Интервью с rav, автором DefenseWall и DefencePlus

[Xen]

Интервью с rav, автором системы превентивной защиты DefenseWall HIPS (Host Intrusion Prevention System) и DefencePlus.

http://www.softsphere.com

Привет. Мы все знаем тебя под ником rav, который засветился на WASM'e, VirusInfo...
Как тебя зовут в действительности и сколько тебе лет?

Привет, меня зовут Илья Рабинович, мне 30 лет.

Где живешь?

В Москве.

Какова твоя основная работа?

Сейчас моя основная работа - DefenseWall HIPS. До этого работал на разных дядь как системный программист, программист смарт-карт, программист POS-терминалов и самосовершенствовался в написании своих программ. Ещё до этого - учился в МИФИ по специальности "ядерная физика" и самообучался на системного программиста. Аспирантуру по официальной специальности так и не закончил...

Как пришел к мысли заняться проектом DefenseWall и DefencePlus? Как давно работаешь над ними?

DefencePlus (первоначальное название - Anti-Cracker Shield) возник как ответ на проблему атак с использованием переполнения буферов. В Windows отсутствовала всяческая защита от данного вида угроз, а мне по диалапу тащить мегабайты и мегабайты заплаток совсем не хотелось. И взломанным быть не хотелось. Так и возник этот проект. Всю архитектуру и логику программы придумал и запрограммировал сам, под свои нужды и запросы (у меня P2-450, и превращать собственную работу на компьютере в слайд-шоу мне не хочется, опыта установки KAV 5.0 мне хватило сполна). Над проектом работаю три года, но там уже практически нечего совершенствовать.

DefenseWall возник как ответ на вызов. Любой десятикласник с опытом программирования с полгода в Delphi, обчитавшийся в Инете страничек на тему "Как сделать троя" и купив приватный эксплойт для браузера (хорошо живут десятиклассники... - прим. ред.), мог вломиться мне на компьютер как к последнему лоху, а ведь я профессионал! Антивирусы уже давно не справляются с валом подобных поделий, а те системы превентивной защиты, что я видел, вызывали стойкое желание снести их после пяти минут использования. Хотелось иметь свою собственную систему защиты от вирусов и зловредного ПО, которое подходило бы мне по системным требованиям (напомню, у меня P2-450), по юзабилити (всплывающие окна классических проактивных систем защиты меня просто убивают), и которую я мог бы полностью контролировать (то есть, если я обнаруживаю дыру в системе защиты, я мог бы сам оперативно её заштопать). Как всегда, всю архитектуру программы создал и запрограммировал сам. Над проектом работаю почти полтора года.

Оба проекта разрабатываются под брендом SoftSphere Technologies. Кто еще с тобой работает?

На данный момент - никто. Только я один.

Есть мысли расширяться? Отдача от продукта позволяет?

Мысли расширяться есть всегда. Но пока некуда.

Кто твои основные покупатели? Я знаю, что продукт не очень раскручен. Как на тебя выходят?

Основные покупатели - конечные пользователи. Выходят на меня по-разному, но в основном - с форумов, посвящённых безопасности.

Есть ли корпоративные заказчики?

Пока нет. Я только начинаю работу над полноценной корпоративной версией для DefenseWall. То, что есть сейчас, мало подходит для нужд корпоративного развёртывания и управления.

Какие ключевые фичи своих продуктов ты предлагаешь на сегодняшний день?

В случае DefencePlus - это защита от эксплойтов на переполнение стека и кучи для старых процессоров без NX/XD бита. Программа делает неисполняемыми стек и кучу, предотвращая исполнение эксплойтов в них, плюс продвинутый ASLR и куча других, уже мало кому нужных техник защиты.

В случае DefenseWall - это создание виртуальной "недоверенной" зоны, где работают все потенциально уязвимые программы - источники атаки (браузер, почтовый, IRC и P2P клиенты, клиент обмена мгновенными сообщениями). Если зловредное ПО проникает в компьютер через "недоверенный" процесс, то оно, фактически, изолируется от всей основной системы. Защита не даёт ему возможности модифицировать исполняемые и интерпретируемые файлы, прописаться в автозагрузку, вырваться за пределы зоны недоверенных процессов. Этакий загон для зловредов с забором из колючей проволоки под напряжением!

Когда я в первый раз взглянул на DefenseWall, то заметил, что это отличное средство
против эксплоитов. На тот момент были распространены сплоиты на базе MS-ITS, WMP и т.д.
DefenseWall их закрывала благодаря лимитированию привилегий соответствующих приложений.
Как сейчас обстоят дела с этим направлением защиты? тестируешь ли ты свежие сплоиты на DW?

