EXCLUSIV: Interviu cu David Emm si Ram Herkanaidu – Global Research & Analysis Team, Kaspersky UK

David EmmZilele trecute au fost prezenti la Bucuresti, doi membrii ai echipei Kaspersky UK: David Emm – Senior Regional Researcher, Kaspersky UK si Ram Herkanaidu, Security Researcher – Kaspersky Labs UK.
Prin amabilitatea lui Ionut Tecuceanu FaraVirusi.com a obtinut un interviu in Exclusivitate, in care cei doi au raspuns la cele 10 intrebari adresate.

FaraVirusi.com: Bună ziua şi mulţumim pentru oportunitatea de a ne acorda un interviu. Vă rog să le spuneţi cititorilor noştri câteva lucruri despre dumneavoastră şi activitatea pe care o desfăşuraţi la Kaspersky Lab?

David Emm: Bineînţeles! Ne implicăm în foarte multe proiecte. Astfel, avem o echipă de analişti la Moscova şi una în China, care au ca activitate analizarea sample-urilor malware, dar şi procesarea lor automată. Identificăm aproximativ 30.000 de astfel de sample-uri unice zilnic. De asemenea, suntem parte a unei echipe de analiză şi cercetare mult mai largi, care ajută departamentele locale de suport tehnic să rezolve problemele utilizatorilor, redactăm rapoarte (White papers) pe care le prezentăm în cadrul conferinţelor, susţinem training-uri interne, lucrăm cu studenţi pentru a-i educa în privinţa subiectelor legate de malware şi vorbim foarte mult cu jurnaliştii.

Ram HerkanaiduRam Herkanaidu: Eu sunt mult mai orientat spre componenta educaţională a lucrurilor. Recent am organizat o Conferinţă Europeană a studenţilor, la care am invitat absolvenţi şi masteranzi pentru a lucra şi căuta soluţii la problemele cauzate de cibercriminalitate. I-am ales pe cei mai buni şi i-am invitat la Londra pentru a interacţiona cu profesori, cercetători de la Kaspersky Lab şi alte persoane interesante din industrie. A fost un mare succes pe care vrem să-l repetăm anul viitor şi, în acelaşi timp, să extindem programul educaţional.

Aşadar, aceasta este principala mea activitate, dar, după cum spunea şi David, ne implicăm mult şi în cercetare. De exemplu, analiştii din România, Costin Raiu şi Ştefan Tănase contribuie din plin în domeniul cercetării, recent lansând un tool special pentru scanarea link-urilor care circulă pe Twitter, numit Krab Krawler. Ne place tuturor să ne implicăm în diferite activităţi care aduc valoare echipei.

FV: Lucraţi în acest domeniu încă de la începuturile lui. Vă mai amintiţi cele mai periculoase ameninţări informatice din anii ’90, 2000 şi din zilele noastre? Cât de rapid a reacţionat industria AV la aceste ameninţări?

David Emm: Ok, dacă ne întoarcem în anii ’90, putem spune că pe parcursul acelui deceniu au fost identificate schimbări majore în dezvoltarea şi distribuirea de malware. Probabil, cea mai semnificativă ameninţare informatică de la începutul acelor ani a fost virusul „Cascade”, care infecta sistemele DOS. Era un virus criptat, pe care oamenii îl răspândiseră foarte mult. Însă, în acea perioadă, viruşii reuşeau să infecteze un număr ridicat de computere pe parcursul a mai multe luni de zile, nu foarte rapid ca acum.

În schimb, la mijlocul anilor ’90 am început să vedem macro-viruşii, care se răspândeau pe durata a câteva săptămâni, deci mult mai rapid. Aceştia infectau datele de pe computer, deoarece e-mailul devenise popular, iar oamenii îşi trimiteau mesaje cu diferite documente ataşate. Apoi, la sfârşitul anilor ’90 au apărut „Melissa” sau „Love Letter”, care s-au răspândit automat, producând o epidemie.


