Антивирус Касперского Personal 5.0 MP2. Последние события в мире IT. Интервью с Андреем Никишиным

Введение

В начале декабря "Лаборатория Касперского" выпустила Антивирус Касперского 5.0 Personal Maintenance Pack 2 – новую версию своего продукта для защиты рабочих станций от вредоносных кодов. В антивирусе действительно была наращена функциональность, так что нельзя сказать, что изменения носили декоративный характер. Однако при установке и использовании новой версии возник целый ряд вопросов. Например, почему отключена по умолчанию полезная опция "Режим невидимости", почему новая версия не использует антивирусные базы старой, зачем понадобилось добавлять в продукт функциональность межсетевого экрана и для чего появилась возможность отключать технологии iChecker и iStreams... Вопросов много, а ответы есть только у разработчиков. Именно обсуждению всех особенностей Антивируса Касперского 5.0 Personal Maintenance Pack 2 посвящена первая часть нижеследующего интервью. Представляется, что пользователям Антивируса Касперского будет особенно полезно ознакомиться со всеми этими тонкостями.

За последний месяц накопилось очень много IT-событий, разобраться в которых простому пользователю очень сложно. Например, Билл Гейтс пообещал, что проблема спама исчезнет через два года, а Ховард Шмидт заявил, что в течение года значительно сократится число успешных фишинговых атак... Есть также целый ряд проблем, по которым хотелось бы услышать мнение эксперта: технологии DomainKeys и SenderID, Service Pack 2, Internet Explorer и фишинг, сети зомби-машин... Обсуждению именно этих вопросов посвящена вторая часть интервью.

На наши вопросы отвечает Андрей Никишин, глава отдела маркетинговых исследований и стратегического развития "Лаборатории Касперского".

Антивирус Касперского 5.0 Personal MP2

Алексей Доля: Правильно ли я понимаю, что Антивирус Касперского 5.0 Personal MP2 - это полностью новая версия продукта, а "Maintenance Pack 2" - ее маркетинговое название? Зачем было придумано "MP2", если это могла быть просто версия 5.0.227? Что новым названием компания хочет подчеркнуть?

Андрей Никишин: И да, и нет. С одной стороны - это новый продукт с кучей нового функционала, с другой - исправление ошибок и развитие уже существующего продукта. Аналогия: SP2 для Windows XP - куча нового, но Windows как была XP, так и осталась.


Алексей Доля: Действительно очень интересно. А вы не могли бы рассказать, какие именно ошибки были исправлены в MP2 по сравнению с предыдущей версией? Пару самых значительных примеров бы услышать...

Андрей Никишин: Например, была ошибка с обнаружением вирусов в почтовых базах в Windows 9x. Не всегда находили вирусы. Поправили...


Алексей Доля: Какую цель преследовали разработчики, наделяя антивирус некоторыми возможностями брандмауэра?

Андрей Никишин: Основная причина - обнаружение бестелесных червей типа Slammer и других Интернет-червей, которые распространяются по глобальным сетям, используя для своего распространения различные уязвимости в ОС.


Алексей Доля: Много ли еще известно таких бестелесных червей? Или в Антивирусе Касперского 5.0 Personal MP2 реализован эвристик, который позволяет обезвреживать абсолютно новые версии бестелесных червей?

Андрей Никишин: Кроме Worm.SQL.Slammer (название по классификации Касперского) еще есть несколько вариантов червя IIS-Worm.CodeRed, Worm.Win32.Witty, Worm.Win32.Lovesan, Worm.Win32.Welchia.b и другие. Для детектирования такого рода червей сделана возможность обновлять специальную антивирусную базу.


Алексей Доля: Насколько я знаю, бестелесные черви поражают в основном серверное прикладное программное обеспечение и, соответственно, "живут" на серверах. Антивирус Касперского 5.0 Personal MP2 все-таки продукт для защиты рабочих станций, а не серверов. Несоответствие вроде получается.

Андрей Никишин: Довольно часто IIS устанавливается (или не выключается) на домашние компьютеры. Кроме этого, не стоит сбрасывать со счетов червь Worm.Win32.Lovesan и возможность нахождения ошибки в ОС или, скажем, неком офисном приложении, (схожей с DCOM RPC Bug, используемой в куче разных червей) с помощью которой будут распространяться черви и на рабочих станциях.


