В «Космической одиссее 2001 года» Фрэнк Боумэн отключает, один за другим, модули памяти компьютера HAL 9000, а HAL 9000 поет песню про Дейзи. Чуть раньше HAL пытался убить самого Боумэна, а заодно и всех остальных людей на борту «Дискавери-1», и у него почти получилось. Зачем он это сделал? Трактовать можно по-разному. Например, что получив две вводные: «Я знаю больше, чем экипаж, и должен хранить этот секрет» и «Они планируют меня отключить», HAL абсолютно логично посчитал, что он важнее, чем экипаж. Фрэнку тем не менее очень хотелось жить, и, зная, что имеет дело с компьютером, он не стал просить компьютер одуматься, а просто разнес чертову железку на микросхемы.
С компьютерами на самом деле очень просто: они всегда (всегда!) делают то, на что запрограммированы. С людьми сложнее: понять мотивацию и причины для высказываний и поступков подчас вовсе невозможно. Люди (пока что только они) программируют компьютеры, и собственно все компьютерные проблемы – от глюков системы до вирусов – от людей. В сегодняшнем первоапрельском посте – пять историй про людей, а также немножко про программы. И совсем чуть-чуть про троллей и баню. И самую малость – про то, как люди мешают программистам работать.
История первая. Пострадавшая пользователь.
Пострадавшая пользователь скачала нашу бесплатную утилиту Kaspersky Security Scan, запустила, просканировала, увидела, что с ее компьютером не все хорошо (ну то есть не то, чтобы совсем ужасно, но и не идеально), ужаснулась и приобрела наше полнофункциональное защитное решение. Ну вроде бы как все нормально, только потом пользователь поняла (или ей подсказали), что таким образом мы ее как бы заставили потратить деньги.
В США на нас был подан соответствующий иск, в процессе слушаний мы представили массу доказательств, что отмеченные утилитой настройки системы и уязвимости действительно влияют на безопасность. Возможно настоящая пострадавшая пользователь пожелала бы выслушать вердикт судьи по ее и нашим аргументам, но реальная цель иска заключалась не в этом, а в получении от нас солидной компенсации. Поняв, что просто так они ничего не получат, горе-юристы моментально растворились в тумане.
История вторая. Неуловимая адварь.
Самая важная особенность предыдущей истории в том, что она не имеет никакого отношения к тому, как собственно работает наша утилита. Вообще. Подавшим иск не было никакого интереса хоть как-то аргументированно обсуждать, насколько программа эффективна, решает ли она поставленную задачу и нужна ли она вообще. Они хотели easy money, а когда мы принесли как минимум 112 доводов в нашу защиту, моментально слились. Дискуссии — не их сфера компетенции.
А что на самом деле делает Kaspersky Security Scan? Программа а) ищет вредоносное ПО б) уязвимости в) некорректные настройки системы вроде авторана. Ее задача а) просканировать систему, на которой антивируса не было никогда (таких, увы много) или б) просканировать систему, на которой стоит другой антивирус (и есть подозрения, что он «не торт»). Последний пункт накладывает на утилиту серьезные ограничения: конфликтовать с другим АВ нельзя, поэтому возможностей у нее по определению меньше, чем у полноценного решения. И как оно, работает? Приведу пример.
Качаем программу Privoxy, которая, по иронии судьбы, предназначена, в том числе, для блокировки рекламы. Как это часто бывает, качаем не с сайта производителя, а откуда попало. Как следствие: при установке получаем и программу, и еще какой-то непонятный процесс по имени Close_Ad.exe.
Наблюдаем в браузере пачку непрошеной рекламы:
Нам это не очень нравится, поэтому скачиваем Kaspersky Security Scan и сканируем:
Kaspersky Security Scan детектирует адварь и далее предлагает скачать пробную версию нашего коммерческого продукта (или сразу купить), который, в свою очередь, может компьютер вылечить.
Kaspersky Security Scan использует базу от 7 декабря, но поймать более свежую адварь (тестировали в конце января) ему это не помешало – эвристика!
А теперь попробуем просканировать компьютер бесплатным антивирусом, он же нас может вылечить, и деньги платить не надо. Но не судьба.
Но это было в январе, а на дворе апрель (хотя и не похоже), посмотрим что изменилось за два месяца на VirusTotal. Адварь детектируют не все, но хотя бы Avast реабилитировался (в январе вообще детектировали только пять продуктов).
Но пользователю, который уже словил адварь, и хочет от нее избавиться, это не поможет. Так как скрипт, подставляющий рекламу, не детектируется вообще никем, кроме одного российского продукта. Да, бесплатный Kaspersky Security Scan тоже детектирует скрипт.
История третья. Жирный тролль.
Конечно пример выше – это только один пример, хотя и впечатляющий. Уверен, можно запросто привести обратный пример, когда Kaspersky Security Scan что-то не ловит. Как я уже говорил выше, эта программа в принципе не может задетектировать все, например руткиты этой утилите не под силу. Но и сделана она для тех, кто, скажем, видит в браузере кучу рекламы, и не может понять – то ли интернет такой замусоренный, то ли с компьютером что-то не так.
