Inovácie v spoločnosti Kaspersky Lab
Samotný antivírusový systém je pomerne mladým produktom. Ako vidno kybernetické hrozby sa neustále vyvíjajú. Z toho dôvodu sa rovnako musia vyvíjať aj antivírusové softvéry. To má za následok vykonávanie neustálych inovácií vo firmách, ktoré sa týmto problémom zaoberajú. Jednou z takýchto firiem je aj súkromná ruská spoločnosť Kaspersky Lab. Spoločnosť Kaspersky Lab za týmto účelom vytvorila špeciálny výskumný tím. Jeho úlohou je vyvíjať a skúmať nové techniky ochrany užívateľov pred škodlivými programami, ako sú vírusy, červy, trójske kone, hackermi a inými formami poškodenia a úniku dát. Rovnako sa spoločnosť zaoberá problematikou spamu, kde navrhli spam filter, ktorý pracuje na 6 úrovniach s cieľom udržať používateľov email čistý. Neustáli vývoj ich ženie k tomu, aby vo svojich inovačných myšlienkach stále napredovali.
Obr. 1: Logo spoločnosti Kaspersky Lab
(zdroj:www.kaspersky.com)
Pracovný tím
Global Research and Analysis Team
Tento tím bol založený v roku 2008, je neoddeliteľnou súčasťou oddelenia výskumu a vývoja spoločnosti Kaspersky Lab a je vodcovským prvkom pri riešení anti-ohrození, výskume a inováciách. Tento tím ma za úlohu podporovať globálne ale aj lokálne projekty, marketing a vydávať reakcie na malware útoky.
Obr. 2: Costin Raiu - riaditeľ GRAT
(zdroj:www.kaspersky.com)
Riaditeľom Global research and analysis team (GRAT) je Costin Raiu od roku 2010. Vedúcim výskumným pracovníkom v Kaspersky Lab sa stal ešte v roku 2000. Špecializuje sa na nebezpečné webové servery, bezpečnosť a využiteľnosť prehliadača, hrozby v e-bankovníctve. Costin má rozsiahle skúsenosti v oblasti antivírusovej technológie, čo je veľkým prídelom pre GR&AT.
Obr. 3: Alexander Gostev
(zdroj:www.kaspersky.com)
Šéfom bezpečnostných expertov je Alexander Gostev, je jedným zo zakladateľov tohto tímu a od roku 2008 do roku 2010 ho aj viedol. Jeho úlohou je analyzovať všetky aspekty informačnej bezpečnosti so zameraním na nové hrozby a mobilný malware, jeho detekciu a analýzu. V tomto tíme sa nachádza ešte veľký počet kvalifikovaných ľudí, ktorý neboli spomenutý.
Inovácie - patenty
Spoločnosť Kaspersky Lab udáva v súčasnosti smer inovácií v Rusku udáva v súčasnosti smer inovácií v Rusku a tým aj zvyšuje celkový hospodársky rozvoj krajiny. V roku 2009 dostal Eugene Kaspersky prestížnu štátnu cenu za vedecké a technologické inovácie, čím bolo vedenie spoločnosti prezentované ako jedným z naj inovačnejších podnikov v Rusku.
Časopis Fast Company zaradil spoločnosť Kaspersky Lab medzi 50 najinovačnejších spoločností na svete. V rebríčku sa spoločnosť umiestnila na 32 mieste, pred mnohými svetovými gigantmi v IT sektore. Za sebou nechala firmy ako Microsoft, Samsung a podobne. Najinovačnejšou spoločnosťou bola podľa tohto rebríčka firma Apple, za ňou nasledoval Twitter a Facebook.
| Poradie | Názov spoločnosti |
|---|---|
| 1. | Apple |
| 2. | |
| 3. | |
| 4. | Nissan |
| 5. | Groupon |
| 6. | |
| ... | ... |
| 19. | Intel |
| ... | ... |
| 29. | IBM |
| ... | ... |
| 32. | Kaspersky Lab |
| ... | ... |
| 37. | Microsoft |
| ... | ... |
| 43. | Samsung |
| ... | ... |
| 50. | Madecasse |
Tab. 1: 50 najinovačnejších spoločností na svete
(zdroj:http://www.fastcompany.com)
- Systém, ktorý zrýchľuje skenovanie súbor počas emulácie. Využíva sa tu špeciálny akcelerátor, ktorý spustí časť emulovaných programových inštrukcií na CPU lokálneho PC. Tento spôsob výrazne znižuje čas emulácie.
- Algoritmus, ktorý urýchľuje skenovanie spustiteľných súborov. Algoritmus kontroluje či vieme o súbore, že je bezpečný na základe toho, že sa nachádza v zozname bezpečných objektov. Ak je súbor neznámi, tak ho analyzuje a ohodnotí riziko, na základe čoho určí, koľko metód detekcie škodlivého kódu spustí. Čím je riziko nákazy súboru menšie, tým menší je počet požadovaných metód, čo znižuje čas potrebný na prehľadávanie objektu.