Алексей Доля: Не пересекаются ли возможности Антивируса Касперского 5.0 Personal MP2 по отражению сетевых атак с возможностями "Брандмауэра Windows" из Service Pack 2 (для Windows XP)?

Андрей Никишин: Только отчасти. Firewall в XP SP2 не может детектировать червей. Кроме того, далеко не у всех пользователей установлен XP SP2, есть же масса пользователей с другими версиями Windows.


Алексей Доля: А с функционалом конкретных корпоративных брандмауэров? Например, если бестелесный червь "живет" в СУБД Microsoft SQL Server, то вполне логично, что сам SQL Server стоит под прикрытием того же Microsoft ISA Server. В этом случае сетевая функциональность Антивируса Касперского 5.0 Personal MP2 окажется невостребованной?

Андрей Никишин: Как было сказано выше, Антивирус Касперского Personal предназначен для защиты домашних компьютеров, и на серверную ОС вообще не ставится. Так что ситуация с ISA несколько надумана. Но давайте все же рассмотрим предложенный сценарий. Если Firewall, за которым стоит SQL Server, обладает возможность фильтрации пакетов, в которых может быть червь, то в таком случае, функционал Антивируса Касперского Personal MP2 будет не востребован.


Алексей Доля: То есть основной смысл в том, что как только появится новый вид бестелесного червя, вы сразу же выпустите его сигнатуру, и уже работающие обновленные версии MP2 смогут обезопасить пользователей от бестелесных вредителей. Так?

Андрей Никишин: Именно так и будет. Кроме этого, не стоит забывать и про прямую обязанность IDS модуля - детектировать различные атаки на компьютер. База атак тоже обновляема и при появлении нового вида атаки пользователь получит обновление очень быстро.


Алексей Доля: Почему по умолчанию в "Настройка"\"Настройка постоянной защиты"\"Настройка параметров защиты" отключена опция "Использовать режим невидимости"? Вот цитата из официального help'а к MP2: "Использовать режим невидимости - значит, разрешить только сетевую активность, инициатором которой выступил пользователь; вся остальная активность (удаленное подключение к вашему компьютеру и т.д.) будет запрещена. Фактически это означает, что ваш компьютер становится невидимым для внешнего окружения. Кроме того, режим невидимости помогает предотвратить любые типы DoS (Denial of Service) атак. В то же время, режим невидимости не оказывает негативного влияния на вашу работу в Интернет: Антивирус Касперского разрешает сетевую активность, инициатором которой выступили вы". Получается, что опция полезная, побочных эффектов не видно. Почему она не активирована по умолчанию?

Андрей Никишин: Согласен с тем, что опция полезная, но есть и подводные камни. Сегодня очень многие пользователи используют P2P-соединения. По нашим данным, среди пользователей Антивируса Касперского Personal таких людей довольно много. Вот для них и отключен режим невидимости.


Алексей Доля: Тогда это надо в help'е указывать... Получается, что с активированной опцией пользователь P2P-соединения не пустит на свой компьютер никого извне и смысл самого P2P-соединения пропадет, так?

Андрей Никишин: Да. Все так и будет.


Алексей Доля: Совсем непонятно, зачем в Антивирус Касперского 5.0 Personal MP2 была добавлена возможность отключения технологий iChecker и iStreams при установке продукта? Насколько я понимаю, эти технологии обеспечивают высокую производительность продукта, чем они могут мешать? В каких случаях их следует отключать?

Андрей Никишин: На самом деле, много вопросов подняла технология iStreams, потому как после деинсталяции оставались потоки данных NTFS (ADS), в которых Антивирус Касперского хранил служебную информацию. После деинсталяции продукта эти данные оставались, и у пользователей возникали вопросы, как их удалить. Мы создали специальную утилиту для этой цели, но для пользователей, которые вообще не хотят никаких проблем с ADS, добавлена возможность отключить iStreams. Кстати, эта технология работоспособна только на NTFS дисках.


Алексей Доля: То есть, к iChecker претензий нет? И отключить можно только iStreams?

Андрей Никишин: Можно отключить обе технологии. Заодно и понять, насколько они помогают и ускоряют процесс мониторинга и сканирования :).


Алексей Доля: А зачем отключать iChecker? О проблемах iStreams вы уже рассказали. iChecker работает вроде абсолютно независимо от iStreams. Так в чем проблема?

