EXCLUSIV – Interviu cu Michael St. Nietzel (Sunbelt Software)

michael st. nietzel

Michael St. Neitzel este unul dintre cele mai vehiculate nume din industria de securitate IT. Este expert in analiza noilor amenintari informatice si crearea de noi tehnologii de securitate in domeniile antivirus, antispyware, firewall, etc.

In acest moment este Vicepresedinte al Departamentului de Cercetare si Tehnologie din cadrul Sunbelt Software.
Trecutul sau este legat de alte nume cunoscute din industria de profil.

In perioada Mai 2006 – Iunie 2008 a fost Arhitectul principal al motorului de scanare F-Prot si de asemenea purtatorul de cuvant al Frisk Software, producatorul acestui antivirus.
In perioada Ianuarie 2005 – Mai 2006 a fost Senior Virus Researcher pentru ESET NOD32, lasandu-si amprenta decisiv asupra motorului euristic excelent al acestui produs.
Anul 2004, l-a petrecut la Comodo, organizand echipa ce mai tarziu va dezvolta antivirusul cu acelasi nume.
A mai lucrat de asemenea la Avira si Symantec.

Acum, dupa cum va promiteam, ne-a acordat un interviu in EXCLUSIVITATE. Iata-l redat mai jos:

FaraVirusi.com: Care este cel mai periculos tip de malware existent astazi ?

Michael St. Nietzel: Nu poti raspunde la aceasta intrebare printr-un singur nume de malware. In primul rand depinde de ce intelegi prin “periculos”.

De exemplu, “antivirusii” de tip rogue reprezinta un procent imens din numarul infectiilor existente azi, chiar daca acestea nu fac intr-adevar rau computerului. Ele doar incearca sa pacaleasca oamenii pentru a le cumpara. Deci, daca ai asa ceva pe computer si daca nu vei plati cu cardul “produsul” rogue, atunci acest tip de malware nu e chiar periculos. Poate va deschide niste ferestre ale browserului din cand in cand, va schimba motorul de cautare, dar majoritatea nu fura parole sau date bancare. Cu toate acestea, este cam greu sa ai o detectie completa pentru ele, pentru ca se comporta de fapt ca programe normale, deci este mai dificil (de fapt, imposibil) sa scrii definitii care sa le detecteze pe toate. Trebuie sa faci definitii pe masura ce le descoperi. Asta este si unul dintre motivele pentru care majoritatii produselor antivirus le trebuie 1-2 zile pentru a le detecta. Pe unele dintre aceste softuri rogue le poti detecta pe baza definitiilor generice (ce se aplica la o intreaga familie de rogue, ce folosesc la baza aceeasi tehnologie), dar pentru altele trebuie sa faci noi definitii pentru detectie.


Din punctul de vedere tehnic al detectiei si dezinfectiei tot ceea ce implica tehnologii rootkit este mai periculos si mai iritant din 2 motive:

1. E mai dificil sa-l identifici (infunctie de tipul de rootkit) si 2. Este, de obicei, mult mai greu de sters, pentru ca nu poti opri rootkit-urile care lucreaza direct cu kernelul sistemului de operare. Este
posibil, de asemenea, sa accesezi prin intermediul rootkit-urilor partitii criptate (TrueCrypt), de exemplu – STONED Bootkit infecteaza MBR-ul(Master Boot Record). Rootkit-uri pe care le-am intalnit deseori sunt cele bazate pe TDSS. De asemnea, ia mai mult timp sa cercetezi un rootkit decat obisnuitele malware-uri de zi cu zi. Nu poti pur si simplu sa faci o semnatura pe baza de CRC Checksum pentru un rootkit. Dar unele companii exact asta fac, pentru ca stiu ca sunt multi utilizatori ce scaneaza doar arhiva in care au sample-ul si in cazul asta detectia functioneaza. Povestea se schimba daca acel rootkit este activ in computer, pentru ca anti-malware-ul nu va vedea acel fisier decat daca are un motor anti-rootkit. Deci dezvoltarea unei metode eficiente de detectie si curatare pentru rootkit-uri implica cu mult mai mult efort si nu poate fi automatizata asa usor. Un analist cu experienta in dezasamblare, debugging si limbaje de programare trebuie sa faca asta.

