Е.Касперский - руководитель антивирусных исследований компании "Лаборатория Касперского".
Вот уже полтора десятилетия Евгений Касперский занимается борьбой с вредоносными программами и другими киберугрозами. Е.Касперский - автор книги, множества статей и обзоров по компьютерной вирусологии, регулярно выступает на специализированных семинарах и конференциях в России и за рубежом. Е. Касперский - член Организации исследователей компьютерных вирусов (CARO), которая объединяет наиболее выдающихся экспертов в этой области.
Евгений, с чего начиналась Ваша деятельность в качестве «борца» за компьютерную безопасность?
Е.В. Касперский: Не было внезапного момента, когда я вдруг стал «борцом» за компьютерную безопасность. Началось все с того, как однажды в 1989 году мой компьютер подцепил компьютерный вирус. И мне стало интересно посмотреть, что у этого вируса внутри, как работает, как его можно удалить. Вирус я довольно быстро удалил, написав небольшую программку, но интерес к этому занятию не пропал. Возникло своего рода хобби – разбираться с вирусами, придумывать лечащие программы. За последующие два с половиной года я постепенно приходил к пониманию того, что компьютерная безопасность – это то, что мне очень нравится, то, чем я очень хотел бы заниматься. И это мое хобби становилось основным занятием. А потом начались 90-ые, развал СССР, инфляция и т.д. Было двое детей, которых надо было кормить. И я подумал: поскольку бороться с вирусами у меня получается, мне это интересно, то надо попробовать на этом еще и денег заработать. И, наверное, май 1991 года, когда я пришел работать в компанию «КАМИ», является точкой отсчета. Именно тогда мое хобби стало основной работой, а я - профессиональным «борцом» за компьютерную безопасность. 14 лет назад - раньше, чем появился сам Рунет. Это было время, когда вирусы еще ходили исключительно на дискетах, не по Сети. Обновления антивирусных баз выходили тогда раз в месяц, раз в два месяца, чаще просто не было необходимости. Потому что вирусов было не так много, и распространялись они не с такой скоростью, как сейчас. Такое вот было время - никакого Интернета, никакой Сети, компьютер был чудом. На выставки ходили, чтобы на это чудо посмотреть.
«Лаборатория Касперского» - ведущий разработчик средств защиты от вирусов, хакерских атак и спама, объявлена лауреатом национальной премии за вклад в развитие российского сегмента сети Интернет «Премия Рунета» в 2005 году в номинации «Технологии и инновации». Для вас это ценная награда, или Вы уже настолько привыкли их получать, что это стало делом обыденным?
Е.К.: Признание коллег ИТ-профессионалов, интернет-сообщества, и, конечно, пользователей продукта не может быть обыденным. Антивирус Касперского создает команда из почти 500 человек, и каждая новая победа на тестах антивирусов, номинирование в конкурсах, первые места в опросах - все это наш общий успех. Так что рунетовская «колонна» заняла достойное место в нашей богатой коллекции. Это уникальная награда, и, безусловно, очень значимая для нас.
"Лаборатория Касперского" за время своего существования завоевала много разных наград. Какая Вам больше всего запомнилась, и есть ли такая, которой Вы особенно гордитесь?
Е.К.: Очень запомнилась прошлогодняя награда на ежегодной церемонии SC Magazine Global Awards. Ее проводит популярный английский журнал Secure Computing. Наш антивирус номинировался в категории - "Выбор читателей", которая считается наиболее престижной, так как отражает реальные предпочтения пользователей со всего мира.
Это очень масштабный конкурс, в Интернете голосует огромная читательская аудитория со всего мира, проводится многоуровневый отбор со стороны судейской коллегии… И вот самый последний момент, огромный зал, выходят два известных телеведущих, открывают конверты и зачитывают: «В номинации «Лучшее антивирусное решение» побеждает Лаборатория Касперского!» Это было совершенно неожиданно, и мы пережили, конечно, потрясающие эмоции. Я думаю, мы были первой российской компанией, которая поднималась на эту сцену. Это был Апрель 2004.
А недавно мы получили очень заметную награду в США. "Лучшее решение в области информационной безопасности государственных структур" за инновации в области разработок средств защиты от ИТ-угроз и программу поддержки партнеров. Эта премия вручалась в рамках «Government Solution Summit», конференции по информационной безопасности государственных структур. Среди номинатов - такие гиганты, как Microsoft, Intel… и Лаборатория Касперского. Черт возьми, приятно.
Где и когда Вы получили первую награду?