- Algoritmus na zmenšenie veľkosti aktualizačného softvéru, čím sa zmenši objem dát pri komunikácií medzi serverom a klientom. Táto technológia zaručuje, že klient dostane len tú časť databázy, ktorá je práve aktuálna na servery (posledná), avšak sa líši od databázy, ktorá je na klientskom počítači.
- Ďalšia inovácia od spoločnosti Kaspersky Lab, umožňuje vytvorenie automatických nástrojov na boj proti škodlivým aplikáciám. Systém obsahuje databázu informácii, ktoré sú vlastne postupné kroky (scenáre) na univerzálnu liečbu. Na základe tejto databázy informácií, je vytvorený scenár k liečbe konkrétnych hlásení o bezpečnostných incidentoch udalostí počítačových protokolov.
- Nové metódy na aktívnu identifikáciu spamu, ktoré využívajú špeciálny SMTP session handler, ktorý udržuje informácie o e-mailoch a sleduje ich tak, aby bola dodržaná bezpečnostná politika. Táto politika môže zahŕňať čierne zoznamy IP adries, snahy o zásahy do protokolu a podobne.
Obr. 4: Securelist.com
(zdroj:www.securelist.com)
Securelist.com, kedysi viruslist.com, je portál ktorý sa snaží vzdelávať širokú verejnosť o rôznych aspektoch zabezpečenia a hrozbách ktoré existujú na Internete. Zakladateľom (prevádzkovateľom) tejto stránky je spoločnosť Kaspersky Lab, ktorá sa domnieva, že vzdelávanie užívateľov je najlepšou prvou líniou obrany. Ako základ svojho poslania pokladá chrániť bezpečie užívateľov pred malware a informovanie užívateľov on-line o hrozbách. Obsahuje všetky informácie o aktuálnych hrozbách internetu a rovnako aj postup ako sa im vyhnúť. Niektoré z informácií, ktoré nájdete na Securelist sú:
- Hrozby – táto časť obsahuje štyri pod sekcie:
- Čo sme rozpoznali? – Ako produkty a analytici spoločnosti Kaspersky Lab rozpoznávajú a odstraňujú škodlivý softvér.
- Spam a Phishing – Čo to je a ako sa im vyhnúť.
- Zraniteľnosť a Hackeri – Naučte sa ako hackeri využívajú medzery v softvéry a pokúšajú sa ukradnúť Vaše dáta.
- Interné hrozby – Tipy pre IT odborníkov ako rozpoznať vnútorné hrozby a ako sa brániť.
- Popisy
- - Táto časť stránky obsahuje popisy najnovších malware, spolu s technickými detailmi, informáciami čo robí malware systému užívateľa a jeho odstránenie.
- Glosár
- - Nachádza sa tu slovník pojmov, ktorý detailne vysvetľuje jednotlivé odborné termíny a zoznam najpopulárnejších fráz.
- Blog
- - V ktorom môžu užívatelia webu diskutovať.
Heuristická analýza
Spoločnosť Kaspersky Lab je jednou zo spoločnosti, ktoré sa podieľajú na vývoji heuristickej analýzy. Je to metóda využívajúca pokusné riešenie problému a to z dôvodu, že presnejšia metóda či algoritmus nie je k dispozícií, využíva preto skúsenosti.
Je určená pre detailnú kontrolu počítača. Skladá sa z dvoch krokov: pomocou vírusovej databázy hľadá známe vírusy, ak nebol nájdený žiadny známy vírus, prechádza na logickú analýzu kódu testovaného objektu. V tomto kroku sa zisťuje čo vlastne daný kód znamená a robí. Zisťujeme či kontrolovaný objekt obsahuje inštrukcie, ktoré nie sú v poriadku alebo sa bežne nevyskytujú (napr. inštrukcie na vyhľadávanie EXE súborov, ich otvorenie pre zápis a kopírovanie vlastného kódu,...) Vykonanie takéhoto testu je časovo náročné. Avšak táto metóda má jednu nevýhodu, neodhalí vírus, ktorý v sebe nepoužíva žiadne podozrivé alebo zakázané inštrukcie.
Hardvérový antivírusový systém, ktorý efektívne bojuje s rootkitmi
Spoločnosť Kaspersky Lab dostala patent na nový hardvér založený na antivírusovej technológii, ktorý je umiestnený medzi pevným diskom a základnou doskou. Hlavným nápadom je umiestnenie zariadenia medzi zariadenia pre ukladanie dát (či už pevným diskom alebo SSD) a základnou doskou, tak aby sa dalo zabrániť priamemu zapísaniu škodlivého kódu na disk. Takéto samostatné zariadenie, ktoré môže pracovať v tandeme s viacerými tradičnými softvérmi umožňuje podľa slov spoločnosti Kaspersky účinnejšie bojovať proti škodlivému kódu.