Андрей Никишин: Каких-либо проблем с iChecker не было замечено, но пользователи считают, что лучше иметь возможность отключать ускоряющие технологии. Мы это сделали. Хотя смысла отключать iChecker лично я - не вижу.

От автора. Технологии iStreams и iChecker - основная "изюминка" Антивируса Касперского 5.0. Если их убрать, то пятая версия за исключением, на мой взгляд, декоративных элементов сразу же превратится в 4.0 или 4.5. А с iStreams и iChecker продукт реально работает в 2-3 раза быстрее своих предыдущих версий. На всякий случай, напомню, как работают эти технологии.
Технология iChecker позволяет сократить время сканирования и уменьшить нагрузку на системные ресурсы защищаемого компьютера без ущерба для эффективности антивируса. Благодаря iChecker сокращается время загрузки (до 30-40%) операционной системы и время запуска приложений при активной антивирусной защите. Основная идея данной технологии - не надо проверять то, что не изменялось, и уже было проверено и признано "чистым". Антивирусный "движок" ведет специальную базу данных, в которой хранятся контрольные суммы файлов. Теперь, прежде чем отдать файл на проверку, "движок" подсчитывает и сравнивает контрольную сумму файла с данными, хранящимися в базе данных. Если данные совпадают, то это значит, что файл был проверен и повторная проверка не требуется. Стоит заметить, что время, затрачиваемое на подсчет контрольных сумм файла, значительно меньше, чем время антивирусной проверки. Именно за счет этого и экономится время.
Технология iStreams позволяет ускорить антивирусное сканирование еще на 20-30% при защите рабочих станций под управлением Windows 2000 и XP. Основная идея похожа на iChecker и является развитием этой технологии, но в качестве базы данных используются ресурсы файловой системы NTFS.

Алексей Доля: Вы не могли бы дать краткую техническую справку, что это за ADS, зачем они нужны и как так получилось, что антивирус кровно заинтересован в их детальном анализе?

Андрей Никишин: Дело в том, что есть вирусы, которые при заражении файлов используют метод "stream companion". Этот метод основан на возможности файловой системы NTFS создавать дополнительные блоки данных ("потоки" данных - streams), которые ассоциированы с конкретным файлом.
На файловой системе NTFS каждый файл имеет как минимум один стандартный поток данных, к которому можно обратиться по имени файла. Каждый файл может также иметь дополнительные потоки данных, которые имеют свои персональные имена (filename:streamname). Стандартный поток в файле является собственно телом файла (в до-NTFS-ных терминах). Например, при запуске EXE-файла его код и данные считываются из стандартного потока; при открытии документа его текст считывается также из стандартного потока.
Дополнительные потоки данных в файлах могут иметь данные произвольного типа (например, данные о правах доступа к данному файлу). Они являются принадлежностью файла и жестко к нему привязаны. Потоки данных в файле не могут быть прочитаны и изменены без упоминания имени файла; при удалении файла удаляются все его потоки; при переименовании файла к его потокам затем можно обращаться только при помощи нового имени файла.
Стандартные утилиты просмотра/редактирования потоков данных в поставке Windows отсутствуют. Для "ручного" просмотра можно использовать специализированные утилиты, например, FAR с необходимым набором "плагинов".


Алексей Доля: А как вирусы могут использовать дополнительные потоки?

Андрей Никишин: Вот как дополнительные потоки использовал первый вирус Win2k.Stream.a: при заражении файла вирус переносил его тело (стандартный поток) в новый поток (который назывался STR) и затем записывал свой код в стандартный поток файла. Таким образом, тело зараженного файла (стандартный поток) оказывался замещенным кодом вируса, а первоначальное содержимое файла оказывалось перемещенным в его поток. При запуске зараженного файла Windows считывает и выполняет его стандартный поток (т.е. код вируса). Windows также показывает у всех зараженных файлов одинаковую длину - длину файла-вируса (поскольку Windows сообщает длину только основного потока файла).
Для того, чтобы возвратить управление первоначальному коду зараженного файла, вирус всего лишь запускает на выполнение соответствующий поток файла, используя его имя: "FileName:STR".


Алексей Доля: Антивирус Касперского 5.0 Personal MP2 ставится поверх Антивируса Касперского 5.0 Personal. При этом все существующие АВ-базы на данном компьютере теряются. Приходится переписывать их заново из Интернет. Почему так сделано? Неужели изменения в антивирусе настолько серьезные, что существующие базы, которые актуальны с точностью до 30 минут, нельзя использовать в новом продукте?

