Jump to content


Friends, we are happy to invite you to our NEW Global Kaspersky Club! Please follow this link www.kasperskyclub.com , sign-in and enjoy our new platform!


Photo

Weblog by NickGolovko - История одного специалиста


  • Please log in to reply
No replies to this topic

#1 KL FC Bot

KL FC Bot

    Commander

  • Members
  • PipPipPipPipPip
  • 856 posts

Posted 17 May 2007 - 08:07 PM

Благодаря статье, которую недавно опубликовал MiStr, у меня возникло желание несколько разбавить записи в моем блоге своей компьютерной автобиографией, тем паче что она отличается от традиционных историй специалистов по безопасности и потому может представлять интерес.

В начальной школе (классе, я полагаю, во втором) у нас начался курс информатики, на котором состоялась моя первая встреча с электронно-вычислительной машиной. Занятия были по всем правилам: следовало приносить халаты, сменную обувь… так что воспринималось все это особенным, серьезным образом.

Машины, как вы догадываетесь, были не особенно мощные. Я подозреваю, они до сих пор не заменены. :) Год был – 1997, и, естественно, стоял на компьютерах великий и ужасный DOS. :) Работали мы с Norton Commander, лихо перемещались по директориям (особенно в папку C:\Games =) ), а преподавали нам программирование на Basic. Преподаватель писала на доске команды, мы их списывали, аккуратно переносили в компьютер. Реализации были нехитрые – красная точка, гордо именовавшаяся в сопроводительном тексте «блохой», выписывала разные маршруты по серому фону. Компьютерные сказки мы писали, по сути говоря. :) Для особых фанов Basic образца 1997-1998 года могу поднять в воздух гору пыли и постараться откопать в архивах парочку образцов того самого кода, который мы заносили в тетрадь. :)

Были у нас и тесты на этих компьютерах. Много лет прошло, а я помню четверку, которую поставила мне бездушная машина за тест по наибольшим общим делителям и наименьшим общим кратным. :) Или наоборот? Вот что значит два года не вспоминать о математике. :)

Третий класс был у нас соответственно в 1998 году, и на машинах преподавателей синие панельки сменились цветными заставками. Но на обычных машинах был все тот же DOS, и «новая программа» воспринималась как нечто запретное и принадлежащее к высшим сферам. Так я и ушел из начальной школы – посмотрев на Windows только издали.

Наша педагогическая площадка несколько раз меняла дислокацию: все три ступени среднего образования я прошел в разных школах. Толковой информатики у нас больше не было, машины дома тоже, а на компьютере, что стоял на кафедре отца, программировать было как-то неестественно. :) В силу этого с программированием я распрощался и только сейчас начинаю присматриваться к C++.

Машина на кафедре в те годы была большой ценностью и стоила больших денег. У нее был дисковод 3,5, привод CD-ROM 52x, адский монстр производительности Intel Pentium II и умопомрачительный жесткий диск на 10 гигабайт. :) На ней стояла Windows 98, с которой я работал довольно долго: аж до самого момента покупки моей машины 2 июля 2005 года. Лет пять, одним словом. До поры до времени я не видел в компьютере большой пользы, пока не решил поискать папку C:\Games (по старой памяти). :) И – представьте – нашел! :) С настоящими компьютерными играми. Аж двумя. =) И началоооось… Именно тогда, когда меня невозможно было никакими рычагами выковырнуть из-за машины, мои родители и приобрели вечный страх перед компьютером. :)

Все это время я был большой фанат Windows 98. Уже в университете на курсе информатики я впервые увидел Windows XP – компьютеры у нас всегда новые (да и исправные, кстати говоря, что в вузах встречается редко). Она мне не понравилась. :) ХР показалась мне неудобной, громоздкой и все такое. Про себя я решил, что при покупке компьютера не возьму ХР. =)

Помню, как однажды нам сорвал практическое занятие по информатике… Blaster. :) На машинах в компьютерных классах не было защиты, и они ничего не могли противопоставить червю. Так что – был момент, когда я чувствовал к вирусу благодарность. Тем более что мою 98 он не брал, и я мог спокойно играть. :)