Metóda a systém pre klasifikáciu elektronických textových správ a nevyžiadanej pošty
Nevyžiadaná Pošta spôsobuje firmám, rovnako aj súkromným užívateľom značné škody. Nežiaduce e-maily často obsahujú podvodné ponuky, nebezpečné prílohy alebo odkazy na škodlivé stránky.Nová metóda ktorá bola patentovaná v USA spoločnosťou Kaspersky Lab a to dňa 16.11.2010 č. p. 7836061, využíva na zisťovanie nevyžiadanej pošty kľúčové slová a frázy, ktoré sú typickými pre nevyžiadanú poštu. Tento prístup sa dá rýchlo využiť k rýchlej konfigurácií systému na blokovanie nových typov nežiadanej pošty. Tento spôsob ponúka vysokú úspešnosť pri minimálnom počte chybných vyhodnotení.
Obr. 5: Metóda a systém pre klasifikáciu elektronických textových správ a nevyžiadanej pošty
(zdroj:www.uspto.gov/web/patents/patog/week46/OG/html/1360-3/US07836061-20101116.html)
Patentovaná metóda klasifikuje správy na základe hierarchického zoznamu kategórií. Pričom každá kategória je definovaná množinou kľúčových termínov a určitým počtom šablón. Prichádzajúca správa je kategorizovaná pomocou jej vzťahu voči všetkým kategóriám kľúčových slov ktoré sú v nej uvedené a nakoniec sa porovnáva stupeň podobnosti s každou zo šablón. Ak správa obsahuje určitý počet kľúčových slov alebo je dostatočne podobná niektorej zo šablón, je zaradená do jednej z kategórií, vrátane nevyžiadanej pošty.
Kategórie správ je možné vytvoriť ručne pomocou kľúčových termínov a šablón. Pričom každá z kategórií sa dá rozdeliť na pod kategórie, čím sa docieli presnejšia klasifikácia. Aby bolo rozdelenie do kategórií čo najpresnejšie, je možné správy predbežne spracovať napr. automatickým zistením jazyka a tým odstrániť nepotrebné prvky textu ako sú predložky a podobne.
Metóda a systém pre detekciu doposiaľ neznámych malware komponentov
Táto technológia umožňuje detekciu a odstránenie všetkých škodlivých programov, vrátane tých, ktoré boli predtým neznáme alebo inštalované na počítači užívateľa s jedným incidentom. Jedná sa o problém, ktorý je vlastne chybou antivírového programu ako takého ak sa nejaký škodlivý kód objaví len raz, čiže vyvolá len jeden incident, vtedy tento malware je neznámy. Tento problém je možne teraz vyriešiť pomocou novej technológie spoločnosti Kaspersky Lab, ktorú vyvinul Mikhail Pavlyushchik. Nová technológia je založená na systéme logovania udalostí, ktoré ukazujú na možnosť vírusovej infekcie (napr. úprava spustiteľných súborov alebo záznam v systémovom registri) a následne potom sa určí rozsah incidentu na základe záznamu. Keď je zistený škodlivý proces alebo súbor, modul, ktorý analyzoval predchádzajúce udalosti je spustený a na základe jeho informácií je stanovený zdroj udalostí a doba od infekcie.
Systém následne analyzuje všetky základné akcie týkajúce sa zdroja udalosti, pomocou ktorých je možné detegovať všetky škodlivé programy zapojené do incidentu, vrátane tých, ktoré boli predtým neznáme. Okrem odhalenia škodlivého kódu dôjde aj k odstráneniu alebo uloženiu škodlivého kódu do karantény, prerušeniu procesu škodenia a obnovy sa systém súborov. Informácie o zistených škodlivých programov pomocou tejto metódy môžu byť následne odoslané dodávateľovi antivírového softvéru s cieľom urýchliť odozvu na nové hrozby.
Metóda pre identifikáciu škodlivých komponentov v PC, pozostáva z:
- Zistenie, že škodliví kód v počítači sa pokúša vytvoriť alebo upraviť spustiteľný súbor alebo sa pokúša o zápis do systémového registra.
- Prihlásenie sa, začiatok riadenia udalosti.
- Vykonanie kontroly na škodlivý kód na spustiteľných súboroch v PC
- Ak sa zistil škodlivý kód v PC, spoznať všetky súbory vytvorené alebo zmenené počas kroku 1. Vykonať predchádzajúce kroky pre všetky procesy, ktoré sú vo vzťahu rodič – dieťa alebo naopak.
- Ukončenie procesov spojených s riadením procesu.
- Odstránenie alebo karanténa spustiteľných súborov identifikovaných v kroku 4.