Андрей Никишин: Ошибка. Исправим в самое ближайшее время.


Алексей Доля: Есть и еще одна жалоба. Почему когда MP2 ставится поверх уже установленного лицензионного Антивируса Касперского 5.0 Personal путь к лицензионному ключу надо вводить заново? Ведь где-то в настройках уже установленного продукта путь к ключу прописан, нельзя ли обойти эти процедуру, если MP2 ставится не на ровное место, а поверх предыдущей версии?

Андрей Никишин: Можно. Разумное замечание. Странно, что об этом никто до вас не говорил.


Алексей Доля: В MP2 анонсировано более частое обновление статусной информации. Это очень здорово. Получая почту, можно следить - сколько уже получено (скачано), а сколько - осталось. Статусная информация обновляется чаще только для Outlook или для других почтовых клиентов - тоже?

Андрей Никишин: Так как наш антивирус проверяет входящий трафик POP3, то он проверяет почту вне зависимости от почтового клиента. Просто MS Outlook Express наиболее распространен в мире и поэтому возникает наибольшее количество вопросов по этому клиенту.


Алексей Доля: А насчет статусной информации? Она обновляется чаще в MP2 только в Outlook или и в других почтовых клиентах?

Андрей Никишин: Во всех, которые используют протокол POP3.


Алексей Доля: Теперь Антивирус Касперского Personal MP2 проверяет и исходящую почту. А вот для нее обновления статусной информации вообще нет. Почтовый клиент сразу показывает, что письмо отправлено на 100%, между тем, оно может потом отправляться еще Бог знает сколько времени. Так и задумано?

Андрей Никишин: Скажем так - это особенность реализации в данной версии. Уже думаем, что можно сделать.


Алексей Доля: Хотите сказать что-нибудь нашим читателям напоследок?

Андрей Никишин: Друзья, не стесняйтесь писать нам (в службу поддержки) о проблемах и, самое главное, о пожеланиях. Что вы бы хотели видеть в следующих версиях Антивируса Касперского.



Ну, что же. Подведем некоторые итоги. Во-первых, нам удалось выяснить, что в Антивирусе Касперского 5.0 Personal MP2 есть ряд недочетов, которые разработчики исправят, судя по всему, в ближайшей версии. Это некоторые неточности при установке продукта поверх уже существующей предыдущей версии (теряются базы, путь к ключу надо вводить заново), а также извечные проблемы с частотой обновления статусной информации. Последнее, однако - проблема всех антивирусных решений, гарантирующих эффективную проверку потоков почтового трафика во всех направлениях.

Еще несколько важных для пользователей фактов, что нам удалось узнать у разработчиков, являются:

Если вы не пользуетесь P2P-сетями, активируйте сразу после установки опцию "Настройка" \ "Настройка постоянной защиты" \ "Настройка параметров защиты" \ "Использовать режим невидимости".

Не отключайте технологию iChecker. Без нее работать все равно, что в "каменном веке". Производительность продукта возрастает в несколько раз.

Если вы не планируете удалять Антивирус Касперского в скором времени, то не отключайте технологию iStreams. Все-таки прирост производительности в 10-20% тоже никогда не помешает.

Последнее, на что хочется обратить внимание: если вы являетесь пользователем Антивируса Касперского и у вас возникли мысли, что надо поменять в продукте для более удобной и эффективной работы, то ни в коем случае не стесняйтесь - пишите в "Лабораторию". В конечном счете, продукты создают для нас с вами...

Основные события в мире IT

Алексей Доля: Билл Гейтс недавно заявил, что проблема спама будет решена через два года. Можете прокомментировать? Действительно ли IT-индустрия сможет справиться с этой болезнью в течение двух лет? Ваше личное мнение?

Андрей Никишин: Боюсь, что Билл Гейтс несколько погорячился. Немного разбираясь в природе спама, я думаю, что полностью избавиться от него практически невозможно. Спам - это просто текстовое сообщение, которое очень сложно отличить от обычного письма. Спам можно фильтровать, используя тот или иной алгоритм, но это не дает 100%-ного избавления от него. При этом не стоит забывать и про ложные тревоги (когда к спаму причисляются нормальные письма). Можно попробовать фильтровать прямо в каналах у провайдеров и владельцев каналов. Но это - тоже не выход. Получается, что никак не избавиться от спама. Хотя не стоит сбрасывать со счетов и гениальные идеи, о которых мы и догадываться не можем.


