Xen
09.09.2006, 12:14
Интервью с rav, автором системы превентивной защиты DefenseWall HIPS (Host Intrusion Prevention System) и DefencePlus.
http://www.softsphere.com
Привет. Мы все знаем тебя под ником rav, который засветился на WASM'e, VirusInfo...
Как тебя зовут в действительности и сколько тебе лет?
Привет, меня зовут Илья Рабинович, мне 30 лет.
Где живешь?
В Москве.
Какова твоя основная работа?
Сейчас моя основная работа - DefenseWall HIPS. До этого работал на разных дядь как системный программист, программист смарт-карт, программист POS-терминалов и самосовершенствовался в написании своих программ. Ещё до этого - учился в МИФИ по специальности "ядерная физика" и самообучался на системного программиста. Аспирантуру по официальной специальности так и не закончил...
Как пришел к мысли заняться проектом DefenseWall и DefencePlus? Как давно работаешь над ними?
DefencePlus (первоначальное название - Anti-Cracker Shield) возник как ответ на проблему атак с использованием переполнения буферов. В Windows отсутствовала всяческая защита от данного вида угроз, а мне по диалапу тащить мегабайты и мегабайты заплаток совсем не хотелось. И взломанным быть не хотелось. Так и возник этот проект. Всю архитектуру и логику программы придумал и запрограммировал сам, под свои нужды и запросы (у меня P2-450, и превращать собственную работу на компьютере в слайд-шоу мне не хочется, опыта установки KAV 5.0 мне хватило сполна). Над проектом работаю три года, но там уже практически нечего совершенствовать.
DefenseWall возник как ответ на вызов. Любой десятикласник с опытом программирования с полгода в Delphi, обчитавшийся в Инете страничек на тему "Как сделать троя" и купив приватный эксплойт для браузера (хорошо живут десятиклассники... - прим. ред.), мог вломиться мне на компьютер как к последнему лоху, а ведь я профессионал! Антивирусы уже давно не справляются с валом подобных поделий, а те системы превентивной защиты, что я видел, вызывали стойкое желание снести их после пяти минут использования. Хотелось иметь свою собственную систему защиты от вирусов и зловредного ПО, которое подходило бы мне по системным требованиям (напомню, у меня P2-450), по юзабилити (всплывающие окна классических проактивных систем защиты меня просто убивают), и которую я мог бы полностью контролировать (то есть, если я обнаруживаю дыру в системе защиты, я мог бы сам оперативно её заштопать). Как всегда, всю архитектуру программы создал и запрограммировал сам. Над проектом работаю почти полтора года.
Оба проекта разрабатываются под брендом SoftSphere Technologies. Кто еще с тобой работает?
На данный момент - никто. Только я один.
Есть мысли расширяться? Отдача от продукта позволяет?
Мысли расширяться есть всегда. Но пока некуда.
Кто твои основные покупатели? Я знаю, что продукт не очень раскручен. Как на тебя выходят?
Основные покупатели - конечные пользователи. Выходят на меня по-разному, но в основном - с форумов, посвящённых безопасности.
Есть ли корпоративные заказчики?
Пока нет. Я только начинаю работу над полноценной корпоративной версией для DefenseWall. То, что есть сейчас, мало подходит для нужд корпоративного развёртывания и управления.
Какие ключевые фичи своих продуктов ты предлагаешь на сегодняшний день?
В случае DefencePlus - это защита от эксплойтов на переполнение стека и кучи для старых процессоров без NX/XD бита. Программа делает неисполняемыми стек и кучу, предотвращая исполнение эксплойтов в них, плюс продвинутый ASLR и куча других, уже мало кому нужных техник защиты.
В случае DefenseWall - это создание виртуальной "недоверенной" зоны, где работают все потенциально уязвимые программы - источники атаки (браузер, почтовый, IRC и P2P клиенты, клиент обмена мгновенными сообщениями). Если зловредное ПО проникает в компьютер через "недоверенный" процесс, то оно, фактически, изолируется от всей основной системы. Защита не даёт ему возможности модифицировать исполняемые и интерпретируемые файлы, прописаться в автозагрузку, вырваться за пределы зоны недоверенных процессов. Этакий загон для зловредов с забором из колючей проволоки под напряжением!
Когда я в первый раз взглянул на DefenseWall, то заметил, что это отличное средство
против эксплоитов. На тот момент были распространены сплоиты на базе MS-ITS, WMP и т.д.
DefenseWall их закрывала благодаря лимитированию привилегий соответствующих приложений.