Прежде чем я перейду к своей собственной машине, остается сказать еще об одной, я бы сказал, неотъемлемой части кафедрального компьютера. Здесь надо в первую очередь сказать, что машина могла вынести только один несистемный процесс, который и отображался в списке Диспетчера задач в гордом одиночестве. Звалось это чудо программной мысли Antiviral Toolkit Pro 3.5 Platinum. AVP. :)

AVP был талантлив. Он имел монитор, умел искать вирусы и обновляться с локальной папки в университетской сети. Иногда я копался в его недрах, здорово напоминавших в то время теперешний Dr. Web. В основном, конечно, наше общение ограничивалось появлением при старте системы картинки, где рука человека в суровом черном пальто держала столь же черный (или, возможно, серый) зонт, а внизу была надпись: Kaspersky. Information Protected. Бывало и такое, что та же картинка сопровождала alert об обнаружении вируса. Я, конечно, по разным местам Интернета ходил, но склонен винить все же других пользователей кафедрального компьютера. :)

Со временем потребность в личной машине нарастала, и в конце концов я смог убедить родителей, что компьютер дома нужен. До сих пор помню, как в 2005 году спросил в одном магазине, есть ли у них Pentium II. :) Хотел машину, как на кафедре. Ага. Щас. :)

В конце концов мы купили готовый компьютер в заводской сборке. Предустановлена была Windows XP – но я к тому времени уже успел сообразить, что мой идеал, мягко говоря, устарел, и принял этот факт как неизбежность. Это сейчас я смотреть не могу на Windows 98. :) Говорят, подобный эффект наблюдается у многих, кто с 98 пересел на ХР.

Некоторое время я не имел подключения к сети и потому работал безо всякой защиты. Впоследствии я заподозрил у себя что-то неладное и решил все же поставить себе антивирус.

Среди прочего софта на ОЕМ-диске имелся трехмесячный Антивирус Касперского Personal версии 5.0.227. Но то ли по причине ранней продажи машины, то ли еще почему он не хотел брать ключ, что был на диске с программой. Никак. Вздохнув, я залез на диск с софтом для материнской платы и нашел там… ну разумеется, Norton Internet Security 2005. :D

Поставив эту радость любителя стресс-тестов, я ухитрился даже просканировать компьютер и что-то найти. Пару раз пытался обновиться, так как NIS страшным голосом вопил, что я не защищен от нескольких Быстро Распространяющихся Угроз. :) Так у меня ничего и не получилось. Поэтому знакомство с Нортоном, как и у многих пользователей, получилось у меня скоротечным – через некоторое время я отправил его на свалку истории.

Примерно в это же время я купил одну из энциклопедий Виталия Леонтьева, дабы иметь под рукой хороший справочник на случай проблем с софтом или железом. Книга оказалась на удивление интересной и информативной, существенно пополнив уже имевшиеся знания и в некоторой мере поспособствовавшая моему более активному
участию в жизни Интернет-сообщества.

Потерпев неудачу с NIS, я умудрился-таки поставить Касперского. Ключ тот не брал по-прежнему, но установку провел до конца, и серая иконка стала прилежно появляться в трее при старте системы. Вы знаете, я был искренне уверен, что антивирус работает. Я просто не знал, что значок должен быть красный. =)

Долго ли, коротко ли, шло время, и подошел срок «включения ключа». Точно уже не помню, в чем там было дело. Возможно, я не понял некоторых аспектов лицензирования, или ключ действительно имел фиксированный срок, после которого включался – не суть важно. Важно было то, что антивирус наконец заработал в полную силу.

В то время я не особенно соприкасался с вопросами безопасности, хотя, прочитав у Леонтьева о брандмауэрах, даже ставил себе бесплатную версию Outpost. Тот прилежно блокировал атаки (почему-то только по TCP :) ), спрашивал, пускать ли в сеть приложения. Я разрешал любую активность. =) В общем, диагноз был понятен.