Алексей Доля: Сегодня внедряются и тестируются два коренных стандарта для борьбы со спамом: SenderID от Microsoft и DomainKeys от Earthlink и Yahoo!. Какой стандарт на ваш взгляд эффективнее?

Андрей Никишин: Вот небольшое сообщение, которое было опубликовано в Интернет (в частности, на SpamTest.ru): "Репутация технологии DomainKeys, на которую возлагались такие большие надежды в борьбе с фишингом, под угрозой. На прошлой неделе пользователи стали получать спам-письма, содержащие сигнатуры DomainKeys. Некоторые из них были отправлены с учетных записей почтовой службы Yahoo!". Я думаю, что и SenderID не является панацеей. Пока эти стандарты не обкатаются в "боевой" обстановке, нельзя говорить, что они хороши и решают проблемы.


Алексей Доля: Скажите, пожалуйста, а вы лично тоже возлагали на DomainKeys большие надежды? Почему?

Андрей Никишин: Наши специалисты пока скептически относятся к нововведениям типа DomainKeys или CallerID (SenderID). Как я уже говорил, до "обкатки" в "боевых" условиях говорить о полезности той или иной технологии можно только с какой-то долей вероятности. Например, технология SPF тоже выглядела очень стройной и логичной, но реальная эксплуатация показала, что большинство спамеров с легкостью поддержало эту технология и пользы от нее оказалось гораздо меньше, чем ожидалось.


Алексей Доля: Действительно ли подобные инициативы способны положить конец спаму в обозримом будущем, на ваш взгляд?

Андрей Никишин: Фишингу - да, спаму - вряд ли. Так как большое количество спама рассылается с зомби-компьютеров, причем эти компьютеры могут быть "честными" с точки зрения как SenderID, так и DomainKeys.


Алексей Доля: Как вы думаете, какой стандарт в результате получит повсеместное распространение, то есть "победит"?

Андрей Никишин: Видимо, победит какой-то третий или четвертый, который соединит в себе лучшее из обеих технологий и добавит что-то новое. Так как оба текущих стандарта далеки от идеала. Пока далеки.


Алексей Доля: Хорошо ли для IT-индустрии наличие двух конкурирующих стандартов? Может быть, абсолютно все равно?

Андрей Никишин: Два стандарта - это даже хорошо, так как в этом случае будет какая-то конкуренция, а от конкуренции в конечном итоге выигрывает клиент, то есть мы с вами.


Алексей Доля: Вы говорите, что спам может рассылаться с "честных" в рамках SenderID и DomainKeys компьютеров. То есть, злоумышленники могут использовать сети зомби-машин для рассылки спама. Поэтому технологии аутентификации отправителя, к которым и относятся SenderID и DomainKeys, смогут выявить "честный" компьютер, который рассылал спам, но настоящий хозяин которого, по сути, невиновен?

Андрей Никишин: Вы все абсолютно правильно поняли. Сегодня довольно много спама рассылается именно таким способом, как вы описали.


Алексей Доля: Ховард Шмидт (Howard Shmidt), руководивший службой информационной безопасности Белого Дома во время первого президентского срок Джорджа Буша, заявил, что, по его мнению, в течение ближайшего года IT-компании и правительство США смогут положить конец фишингу. В качестве аргументов в пользу этой точки зрения Шмидт приводит возникновение крупного альянса Digital PhishNet, внедрение технологий борьбы со спамом, распространение инструментов, уведомляющих пользователя, когда он заходит на поддельный сайт и т.д. Ваше личное мнение по этому вопросу?

Андрей Никишин: Боюсь, что г-н Шмидт явно дал голословное обещание, так как дела с фишингом становятся хуже с каждым годом. Сейчас в США просто огромное количество фишинг-атак и никаких улучшений не видно, несмотря на то, что распознать фишинг не сложно, если соблюдать ряд простых правил. Первое - банки никогда не рассылают письма с просьбой ввести пароль, пин-код или номер кредитной карточки.


Алексей Доля: Для полноты картины - можно еще второе и третье?