Е.К.: Самая первая награда, которую мы получили, была не очень официальная, без наградной доски, диплома. Это было 11 лет назад. Тесты антивирусных программ в Гамбургском университете. У них было, и до сих пор есть, специальное подразделение, которое занимается тестированием антивирусных программ. В 1994 году мы, мало кому тогда на Западе известные, попали в эти тесты, и с самого начала, с самого первого раза, показали лучший результат. И с тех пор стараемся планку не опускать.
Расскажите о новых разработках компании. Какие продукты создаются в «Лаборатории»?
Е.К.: Мы совершенствуем существующие продукты, создаем их новые версии, а также разрабатываем совершенно новые программы. Время меняется, и сегодня антивирус только называется так по старой памяти. А на самом деле, это уже давно сложная комплексная программа, которая борется и с вирусами в том числе. Фактически это такой барьер, фильтр, который не пускает в защищаемую зону вредоносный код, нежелательные данные, вообще все то, что человек не запрашивал и получить не хочет. И если 10-15 лет назад были просто вирусы и немножко троянских программ, то сейчас существует множество видов вредоносных программ, а еще спам, фишинг, нежелательный контент в Интернете и прочее. Против этих угроз мы и создаем эффективную защиту. Есть и другие направления деятельности компании. В 2003 году мы создали дочернюю компанию InfoWatch, которая занимается разработкой программного обеспечения, защищающего организации от так называемых внутренних угроз.
Сколько специалистов работает в "Лаборатории Касперского"?
Е.К.: Сейчас около пятисот человек в головном офисе. И более ста в офисах по всему миру.
Над чем работаете Вы сами?
Е.К.: Во-первых, я до сих пор «долбаю» компьютерные вирусы. Мне это просто нравится, а кроме того позволяет следить за тенденциями в области компьютерной вирусологии. У меня нет своего кабинета, я работаю вместе с другими вирусными аналитиками, которых в Лаборатории в шутку называют «дятлами», потому что мы стучим по вирусам с огромной скоростью, обрабатывая в день по 600-800 запросов. За день мы добавляем около 200 записей в антивирусную базу. Если грубо говорить, это 10 записей в час, то есть каждые 6 минут с нашего «конвейера» сходит очередная запись против очередного компьютерного вируса. А еще есть антиспамовский «конвейер», где сидят другие ребята-«дятлы», и там скорость работы в силу специфики спам-технологий даже выше. Во-вторых, курирую разработку новых антивирусных технологий. То, что мы представим пользователям в ближайшем будущем и через несколько лет. Ну и, наконец, просто стараюсь быть в курсе развития компании: каждый день захожу в разные отделы «с обходом», встречаюсь, разговариваю с сотрудниками.
Как Вы знаете, одна из проблем информационной безопасности – это проблема корпоративной безопасности. Уделяете ли Вы ей внимание в «Лаборатории»?
Е.К.: В Лаборатории Касперского существует отдел информационной безопасности, который и занимается решением этих вопросов. Интеллектуальная собственность Лаборатории, как высокотехнологичной компании, представляет большую ценность, поэтому защите конфиденциальной информации уделяется серьезное внимание.
Евгений, какие виды интернет-контента вызывают Ваше неприятие и как профессионала, и как рядового пользователя. Наверное, это спам? А есть ли что-то еще?
Е.К: Всякого рода пошлые и гнусные картинки, которые используются вирусописателями для прикрытия запуска вредоносной программы на зараженном компьютере.
А к Вам приходит спам?
Е.К.: У меня два почтовых ящика – один домашний и второй корпоративный. На корпоративный, естественно, приходят сотни спамовских писем в день. Благодаря установленному спам-фильтру отсеиваются 85-95%. Меня это вполне устраивает. Сделать уровень детектирования спама таким же высоким, как уровень детектирования вирусов на сегодняшний момент все-таки нереально, потому что в силу специфики технологий спам до пользователя доходит практически мгновенно. Проблема, в общем-то, заключается в том, что спам заканчивает свой жизненный цикл, когда попадает к вам в почтовый ящик, а происходит это моментально. Что же касается большинства вредоносных программ, то им требуется время, чтобы добраться до пользователя. И даже если речь идет всего лишь о минутах, вирусным аналитикам этого, как правило, оказывается достаточно, чтобы успеть разобраться с вирусом и предоставить пользователям защиту. Кстати, на мой домашний адрес спам не приходит. Потому что этот адрес знает всего несколько человек.
Евгений, «Лаборатория» разрабатывает антиспасмовские фильтры. Можно ли уподобить принципы работы таких фильтров работе программ контентной фильтрации?