Была и есть в Сети такая вкусность под названием «анимированный рисунок рабочего стола», или animated wallpaper. Забава была интересная, и потому я качал разные обои с сайта компании Freeze, ставил, наблюдал за водопадами, бабочками и так далее. :) Как вы, думаю, знаете, работает такая красота через запуск DLL как приложения, то есть через rundll32.exe, один из базовых системных файлов. Сейчас поймете, почему я об этом говорю.

Как-то раз от нечего делать я в очередной раз посетил настройки Касперского и обнаружил там ранее не виданную мной галочку: детект потенциально опасных программ. Не включенную по умолчанию. Совершенно логично предположив, что чем больше детекта, тем лучше, я включил галочку, задействуя расширенные базы, и по просьбе продукта ушел на перезагрузку.

После запуска Рабочего стола rundll32 загрузила в память анимированные обои… которые были на деле с секретом. Они детектировались как AdWare. Тут же раздался визг свиньи, и в соответствии с несколько неумными умолчательными настройками rundll32 была немедленно блокирована драйвером (в пятерке, напоминаю, любое действие с зараженным объектом обязательно сопровождалось его блокировкой). На мою еще не особенно просвещенную голову посыпались многочисленные сообщения об ошибках, вызванные блокировкой.

Как всякий юзер, я был приведен этим в ужас и, никоим образом не думая о деинсталляции антивируса или использовании правил исключений, запустил восстановление системы с диска. Ошибок поубавилось, да, но они продолжали сыпаться… и я, преисполнившись гнева на антивирус, отправил машину на полную переустановку системы.

Завершив переустановку, я посчитал источником всех бед Касперского и, будучи на него в обиде, решил больше его не ставить. Машина, тем не менее, требовала защиты, и я отправился на поиски бесплатных антивирусов. По рекомендациям знакомых, по данным некоторых сайтов я в разное время работал с довольно широким спектром программ. Тестировал я AntiVir, который мне не понравился, NOD32, который тоже не вызвал положительных эмоций… Материал для теста был невелик: архив с вирусом, полученный мною по почте. :) Запускать я его и не пытался – все-таки некоторые азы я за это время усвоил, - а вот сканеры по требованию на нем пытал. Тестируя NOD32, avast! и AVG, я обнаружил, что NOD вируса в файле не видит, а avast! и AVG – видят. Вывод был очевиден: на что мне платный антивирус, который не видит вирусов? ;) Так я и остался на avast! и AVG. Одновременно. Уживались они только так – за милую душу. :) Совмещал же я их сознательно, понимая, что в силу бесплатности уровень детекта у них не особо велик.

Разобравшись с бесплатными антивирусами, я начал подыскивать бесплатные брандмауэры. Многие перебывали на моей машине: ZA, Kerio, Outpost, Jetico… но в конце концов я остановился на термоядерной комбинации первых трех перечисленных. :) Постепенно я входил в компьютерную безопасность, начал развитие своего сайта бесплатных программ, где представил большинство из собранного мной бесплатного софта. Совершенно серьезно я рекомендовал ставить три брандмауэра и два антивируса. :) Чем больше, тем лучше. Один хакеры пробьют – другой останется. :)

Но вот как-то раз произошло неизбежное. После очередных игр с конфигурацией брандмауэров я запретил svchost’y сетевую активность в Outpost – по-моему, все же случайно, хотя не поручусь. :) И при соединении с сервером и регистрации компьютера в сети система упала. Это теперь я понимаю, что был конфликт драйверов; тогда же я решил, что дело в блокировке svchost. В правилах Outpost я поменял разрешения. Вроде бы сеть заработала. Однако после перезагрузки все вернулось на свои места… Я попытался удалить Outpost. Он удалился. Проблема осталась на месте. Поставил снова, разрешил все. Проблема на месте.