DefenseWall не защищает от эксплойтов, он защищает от их последствий. Как всем известно, самый страшный эксплойт- это секретарша, запускающая прикольную прожку из только что пришедшего письма...

От эксплойтов на переполнение защищает DefencePlus. Его я, конечно, гоняю под всеми известными эксплойтами, которые доступны в исходниках. Надо же проверять свою работу!

А вообще я, разумеется, в курсе последних тенденций зловредостроения и безопасности, да и остальных высоких технологий тоже. Как же без этого? Так и от жизни отстать недолго!

Что планируешь развивать в ближайшее время, что думаешь оставить на потом?

В ближайшее время планирую сделать DefenseWall 2.0 и корпоративную версию продукта. На потом ничего оставлять нельзя, а то это "потом" может и не наступить.

Приглашают ли тебя на работу в антивирусные компании?

Пока не приглашают. Хотя лицензию на DefenseWall уже купил один человек из AVIRA GmbH (AntiVir). И вы всё ещё верите в магическую силу антивирусов?

А может, предлагают лицензировать технологию? Выпустить DefenseWall под другим брендом?

Не было такого.

Как ты вообще пришел к программированию в режиме ядра?

А я начинал с голого DOS'а (это было в 1994 году). Там всё программирование - программирование в режиме ядра!

Пишешь ли еще что-нибудь? Может, есть еще какие-нибудь разработки,
не по security тематике, достойные внимания?

Нет, не пишу - времени нет. Да и нравиться мне security, очень интересно, громадный ареал для саморазвития.

Часто бываешь на форумах? Какие основные посещаешь?

Последнее время - часто. В основном это wasm.ru, virusinfo.info, anti-malware.ru, wilderssecurity.com. Пишу мало, в основном читаю.

Какого мнения ты о BHC ?

А это кто?

Пиво любишь пить? традиционный вопрос, прости, не удержался =)

Я не употребляю алкоголь и прочие наркотики, легальные и нелегальные.

Какие сильные security продукты, антивирусы, файрволы, антиспайваре, можешь назвать?

Сильных антивирусов быть не может по определению - у них базовая идеология хромает. Они могут только догонять, но не опережать.

Файерволы - тоже проблема. Построить действительно сильный reverse sandbox в условиях агрессивного окружения как на уровне пользователя, так и на уровне ядра - задача нереальная. Я бы не взялся. Не знаю ни одного файервола, который нельзя было бы обойти на уровне ядра системы.

Хорошим AntiSpyware может делать только одна черта - мощные ручные средства очистки системы. Мне нравиться AVZ. Я обычно именно с его помощью вычищаю всякую бяку с компов друзей.

Каким софтом сам пользуешься?

Если брать защитный софт - только своим (DefencePlus + DefenseWall), больше никому не доверяю. Да и системные требования у меня ограничены, помнишь?
Из рабочих инструментов- DevStudio 5.0.

А отладчиком каким?

Отладчики - OllyDbg, SoftIce, встроенный в DevStudio.

Как ты относишься к буму антиспайваре?

Автоматические средства детектирования anti-spyware утилит обычно слабенькие, очень много разукрашенных поделий ниже уровня посредственности, слабые (или вообще отсутствующие) средства ручной очистки системы. Я же признаю только ручную вычистку и превентивные меры защиты.

Просто это направление активно распиарили и снимают теперь с него сливки. Ничего, это скоро пройдёт, горячая тема 2007 года - HIPS и системы превентивной защиты. Вот мы и посмотрим, чьи продукты качественнее сделаны. Я люблю честные состязания!

А к авторам спайваре?

Во-первых, я к ним не отношусь Во-вторых, каждый сам выбирает в этой жизни, что ему делать и как деньги зарабатывать. Spyware/Adware - это многомиллионный бизнес, всегда будут люди, отщипывающие по кусочку... Спокойно, в общем, отношусь, как к данности. Кипятиться бессмысленно, всё равно это ничего не изменит.

Что думаешь о blackhat руткитах и их авторах? В том числе, засвеченных на том же WASM, rootkit.com...

Это тоже данность. Просто нужно иметь хорошую систему превентивной защиты!

Чем планируешь заняться помимо DW и DP в некотором будущем, если планируешь?

Планирую. Есть несколько идей в области software, музыки и физики, нужно будет заняться.

Твои пожелания читателям

Ой, сложно это. Прямо как закладываешь капсулу с посланием потомкам. Живите по совести, помогайте другим и думайте своими мозгами - и всё в этом мире будет пучком!



Интервью брал Xen
icq 200145673

09.09.2006

[Iceman]

rav, жму лапу
почти оттуда же . учился у финогенова к... давно... но пошёл по другому пути... Удачи, творческих успехов и озарений!