Чи може розробник-одинак успішно конкурувати з потужною антивірусною лабораторією? Відповідь не очевидна. Сподіваюся, ви його отримаєте в цьому інтерв'ю, підготовленому на основі поштового листування.

Мій співрозмовник - російський програміст Олег Зайцев. Свій продукт - антивірусну утиліту AVZ ( z-oleg.com/secur/avz.htm , Freeware) - Олег позиціонує в тій популярної сьогодні ніші, яку займають відомі програми LavaSoft Ad-aware і Trojan Hunter. Але якщо Ad-aware не протидіє троянським і Backdoor-програм, TrojanHunter - не бореться зі SpyWare і AdWare, то AVZ справляється і з тими, і з іншими проблемами. А на додаток до цього - знищує мережевих і поштових черв'яків, "звонилки" і клавіатурні шпигуни. І навіть виявляє і блокує настільки складні для виявлення шкідливих програм, як руткіти (RootKit - програма, яка перехоплює і модифікує низькорівневі системні функції (API). При цьому RootKit, як правило, маскує присутність в системі: він не видно в стандартному диспетчері процесів, його ключі реєстру не відображаються в Regedit, файли - не помітні в Explorer і інших програмах перегляду диска).

Дія AVZ я випробував місяць тому на своєму домашньому ПК. З першого заходу ця утиліта виявила кілька небезпечних "дірок" і глибоко укорінених в системі шпигунських програм, повз яких проходили імениті антивірусні пакети. Причому, з протоколу роботи AVZ, вельми грамотно складеного і інформативного, було очевидно, що це не "міражі", не наслідок "параноїдального" евристичного режиму. Спробуйте і ви: я впевнений - не раз скажете Олегу Зайцеву спасибі.

- Олег, як Вам, типовому "сисадміну", вдається знаходити час для антивірусного проекту?

- Це не важко при правильному підході. У мене немає антивірусної лабораторії в звичному розумінні - потужної організаційної структури з великим штатом співробітників. Мій принцип: всю рутину повинні робити не півсотні аналітиків, а кібернетичні системи. Раніше я займався нейроматематика, системами з нечіткою логікою і різними системами автоматичної обробки та класифікації інформації - цей досвід допоміг створити гнучку автоматизовану систему, наділити її найпростішим "інтелектом", перекласти на її плечі безліч функцій. Я рідко втручаюся в аналіз присилаються користувачами завірусованних файлів - за мене це робить автоматика. Я не стежу за оновленням антивірусних баз - це робить машина. Не я "ловлю" нові віруси. Під рукою у мене велика мережа, швидкісний інтернет. Весь трафік (а це, мінімум, півмільйона інтернет-запитів в добу) вивчає моя програма-аналізатор, до того ж в мережі встановлені спеціальні компьютери- "пастки". Ці та інші методи дають в комплексі цілий потік "звірів", причому прогресія - геометрична: чим більше даних і зразків накопичила програма-аналізатор, тим більше вірусів вона здатна зловити. Крім автоматики, у мене є "група підтримки" - в першу чергу, співробітники "Смоленськенерго" плюс людина сто знайомих: в основному, системні адміністратори підприємств, банків, інтернет-провайдерів і т.п. Нарешті, я разом з розробниками антивірусів VBA, UNA, Stop! і Edwido входжу в закриту мережу оперативного обміну зразками шкідливого коду, в яку, до речі, мене запросив керівник білоруської компанії "ВірусБлокАда" В'ячеслав Коледа. Все це, в кінцевому підсумку, дозволяє мені витрачати на розвиток AVZ не більш одного дня на тиждень. Причому я займаюся цим в робочий час на законних підставах: мій продукт застосовується на всіх комп'ютерах локальної мережі "Смо-ленскЕнерго" як штатний засіб антивірусного захисту і діагностики.

- Чи багато грошей економить AVZ вашої організації?

- Багато ... Доба простою серверів - катастрофа. AVZ і створювався як засіб придушення епідемій, які паралізували нашу мережу. Зараз з усіма епідеміями ми справляємося самостійно, не чекаючи реакції виробників антивірусного ПЗ. Крім того, планомірне знищення SpyWare-програм економить нам трафік. Ефект від цього відчутний - припустимо, що в місяць один AdWare споживає 10 мегабайт трафіку, уражено 200 ПК - на місяць отримуємо 2 гігабайти трафіку. Це $ 200 щомісячно при нинішніх цінах на інтернет в Смоленську.

- AVZ детектирует кілька видів деструктивних програм. Чому ви вибрали саме їх?