De asemenea, sunt cativa virusi-paraziti ce au abilitatea de a corupe fisierele intr-o maniera irecuperabila. Deci daca prinzi un astfel de virus si antivirusul tau nu l-a detectat la timp, sunt sanse mari sa trebuiasca sa reinstalezi sistemuld e operare. Cateva variante de Virut stricau irecuperabil fisiere pentru ca aveau un defect de programare, ce facea codul viral sa se suprapuna celui din fisier. Astfel dezinfectia era imposibila, pentru ca datele originale lipseau.
Si acum iata raspunsul universal: cel mai periculos malware este cel cu care este infectat. Stiu ca suna ciudat dar e adevarat. Pentru utilizatorul normal nu conteaza daca este “un foarte periculos si avansat malware” liber pe internet atata vreme cat computerul lor nu a fost infectat cu el.

FV: Ce parere aveti despre ultimele metode sofisticate (sau cel putin originale) de pacaleala de pe Facebook, Twitter sau servicii sociale asemanatoare ?

MN: Voi incepe prin a-ti spune o intamplare de acum 2 saptamani. Eu si sotia mea ne-am mutat recent in UK pentru a infiinta Sunbelt Europe aici.

Deci a trebuit sa cumparam cateva lucruri casnice pentru ca nu ar fi avut sens sa le mutam din US in UK. Deci am intrat pe internet si am comandat doua canapele, o masa si alte piese de mobilier. O da, si un Mac Mini cu procesor de 2.66 GHz ca media center PC cu softul PLEX pentru TV, pentru ca ca era usor de ascuns, fara ca sotia mea sa-si dea seama. Deci am facut comanda si am achitat cu cardul US Visa. Dupa putin timp am primit un email pentru ca a fost anulata comanda datorita cardului invalid. Am sunat la banca in US si ei mi-au zis ca au blocat cardul pentru a preveni frauda in afata tarii. Pana acum toate bune si e excelent ca banca incearca sa ma protejeze, deci le-am zis ca e ok sa-mi deblocheze cardul.
Dupa ce le-am furnizat toate datele – CNP, etc.. – si le-am raspuns la intrebarea secreta, tipul de la banca m-a intrebat direct:
“Imi poti spune ce masina conduci ?” Am ramas mut, pentru ca nu am spus niciodata bancii ce masina conduc. Pentru ca in UK se conduce in sens invers, a trebuit sa-mi schimb masina, si in consecinta am raspuns: un audi A8L W12. Persoana de la telefon m-a intrebat: “Sunteti sigur?” iar eu am fost destul de incurcat cum de are indoieli in privinta asta. Deci i-am zis pana la urma ce masina conduceam in US: un Porsche 911 turbo galben. Tipul mi-a multumit si mi-a zis ca am cardul activat din nou. Dupa ce am inchis m-am intrebat cum a ajuns el in posesia informatiilor personale …
Sa ne intoarcem la subiect: Facebook. Am permis cateva pluginuri pe care le-am vazut la prietenii mei (de exemplu, unul referitor la masina pe care o conduc) si le-am completat pentru a le publica pe prima pagina. Se pare ca ei colecteaza datele si le trimit altor institutii guvernamentale sau bancare. Pentru ca altfel cum ar fi stiut de masina mea precedenta ?
Roger Thompson de la AVG a trecut printr-o problema similara cand a incercat sa-si plateasca cazarea la hotel si a trebuit sa sune la banca. Deci sunt destul de sigur ca ce mi s-a intamplat nu e ceva izolat, ca cineva ghiceste ca eu conduc un Porsche 911 turbo galben. Mai ales ca galbenul nu e o culoare foarte populara.