Începutul anilor 2000 a însemnat naşterea infracţionalităţii pe Internet, deoarece, până în 2002, curentul era unul de cyber-vandalism. Viruşii erau creaţi pentru a şterge date, a opri servere etc. Însă, anul 2003 a produs o schimbare esenţială – creatorii de viruşi şi-au spus „Toată lumea face tranzacţii financiare online, de ce să nu profităm de acest lucru? Putem să distribuim spam, să furăm datele de autentificare”. Acesta este începutul cibercriminalităţii. Au fost creaţi viruşi precum „Code Red” sau „Nimda”, care se răspândeau rapid. În acelaşi timp, în 2001 a început şi exploatarea vulnerabilităţilor software.

Cât despre ultimii ani, nu vreau să menţionez o anumită ameninţare şi să spun „Asta e cea mai periculoasă!”, deoarece comportamentul malware-ului din zilele noastre este orientat spre „camuflare”, infractorii cibernetici nu vor ca utilizatorii să-şi dea seama că au computerele infectate. Putem numi câţiva viruşi de care, probabil, oamenii nu au auzit, dar care sunt foarte periculoşi şi nu se fac remarcaţi prin acţiuni care le trădează „intenţia”. În plus, aceştia vin în foarte multe variante.
În urmă cu 15 ani, aveam doar 30 – 40.000 de programe malware care persistau foarte mult timp, acum viaţa programelor periculoase este mult mai scăzută. De exemplu, un troian poate infecta un computer, facilitând accesul unui infractor cibernetic la sistem, apoi, prin intermediul update-urilor, acesta este adus la o nouă versiune care durează o săptămână şi aşa mai departe. Sunt ca stelele căzătoare – ard intens pentru o scurtă perioadă de timp şi apoi se sting.

Ram Herkanaidu: Pe scurt, am trecut de la viruşi care infectau fişierele, la macro-viruşi, apoi la viermi şi viruşi de email (Melissa, I love you). În 2003-2004, îmi amintesc că lucram la echipa de suport tehnic în acea perioadă, şi aveam probleme cu Netsky şi Bagle, care erau foarte răspândiţi. Creatorii acestor viruşi nu aveau scopuri financiare, ci urmăreau să devină faimoşi, să iasă în faţă. Apoi, a intervenit factorul financiar. De aceea, acum nu mai vedem epidemii globale ca în acele vremuri, deoarece infractorii cibernetici vor să rămână anonimi, să lucreze în linişte. Cum a spus şi David, viaţa unui troian, vierme sau virus s-a redus foarte mult – aceştia îşi pot schimba forma şi rolul de la o săptămână la alta prin update-uri.

Cât de rapid a reacţionat industria AV la aceşti viruşi?

David Emm: În prima parte a anilor ’90, producătorii de soluţii antivirus ofereau update-uri o dată pe trimestru. La sfârşitul anilor ’90, ajunseseră la update-uri lunare, chiar săptămânale.

Ram Herkanaidu: În 1999, când am început să lucrez pentru Kaspersky Lab, ofeream update-uri zilnice, în timp ce alţi producători încă ofereau actualizările o dată pe săptămână. Am încercat mereu să fim cu un pas în faţa competitorilor noştri, devenind apoi primii care au introdus update-ul din oră în oră.


David Emm: În prezent nu se mai oferă doar protecţie pe bază de semnături, deoarece Sistemul de Detecţie Rapidă (UDS – Urgent Detection System) analizează sample-urile pe servere „in-the-cloud” şi oferă protecţie imediată pentru toţi utilizatorii conectaţi la Kaspersky Security Network. Este exact ca o patrulă de cartier – fiecare computer veghează asupra computerului vecin – deci, ne îndreptăm cu paşi repezi spre un sistem de protecţie „in-the-cloud” complex. Este util ca o patrulă de poliţie să caute infractorii pe străzi, dar când tot cartierul urmăreşte infractorii sunt mai multe oportunităţi de a fi identificaţi rapid.

FV: Am avut viruşi care infectau fişiere, rootkit-uri, atacuri phishing, programe antivirus false etc. În ceea ce priveşte malware-ul, ar trebui să ne aşteptăm la mai multe lucruri în perioada care urmează? Infractorii vor schimba ceva în modul în care malware-ul se răspândeşte sau se comportă?