- Перш ніж два роки тому приступити до створення AVZ, я три роки збирав статистику: що проникає в нашу мережу, в боротьбі з якими шкідливими програмами зазнають труднощів відомі антивіруси. Сьогодні, на мій погляд, найбільш небезпечні трояни, руткіти, кейлоггери, оскільки вони забезпечують крадіжку паролів, вторгнення в мережу, витік грошей і т.п. Адже звичайні віруси тільки заражають файли, не приносячи особливої ​​шкоди, а деструктивні віруси зустрічаються все рідше. Що стосується AdWare-програм, з якими також бореться AVZ, при уявній нешкідливості вони нещадно пожирають трафік. AdWare і SpyWare сьогодні прогресують швидше, ніж аналітики встигають заганяти сигнатури в бази. Набирають обертів і руткіти - технологія втручання в ядро ​​системи і перехоплення API: проти них безсилі всі існуючі антіспайвери і багато антивіруси. Також останнім часом з'являються оригінальні технології - наприклад, зараження системних DLL, установка процесів на автозапуск як сервісів, створення шкідливих програм у вигляді драйверів. Технології боротьби з усім цим "звіриною" я і розвиваю.

- У парі з яким відомим антивірусним пакетом ви б рекомендували використовувати AVZ?

- На мою думку, з антивірусом Касперського. KAV на сьогодні - лідер, він підтримує детектування найбільшої кількості вірусів, має хороші аналізатори, розуміє формати багатьох пакеров, кріптеров, інсталяторів / архиваторов і т.п. Але AVZ НЕ буде марний в цій парі, оскільки моя антивірусна утиліта має безліч антишпигунських технологій, плюс антіруткіта і антікейлоггером. В результаті AVZ часто виловлює те, що той же KAV та інші відомі антивіруси пропускають. Зокрема, не мають прямих аналогів мої прошивки евристики: їх сьогодні в AVZ більше трьохсот, при тому, що займають вони трохи більше двадцяти кілобайт. Якщо запис в стандартній AV базі даних - це шаблон плюс правила його порівняння з досліджуваним кодом, то мікропрограма евристики є невеликою програмою, вона має доступ до реєстру, файлової системи, всіх функцій ядра AVZ. Схожі технології застосовуються в ряді антивірусів для аналізу, розшифровки і лікування файлів, у мене ж вони застосовані для аналізу системи в цілому - це дає непогані результати у випадку з AdWare / Spyware. Після затримання "звіра" вручну я закладаю логіку його виявлення в микропрограмму. Також в AVZ на сьогоднішній день включено понад п'ятдесят мікропрограм лікування, які зачищають "хвости" від видаляються "звірів", в основному, в реєстрі. Кількість мікропрограм евристики і лікування з кожним оновленням AVZ збільшується ...

- Лабораторія Касперського планує впровадити антіруткит тільки в Kaspersky Anti-Virus 2006 і Kaspersky Internet Security 2006. Виходить, ви випередили одного з лідерів світового ринку?

- Так, так вже вийшло ... Фахівці ЛК зараз засуджують зі мною можливості співпраці, зокрема, в справі створення антіруткіта для KIS-2006. Власне, антіруткіта сьогодні вже включені в багато відомі антивірусні пакети, просто AVZ - поки єдина російськомовна програма, що володіє цією можливістю. Крім того, закордонні програми найчастіше тільки детектируют руткіти, в той час як AVZ вже вміє реально протидіяти їх роботі.

- Якщо ви з якихось причин припиніть свій проект, як довго AVZ залишатиметься ефективним рішенням?

- Вбудовані в AVZ антіруткит і антікейлоггер - до тих пір, поки існують технології перехоплення API і впровадження в DLL. Мікропрограми евристики - досить довго: наприклад, детектування SpyWare по закладеним в них алгоритмам успішно працює без істотних модифікацій вже більше року. Що стосується сигнатурного сканера, його ефективність впаде майже до нуля приблизно через квартал - тут AVZ в рівних умовах з конкуруючими програмами.

- Хоча це далеко не завжди виправдано, - особливо в вашому випадку - багато користувачів віддають перевагу тим антивірусним пакетам, у яких кількість записів в сигнатурної базі вище. Як із цим справи у AVZ?

- Сьогодні в сигнатурної базі AVZ - понад 16 тисяч шкідливих програм, причому, жодного застарілого, тільки діючі. За моїми оцінками, в даний момент AVZ знає 20-30% всіх AdWare / SpyWare / троянів, що зустрічаються в "живій природі". База активно поповнюється, через рік-півтора AVZ буде ловити не менше 30 тисяч шкідливих програм, що для програми його класу цілком прийнятно. Для порівняння: сьогодні в базі LavaSoft Ad-aware - близько 30 тисяч сигнатур, але серед них дуже багато сигнатур cookies і подібних файлів, що не несуть прямої загрози ПК.

