Данилов Ігор Анатолійович
Dr.Web - один з найвідоміших і успішних на території СНД антивірусів, який пройшов шлях фактично від аматорської програми до цілого сімейства продуктів комерційного класу.
Ігор, як все починалося?
Це довга історія. Починалося все як хобі на самому початку 90-х років. Я тоді займався обробкою сигналів в системі наведення для винищувачів в Санкт-Петербурзі в одному із закритих НДІ. І чомусь зацікавився проблемою вірусів, причому вже тоді існували відповідні розробки, наприклад AIDSTest, а з'являтися вони стали, мабуть, ще в 1988 р
А що змусило все-таки зайнятися серйозно цією темою?
Було просто цікаво, без будь-якої комерційної підоснови. До речі, в Києві в той час працював гуру (і не тільки для тоді ще радянського простору) антивірусних досліджень - Микола Миколайович Безруков. Пізніше ми з ним, звичайно, по-знайомилися і зараз підтримуємо дуже теплі стосунки. А ось тоді у мене, чесно зізнаюся, просто не вистачало сміливості з ним зв'язатися, настільки він здавався недосяжним: Проте саме він в якомусь сенсі і спонукав мене на написання антивірусів. Я якось купив його книгу «Комп'ютерна вірусологія» і всю ніч просидів за читанням. Мені здалося, що деякі завдання можна вирішити інакше і часто більш ефективно. Я навіть пару раз намагався йому зателефонувати, але ніхто не брав трубку - загалом, не доля була тоді з ним зустрітися:
А в своєму «ящику» я розбирався з різними загрозами, виступав експертом в досить серйозні проекти, які робилися для використання в винищувачах. Наприклад, тоді представники Пентагону заявили про розробку зброї на основі вірусів, здатного вражати бортові комп'ютерні системи. У нас вирішили це перевірити, і були навіть відпущені якісь гроші - в результаті з'явився звіт, де стверджувалося, що з огляду на застосування спеціальних процесора і системи команд загрози для нас не існує. Я з цією тезою не погоджувався і почав готувати якийсь прототип, щоб довести свою концепцію. Але через нестачу фінансування робота так і не була доведена до кінця. Коли ж через 10 років на одній конференції я розповів цю історію і описав свою ідею, то викликав божевільний резонанс - я-то думав, що з часом проблема вже неактуальна, а це виявилося не зовсім так. Тим більше що моя концепція передбачала зовсім примітивний шлях проникнення:
А який, якщо не секрет? Адже про Інтернет всерйоз говорити не доводиться:
Та ні, шлях самий банальний, наприклад, дискета з якоюсь грою. Головне, щоб вона подолала прохідну і потрапила в технологічну зону. Потім вірус вже самостійно шукає необхідну йому мету і, умовно кажучи, через компілятор впроваджується безпосередньо в устаткування. Причому його реальні дії можуть бути зовсім простими, скажімо, в потрібний момент просто вимикається підсвічування, і мета стає хоч я знаю ...
Повернемося до вашої першої розробці, чи була спочатку вибрана будь-яка спеціалізація, стратегія розвитку програми?
Оскільки в ті часи існувало вже безліч вельми хороших програм, ставка була зроблена на швидкість роботи. Тому спочатку продукт навіть називався «Торнадо», і на той час він дійсно був найшвидшим з усіх існуючих антивірусних сканерів. Потім я виграв з цим ПО, яке вже отримало назву SpiderWeb, конкурс і потрапив в Ганновер на CeBIT 93. А поспілкувавшись на цій величезній виставці з іншими фахівцями і замовниками, я зрозумів, що потрібно робити все зовсім по-іншому.
Але це була ще стадія хобі?
Я тоді був інженером, грошей практично не платили, але і на роботі від мене нічого особливо не вимагали. Так що комп'ютер був в моєму розпорядженні, і поступово я став займатися тільки антивірусами.
Саме тоді і по-з'явився Dr.Web?
Спочатку був пакет SpiderWeb, в який входили три програми: Spider, Dr.Web і ревізор диска Scorpion. Саме після поїздки до Німеччини стало зрозуміло, що мені одному весь проект не потягнути - т. Е. На високому технологічному рівні, так, щоб все було зроблено правильно. Тому я просто вибрав один компонент - Dr.Web - і почав його розвивати. Але при цьому завжди пам'ятав, що важливі й інші складові, які я рано чи пізно доведу до розуму і включу до складу. Це приблизно 1993 р
Але сьогодні все вже на іншому етапі розвитку?
