Онлайн-интервью с Сергеем Уласенем, руководителем отдела разработки ядра ВирусБлокАда

[Сергей Ильин 1538]

С 1-го сентября на вопросы нашего сообщества согласился ответь Сергей Уласень, руководителем отдела разработки ядра компании "ВирусБлокАда".

Сергей прекрасно разбирается в антивирусных технологиях, поэтому на эту тему его можно и нужно спрашивать. Кроме того Сергея будет неплохо поспрашивать о компании "ВирусБлокАда", текущих задачах по улучшения антивирусу VBA32, планах на будущее и т.д. В общем придется отвечать за всю компанию

Анонсировал заранее, чтобы было время собрать первую партию вопросов к началу интервью, поэтому задавайте свои вопросы уже сейчас.

[K_Mikhail 807]

С позволения, задам не один, а пару вопросов.

1. Практика показывает, что решения, выпускаемые под маркой VBA32 как-то не "на слуху" (если сравнивать с теми же Dr.Web, KL, NOD32), хотя обладает рядом собственных разработок по обнаружению вредоносного кода. Чем вызвано подобное "упущение", и предполагается ли какой-то выход из образовавшейся "тишины"?

2. Какова частота выхода обновлений вирусных баз VBA32?

Спасибо!

[alexgr 556]

Добрый день!

Ваш продукт известен за пределами Белоруссии в основном в кругу специалистов. Планируете ли вы некую активную экспансию в страны СНГ? а за пределы СНГ?

[Umnik 997]

В связи с недавним событием, нет ли у VBA зайти под крыло более глобального вендора? И наоборот, не смотрит ли VBA на другие, чтобы приобрести их?

Я замечаю, что нередко имя нашего и вашего детекта совпадают. Мне это нравится, я вообще считаю, что у ЛК наиболее адекватный метод именования вредоносов, где видно и поведение, и платформу, и семейство, и модификацию, и даже иногда целостность. Но вопрос таков: Вы и вы (человек и компания) посчитали также этот метод наиболее удобным или просто кто-то навязал?

[canni 0]

1.Назовите, пожалуйста, более-менее определённую дату выхода четвёртой версии комплекса и, если можно, какие новые решения в нём применяются?

2.Ведутся ли работы в плане более глобальной защиты: фаервол и т.п.

3.В каком регионе(стране) наиболее популярен комплекс VBA32? Статистика ведь ведётся?

[Сергей Ильин 1538]

Подкину несколько вопросов от себя:

1. Почему ВирусБлокАда не идет на технологические альянсы с другими производителями?

2. Есть ли планы развивать OEM-продажи, включая лицензирование движка?

P.S. Человек передо мной задал хорошие вопросы, но из-за потери данных вчера мы его чуть не потеряли

[newbieHelper 5]

Здравствуйте,

- Скажите, планирует ли компания расширять штат разработчиков в других городах Республики Беларусь и России?

- Есть ли возможность удаленной работы в компании для специалистов из далёких городов?

[K_Mikhail 807]

В связи с недавним выходом в мир TDL3 for x64 как изменились планы компании по разработке средств обнаружения и лечения данной вредоносной программы в активном состоянии? Подразумевается, прежде всего, VBA32 AntiRootkit, функции которого предполагались быть имплементированы в основной продукт -- Антивирус VBA32?

Как скоро можно будет увидеть бету нового VBA32 AntiRootkit?

[Umnik 997]

Как скоро можно будет увидеть бету нового VBA32 AntiRootkit?

Ну и, соответственно, когда можно ждать полной интеграции в большой продукт?

[sergey ulasen 200]

Всем добрый день!

Готов отвечать на ваши вопросы. Сразу отвечу на те вопросы, которые мне ближе как техническому специалисту, а "экономический блок" оставлю на потом.

И всех с Днем знаний, кстати.

2. Какова частота выхода обновлений вирусных баз VBA32?

На сегодняшний день выпуск антивирусной базы происходит один раз в сутки. Если мы видим, что необходимо выпустить

срочный апдейт, то мы это делаем по необходимости (угроза массовой эпидемии, ложное срабатывание и т.д.).

В первую очередь это связано с достаточно длительным тестированием апдейта на ложные срабатывания.

Хочется отметить, что в последнее время нами была проделана определенная работа в направлении уменьшения

ложных срабатываний, и сейчас ситуация с ними достаточно стабильная. Также необходимо сказать, что

мы понимаем, что частота обновлений - достаточно важная составляющая антивирусной безопасности. И

мы находили и будем находить в будущем баланс между безопасностью пользователей и угрозой ложных срабатываний.

Я замечаю, что нередко имя нашего и вашего детекта совпадают. Мне это нравится, я вообще считаю,

что у ЛК наиболее адекватный метод именования вредоносов, где видно и поведение, и платформу, и семейство,

и модификацию, и даже иногда целостность. Но вопрос таков: Вы и вы (человек и компания) посчитали также этот

метод наиболее удобным или просто кто-то навязал?