Е.К.: Программы контентной фильтрации – широкое понятие. Например, к ним относятся и программы, обеспечивающие защиту корпоративной информации от возможной утечки, и программы по регламентации серфинга, и так называемый parental control, и антиспам-фильтры. В какой-то степени, технологии схожи, однако, говорить об унифицированных методах анализа и фильтрации, позволяющих безусловно выделить эти программы в одну категорию, было бы некорректно. В наших антиспам-программах реализуется пять методов. Подробно о них – ниже.
Не могли бы Вы рассказать популярным языком, каковы принципы работы антиспамовых фильтров? Как, грубо говоря, они проводят «фейс-контроль»: определяют, кого пускать, а кого не пускать в нашу почту. Существует ли здесь проблема критериев на, скажем, идеологическом уровне, или же это чисто технологическая проблема? Например, фильтр не пропустит рекламу каких-то товаров, но пропустит ли он письмо с приглашением вступить в «Аль-Каиду» или в тоталитарную секту, рекламу детского порно и пр. (здесь, наверное, и появляются точки пересечения с принципами работы контентных фильтров). Ведь такое сообщение может получить ребенок.
Е.К.: Лаборатория разрабатывает средства антиспам-защиты как для корпораций, так и для домашних пользователей. Кстати, в будущем году выйдет антиспам-новинка для домашних пользователей – в составе продвинутого продукта Kaspersky Internet Security.
В корпоративных продуктах используются 5 методов фильтрации. Во-первых, фильтрация на основании списков RBL. Real-Time Black Lists - это списки ненадежных серверов или серверов, не ведущих «борьбу» со спамом, рассылки с этих серверов, как правило, носят спамовый характер. Второе – формальный анализ письма. Анализируются тема письма, адрес отправителя (корректен ли он, есть ли вообще) и другие технические характеристики. Затем - лингвистическая эвристика. На сегодняшний момент мы успешно работаем со всеми европейскими языками. Этот метод основан на анализе частоты и характера использования ключевых слов. В-четвертых, это сигнатурный анализ: письмо проверяется на предмет наличия в нем признаков спаммерского содержания - определённого набора и распределения по письму специфических словосочетаний - путем сравнения с образцами из нашей антиспамовой базы. Наконец, существует технология графического распознавания спама (т.е. вложенных изображений).
В персональных продуктах будет использоваться несколько иной набор методов. Это связано с тем, что для домашнего пользователя скачивание апдейтов сигнатурных баз, а вернее, увеличивающийся за счет этого интернет-трафик, критичен. Поэтому в этих программных решениях реализован иной подход. Например, используется новый метод - механизм самообучающихся алгоритмов. Благодаря этому методу программа, в частности, анализирует, что сам пользователь относит к спаму, а что нет. И соответствующим образом применяет полученную информацию к поступающей корреспонденции.
Что касается Аль-Каиды и прочего. Занимаясь контентной фильтрацией, мы опираемся на собственное определение спама. В нашем понимании, -это незапрашиваемая массовая анонимная рассылка. Если приглашение вступить в какую-либо организацию соответствует данным формальным признакам, то да, оно будет распознано как спам. Однако важно понимать, что продукт имеет гибкие настройки, предполагающие разные сценарии обработки сомнительного письма – оно может быть лишь маркировано как спам и оставлено в почте, может быть автоматически помещено в специальную папку, т.н. карантин, для последующего просмотра, может быть автоматически не принято с автоответом автору.
Вопрос к Вам как специалисту: можно ли создать хороший антиспамовский и хороший контентный фильтр. Какую задачу можно решить с большей степенью эффективности?
Е.К.: Наш опыт показывает, что программы контент-фильтрации, в частности средства против спама, - это эффективные и в условиях современного Интернета необходимые средства защиты. Это подтверждает и список заказчиков антиспам-решений Лаборатории Касперского. Среди российских клиентов компании - Госдума РФ, Вымпелком, МТС, РБК, популярные почтовые ресурсы.
Как вы относитесь к идее антиспамовского законодательства (закон Can Spam в США)? Возможно и целесообразно ли такое в России?
Е.К.: Этот закон действует в США с 1 января 2004 года. Естественно, после принятия закона многими специализированными службами были проведены исследования почтового трафика. Они показали, что в первые месяцы после принятия закона произошло резкое снижение англоязычного спама, по нашим оценкам, процентов на 30%. Объяснить это можно следующим образом: уменьшилось количество рекламной рассылки, т.к. законопослушные бизнесмены перестали использовать спам-рассылки как средство рекламы. Правда, спустя некоторое время трафик вновь стал расти – за счет увеличения предложений и услуг криминогенного характера.