David Emm: Cred că acest curent va continua, deoarece infractorilor cibernetici nu le pasă ce tip de malware folosesc cât timp aceasta îşi face datoria. De exemplu, phishing-ul era caracteristic email-urilor cu ceva timp în urmă, dar recent observăm activităţi de phishing pe Twitter, Facebook sau MySpace. Deci, tehnica utilizată pentru a păcăli utilizatorii rămâne aceeaşi, este constantă. Este important cum o fac – prin inginerie socială. Aceasta capătă alte forme odată cu inventarea de noi şi noi tehnologii. Cu toate acestea, există – dacă putem spune aşa – „grupul de bază” al infractorilor cibernetici, care privesc spre viitor şi caută noi metode de fraudă: „în eventualitatea în care companiile au început să folosească metoda virtualizării serverelor, putem folosi aceste sisteme pentru a infecta maşini virtuale multiple?” sau, „putem instala un rootkit la un nivel foarte adânc în sectorul de boot al maşinii respective pentru a prelua controlul asupra întregului sistem?”. Sunt persoane care se gândesc la aceste lucruri, care experimentează.

În prezent, însă, cele mai sigure ţinte sunt reţelele sociale, deoarece reprezintă punctele de întâlnire pe Internet, locurile unde se adună foarte mulţi oameni. Hoţii operează în locuri aglomerate, nu? Aici văd oportunităţi financiare, deci cât mai mulţi se vor orienta spre acestea.

Ram Herkanaidu: Aş vrea să adaug un aspect important legat de reţelele sociale. Utilizatorii nu accesează aceste servicii doar de pe computerul de acasă sau de pe laptop, ci şi de pe dispozitivele mobile, precum smartphone-urile. De pe un smartphone poţi trimite uşor email-uri, tweet-uri, îţi poţi actualiza profilul de pe Facebook şi multe altele. Aşadar, cred că vom vedea în viitor atacuri frecvente care ţintesc astfel de dispozitive. Se discută deja despre serviciile de online-banking pentru smartphone-uri, deci încă o potenţială sursă de profit pentru infractori.

FV: Există la momentul actual protecţie 100% împotriva viruşilor? Poate un sistem care combină HIPS cu behavior-blocker şi antivirus?

David Emm: Dacă urmăreşti să instalezi una dintre cele mai bune soluţii de securitate – şi aş clasifica-o pe a noastră în această categorie – trebuie menţionat faptul că acestea folosesc un mix de tehnologii de protecţie. Semnăturile sunt foarte folositoare, mai ales pentru viermi periculoşi precum Conficker, HIPS, cu siguranţă este o tehnologie foarte importantă şi metoda whitelisting, care devine din ce în ce mai populară pentru certificarea software-ului „curat”, este esenţială pentru performanţă şi acurateţea detecţiei. În plus, mai este tehnologia Sandbox, pentru analizarea modului în care se comportă malware-ul sau cea de firewall. Într-adevăr, sunt multe tehnologii dezvoltate, dar nu vei putea oferi niciodată protecţie 100%.

Dacă îmi permiţi o comparaţie, dioptriile ochelarilor mei se măresc pe măsură ce trece timpul, deoarece mă ajută să citesc sau să văd mai bine alte lucruri, dar nu vor fi niciodată la fel de eficiente precum erau ochii mei odinioară. Dar, mai bine nu se poate. La fel se întâmplă şi cu software-ul – nu poţi oferi soluţia tehnologică perfectă. De aceea, trebuie să lucrăm mult pe partea de educaţie, să avertizăm oamenii că nu este chiar benefic să faci orice online, să pui la dispoziţie toate datele tale personale. Trebuie să fim atenţi pentru că, nu întotdeauna este o idee bună să divulgăm informaţii, este esenţial să fim precauţi.