Андрей Никишин: Второе правило (для людей, которые знают, что такое URL) - всегда смотрите, куда ведут ссылки в письмах. В большинстве случаев они ведут куда угодно, кроме сайтов банков. И третье правило, которое не стоит забывать никогда - не запускайте вложения из пришедших к вам писем, тем более от незнакомых вам людей.


Алексей Доля: Можете оценить эффективность различных технических средств, позволяющих защитить пользователя от поддельных сайтов? Например, браузер Deepnet Explorer, оснащенный функцией Deepnet Phishing Alarm, по заявлениям разработчиков должен выявить поддельный сайт (если зайти на него) и уведомить об этом пользователя.

Андрей Никишин: Даже если эффективность указанного вами браузера составит 50-70% - это будет отличный результат, что позволит значительно снизить эффективность фишинговых атак и, как следствие, сократить их число. Думаю, что хорошим шагом для Microsoft было бы использование подобных технологий в Internet Explorer.


Алексей Доля: Есть также ряд инструментов от крупных провайдеров Интернет услуг и финансовых компаний. Например, компании Earthlink и eBay (а также некоторые другие) предлагают своим пользователям скачать панель инструментов (toolbar), которая крепится к браузеру и предупреждает о потенциально мошеннических и поддельных web-сайтах. Можете прокомментировать их эффективность?

Андрей Никишин: ScamBlocker, входящий в EarthLink Toolbar, просто сигнализирует о заходе на сайт мошенника, известного разработчикам ScamBlocker. Не думаю, что эффективность этого инструмента будет высока, так как пользователи в большинстве своем или забывают, или намерено не обновляют различные базы. А без обновления весь смысл ScamBlocker теряется.


Алексей Доля: Совсем также непонятно, как действуют подобные инструменты? Не могли бы вы пояснить хотя бы общие принципы?

Андрей Никишин: Могу только предположить, так как разработчики свои know-how не раскрывают. Очень часто мошенники используют простой прием: когда основное окно браузера показывает реальную страницу главной (или другой) страницы сайта банка, а во всплывающем окне - показывается информация с сайта мошенников. Возможно, что при такой ситуации и происходит предупреждение пользователя. Второй вариант - иметь обновляемую базу разрешенных и запрещенных адресов, предупреждать пользователя о загрузке страниц с запрещенных сайтов, как это сделано в EarthLink Toolbar. Но этот подход плох тем, что нужно регулярно обновлять базы, а это делают далеко не все. Я думаю, что в данном случае наибольшей эффективностью будут пользоваться различные проактивные методы, не требующие регулярного обновления каких-либо баз.


Алексей Доля: Если спам действительно удастся победить, значит ли это, что автоматически снизится число фишинговых атак и инфицированных вредоносными кодами электронных писем?

Андрей Никишин: Да. Фишинг, спам и вредоносные программы связывает именно носитель - электронная почта. Будет меньше спама, станет меньше и фишинга, и вирусов.


Алексей Доля: Выше вы сказали, что инициативы наподобие SenderID и DomainKeys способны положить конец фишингу, но не спаму. Со спамом мы вроде все выяснили, а как технологии типа SenderID и DomainKeys способны предотвратить фишинг?

Андрей Никишин: Обычно фишинг-письма приходят с адресов типа service@superbank.com. Новые технологии позволяют убедиться, что отправитель этого письма именно service@superbank.com, а не badhacker123@hotmail.com (все адреса вымышлены, любые совпадения случайны). Именно поэтому количество фишинг-атак должно заметно сократиться. Естественно остается вариант со взломом корпоративной сети банков и отправки писем изнутри. От такого случая помогут простые правила, описанные выше.


Алексей Доля: Из наших с вами рассуждений выше можно построить следующую цепочку. В основе фишинга и вредоносных кодов лежит спам, как основной переносчик заразы. Но в основе спама лежат сети зомби-машин. То есть с них рассылается львиная доля всего спама. Получается, пока не вырубишь весь этот сорняк на корню, сделать ничего не получится. То есть удар надо наносить по зомби-сетям?

Андрей Никишин: Я бы сказал, что спам - это носитель, и между спамерами, мошенниками и вирусописателями есть симбиоз. Услуги одних нужны другим. Спамеры используют зомби-сети, которые создали вирусописатели. Для создания же зомби-сетей вирусописатели пользуются услугами спамеров для распространения троянских программ. Отвечая на ваш вопрос - да, вы правы. "Вырубать" сорняк нужно комплексно, применяя все возможные методы борьбы, как технические, так и юридические и пропагандистские.