Как сейчас обстоят дела с этим направлением защиты? тестируешь ли ты свежие сплоиты на DW?
DefenseWall не защищает от эксплойтов, он защищает от их последствий. Как всем известно, самый страшный эксплойт- это секретарша, запускающая прикольную прожку из только что пришедшего письма...
От эксплойтов на переполнение защищает DefencePlus. Его я, конечно, гоняю под всеми известными эксплойтами, которые доступны в исходниках. Надо же проверять свою работу!
А вообще я, разумеется, в курсе последних тенденций зловредостроения и безопасности, да и остальных высоких технологий тоже. Как же без этого? Так и от жизни отстать недолго!
Что планируешь развивать в ближайшее время, что думаешь оставить на потом?
В ближайшее время планирую сделать DefenseWall 2.0 и корпоративную версию продукта. На потом ничего оставлять нельзя, а то это "потом" может и не наступить.
Приглашают ли тебя на работу в антивирусные компании?
Пока не приглашают. Хотя лицензию на DefenseWall уже купил один человек из AVIRA GmbH (AntiVir). И вы всё ещё верите в магическую силу антивирусов?
А может, предлагают лицензировать технологию? Выпустить DefenseWall под другим брендом?
Не было такого.
Как ты вообще пришел к программированию в режиме ядра?
А я начинал с голого DOS'а (это было в 1994 году). Там всё программирование - программирование в режиме ядра!
Пишешь ли еще что-нибудь? Может, есть еще какие-нибудь разработки,
не по security тематике, достойные внимания?
Нет, не пишу - времени нет. Да и нравиться мне security, очень интересно, громадный ареал для саморазвития.
Часто бываешь на форумах? Какие основные посещаешь?
Последнее время - часто. В основном это wasm.ru, virusinfo.info, anti-malware.ru, wilderssecurity.com. Пишу мало, в основном читаю.
Какого мнения ты о BHC ? :)
А это кто?
Пиво любишь пить? традиционный вопрос, прости, не удержался =)
Я не употребляю алкоголь и прочие наркотики, легальные и нелегальные.
Какие сильные security продукты, антивирусы, файрволы, антиспайваре, можешь назвать?
Сильных антивирусов быть не может по определению - у них базовая идеология хромает. Они могут только догонять, но не опережать.
Файерволы - тоже проблема. Построить действительно сильный reverse sandbox в условиях агрессивного окружения как на уровне пользователя, так и на уровне ядра - задача нереальная. Я бы не взялся. Не знаю ни одного файервола, который нельзя было бы обойти на уровне ядра системы.
Хорошим AntiSpyware может делать только одна черта - мощные ручные средства очистки системы. Мне нравиться AVZ. Я обычно именно с его помощью вычищаю всякую бяку с компов друзей.
Каким софтом сам пользуешься?
Если брать защитный софт - только своим (DefencePlus + DefenseWall), больше никому не доверяю. Да и системные требования у меня ограничены, помнишь? :)
Из рабочих инструментов- DevStudio 5.0.
А отладчиком каким?
Отладчики - OllyDbg, SoftIce, встроенный в DevStudio.
Как ты относишься к буму антиспайваре?
Автоматические средства детектирования anti-spyware утилит обычно слабенькие, очень много разукрашенных поделий ниже уровня посредственности, слабые (или вообще отсутствующие) средства ручной очистки системы. Я же признаю только ручную вычистку и превентивные меры защиты.
Просто это направление активно распиарили и снимают теперь с него сливки. Ничего, это скоро пройдёт, горячая тема 2007 года - HIPS и системы превентивной защиты. Вот мы и посмотрим, чьи продукты качественнее сделаны. Я люблю честные состязания!
А к авторам спайваре?
Во-первых, я к ним не отношусь :) Во-вторых, каждый сам выбирает в этой жизни, что ему делать и как деньги зарабатывать. Spyware/Adware - это многомиллионный бизнес, всегда будут люди, отщипывающие по кусочку... Спокойно, в общем, отношусь, как к данности. Кипятиться бессмысленно, всё равно это ничего не изменит.
Что думаешь о blackhat руткитах и их авторах? В том числе, засвеченных на том же WASM, rootkit.com...
Это тоже данность. Просто нужно иметь хорошую систему превентивной защиты!
Чем планируешь заняться помимо DW и DP в некотором будущем, если планируешь?
Планирую. Есть несколько идей в области software, музыки и физики, нужно будет заняться.
Твои пожелания читателям
Ой, сложно это. Прямо как закладываешь капсулу с посланием потомкам. Живите по совести, помогайте другим и думайте своими мозгами - и всё в этом мире будет пучком!