Este exact ca în realitate, cei care proiectează autostrăzile încearcă să le facă accesibile, sigure, fără curbe închise, periculoase. De asemenea, ştim că cei care construiesc maşini, le echipează cu airbag-uri, sisteme electronice de frânare şi multe alte tehnologii. Noi, când ne urcăm la volan, trebuie să avem un oarecare simţ al măsurii, să nu încălcăm limitele de viteză, să respectăm regulile de circulaţie. Aşadar, este un mix între conştientizarea pericolelor (educaţie), tehnologie şi implicarea autorităţilor. Este important ca autorităţile să ofere un cadru legal, pentru ca Poliţia să ancheteze şi să pedepsească infractorii cibernetici.

FV: Ce părere aveţi despre tehnologia „cloud”? Este aceasta cheia succesului, care va plasa industria AV în faţa creatorilor de malware?

Ram Herkanaidu: În primul rând, trebuie să definim tehnologia „in-the-cloud”, deoarece fiecare dintre noi poate avea percepţii uşor diferite. În anumite aspecte, beneficiem de tehnologie „cloud” de foarte mult timp. De exemplu, dacă serviciul tău de email este oferit de Yahoo! Sau Google, atunci este un tip de serviciu „in-the-cloud” în esenţă. Deci, trebuie să fim atenţi.
În general, utilizatorii de soluţii de securitate înţeleg prin tehnologie „in-the-cloud”, protecţia independentă de cea pe bază de semnături, o protecţie constantă, care se actualizează continuu. Totuşi, pentru industria AV, este important să combinăm această tehnologie cu cele tradiţionale – precum semnăturile – care se dovedesc foarte eficiente şi vom continua să le folosim. Bineînţeles, utilizarea tehnologiei „in-the-cloud” este esenţială şi fiecare soluţie de securitate urmăreşte să facă asta. David a menţionat deja Kaspersky Security Network, care foloseşte UDS (Urgent Detection System), care este serviciul nostru „in-the-cloud”, dar credem în continuare că protecţia „cloud” trebuie combinată cu cea locală, pe computerul utilizatorului, pentru a obţine cel mai bun rezultat.

David Emm: Singurul lucru pe care aş vrea să-l adaug este că tehnologia „cloud” este folosită într-un sens foarte larg. Oamenii îşi stochează datele pe servere virtuale „in-the-cloud”, deci este disponibilă non-stop, fiind un lucru grozav pentru ei, însă, potenţialul pericol este dat de faptul că datele nu vor fi securizate local, ci de cineva care gestionează acel spaţiu virtual. Dacă provider-ul tău de servicii „cloud” cade victimă unor hackeri, atunci şi datele stocate acolo sunt compromise.