Алексей Доля: Сегодня есть целый ряд технологий для борьбы с вредоносными кодами, есть фильтры для отсеивания спама, есть стандарты, которые в будущем позволят аутентифицировать отправителя. А что делать с зомби-сетями? Какие тут есть технологии или хотя бы идеи? Единственное, что приходит в голову - максимально защитить каждый ПК, имеющий широкополосный доступ в сеть. То есть "обвесить" его антивирусами и брандмауэрами... Ваши мысли?

Андрей Никишин: Дальше надо просвещать пользователей, которые забывают ставить "заплатки" для ОС, открывают почтовые вложения, не обновляют антивирусы (у некоторых вообще нет антивирусов). Пока есть такие пользователи - будут зомби сети. К сожалению...


Алексей Доля: На ваш взгляд, произойдут ли какие-нибудь кардинальные изменения с масштабом существующих IT-угроз в будущем? Или все как было, так и останется?

Андрей Никишин: Несмотря на то, что я оптимист, думаю, что в ближайшее время нас не ждут перемены к лучшему. Полагаю, что в 2005 году ущерб от вредоносных программ превысит 20 миллиардов долларов (в 2004 году пока - 17,5 миллиардов).


Алексей Доля: Многие эксперты в сфере ИТ-безопасности предлагают пользователям перейти с Internet Explorer на какой-нибудь альтернативный браузер. Как вы считаете, такой шаг оправдан? Действительно ли Internet Explorer так плох?

Андрей Никишин: Дело в том, что IE используют 90% пользователей. И любая ошибка в коде IE приводит к серьезным последствиям. Переход на альтернативные браузеры, возможно, поможет. До тех пор, пока хакеры не возьмутся и за эти альтернативы. Я считаю, что пользоваться надо тем, что удобно и нравится.


Алексей Доля: А вы сами, чем пользуетесь?

Андрей Никишин: Я - счастливый человек, у меня дома нет доступа в Internet. А если серьезно, то когда я подключусь дома к Internet, то не буду пользоваться Outlook Express.


Алексей Доля: А чем вместо Outlook Express будете пользоваться, если не секрет?

Андрей Никишин: MS Outlook для доступа к корпоративной почте и The Bat! - для всего остального.


Алексей Доля: А каким браузером вы пользуетесь? Internet Explorer? Костин Раю, например, на VirusList'е предлагает сменить Internet Explorer на FireFox...

Андрей Никишин: Я не оригинален, и, как большинство, пользуюсь IE (со всеми установленными обновлениями). Я несколько консервативен и с большим трудом меняю софт, к которому привык. Firefox - интересная программа, и у меня в планах внимательно посмотреть на нее. А так, поживем - увидим :).


Алексей Доля: Как вы оцениваете эффективность действий Microsoft в плане повышения безопасности своей ОС? Как вам, например, понравился Service Pack 2 в данном контексте?

Андрей Никишин: Думаю, что инициативы Microsoft заслуживают похвалы. Они целенаправленно придерживаются своей стратегии Trustworthy Computing, и SP2 - это очередной шаг к защищенным вычислениям. Следующий шаг будет MS Next-Generation Secure Computing Base (ex-Palladium), La Grande от Intel и собственный антивирус.


Алексей Доля: Антивируса от Microsoft не боитесь?

Андрей Никишин: Я с интересом жду появления антивируса от Microsoft, потому как жить в неизвестности - хуже не бывает. Сейчас ситуация довольно напряженная, потому как никто не знает, каков будет антивирус, будет ли продаваться, будут ли серверные версии. А когда дойдет до стадии беты, все станет ясно. Естественно, мы продумали различные варианты развития событий и нашли ряд ходов, чтобы минимизировать ущерб для нашего бизнеса. Только не спрашивайте, какие именно шаги. Я не могу их раскрывать. Кое-что наши пользователи увидят уже в 2005 году. Осталось ждать совсем не долго...


Алексей Доля: Хотите сказать что-нибудь нашим читателям напоследок?

Андрей Никишин: С наступающим Новым Годом! Желаю, что бы компьютеры читателей не "болели" в 2005 году.

Алексей Доля: Спасибо, что согласились поделиться с нами своими мыслями. Удачи вам лично и вашей компании!