- Pre všetky zmazané spustiteľné systémové súbory vykonať obnovenie systému súborov z dôveryhodných záloh.
Patentované v USA spoločnosťou Kaspersky Lab a to dňa 23.4.2008.
Systémy a metódy pre klasifikáciu malwaru
Ide o metódu a počítačový program pre detekciu, klasifikáciu a vykazovanie škodlivého softvéru. Metóda zahŕňa vloženie analyzovaného softvérového kódu do pamäte počítača a následnú emuláciu tohto kódu. Softvérový kód a jeho činnosť je analyzovaná na prítomnosť malware. Ak je detegovaný škodlivý softvér, z protokolu činnosti sa vytvorí graf toku. Následne je tento graf toku analyzovaný pomocou heuristickej analýzy pre identifikáciu jedného alebo viacerých škodlivých vzorcov správania sa. V ďalšom kroku sú počítané indexy podobnosti medzi identifikovaným škodlivým správaním sa kódu a jedného alebo viacerých škodlivých vzorcov správania sa, ktoré predstavujú jednotlivé známe triedy malware. Emulovaný kód je potom zaradený do jednej alebo viacerých skupín malweru na základe vypočítanej podobnosti vzorcov. Komplexná správa o kóde je na záver vygenerovaná na základe grafu toku a malware klasifikácie.
Patentované v USA spoločnosťou Kaspersky Lab a to dňa 15.6.2010.
Metódy na identifikáciu textu v rastrovom obrázku pre rozpoznanie SPAMu
Táto metóda umožňuje identifikovanie spamu, ktorý je ukrytý v obraze. Voľným okom nie je možné zistiť zmenu pixelov obrazu a tým rozpoznať spam ukrytý v obraze. Najčastejšie bývajú takéto obrázky spojené s e-mailom. Obraz je prevedený z vektorovej podoby do rastrovej podoby, následne dochádza k identifikácií plurality obrysov v obraze. Obraz môže byť transformovaný z multi farebného formátu na dvoj farebný a na základe spektrálneho rozloženia z analyzovaný. Okrem týchto inovácií spoločnosť Kaspersky Lab vytvorila veľký počet inovácií, ktoré neboli spomenuté.
Na záver je tu stručný prehľad niektorých inovácií spoločnosti Kaspersky Lab:
Pred 1993
- Vytvorili sa prvé externé antivírusové databázy, postačujúca je týždňová aktualizácia. Došlo k zvýšeniu schopností antivírového enginu, čo malo za následok zníženie veľkosti aktualizačného súboru.
- Procesorový emulátor slúžil ako základ pre heuristickú analýzu. Jeho pomocou boli zistené neznáme vírusy.
1993 – 1997
- Bol vydaný prvý antivírový softvér od Kaspersky Lab.
- Vylepšenie antivírového softvéru tak, že dokáže rozbaliť komprimované EXE súbory, archívy môžu byť testované vnútri i mimo.
1997 – 2002
- AVP Office Guard vydala nové antivírusové riešenie založené na správe blokovania
- AVP Script kontrolná analýza kódu na rozpoznanie nových a existujúcich vírusov.
- Vytvorená nová generácia antivírusového jadra s novými modulárnymi funkciami pre integráciu sa s rôznymi operačnými systémami.
- AVP plug-in pre MS Office 2000, prehľadá všetky dostupné dokumenty MS Office, čím zaručuje 100% ochranu proti makro-vírusom.
- V roku1999 bola Kaspersky Lab prvou spoločnosťou, ktorá zaviedla integrovaný antivírusový softvér pre:
- pracovné stanice
- súborové servery
- aplikačné servery
2003 – 2004
- Aktualizácie antivírových databáz sa vykonávajú každú hodinu
- Popisy spamov sú zverejňované každé 2 hodiny
- Nová generácia heuristickej analýzy odhalí trójske kone a zadné okná (backdoors) napísané v VBS (Visual Basic)
V prípade záujmu prikladám odkaz na niektoré zaujímavé videa s Eugene Kaspersky o evolúcii malware za posledných 10 rokov a tiež o motivácií zamestnancov. Kaspersky Lab (videa)
Použitá literatúra:
[1] Kaspersky Lab
[2] Securelist
[3] Heuristická analýza
[4] Method and system for classifying electronic text messages and spam messages
[5] Progresivní metody Kaspersky Lab pro identifikaci nevyžádané pošty
[6] Method and system for detection of previously unknown malware components
[7] Kaspersky Lab Obtains Ten New Patents in Russia
[8] A Russian company to watch: Kaspersky Labs leads the way in Russian modern technology development
[9] The World's Most Innovative Companies 2011
[10]Systems and Methods For Malware Classification
[11]System and method for identifying text-based SPAM in rasterized images
[12]Kaspersky patents hardware-based AV