники едут на Украину, где им проще работать, меньше рисков быть арестованными.
Специфика российской киберпреступности — это создание ботнетов. Основной угрозой для российских пользователей являются блокировщики, вымогатели и троянцы для онлайн-банкинга. И сейчас мы отмечаем переориентацию с Запада на Россию, потому что западные банки ввели защиту. Украсть деньги у российского банка проще.
Готовность к Windows 8
Еще одной важной темой “Лаборатории Касперского” на GITEX стала подготовка продуктов компании к Windows 8. Не секрет, что интерфейс новой ОС от Microsoft кардинально отличается от того, что было раньше. Кроме того, в новинку уже встроены средства защиты, и надобность в отдельном антивирусе под вопросом. “Лаборатория Касперского” разработала новое приложение Kaspersky Now, которое предназначено специально для нового интерфейса Windows 8. Оно работает с последними версиями Kaspersky Internet Security и Антивирусом Касперского. Правда, оно временно недоступно в Windows Store. Это связано с необходимостью внесения ряда изменений для соответствия новым техническим требованиям, введенным Microsoft для приложений в магазине приложений. В настоящий момент “Лаборатория Касперского” работает над адаптацией приложения и рассчитывает, что до конца года Kaspersky Now снова появится в Windows Store.
Kaspersky Now представляет собой информационную панель, оформленную в соответствии с новым “плиточным” интерфейсом Windows. C помощью приложения пользователи могут получать информацию о состоянии защиты компьютера и статусе лицензии, а также просматривать последние новости в сфере IT-безопасности от “Лаборатории Касперского”. В новом Kaspersky Internet Security реализована функция, благодаря которой продукт может отслеживать состояние приложений для нового интерфейса и отмечать зараженные программы. Кроме того, поддерживается ELAM.
Система раннего запуска защиты от вредоносного ПО (Early-Launch Anti-Malware, ELAM) — новая концепция защиты всей среды Windows от вредоносных активностей. Она обеспечивает запуск сертифицированного защитного продукта до старта сторонних приложений. Вместе с компонентом MeasuredBoot, который предоставляет антивирусному решению подробную информацию обо всех компонентах Windows, запущенных в процессе загрузки, эта новая система позволяет повысить уровень безопасности всей среды Windows. Kaspersky Internet Security может не только проверять целостность системы и приложений в процессе загрузки, но и лечить активное заражение. При штатной загрузке драйвер раннего запуска оказывает минимальное влияние на производительность системы и время загрузки, увеличивая его лишь на несколько миллисекунд.
Windows 8 для нас важна, как и для любого другого вендора. Поэтому работать над оптимизацией мы начали давно и плотно общались с Microsoft. Для нас главным являлось улучшение защиты для пользователей. Windows 8 предложила несколько новых технологий, которые позволяют загружать на более ранней стадии антивирусные технологии, провести аудит того, как происходит загрузка и т. д. Эта функциональность была реализована достаточно давно. Несмотря на то, что это не видно пользователям, это предоставляет более высокий уровень защиты. Фокус у нас на компьютерах, потому что в планшетах позиции Windows пока слабые.
В плане версии Windows RT, которая рассчитана на ARM-процессоры, Microsoft сместилась к более закрытым и безопасным ОС. Фактически в среде Metro секьюрити-приложение очень мало что может сделать. Перехватывать события сложнее, каждое приложение более изолировано. В Metro-среде обычно делают небольшие приложения, которые общаются с большим. Это не из-за того, что разработчики не хотят, а из-за того, что есть ограничения. Мы не исключение, наше Metro-приложение будет в Windows Store.
Сейчас мы смотрим, насколько будет востребована Windows RT и насколько Microsoft откроет возможности что-то сделать. На данный момент возможностей нет. Аналогично с Windows Phone — тут Microsoft делает очень похожую на Apple iOS операционную систему. Более закрытая, с ограничениями на функциональность приложений, включая доступ к данным, взаимодействие и т. д. Потенциально это интересная тема, определенный задел у нас есть. Запустить антивирусный движок на ARM проблемы не составит, но наша задача в том, чтобы понять, как Microsoft видит концепцию безопасности. Я не уверен, что будет место антивирусу в том понимании, в котором он существует в desktop-процессорах.
Microsoft начал использовать в Windows 8 встроенные средства защиты, потому что по их оценкам очень немногие пользователи устанавливали дополнительно соответствующее ПО. И в этом большая угроза. Их задачей было предоставить базовую защиту. Они сами не говорят, что этого достаточно и что это единственное, что должно быть. Поэтому никакой трагедии для нас это не несет. Однозначно пользователи от этого выиграют. Мы же не пострадаем. На мой взгляд, даже быстрое развитие планшетов оказывает большее влияние на рынок антивирусов, чем встраивание средств защиты в Windows.
Что касается закрытых платформ, то на данный момент для них нельзя создать антивирусный продукт, соответствуя требованиям, например, Apple. Можно нарушить правила, но тогда будут проблемы с доставкой пользователю, приложение не попадет в магазин, например, AppStore. Аналогично и с Windows Phone. При этом не нужно думать, что закрытость Apple iOS является гарантией безопасности. Если посмотреть на изменения в версиях, можно найти довольно много уязвимостей. Сам по себе джейлбрейк также является уязвимостью. Насколько успешно будут использовать подобные дыры — покажет время. Наша задача указать на них.
Быстродействие — это отдельный фокус нашей работы. Много лет мы тратим большое количество ресурсов на производительность. Результаты очень серьезные. Можно взять независимые тесты и посмотреть, насколько наша производительность соотносится с конкурентами. Объективные данные показывают, что все очень неплохо. Когда речь заходит о предустановке, вендоры выдвигают очень жесткие требования к производительности. И если продукт не удовлетворяет, от него просто отказываются. Поэтому мы проходим различные тесты, замеры и показываем, что мы можем быть лучше конкурентов, и нас предустанавливают. Проблема восприятия социологическая, и бороться очень сложно. Причем она имеет очень четкую географическую привязку — Россия. В ключевых странах Европы (Германия, Франция и прочие) мы занимаем 1-2 место, но таких вопросов нет.
Мы, как компания, всегда делали и делаем все, чтобы изменить мнение о нашей стране, представить Россию в глазах общественности страной, которая может создавать продукты мирового класса. Занимая четвертое место в мире в своей области, мы можем сказать, что достаточно успешны, чтобы показать, что создаем продукт мирового класса. У нас сотни миллионов пользователей на всех континентах.
Автор: Дмитрий dryab Рябинин
ryabinin@corp.mail.ru