В конце концов, ведомый уверенностью, что дело в svchost, я применил на практике свое понимание принципов работы операционной системы! :) Я даже не знаю, додумался бы ли я до такого сейчас. :) Я решил: Outpost запретил соединения для файла C:\Windows\system32\svchost.exe – значит, я должен его обмануть! =) И я, скопировав svchost в другое место, переименовал его в svchost1.exe, после чего положил рядом с настоящим svchost. Первая фаза операции была завершена. :)

Затем я запустил редактор реестра, задал поиск «svchost» и все найденное заменил на svchost1.exe. Полный тревожных онлоний, я ушел на перезагрузку. :)

После запуска системы я запустил подключение. Открытие порта… набор номера… проверка имени и пароля… регистрация компьютера в сети…
И всплывающее сообщение: подключение установлено. :) Это была победа разума над техникой! :) :)

К слову сказать, жил я с svchost1.exe довольно долго. :) До очередной переустановки системы, после которой, разумеется, от Outpost ничего не осталось. Windows работала нормально, системы защиты успешно охраняли ее, росли мои познания относительно безопасности, и в конце концов я решил: знаний накоплено достаточно – пора начинать делиться ими. Вопрос о выборе места для начинающего консультанта не стоял – неприятный эпизод с rundll32 не мешал мне уважать Лабораторию Касперского как одну из ведущих компаний в сфере IT-безопасности. Было лишь одно но: не было повода.

И вот в конце мая 2006 года мне позвонила лучшая моя подруга и между всем прочим сказала, что купленная ею недавно новая (по идее) дискета уложила наповал ее компьютер. Симптомы, по ее словам, были следующие: некоторое время она работала с дискетой, потом – по завершении – был кликнут ярлык старой и давно установленной игрушки, и в этот же миг машина погасла. Повторные попытки запустить ее не дали никакого результата. Вызванный спец по железу уверенно сообщил, что… сгорели блок питания и материнская плата.

Просить дискету на анализ я не стал, поскольку машина моя еще представляла для меня ценность, и рисковать ею я не хотел. Интрига, тем не менее, подогревалась еще и тем, что принесенная к соседям дискета точно так же уложила их компьютер, который, правда, минут через пять воскрес. Я пообещал поспрашивать знающих людей и уверенно направился на первый в моей компьютерной жизни форум – форум ЛК, где и создал тему под названием «Virus VS Hardware». Так начался мой путь. Длина пути
(ну как же об этом не сказать) уже пять тысяч сообщений. =)

Как и следовало онлоть, заданный вопрос был встречен с изрядной долей скепсиса. Первым же ответом меня любезно отослали «на форум к сказочникам» - спасибо хоть бояном не поименовали. :) Решения так и не нашли, ограничившись предположениями, дискета благополучно канула в Лету, а я начал активное консультирование.

Назвать его сверхценным в ту пору было сложно. Тем не менее, поначалу я неплохо справлялся с некоторыми вопросами и нередко рекомендовал использовать программы со своего сайта freeware, который к тому времени был неплох в объеме и существовал уже несколько месяцев. Именно форум и сайт явились двумя слагаемыми одной очень важной для меня встречи. :)

Как-то в один хороший день система доставки уведомлений проинформировала меня, что на мой почтовый ящик прибыло письмо с темой «Great Site!». Я никогда не говорил об этом, но должен признаться: я едва не счел его спамом, ведь англоязычных корреспондентов у меня было не так уж и много, и никто не мог написать подобное сообщение. Остановило меня одно: имя отправителя было похоже на логин – «Paul Wynant» (<wynantp@otradno.ru>). :) Свечу адрес Паула спокойно, так как он его больше не использует.