Ну навязать-то нам это никто не мог

На самом деле, мы никогда и не скрывали, что мы пользуемся той же классификацией malware, что и ЛК. И я тоже не вижу в этом

чего-то зазорного. Если аналитик видит, что имя трояну уже присвоено, то ему присваивается такое же имя. Новое имя присваивается

только в том случае, если имя отсутствует. Используемая классификация действительно достаточно "говорящая" для пользователя.

Кроме того, часть malware классифицируется по нашим уникальным технологиям. Для этого в начало имени добавляются

ключевые слова Malware-Scope, SScope, BScope и др.

[Сергей Ильин 1538]

Для этого в начало имени добавляются

ключевые слова Malware-Scope, SScope, BScope и др.

А какие классы вредоносов скрываются под этим? К примеру, если в имени есть SScope, это что означает?

[sergey ulasen 200]

А какие классы вредоносов скрываются под этим? К примеру, если в имени есть SScope, это что означает?

Многого не расскажу, но специалисты поймут:

Технология детектирования вредоносного кода SScope позволяет создать образ вредоносного семейства и детектировать его экземпляры невзирая на различные упаковщики, которыми они обрабатываются.

Технология BScope является дальнейшим развитием нашей технологии поведенческого детектирования вредоносных программ.

2. Есть ли планы развивать OEM-продажи, включая лицензирование движка?

Сейчас движок лицензирован компаниями TrustPort (Чехия) и Safe`n`Sec (Россия). Кроме того, сейчас подписан NDA еще с одной российской компанией.

- Скажите, планирует ли компания расширять штат разработчиков в других городах Республики Беларусь и России?

- Есть ли возможность удаленной работы в компании для специалистов из далёких городов?

Сейчас у нас есть офис в Минске, в котором находится штат разработчиков. По моему мнению развивать офисы в других городах РБ нецелесообразно. И причин для этого очень много - только здесь я их перечислять не буду. Это отдельный разговор.

Также у нас есть офис в Москве, но там только "продажники" и тех. поддержка. При этом московский офис - это отдельная коммерческая структура.

Если у Вас есть желание у нас поработать, то Вы можете связаться с нами по следующим адресам info@anti-virus.by (Минск) и info@virusu.net (Москва).

По поводу удаленной работы - к сожалению, в качестве разработчика на данный момент это невозможно.

[sergey ulasen 200]

Как скоро можно будет увидеть бету нового VBA32 AntiRootkit?

Планы следующие:

1) сентябрь - закончить основную разработку;

2) октябрь - середина ноября - посвятить внутреннему тестированию (и тестированию в закрытой группе добровольцев ) и доработке продукта;

3) конец ноября - посвятить документации и выпустить бета-версию продукта.

Новый функционал будет очень вкусный

В связи с недавним выходом в мир TDL3 for x64 как изменились планы компании по разработке средств обнаружения и лечения данной

вредоносной программы в активном состоянии? Подразумевается, прежде всего, VBA32 AntiRootkit, функции которого предполагались быть имплементированы

в основной продукт -- Антивирус VBA32?

Ну и, соответственно, когда можно ждать полной интеграции в большой продукт?

Компания продолжает работать на то, чтобы и основной продукт также обладал функционалом лечения сложных (руткит-) заражений.

[sergey ulasen 200]

1. Практика показывает, что решения, выпускаемые под маркой VBA32 как-то не "на слуху"

(если сравнивать с теми же Dr.Web, KL, NOD32), хотя обладает рядом собственных разработок по обнаружению вредоносного кода.

Чем вызвано подобное "упущение"

Подобное упущение связано с тем, что, в первую очередь, мы работаем с корпоративными клиентами, а также

малым и средним бизнесом в Республике Беларусь. Пока именно здесь наш основной рынок. А заработанные деньги мы

пытаемся тратить на совершенствование комплекса Vba32.

предполагается ли какой-то выход из образовавшейся "тишины"?

Ваш продукт известен за пределами Белоруссии в основном в кругу специалистов.

Планируете ли вы некую активную экспансию в страны СНГ? а за пределы СНГ?

Предполагается. Мы начали заключать договора на распространение нашего продукта с компаниями в странах СНГ.

[sergey ulasen 200]

В связи с недавним событием, нет ли у VBA зайти под крыло более глобального вендора?

Пока нет. А что у Вас есть предложения?

И наоборот, не смотрит ли VBA на другие, чтобы приобрести их?

Тоже не смотрит. Пока это скорее из области фантастики Мы не настолько крупны, чтобы позволить себе покупки/поглощения.

Во многом в том числе и из-за организационных моментов. Вопрос технологического взаимодействия здесь более уместен.

1. Почему ВирусБлокАда не идет на технологические альянсы с другими производителями?

Наш АВ-движок используется в продуктах других вендоров, что по сути тоже является технологическим альянсом.

Мы также рассматриваем возможность использования сторонних технологий в своем антивирусе. И вопрос этот достаточно актуален.