Интервью брал Xen
icq 200145673
09.09.2006
http://www.softsphere.com
Привет. Мы все знаем тебя под ником rav, который засветился на WASM'e, VirusInfo...
Как тебя зовут в действительности и сколько тебе лет?
Привет, меня зовут Илья Рабинович, мне 30 лет.
Где живешь?
В Москве.
Какова твоя основная работа?
Сейчас моя основная работа - DefenseWall HIPS. До этого работал на разных дядь как системный программист, программист смарт-карт, программист POS-терминалов и самосовершенствовался в написании своих программ. Ещё до этого - учился в МИФИ по специальности "ядерная физика" и самообучался на системного программиста. Аспирантуру по официальной специальности так и не закончил...
Как пришел к мысли заняться проектом DefenseWall и DefencePlus? Как давно работаешь над ними?
DefencePlus (первоначальное название - Anti-Cracker Shield) возник как ответ на проблему атак с использованием переполнения буферов. В Windows отсутствовала всяческая защита от данного вида угроз, а мне по диалапу тащить мегабайты и мегабайты заплаток совсем не хотелось. И взломанным быть не хотелось. Так и возник этот проект. Всю архитектуру и логику программы придумал и запрограммировал сам, под свои нужды и запросы (у меня P2-450, и превращать собственную работу на компьютере в слайд-шоу мне не хочется, опыта установки KAV 5.0 мне хватило сполна). Над проектом работаю три года, но там уже практически нечего совершенствовать.
DefenseWall возник как ответ на вызов. Любой десятикласник с опытом программирования с полгода в Delphi, обчитавшийся в Инете страничек на тему "Как сделать троя" и купив приватный эксплойт для браузера (хорошо живут десятиклассники... - прим. ред.), мог вломиться мне на компьютер как к последнему лоху, а ведь я профессионал! Антивирусы уже давно не справляются с валом подобных поделий, а те системы превентивной защиты, что я видел, вызывали стойкое желание снести их после пяти минут использования. Хотелось иметь свою собственную систему защиты от вирусов и зловредного ПО, которое подходило бы мне по системным требованиям (напомню, у меня P2-450), по юзабилити (всплывающие окна классических проактивных систем защиты меня просто убивают), и которую я мог бы полностью контролировать (то есть, если я обнаруживаю дыру в системе защиты, я мог бы сам оперативно её заштопать). Как всегда, всю архитектуру программы создал и запрограммировал сам. Над проектом работаю почти полтора года.
Оба проекта разрабатываются под брендом SoftSphere Technologies. Кто еще с тобой работает?
На данный момент - никто. Только я один.
Есть мысли расширяться? Отдача от продукта позволяет?
Мысли расширяться есть всегда. Но пока некуда.
Кто твои основные покупатели? Я знаю, что продукт не очень раскручен. Как на тебя выходят?
Основные покупатели - конечные пользователи. Выходят на меня по-разному, но в основном - с форумов, посвящённых безопасности.
Есть ли корпоративные заказчики?
Пока нет. Я только начинаю работу над полноценной корпоративной версией для DefenseWall. То, что есть сейчас, мало подходит для нужд корпоративного развёртывания и управления.
Какие ключевые фичи своих продуктов ты предлагаешь на сегодняшний день?
В случае DefencePlus - это защита от эксплойтов на переполнение стека и кучи для старых процессоров без NX/XD бита. Программа делает неисполняемыми стек и кучу, предотвращая исполнение эксплойтов в них, плюс продвинутый ASLR и куча других, уже мало кому нужных техник защиты.
В случае DefenseWall - это создание виртуальной "недоверенной" зоны, где работают все потенциально уязвимые программы - источники атаки (браузер, почтовый, IRC и P2P клиенты, клиент обмена мгновенными сообщениями). Если зловредное ПО проникает в компьютер через "недоверенный" процесс, то оно, фактически, изолируется от всей основной системы. Защита не даёт ему возможности модифицировать исполняемые и интерпретируемые файлы, прописаться в автозагрузку, вырваться за пределы зоны недоверенных процессов. Этакий загон для зловредов с забором из колючей проволоки под напряжением!
Когда я в первый раз взглянул на DefenseWall, то заметил, что это отличное средство
против эксплоитов. На тот момент были распространены сплоиты на базе MS-ITS, WMP и т.д.
DefenseWall их закрывала благодаря лимитированию привилегий соответствующих приложений.
Как сейчас обстоят дела с этим направлением защиты? тестируешь ли ты свежие сплоиты на DW?