Ram Herkanaidu: Dacă privim puţin spre viitor, peste câţiva ani, oamenii vor migra complet spre tehnologia „in-the-cloud”. Atunci când ne vom porni computerul, sistemul de operare va boota „in-the-cloud”, procesorul de text utilizat va fi „in-the-cloud”, toate datele noastre vor fi pe servere virtuale. Acest aspect va schimba natura lucrurilor – atunci când vom avea o defecţiune la staţia locală, informaţiile noastre nu vor fi afectate. În acel moment, abordarea infractorilor cibernetici se va schimba şi vor ataca locul în care se află toate datele utilizatorilor, adică „in-the-cloud”, iar furtul de identitate şi furtul de date vor deveni probleme mult mai mari atunci. Va dura câţiva ani până vom ajunge în acest stadiu, deşi Microsoft deja lucrează la servicii „in-the-cloud” pentru procesarea de text.
FV: Există foarte mulţi viermi care se răspândesc prin intermediul programelor de tip messenger sau a link-urilor. Oameni ar fi trebuit să se obişnuiască cu aceste atacuri până acum şi să se ferească de ele. Din păcate, nu au reuşit. Putem spune aceleaşi lucruri şi despre programele antivirus false sau alte metode de atac. Care sunt, în opinia voastră, principalele 3 măsuri pe care oamenii trebuie să le ia pentru a se proteja de astfel de tentative? (Luând în calcul faptul că nu învaţă prea multe din propriile greşeli) David Emm: Cred că acesta este motivul pentru care tehnologia este importantă. Dacă instalezi o soluţie de securitate avansată, dar tu, ca persoană, nu dai atenţie pericolelor online, totuşi, ve fi protejat. Întorcându-ne la exemplul cu maşina, când mă aflu la volan ar trebui să respect limita de viteză, şi ar trebui să fiu atent la drum, dar dacă nu sunt, atunci centura mă va proteja, airbag-ul mă va împiedica să mă rănesc. Tehnologia este la fel, fiind foarte importantă, deoarece nu îşi pune baza în faptul că utilizatorul va fi precaut şi se va proteja singur. Cred, de asemenea, că oamenii nu trebuie neapărat să ştie trucuri tehnice pentru a se feri de atacuri informatice, ci trebuie să conştientizeze care sunt pericolele la care se expun atunci când fac anumite acţiuni. Să fim precauţi atunci când împărţim informaţia cu alte persoane de pe reţelele sociale. Ram îmi spunea astăzi că este foarte atent la ce anume postează pe Facebook, la cine are acces la informaţiile lui. În eventualitatea în care contul său este spart, hackerii nu se vor alege cu date şi informaţii preţioase. Din punct de vedere tehnic, un ultim sfat pe care oamenii îl pot lua în considerare este să elimine riscurile prin utilizarea unor parole diferite la conturile de email, Facebook, Twitter etc. Este ca şi cum ai câştiga jumătate de milion de euro la Loto. Nu îi vei depozita pe toţi la aceeaşi bancă, deoarece, dacă aceasta dă faliment, vei pierde tot. O măsură isteaţă este să-i depui la mai multe bănci. Dacă ai o parolă diferită pentru conturile tale vei limita riscurile la care te poţi expune atunci când unul dintre aceste conturi este spart. Ştiu că este greu să reţii multe parole, dar există metode pe care le poţi inventa chiar tu. De exemplu, poţi avea o frază secretă, ca aceasta „Vreau să fiu regele lumii!”, pe care o foloseşti pentru toate conturile tale, dar din care reţii doar acronimele: „vsfrl!”. Bun, şi pentru fiecare cont, să zicem Amazon, voi începe parola cu iniţiala numelui site-ului respectiv, adică „A”. Deci, pentru Amazon, parola mea va fi: „Avsfrl!” Bineînţeles, este recomandat să alternăm literele mari cu cele mici: „AvSFrl!”. Aşadar, fraza mea rămâne la fel, dar o mixez, după cum doresc, cu un detaliu legat de site-ul respectiv. Astfel, fiecare parolă este diferită. Utilizarea parolelor separate pentru log-in la multiple conturi este foarte importantă pentru a elimina riscurile. Ram Herkanaidu: Ca să ne întoarcem puţin la ce am spus mai devreme, nu va exista niciodată securitate 100%. Acest lucru trebuie lămurit din start. Oamenii trebuie să conştientizeze că pericolele sunt peste tot online şi nu este foarte indicat să dea click pe toate link-urile pe care le întâlnesc. De asemenea, cei care produc aceste programe de mesagerie instant şi-ai putea asuma o responsabilitate mai mare. De exemplu, să nu permită click-ul direct pe link-uri sau să securizeze virtual efectele pe care le-ar putea produce accesarea unei adrese infectate. Kaspersky Internet Security 2010 are opţiunea Safe Run, care permite rularea programelor într-un mediu virtual securizat. Astfel, chiar dacă utilizatorul dă click pe link, efectele nu se vor resimţi la nivelul sistemului de operare – este exact ca şi cum programul respectiv ar rula într-o maşină virtuală separată. David Emm: Ne bucurăm când vedem că anumite companii chiar iau securitatea în serios, prin măsuri de prevenire a atacurilor. Google, de exemplu, prin serviciul de monitorizare a reputaţiei site-urilor sau Twitter, în urma atacurilor recente a început să realizeze pericolul care se ascunde în spatele URL-urilor. Ram Harkanaidu: Reţelele sociale cresc foarte repede, numărul utilizatorilor este din ce în ce mai mare. Când au fost proiectate, securitatea nu reprezenta o prioritate, dar imediat ce publicul lor s-a mărit au început să-şi pună probleme legate de siguranţa datelor. Dacă iniţial ar fi construit aceste reţele cu gândul la un mediu sigur şi protejat, altfel ar fi stat lucrurile acum, totul ar fi fost mai simplu. Din păcate, securizarea se face post-eveniment, făcând lucrurile mai dificil de controlat. Totuşi, este bine că problemele au fost conştientizate şi se iau măsuri constante de prevenire. FV: Puteţi explica în câteva cuvinte principalele diferenţe dintre un motor euristic de analiză şi un behavior-blocker? Care dintre este mai eficient şi de ce? David Emm: Diferenţa majoră între cele două este că unul este un model de tehnologie pre-execuţie (motorul euristic), iar celălalt este post-execuţie (behavior-blocker). Cel din urmă verifică natura unei aplicaţii după ce aceasta a fost executată, în timp ce motorul euristic o analizează înainte de a rula – căutând linii de cod suspecte în structura ei.
Un mod simplu de a explica este acesta: mergi seara într-un club, iar înainte de a intra, bodyguard-ul de la intrare îţi verifică buzunarele pentru a nu intra cu arme sau alte obiecte periculoase (deci, ar fi modelul euristic). I se pare că ai putea purta o armă, eşti îmbrăcat într-un mod suspect, în funcţie de aceste criterii el te verifică. Chiar dacă te lasă să intri în club, probabil vor mai fi alţi reprezentanţi ai pazei (behavior-blocker), care se plimbă prin jur şi verifică modul în care se comportă oamenii. Dacă provoci un incident, atunci eşti imediat dat afară din club. Deci, ambele tehnologii sunt foarte valoroase. Nu vreau să mă bazez doar pe una sau pe cealaltă, consider că ambele au propriul rol.
Dacă un utilizator foloseşte doar protecţie de tip behavior-blocker, cred că este foarte important să poată face roll-back în momentul în care o aplicaţie modifică structura regiştrilor, opţiune disponibilă şi în produsele Kaspersky.