Кстати, в этой связи очень важно само определение спама. Дело в том, что согласно американскому законодательству, под эту категорию попадают только товарные предложения и всякого рода рассылки, содержащие порно. Иная же незапрашиваемая рассылка спамом не является. Например, политическая.
На мой взгляд, принятие подобного закона в России, безусловно, было бы полезно. Прежде всего, тем, что это позволило бы увести из данного сегмента малый и средний бизнес, который сегодня рекламу с использованием спам-технологий все еще не воспринимает как компрометирующую бизнес и активно пользуется услугами спаммеров.
Что значит русскоязычный спам – на русском языке или из России?
Е.К.: Русскоязычный контент от российских компаний. А адрес отправителя может быть любым и из любой страны. Можно вообще сделать так, что вы получите спам-письмо, где обратный адрес - ваш.
В интервью журналу «Домашний компьютер» Вы заявили, что (цитата): «Корень зла безобразия в Интернете заключается в царящей анархии и безнаказанности. На мой взгляд, нужно вводить правила, регламентирующие работу с Сетью. Прежде всего, персональный идентификационный код. Заходишь в Сеть – будь добр предъявить «права» и соблюдать «правила движения» также, как соблюдение дорожного движения. В этой связи хотелось бы Вас спросить, как Вы относитесь к идее регулирования Интернета, в том числе, в аспекте защиты от вредной информации? Известные способы регулирования в западных странах таковы:
* госрегулирование (законодательно прописанные правила создания веб-страниц, ограничения при пользовании Интернетом (в Великобритании, например, можно получить срок за скачивание детской порнографии), ответственность провайдеров и пр.)
* саморегулирование интернет-индустрии
* собственная ответственность пользователей (повышение общего уровня медиаграмотности)
* установка контентных фильтров (обязательная в учебных учреждениях и местах общественного доступа или по желанию пользователя)
Е.К.: Мое мнение не меняется. Любая публичная сеть должна контролироваться, не обязательно государством, возможно, какими-то общественными структурами. Иначе возникает хаос. Если вы задумаетесь, то придете к выводу, что все существующие публичные сети подчиняются определенным правилам использования и находятся в ведении каких-либо контролирующих структур, будь то дороги, электричество или что-то еще.
Часто говорят, что вся прелесть Интернета в том, что он анонимный. Анонимность Интернета – это его достоинство или недостаток?
Е.К.: Да, согласен. Но в этом его беда. Давайте сравним Интернет с аэропортом. Аэропорт – это тоже свобода: пришел, сел и улетел куда хочешь. Но в этом заключается и его уязвимость: большое скопление народа в одном месте, и любая атака на аэропорт - шок. Поэтому как бы ни раздражала многих усиленная проверка в аэропорту и неудобства, с этим связанные, все понимают – это необходимо, прежде всего, им самим. То же самое с Интернетом. Он свободный, он анонимный - это с одной стороны. А с другой стороны – все те безобразия, которые там творятся. Я думаю, что постепенно Интернет все же будет уходить от свободы и анонимности в сторону безопасности, по-другому нельзя. Иначе большинство пользователей попросту перестанут там бывать. Ведь если вы заходите в какое-то место, где вас гарантированно обманывают и грабят, как бы хорошо там ни было, через некоторое время вам больше туда не захочется. Полная свобода оказывается, в конечном итоге, полной несвободой. Я, как и многие пользователи Сети, хочу получить свою свободу, не получая спама и вирусов. Но в существующем Интернете это невозможно.
Как Вы относитесь к пиратству?
Е.К.: Это вопрос кошелька и совести конкретного человека. Если у человека нет денег, чтобы купить лицензионный софт, он его или не купит, или купит дешевый контрафактный, как вы с ним ни боритесь. Это же не хлеб, не продукт первой необходимости. Желание покупать лицензионный программный продукт приходит с изменением потребительского менталитета, а оно, в свою очередь, тесно связано с ростом уровня покупательской способности. Поэтому бороться с покупателями пиратского программного обеспечения, что называется в лоб, я считаю неверным, и, в общем, бесполезным занятием. Другое дело, «пираты», которые занимаются тиражированием и продажей контрафактной продукции. Это настоящие воры, преступники, незаконно строящие свой бизнес, и наказаны они должны быть в соответствии с уголовным кодексом РФ.
Какие Вы можете дать рекомендации пользователям по защите приватной информации в Интернете?