- До речі, наскільки продуктивним ви вважаєте розробку програм, що працюють взагалі без сигнатурних баз і реагують тільки на поведінку шкідливих програм? Чи можуть вони повністю замінити антивіруси з оновлюваними базами?

- Ніколи. Сигнатура дозволяє порівняти досліджуваний об'єкт з відомими шкідливими і винести однозначне рішення - і то іноді бувають помилкові спрацьовування. Звичайно, проактивний захист дуже важлива, оскільки дає можливість припинити небезпечні дії, вчасно повідомити про них користувача, помістити в карантин підозрілі файли - але винести однозначний вердикт про шкідливість такої аналізатор не може. Крім того, у будь-який евристичної системи неминучі помилкові спрацьовування.

- Чи прислухаються до вашої думки колеги - фахівці з комп'ютерної безпеки?

- Так, багато служб комп'ютерної "Швидкої допомоги" дуже активно співпрацюють зі мною: постачають мені свіжих "звірів" і у відповідь отримують технічні висновки. Багато телекомунікаційних компаній і інтернет-провайдери рекомендують мої програми і статті на своїх сайтах (приклад: www.tpi.ru/cgi-bin/prnt.cgi?name=services_networks_internet_faq_payment2 ) Зважаючи на велику кількість інцидентів, пов'язаних з троянськими програмами, що модифікують параметри з'єднання.

- Чи отримували ви від компаній-виробників антивірусного ПО пропозиції про покупку ваших технологій?

- Так. Однак найчастіше порушуються питання не про покупку, а про співпрацю в тому чи іншому вигляді.

- А чи не виникає бажання відкрити власний бізнес?

- Все необхідне у мене є, так само як є кілька фірм, які в будь-який момент готові взяти на себе технічні складності і початкові фінансові витрати. Що мене зупиняє? Я вивчав статистику по продажам. На жаль, розмах піратства на російському ринку поки не дозволяє розраховувати на реальний прибуток. Крім того, антивірус або антишпигун - це, в першу чергу, цілодобова технічна підтримка, оперативне реагування, реклама і маркетинг. Поки я не хочу в це вплутуватися, хоча багато переконують у протилежному. Але я зараз зосереджений на інших комерційних проектах, наприклад, на розробці та просуванні програмно-апаратних систем екстреного зв'язку зі спецслужбами (див .: z-oleg.com/secur/pes_uvd.htm ). Що стосується AVZ, поки віддаю перевагу залишити його безкоштовним.

- На закінчення дозвольте "наївний" питання користувача: чи реально винайти абсолютно безпечний інтернет?

- Я в це не вірю: в будь-якій програмі можна знайти "діру". І навіть якщо це не вдається, то у зловмисників є безвідмовні методи соціальної інженерії. Наприклад, до цих пір не менш 10-20% користувачів запускають отриманий поштою exe-файл невідомого походження ... Минулий недавно епідемія ICQ вірусу це наочно продемонструвала.

- В такому разі, чи можна стовідсотково захистити дані і програми на одному окремо взятому комп'ютері, підключеному до інтернету?

- Мій улюблений каламбур "в тему": стовідсотковий захист дає тільки дурень, Господь Бог і страховий поліс :). Таким чином, якщо якийсь розробник пише на своєму сайті: "Гарантую стовідсотковий захист ..." або "Гарантовано виявляємо будь-який вірус", - його статус можна вивести з даного каламбуру методом виключення :). А якщо серйозно, 100% захист нереальна. Але цілком реально підвищити ступінь захищеності комп'ютера, наприклад, до рівня> 99%. Але тоді формулювання повинна звучати дещо інакше: "Забезпечується захист або оперативне діагностування факту зараження комп'ютера і прийняття негайних заходів ..." Саме так йде справа в локальній мережі "Смоленськенерго", де будь-яка шкідлива програма буде вивчена і нейтралізована протягом години, де трафік фільтрується за адресами і вмісту і робота йде тільки через проксі і апаратні Firewall, в мережі застосовуються HoneyPot. Як резюме можна відзначити, що всі програмні / апаратні заходи малоефективні без продуманої політики інформаційної безпеки, яка доводиться до всіх користувачів і дотримання якої ретельно контролюється.

Розмовляв Юрій СМИРНОВ