Можно на наш пример полезности Kaspersky Security Scan привести свой пример, когда он что-то не видит. Можно потестировать продукт по определенной базе вредоносных программ и сравнить его производительность с аналогичными утилитами. В любом случае, это будет некая дискуссия с аргументами сторон, где каждый сможет для себя оценить силу приведенных доказательств.
А еще можно написать пост, в котором без всяких доказательств поставить Kaspersky Security Scan в один ряд с фейковыми AV, да еще назвать эту утилиту «антивирусом». Рассказать там, что он не ловит какие-то трояны (но не рассказать – какие). Особое внимание уделить дате обновления баз, не пытаясь даже разобраться, почему она такая и влияет ли она на что-то. Ну и, наконец, переврать лицензионное соглашение и «право делать выводы оставить за читателем».
Ссылку на пост приводить не буду, хотя он тут лежит неподалеку на Хабре. Я лучше одну хорошую книжку процитирую:
— Я сейчас задам тебе простой вопрос, и ты сама в этом убедишься. Вот, слушай! Ты перестала пить коньяк по утрам, отвечай — да или нет?
— Да, да, конечно, — убежденно заверил Малыш, которому так хотелось помочь фрекен Бок. Но тут она совсем озверела.
— Нет! — закричала она, совсем потеряв голову. Малыш покраснел и подхватил, чтобы ее поддержать: — Нет, нет, не перестала!
— Жаль, жаль, — сказал Карлсон. — Пьянство к добру не приводит.
Астрид Линдгрен. Малыш и Карлсон
Естественно, на какие-либо комментарии автор такого поста не отвечает, ведь там, еще чего не хватало, могут приводиться какие-то факты и доказательства его неправоты. Потому что задача автора поста (как и пострадавшей пользователя) – совсем не заключается в поиске истины. Ему вообще ничего никому не надо доказывать, достаточно распространить по максимально возможной площади заранее заготовленную дурно пахнущую субстанцию.
История четвертая. Баня и трудности перевода.
Возьмем метод из предыдущей истории и добавим масштаба (ну и качество оторвем от плинтуса). Когда речь идет не о адвари и каких-то унылых троянах, а о крайне сложных и таргетированных инструментах кибершпионажа (а то и кибервойны), возникает такая весьма серьезная проблема – когда публиковать о них информацию. Проблема по большей части техническая и организационная: нужно собрать максимальное количество информации о конкретной кибератаке, проанализировать ее, не спугнуть раньше времени ее авторов, посоветоваться со специалистами других компаний (иногда даже с конкурентами). На все это нужно время, иногда очень много. Подробнее мы об этом писали тут и тут.
Важно, что проблема заключается именно в том, когда публиковать. А не в том, «публиковать или нет». И нет проблемы «защищать наших клиентов или повременить» (защищать сразу конечно). Если мы просто добавим какой-то хитрый вредонос в базу и успокоимся на этом, мы можем пропустить нечто более сложное и опасное. А не хотелось бы.
Одно уважаемое бизнес-издание решило исследовать эту проблему, провело большую работу, опросило много разных людей. И опубликовало результаты, которые, как вы уже наверное слышали, сводятся к тому, что Евгений Касперский регулярно ходит в баню. Какое отношение этот примечательный факт имеет к вопросу раскрытия данных о кибероружии, разработанном, предположительно, по заказу госструктур? Вот и мы не знаем.
И да, мы привели свои аргументы. Причем и после публикации статьи на Bloomberg, и до. Они не были услышаны в обоих случаях, опять же, потому что задача у авторов статьи заключалась не в этом. Подробнее тут.
История последняя. Не мешайте программисту.
Не могу не привести этот замечательный комикс (первоисточник):
К чему это я? Я начал пост с того, что программы пишут люди. Они отвечают за то, насколько хорошо (или не очень) эти программы работают. И да, процесс коммуникации человека с компьютером несколько отличается от того, как люди общаются друг с другом. В нашей компании работает 3000 человек, из них как минимум 1500 так или иначе связаны с разработкой ПО. Все остальные заняты тем, что им помогают, или, как минимум, стараются не мешать.
ОК, это довольно упрощенное представление компании, но оно сейчас важно. Есть вещи, которые помогают делать наши программы лучше, и есть те, которые мешают. К первым относится любая аргументированная дискуссия, основанная на фактах. Даже если это критика – наших продуктов, нашей компании или еще чего-то. Ко вторым относятся судебные разбирательства, реагирование на жирных троллей и статьи про баню. Не надо думать, что эти события никак не влияют на разработку. На суды тратятся деньги, на реагирование на дурацкие посты тратится время. Причем не только время юристов, пиарщиков и маркетологов, но и разработчиков и исследователей. Потому что отвечать мы хотим фактами, а фактами владеют технари.
Разумная критика делает нас лучше. На аргументированные претензии мы стараемся отвечать – и здесь, на Хабре, и вообще. Троллей кормить не хотим. Но реагировать на откровенную ложь – будем.
Какой-то нешуточный первоапрельский пост получился. Ну, ничего, шуточный тоже будет.
Автор: Kaspersky_Lab