Noi, la Kaspersky Lab, nu folosim doar protecţia euristică, ci oferim posibilitatea utilizatorilor de a rula orice aplicaţie (browser etc.) în Sandbox, astfel încât sistemul de operare nu va fi niciodată modificat în eventualitatea unui atac malware. Deci, Sandbox ar fi o combinaţie între cele două tehnologii.

Motorul euristic şi behavior-blocker-ul fac parte dintr-un context mai larg. Dacă un tip de malware este detectat pe bază de semnături, grozav, nu mai trebuie să facem nimic. În mod egal, vine apoi tehnologia whitelist – aplicaţia este înscrisă acolo? Dacă da, foarte bine, dacă nu, îşi intră în rol celelalte tehnologii – încearcă să deschidă un port, firewall-ul o va bloca, motorul heuristic îi analizează comportamentu ş.a.m.d.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

8 responses to “EXCLUSIV: Interviu cu David Emm si Ram Herkanaidu – Global Research & Analysis Team, Kaspersky UK”

  1. yo9fah

    Excelent articolul, Radu ! Felicitări ! Măcar dacă ar fi citit, de toți, așa cum am făcut eu, ar fi o chestie ! Mna, … ca iar mă laud ! 😉

  2. Dragos

    Excelent articolul. Bravo! Domnii de la KASPERSKY ma fac sa le cumpar produsul.:)

  3. Liviu

    Felicitari celui care a scris articolul 🙂 este destul de interesant.

  4. Dragos

    Il asteptam cu drag RADU. Faci o treaba minunata.

  5. happyday

    intr-adevar, un articol foarte bun. astept si interviul cu schnietzel dar, pana atunci, ma duc sa mananc ceva ca numele astuia imi face foame.

  6. ALDEA

    Salut !
    Kspersky,solutia ce nu m-a dezamagit niciodata !
    Am ,,incercat,, mai multe (Nod,Bitdefender..etc)dar am revenit la Kaspersky !
    Radu poate o surpriza se Sarbatori,licente KIS 2010?
    Succes in continuare Radu ……

  7. Nick

    @ALDEA
    ceva imi spune ca va trebui sa umblam cu colindul pentru banii de Kaspersky, 🙁 dar asteapta sa apara noul PURE,parerea mea!!!

Leave a Reply