Паул сообщил, что нашел ссылку на мой сайт, читая форум Касперского, и подборка программ ему понравилась. Постепенно разговор перешел на темы информационной безопасности… и продолжается до сих пор. :)

В скором времени произошла еще одна, я бы сказал, судьбоносная встреча: после длительного отсутствия на форум в очередной раз зашел RiC, на форуме ЛК более известный как RiC_VInfo. Для тех, кто не знает, поясню: RiC один из ведущих специалистов портала VirusInfo.Info и один из лучших антивирусных экспертов, кого я знаю. Время от времени он заходил в ветку Борьба с вирусами и помогал в решении сложных кейсов – естественно, с помощью AVZ. Пронаблюдав несколько таких кейсов, я заинтересовался используемым RiC’ом инструментом и по приведенной в одной из тем ссылке скачал его.

Беглый осмотр возможностей AVZ привел меня в состояние некоторого шока. :) Кое-что в безопасности я уже понимал и потому с первого взгляда оценил обширные возможности этого инструмента. С тех пор я также стал использовать его в диагностике и лечении. Самый старый из хранящихся у меня протоколов был создан AVZ 4.18 и датирован 30 июня 2006.

Поначалу мне не всегда хватало опыта при чтении протоколов, и время от времени я подвергал сомнению легитимные файлы. RiC следил за моими попытками анализа, как мне представляется, несколько снисходительно, иногда поправлял, иногда по моей просьбе пояснял ошибку. :) Так я постепенно через содействие RiC’a, за что ему искренне благодарен, обучился работе с протоколами и смог считать себя аналитиком-специалистом. Через некоторое время состоялась моя регистрация еще на двух основных форумах Рунета по информационной безопасности – на Anti-Malware и на VirusInfo. На последнем я, в частности, присоединился к обсуждению AVZ в разделе бета-тестирования и могу уверенно сказать, что в числе нововведений в AVZ за это время есть и некоторые мои предложения. :)

Если память не изменяет мне, то летом или, возможно, осенью 2005 года на форуме ЛК был поднят вопрос о нашумевшем leak-тесте PC Flank. Напомню, что этот тест обходил все брандмауэры, существовавшие в сети на момент его публикации. Было использовано некое не совсем стандартное внедрение в процесс браузера. Пожалуй, именно PC Flank начал линию leak-тестов, которые по своей сути мало общего уже имеют с функционалом сетевого экрана (как верно было подмечено, большинство современных leak-тестов можно остановить Антивирусом Касперского безо всякого сетевого экрана – за счет Проактивной защиты). Было только одно решение по безопасности, имевшее возможность блокировать тест; оно содержало в себе брандмауэр и потому тоже попало в список тестирования. Этот комплекс назывался Tiny Firewall Pro.

Tiny не повезло в этом смысле: оказавшись в одиночестве в списке прошедших тест, он немедленно был обвинен в том, что якобы тест писался специально под него. Слышались утверждения, что такой метод обхода не представляет никакой опасности, что угроза является надуманной и т.д. Тем не менее я был впечатлен представленными скриншотами и установил этот комплекс. Ощущения были примерно такие же, как при запуске AVZ. :) Впоследствии выявились некоторые недостатки этого продукта, однако до сих пор не существует ему альтернативы ни среди бесплатных, ни среди платных продуктов. На XP Home, которую я использую, он отлично заменяет собой редактор политик, позволяя успешно защищать систему от неизвестных вирусов. К сожалению, этот продукт уже не выпускается, и количество его пользователей исчезающе мало.

По прошествии нескольких месяцев я практически одновременно подал заявку на пост модератора Anti-Malware и форума ЛК. Заявки были удовлетворены – и я продолжил работу уже в новом качестве, чувствуя некоторую гордость в связи с полученным повышением. :) Работы было много, поскольку и на AM, и на форум ЛК заходили боты, рекламщики, любители покричать… сейчас их, конечно, поубавилось, но все равно без дела я не нафожусь. :)

Наиболее неприятный для меня эпизод имел место на Anti-Malware, когда по просьбе разработчиков я закрыл сообщение о найденной в шестерке уязвимости. Можно сказать, что модератору не хватило опыта: достаточно было закрыть конкретные шаги по воспроизведению уязвимости, однако этого я не сделал и за последствия отдуваюсь до сих пор. :) За короткий промежуток времени я получил в репутацию штук двадцать пять минусов. :) Но что было, то было, и я предпочитаю думать не о том, что навредил чьему-то чувству свободы слова, а о том, что предотвратил заражение некоторого количества машин в связи с найденной уязвимостью.