Facebook se comporta ca un imens server colector de date. Este gratis, deci o multime de oameni il folosesc. Cu cat folosesti mai multe plugin-uri, cu atat esti mai supus riscului dezvaluirii de informatii. Cu cat
participi la mai multe chestionare, cu atat riscul ca datele tale private sa fie dezvaluite altor persoane
creste.
Nu spun ca a da aceste date bancilor, pentru protectie, este rau. Dar gandeste-te ce s-ar intampla daca datele tale ar face inconjurul pamantului cu ajutorul reclamelor sau companiilor de telemarketing. Este o sarcina dificila sa-ti protejezi datele personale. Si dupa ce Facebook a impus noi setari de securitate saptamana asta, sunt oarecum ingrijorat de faptul ca multi utilizatori nici nu-si dau seama ce implica acele setari. De exemplu, am putut de-o data sa vad pe prietenul vecinilor mei aproape dezbracat la iarba verde. Nici macar nu-l cunosc dar am putut sa-i vad toate pozele pentru ca il aveam pe vecinul meu drept prieten si el daduse click pe Ok la noile setari de securitate implicite.Deci ai grija ce postezi pe Facebook si cum iti configurezi setarile de securitate. De asemenea dezactiveaza functia “indexing”. Altfel motoarele de cautare vor surprinde povestile tale de adormit copii de pe facebook :).
Un sfat suplimentar: Intotdeauna sa fii sceptic cand o pagina iti zice ca are nevoie de codecuri suplimentare sau un update pentru adobe flash. De asemenea, nu trebuie sa caz in capcana site-urilor Facebook false, ce mimeaza aproape perfect pagina de login. Ele colecteaza datele de login si trimit mesaje nedorite tuturor prietenilor tai de pe Facebook. Trucul este vechi si a mai fost folosit si cu Microsoft Messenger pentru a trimite spam tuturor prietenilor din lista.
Aceasta problema se va agrava pe zi ce trece pentru ca datele personale si informatiile referitoare la preferinte sunt aur curat in mainile spammerilor.

FV: Utilizati un antivirus pe calculatorul dumneavoastra? Care este acesta?

MN: Nu folosesc nici un antivirus pe computer-ul meu Mac, deoarece le securizez singur. In mediul corporate, utilizez desigur produsul nostru, VIPRE, instalat pe Desktop-ul personal. Acelasi lucru este valabil si pentru laptop-ul cu care ma conectez la birou stand acasa.

In plus, ce antivirus de pe piata credeti ca este cel mai slab in acest moment si de ce?

PlaceboAV 😉 No comment.

FV: Virusii pentru smartphone sunt o amenintare reala sau este doar o metoda de a vinde un program antivirus dedicat telefoanelor mobile?

MN: Exista de fapt doua raspunsuri la aceasta intrebare: Primul este cel pe care oamenii se asteapta sa-l primeasca si al doilea este adevarul. Prefer sa raspund astfel:
Poti fi sigur ca esti in siguranta cu un iPhone atat timp cat nu este “spart” (jailbroken). Odata “deblocat” poti instala practic orice aplicatie pe el fara un certificat valid, permitand astfel si virusilor sa ruleze.
Spre exemplu ultimul virus pentru iPhone rula doar pe telefoane “sparte”. Un cumparator obisnuit, ce a achizitionat telefonul de la provider si-l foloseste pur si simplu, nu este nici un motiv de ingrijorare.
Merg intentionat cu smartphone-ul deschis complet (WiFi si Bluetooth on – n.tr.) oriunde, in speranta ca va fi infectat. Dupa ani de zile, nu s-a intamplat nimic. Doar niste persoane plictisite in sala de asteptare a unui aeroport, au incercat sa se conecteze prin bluetooth si cam atat. Nici o infectie.
Desigur apar stiri, cum ca un nou virus pentru terminale mobile a aparut, dar opinia mea personala este ca sunt exagerari.
Nu spun ca nu exista nici un malware pentru mobile activ, dar nu afecteaza in acest moment multa lume. Cand Microsoft a lansat prima versiune a Windows Mobile OS, multi au prezis ca lumea se va intoarce cu susul in jos pentru ca fiecare al treilea telefon va fi infectat. Vanzatorii au invatat foarte rapid ca solutia este aceea de a permite doar aplicatii sigure si certificate pe smartphone-uri. Daca iti hackuiesti telefonul, atunci iti asumi riscurile.