Найцікавіше, що з точки зору підходів і технологій з тих пір принципово майже нічого не змінилося. Більш того, навіть не всі народжені тоді ідеї сьогодні реалізовані.
Віруси в традиційному розумінні сьогодні вже практично не зустрічаються?
Принципово вони залишилися тими ж, тільки виникли нові різновиди. Припустимо, класичний вірус повинен реплицировать себе, а сучасні «троянці» цього не роблять - їм це і не потрібно, оскільки для їх поширення використовуються інші механізми. Але суть при цьому колишня.
Але ж зараз створити шкідливу програму по плечу навіть любителю? На скриптових мовах, VBA і т. Д.
Ну і що? Раніше дійсно було відносно складно писати вірус, оскільки потрібно було, скажімо, знати асемблер. Але концептуально теперішні віруси аж ніяк не стали менш складними. В принципі, все розвивається по спіралі. Подивіться, на початку 90-х було кілька сотень антивірусних програм, до середини декади з них залишилося близько десяти, а більш-менш прийнятної якості і всього лише п'ять. Сьогодні їх знову під сотню, і, здається, тільки лінивий не пише антивіруси. Однак такі вироби не вміють ловити більшість старих вірусів і деякі сучасні, з тих що складніше, - і швидше за все ніколи не навчаться. Я впевнений, що через пару років їх знову буде не більше десятка.
А чим, на ваш погляд, викликані подібні сплески?
Природною еволюцією. Виникають нові шляхи доставки, більш доступні мови програмування, при цьому додатки стають все складніше, а значить, в них більше вразливостей - відповідно, віруси тепер простіше створювати і поширювати. В результаті зростає попит на антивірусні засоби, їх випускається багато і різних - і ситуація виходить на новий виток. Для мене вона зараз нагадує 1993 року, коли і з'явився Dr.Web зі своїми ідеями.
Якими саме?
Я зовсім не маю на увазі, що Dr.Web - якийсь геніальний продукт, просто він вийшов в потрібний час, і його сильними сторонами були евристичний аналіз і боротьба з поліморфними вірусами. Наприклад, цими механізмами не володів AIDSTest, який до якогось моменту був досить гарний, але далі просто перестав існувати. А Dr.Web завоював популярність саме завдяки тому, що вмів детектувати невідомі віруси.
А чи не час розглядати мобільний зв'язок як нове середовище поширення вірусів?
Поки, мабуть, немає, але поживемо - побачимо. Для початку повинні отримати достатнього поширення пристрої на потужних програмних платформах, на кшталт Windows Mobile і Symbian. У нас налагоджені контакти з провайдерами стільникового зв'язку по всій Європі, і ми уважно стежимо за ситуацією, адже ніхто не знає, чого ще понавигадували виробники мобільних телефонів і які виявляться уразливості.
Але зараз багато говорять про те, що наступна хвиля вірусів буде пов'язана саме з мобільними пристроями?
Рано чи пізно кількість потенційно уразливих пристроїв буде обчислюватися сотнями мільйонів, а виробники, очевидно, не зможуть передбачити все на світі. Зрозуміло, що така ситуація буде становити велику небезпеку, і масштаби її можна спрогнозувати:
Бути може, роль відіграє не масштаб, а доступність різних сервісів? Адже навіть банальний переказ грошей з рахунку на рахунок вже становить певний інтерес для зловмисника:
Насправді все може виявитися ще простіше. Адже реально цінний ресурс - трафік, і його зростання вигідний в першу чергу провайдерам. Може скластися парадоксальна ситуація, коли поява вірусів буде на руку операторам мобільного зв'язку - але про це сьогодні мало хто говорить.
Яке ваше ставлення до чергової хвилі розвитку антивірусних онлайн-сервісів - від Symantec, McAfee і Microsoft?
Нічого технічно нового в цьому немає, свого часу і у нас були аналогічні проекти. Наскільки я розумію, відбувається пошук чергових шляхів поширення ПО і справляння за нього плати. Добре це чи погано - побачимо.
А які, на вашу думку, технологічні нововведення очікують нас попереду?
Так складно, в общем-то, передбачити: Однак зрозуміло, що чим більше ми покладаємося у своєму житті на різні «залізяки», тим вразливіші стаємо - у всіх сенсах. Згадайте хоча б Чорнобиль. Ймовірно, в цьому випадку навіть некоректно було б говорити про «високих технологіях», а які виявилися масштаби катастрофи.