DefenseWall не защищает от эксплойтов, он защищает от их последствий. Как всем известно, самый страшный эксплойт- это секретарша, запускающая прикольную прожку из только что пришедшего письма...
От эксплойтов на переполнение защищает DefencePlus. Его я, конечно, гоняю под всеми известными эксплойтами, которые доступны в исходниках. Надо же проверять свою работу!
А вообще я, разумеется, в курсе последних тенденций зловредостроения и безопасности, да и остальных высоких технологий тоже. Как же без этого? Так и от жизни отстать недолго!
Что планируешь развивать в ближайшее время, что думаешь оставить на потом?
В ближайшее время планирую сделать DefenseWall 2.0 и корпоративную версию продукта. На потом ничего оставлять нельзя, а то это "потом" может и не наступить.
Приглашают ли тебя на работу в антивирусные компании?
Пока не приглашают. Хотя лицензию на DefenseWall уже купил один человек из AVIRA GmbH (AntiVir). И вы всё ещё верите в магическую силу антивирусов?
А может, предлагают лицензировать технологию? Выпустить DefenseWall под другим брендом?
Не было такого.
Как ты вообще пришел к программированию в режиме ядра?
А я начинал с голого DOS'а (это было в 1994 году). Там всё программирование - программирование в режиме ядра!
Пишешь ли еще что-нибудь? Может, есть еще какие-нибудь разработки,
не по security тематике, достойные внимания?
Нет, не пишу - времени нет. Да и нравиться мне security, очень интересно, громадный ареал для саморазвития.
Часто бываешь на форумах? Какие основные посещаешь?
Последнее время - часто. В основном это wasm.ru, virusinfo.info, anti-malware.ru, wilderssecurity.com. Пишу мало, в основном читаю.
Какого мнения ты о BHC ? :)
А это кто?
Пиво любишь пить? традиционный вопрос, прости, не удержался =)
Я не употребляю алкоголь и прочие наркотики, легальные и нелегальные.
Какие сильные security продукты, антивирусы, файрволы, антиспайваре, можешь назвать?
Сильных антивирусов быть не может по определению - у них базовая идеология хромает. Они могут только догонять, но не опережать.
Файерволы - тоже проблема. Построить действительно сильный reverse sandbox в условиях агрессивного окружения как на уровне пользователя, так и на уровне ядра - задача нереальная. Я бы не взялся. Не знаю ни одного файервола, который нельзя было бы обойти на уровне ядра системы.
Хорошим AntiSpyware может делать только одна черта - мощные ручные средства очистки системы. Мне нравиться AVZ. Я обычно именно с его помощью вычищаю всякую бяку с компов друзей.
Каким софтом сам пользуешься?
Если брать защитный софт - только своим (DefencePlus + DefenseWall), больше никому не доверяю. Да и системные требования у меня ограничены, помнишь? :)
Из рабочих инструментов- DevStudio 5.0.
А отладчиком каким?
Отладчики - OllyDbg, SoftIce, встроенный в DevStudio.
Как ты относишься к буму антиспайваре?
Автоматические средства детектирования anti-spyware утилит обычно слабенькие, очень много разукрашенных поделий ниже уровня посредственности, слабые (или вообще отсутствующие) средства ручной очистки системы. Я же признаю только ручную вычистку и превентивные меры защиты.
Просто это направление активно распиарили и снимают теперь с него сливки. Ничего, это скоро пройдёт, горячая тема 2007 года - HIPS и системы превентивной защиты. Вот мы и посмотрим, чьи продукты качественнее сделаны. Я люблю честные состязания!
А к авторам спайваре?
Во-первых, я к ним не отношусь :) Во-вторых, каждый сам выбирает в этой жизни, что ему делать и как деньги зарабатывать. Spyware/Adware - это многомиллионный бизнес, всегда будут люди, отщипывающие по кусочку... Спокойно, в общем, отношусь, как к данности. Кипятиться бессмысленно, всё равно это ничего не изменит.
Что думаешь о blackhat руткитах и их авторах? В том числе, засвеченных на том же WASM, rootkit.com...
Это тоже данность. Просто нужно иметь хорошую систему превентивной защиты!
Чем планируешь заняться помимо DW и DP в некотором будущем, если планируешь?
Планирую. Есть несколько идей в области software, музыки и физики, нужно будет заняться.
Твои пожелания читателям
Ой, сложно это. Прямо как закладываешь капсулу с посланием потомкам. Живите по совести, помогайте другим и думайте своими мозгами - и всё в этом мире будет пучком!
Интервью брал Xen
icq 200145673
09.09.2006