Sa nu ma intelegeti gresit aici, nu spun ca antivirusii pentru telefoane sunt pierdere de vreme. Este de altfel foarte util sa ai un asemenea program instalat daca esti un utilizator corporate ce are un
Blackberry. In ceea ce priveste un utilizator normal, care achizitioneaza telefonul si-l foloseste asa cum este este aproape inutil, iti consuma doar baterie in plus.
Asigurati-va ca protocoalele de comunicare cum ar fi Bluetooth sau WiFi sunt pornite doar cand aveti cu adevarat nevoie de ele – in special in zone aglomerate, cum ar fi aeroporturile sau alte locuri publice.

Aceasta limiteaza riscurile infectarii cu un procent semnificativ – chiar si cu un telefon “spart” (jailbroken).

Aceasta este prima parte a interviului si sper ca in viitorul apropiat sa pot publica si partea a doua.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

13 responses to “EXCLUSIV – Interviu cu Michael St. Nietzel (Sunbelt Software)”

  1. Nick

    In sfirsit… :mrgreen:

  2. happyday

    interesant.

  3. 007

    individul asta a simtit nevoia sa se laude ca are un porsche 911 galben si sa faca un pic de reclama la vipre(cred ca nici el nu crede ce zice in privinta asta)

  4. 007

    eu cred ca foloseste avira free…:)))

  5. Nick

    @Radu
    La un router cu “ţeavă” ( 😆 ),dacă-i bifezi opţiunile alea de blocat atacuri DoS,SynFlood,etc.chiar poate face asta? 🙄
    PS.E OK cu Mike,mai asteptam inca trei luni,si vedem si partea a doua… 😆

  6. Dorin

    Un” Paste Fericit” si plin de impliniri va doresc d-le Radu si va multumesc inca o data pentru ceea ce faceti pentru noi…

  7. happyday

    ou ou(rosu) seven
    tipul asta a ajuns la un nivel pe care tu n-o sa-l atingi niciodata. faptul ca echipa faravirusi a reusit sa-i ia un interviu e de admirat. mai bine ai folosi informatiile din articol (atata cat pot neuronii tai sa sintetizeze) decat sa postezi emanatiile pseudo-umoristice ale unei inteligente care nu impresioneaza pe nimeni. si eu am facut misto la inceput (schnietzel sau nush cum l-am poreclit) dar citind articolul am realizat ca am gresit. ceea ce spune st. nietzel e extrem de interesant, explicit, si cu exemple pe intelesul tuturor vizitatorilor acestui blog. chestia cu posrche e meritul lui. punct.

    Va doresc un Paste fericit tuturor !

    cu drag,

    hd

  8. Nick

    @happyday
    Mulţumesc,la fel! 😉
    Paste Fericit de asemenea si Adminilor acestui blog deosebit!

  9. laxinuver

    Interesant.Paste Fericit!

  10. adrian

    @happyday nu e numai asa . si eu am masina si nu zic la oricine imediat.si nu este o masina naspa.Modestia denota un caracter puernic o persona echilibrata si cu picioarele pe pamant.Oricum bravo lui ca a ajuns sa detina stfel de lucruri.
    Fiecare este bun la ceva nu oricine poate sa si faca bani multi facand lucruri care le place.
    Oricum n-am nimic cu nimen interesant articol.Felicitari celor de la faravirusi tineti-o tot asa.
    Paste Fericit!!!

  11. cobra

    Eu nu înghit deloc aceste reţele sociale şi, totuşi, primesc în continuare invitaţii de a mă înregistra la ei. Evident, unii dintre prieteni sau clienţi care mă au în lista lor de Yahoo sau Google trimit involuntar astfel de invitaţii.
    Ce ar trebui să facă ei pentru ca eu să nu mai primesc astfel de invitaţii?

Leave a Reply