В ноябре 2006 года я предложил посильную помощь Олегу Зайцеву в английской локализации AVZ. Будучи студентом факультета романо-германских языков, я хорошо знаю английский, плюс меня поддерживают опыт работы с англоязычным охранным софтом и словарь компьютерной терминологии. Олег согласился помощь принять, и к моему послужному списку добавилось звание локализатора AVZ, или, как я обозначил в подписи, разработчика пользовательского интерфейса английской версии AVZ. В скором времени и справка AVZ должна выйти в моем переводе.

Совсем в конце прошлого года состоялось еще одно значимое событие. Признаюсь: онлол, что моя активная работа на форуме будет замечена и, не исключено, отмечена. =) Не онлол другого: занесения меня в группу GBT. Ведь тестировать мне не на чем, и в основном мой вклад в бета-тестирование ограничивается пожеланиями и предложениями. Тем не менее, звание мне было присвоено, и со своей устрашающей термоядерной комбинации двух антивирусов и двух брандмауэров я переключился на KIS. Поддерживают его две системы проактивной защиты.

К слову говоря, я не считал и не считаю себя фанатом Касперского. Частично это связано с тем, что, не желая использовать платные и взломанные системы защиты, за время до получения ключа я успел развиться :) до такого состояния, что мне уже все равно, какой антивирусный продукт использовать для защиты – в любом случае он будет простаивать. Переходя на KIS, я даже сказал свое фи относительно функциональности отдельных компонентов продукта в ветке по бета-тестированию. :) На мой взгляд, KAV-компонент отработан отлично и составляет единое целое, а вот прочие IS-компоненты смотрятся некоторым довеском к нему. Будем надеяться, что в будущих поколениях продуктов эту неравновесность исправят.

Некоторое затишье в моей общественной жизни, наступившее после награждения (в плане консалтинга затишья не было, разумеется :) ), было прервано реализацией давно посещавшей меня идеи – созданием электронной книги, в которую вошли бы основные советы по безопасности, разработанные Паулом и моим знакомым белорусским журналистом Сергеем Римшей. Сергей, будучи непрофессиональным пользователем, сделал подборку тех советов, которые представляются наиболее важными не-эксперту. Это обеспечило нашей книге необходимую двойственность – она должна была подходить и простому, и продвинутому пользователю Интернета. После трех кругов бета-тестирования релиз наконец состоялся – и я искренне рад тому факту, что разрозненные прежде рекомендации обрели завершенную и легкодоступную форму. Ведь чем больше пользователей Сети прочтут эту книгу, тем меньше будет инцидентов, из которых состоит мой блог. :)

Совсем уже недавнее событие – это производство меня в администраторы VirusInfo и назначение координатором этого крупного антивирусного проекта. Управляя VirusInfo, я стараюсь всемерно сочетать традиции и инновации, дабы не терялась связь с прошлым и не прекращалось стремление в будущее. Наша репутация как одного из лучших бесплатных лечебных центров Интернета уже укрепилась в российском секторе Сети; теперь же усилия нашей команды направлены на создание такой же репутации за рубежом.

На сей момент моя история завершается. Мне хочется верить, что она получит продолжение и не ограничится опубликованным сегодня. Впереди у нас – релиз семерки, длительное, полное надежд и чаяний онлоние восьмого поколения, бескрайние просторы перспектив… и столь же бескрайнее море вирусов. :) И даже не хочется говорить «не будем о грустном»: ведь, зря в корень, мы должны признать: вирусы создали наше дружное форумское сообщество. :) Без вирусов не было бы объединяющего нас продукта и главного дела нашей жизни – «лечения систем от нечисти».

Спасибо вам – за внимание к истории одного специалиста. :)

View the full entry | Посмотреть запись полностью