[sergey ulasen 200]

1.Назовите, пожалуйста, более-менее определённую дату выхода четвёртой версии комплекса и,

если можно, какие новые решения в нём применяются?

Переход к новой версии антивируса будет осуществляться последовательно. В первую очередь изменения коснутся пользовательского интерфейса. Вот скриншот дизайнерского макета следующей версии продукта:

Сейчас ведется работа над воплощением этих задумок в жизнь. Как только дата выхода беты/релиза станет известна, я ее обязательно сообщу.

2.Ведутся ли работы в плане более глобальной защиты: фаервол и т.п.

Да, ведутся. Рассматривается в том числе возможность использования сторонних технологий в нашем продукте.

3.В каком регионе(стране) наиболее популярен комплекс VBA32? Статистика ведь ведётся?

Как я уже писал выше, наш основной рынок - Республика Беларусь.

[Umnik 997]

Он основной потому что вам так удобнее или потому что на других пробиться не удается?

[sww 486]

Добрый вечер.

1) Что умеет ваш эмулятор (он ваш с нуля? )? Динамическая трансляция? Ускоряющие технологии?

2) Есть какие-нибудь интересные фишки "движка"?

3) На каком уровне в анти-рутките вы читаете диски? IDE/SATA/SCSI/RAID-X - что поддерживаете? Разборщики FS?

4) Сколько программистов/аналитиков занято в сфере "лечения активных угроз"?

Пока все

[canni2 50]

Наш АВ-движок используется в продуктах других вендоров, что по сути тоже является технологическим альянсом.

Мы также рассматриваем возможность использования сторонних технологий в своем антивирусе. И вопрос этот достаточно актуален.

А можно узнать кто(конкретные брэнды) использует ваш движок?

P.S. Сергей Ильин

Причина редактирования: Эккаунт автора предыдущего поста выше восстановлен

Всё-таки я потерялся.

[Андрей-001 1099]

А можно узнать кто(конкретные брэнды) использует ваш движок?

Антивирусный сканер VBA32 входит в продукты Safe`n`Sec Deluxe и Safe`n`Sec Pro Deluxe компании S.N. Safe&Software.

TrustPort AV WS от компании AEC использует для работы несколько движков, в том числе движок VBA32.

[sergey ulasen 200]

Он основной потому что вам так удобнее или потому что на других пробиться не удается?

До сих пор нам действительно было так удобнее. Сейчас компания начала заниматься освоением и других рынков. Но так как это освоение началось сравнительно недавно, то на каких-то рынках наши партнеры уже имеют успехи, а на каких-то наблюдаются положительные тенденции.

Политика компании заключается в том, что выход на рынок осуществляется на "языке рынка". Т.е. локализована для той страны, где программа будет продаваться.

[sergey ulasen 200]

1) Что умеет ваш эмулятор (он ваш с нуля? )? Динамическая трансляция? Ускоряющие технологии?

Конечно с нуля. Нам его никто не подарил

2) Есть какие-нибудь интересные фишки "движка"?

Достаточно мощный эмулятор. Динамическая трансляция и ускоряющие технологии тоже есть.

Из интересных фишек: динамическое обновление эмулятора, generic unpacker, технологии поведенческого детектирования эмулятором, кэширование, интересный алгоритм обновления баз, хорошие возможности лечения файловых вирусов...

3) На каком уровне в анти-рутките вы читаете диски? IDE/SATA/SCSI/RAID-X - что поддерживаете? Разборщики FS?

Антируткит реализует некое подобие стека драйверов операционной системы. Очевидно, что это совсем нетривиальная задача, поэтому имплементировать её на 100% практически невозможно. Если более подробно, то (сверху вниз):

а) если файловая система поддерживается (FAT16/32 или NTFS), то разбираем её вручную; иначе - отправляем запрос драйверу ФС;

б) если том простой, то пересчитываем логические смещения в физические самостоятельно, а вот если пользователь работает, например, с программным RAID массивом - полагаемся на драйвер тома;

в) если контроллер диска простой, например IDE, - то антируткит может работать с ним на уровне портов ввода-вывода/прерываний, т.е. на самом низком уровне.

В случае других контроллеров, таких как AHCI, SCSI или RAID используются другие технологии.

4) Сколько программистов/аналитиков занято в сфере "лечения активных угроз"?

Хотелось бы больше

[sww 486]

Спасибо за ответы.

в) если контроллер диска простой, например IDE, - то антируткит может работать с ним на уровне портов ввода-вывода/прерываний, т.е. на самом низком уровне.

Синхронизация с "системой" (думаю, что вы понимаете о чем я) присутствует?

[sergey ulasen 200]

Синхронизация с "системой" (думаю, что вы понимаете о чем я) присутствует?

Присутствует.

Спасибо за вопросы

[Сергей Ильин 1538]

sergey ulasen, когда HIPS (контроль приложений, песочница) появится в продукте? Вообще, какова позиция компании в отношении технологий этого класса?