Е.К.: Необходимо следовать нескольким несложным правилам.
Правило № 0 сводится к тому, что на компьютере должна быть установлена антивирусная программа, и она должна быть включена. Особенно, если ваш компьютер подключен к сети Интернет. При этом нужно отдавать себе отчет, что 100% гарантии защиты не дает ни одна программа, однако, можно выбрать более или менее надежную. Помогут в этом регулярно проводимые профессиональные тесты антивирусов.
На мой взгляд, наиболее известными экспертами-тестерами антивирусных продуктов на сегодняшний день являются Андреас Маркс (Германия) — www.av-test.org и Андреас Клементи (Австрия) — www.av-comparatives.org. Их тесты достаточно подробно описывают качество детектирования различных типов вредоносных программ и скорость реакции различных антивирусных компаний на вновь возникающие эпидемии. Тесты тщательные и подробные и могут использоваться для сравнения именно данных характеристик различных антивирусных решений. Хотя и у них есть минусы - тестируются только эти две характеристики и не тестируются все остальные. А именно — поведение антивирусов в «реальной жизни» при возникновении различных ситуаций, например, лечение зараженной системы, реакция антивируса на зараженный веб-сайт, ресурсоемкость и тщательность проверки архивов и инсталляторов.
Пример полноценного тестирования антивирусного функционала на наиболее типичные ситуации в жизни компьютеров — исследования тестовой лаборатории Московского государственного университета. Она проводит тесты на достаточно объемном наборе ситуаций (подробнее см.). Впрочем, методика этих тестов еще далека от завершения, а сама университетская тестовая лаборатория пока неизвестна широкой публике.
Далее следует правило № 1: Антивирус должен быть самой последней версии и обновления антивирусных баз должны быть самые свежие. Учитывая, что каждый день появляются сотни новых вредоносных программ, я рекомендую скачивать обновления как минимум ежедневно. Мы стараемся минимизировать риски своих пользователей, выпуская стандартные обновления ежечасно, а в случае вирусной эпидемии, предоставляя экстренное противоядие.
Правило № 2: Будьте бдительны и осторожны. Не стоит открывать вложения странных писем, пришедших даже от знакомых отправителей - рассылка зараженных писем осуществляется без ведома пользователя. Я вообще предпочитаю удалять, не читая, те письма с вложениями, которые не жду. Также следует быть внимательным, посещая различные интернет-ресурсы, общаясь с помощью ICQ и других мессенджеров и т.д. Мошенники только и ждут, чтобы подсунуть вам какую-нибудь гадость под видом бесплатной программки, любопытной картинки, и даже ненастоящего сайта.
Правило № 3: Будьте информированы. Антивирусные компании публикуют оперативную информацию об активности вредоносных программ. Зайдя на сайт производителя вашего антивируса и подписавшись на новости, вы всегда будете осведомлены о реальной вирусной ситуации в Интернете и вовремя защитите себя от очередного компьютерного зловреда. Также полезно подписаться на новости производителей основного программного ПО, которое вы используете. Так вы своевременно узнаете об обнаружении уязвимостей, если такое случится, и также успеете защититься.
А для ребенка, который пользуются электронной почтой, нужны особые фильтры или достаточно общих? Беспокоит ли Вас проблема безопасного Интернета для детей? Ведь здесь речь идет уже не о технологической стороне, а именно о ценностной, нравственной. Многих родителей сегодня волнует проблема вредного воздействия на детей неприемлемого интернет-контента (порнография, наркопропаганда, сектантство, пропаганда экстремизма и т.д.). Тем более, что современные дети, как известно, осваивают компьютерные технологии гораздо быстрее родителей. Следует отметить, что на Западе данная проблема вполне осознана и уже решается.
Е.К.: Я бы вообще детей, особенно маленьких, к компьютеру как можно дольше не подпускал. Это слишком опасный для детской психики собеседник.
При Вашей загруженности свободного времени у Вас почти не бывает. Чем Вы его занимаете, если такое время у вас появляется? Бывает так, что свободное время Вы проводите в Интернете, или подобного времяпровождения Вам хватает на работе.
Е.К.: У меня свободного времени не бывает по той простой причине, что я знаю, чем его правильно занять, как им распорядиться.
Что Вы могли бы пожелать пользователям Интернета в преддверии наступающего Нового года?
Е.К.: Каждый год я желаю примерно одного и того же, но мое желание, к сожалению, все никак не сбудется. В Новом году я желаю всем пользователям Сети безопасного Интернета!