Давайте повернемося до дня сьогоднішнього. Ось багато хто вважає Dr.Web надто аскетичною програмою:
Я все життя намагаюся робити аскетичні речі, за що мене багато критикують.
Створюючи Dr.Web, ми намагалися, щоб все було якомога простіше, але в той же час функціонально і давало максимальний результат. Взагалі хочу сказати, що прибуток для нас не є самоціллю і чимось визначальним.
Але це дещо суперечить законам бізнесу?
А що таке бізнес? Продати те, що споживачеві навіть не потрібно? Ми якось перестали замислюватися про суть речей. Адже це слово означає просто справа, заняття, а у нас вона трансформувалася в бог знає що. Ми вічно впадаємо в якісь крайнощі. Зараз, наприклад, прагнемо абсолютно все оцінювати лише грошима. Ні в жодній розвиненій країні такого немає, там давно прийшли до розуміння, що гроші - це лише інструмент.
Якщо продовжити розмову про ваші продукти, то вельми популярна серія рішень для UNIX, зокрема для поштових серверів:
Це дійсно наша гордість. Нам вдалося зробити дуже вдалий і функціональний продукт.
І чим він принципово краще конкуруючих рішень?
Перш за все своєю надійністю.
Тобто не евристикою або чимось подібним?
Ні, саме надійністю і, ймовірно, ще швидкодією. Навряд чи ви знайдете інший антивірус, який здатний роками працювати без збоїв на UNIX-сервері. За цими показниками наш продукт останні шість років є кращим, і це не випадково. Мало хто може запропонувати таке технологічне рішення, зате у багатьох краще інтерфейс, красивіше коробки, вдаліше маркетинг. Все це теж сприяє продажам, але лише до тих пір, поки не почнуть «падати» сервери.
Чи можна з цього зробити висновок, що основна ставка в вашої компанії робиться на серверні продукти, а не на споживчі?
Я б сказав, що ставка насамперед робиться на якість - як би пафосно це не звучало. Наприклад, нас докоряли за те, що ми не виводили на ринок свої серверні рішення для Windows. При цьому практично ніхто не цікавився, наскільки вони налагоджені. Чесно кажучи, мені було б просто соромно випускати сирий продукт, спочатку я повинен бути повністю впевнений в його стабільній роботі. Що ж стосується сегментації, то в цілому ви праві - корпоративний сектор для нас пріоритетним, хоча і кінцевим споживачам ми приділяємо належну увагу.
А як ви ставитеся до появи нового конкурента в особі Microsoft?
Зізнаюся, мене це не дуже турбує. Ну ще один конкурент, який візьме на себе якусь частину ринку, і не більше того: Ми про такий розвиток ситуації здогадувалися ще років чотири тому, коли Microsoft готувалася купувати антивірусну компанію і активно досліджувала ринок. До речі, відповідні пропозиції надходили і нам, але ми відмовилися продавати свій бізнес.
А чому, якщо не секрет?
Питання непросте: Ймовірно, тому, що не все продається і не все купується.
Але наскільки це було серйозно?
Прилітали їхні представники, спілкувалися з нами. Але в результаті вони купили румунську фірму, яка, мабуть, не тільки їх влаштовувала, але і була готова до такого кроку. Можу ще відзначити, що дана подія схвилювало саме великих (в плані обсягів продажів) гравців, оскільки їм воно дійсно загрожує серйозними втратами. А ми - компанія іншого масштабу, тому для нас наслідки не будуть надто помітними. Крім того, в даному випадку мова йде виключно про платформу Windows, а на ринку корпоративних рішень є маса, нехай і невеликих, але ще неосвоєних ніш. Наприклад, до нас вже давно надходять запити на рішення для Sun Solaris.
Які найближчі плани компанії?
З найбільш цікавих, мабуть, - випуск власного рішення для боротьби зі спамом.
Чим воно відрізнятиметься від конкурентів?
У ньому буде реалізований механізм, аналогів якому поки немає. Ця технологія більше 20 років створювалася провідними математиками з Санкт-Петербурга, які працювали в галузі лінгвістики і систем розпізнавання голосу. Вони отримали унікальні результати, ними ми і збираємося скористатися. Сподіваюся, що продемонструвати даний продукт ми зможемо вже найближчим часом.
===
Інформаційна безпека - один з найдинамічніших сегментів ІТ-ринку, і антивіруси історично займають тут ключові позиції. Багато хто вже звик до того, що інтернет кишить вірусами, і від них потрібна потужна захист.
Разом з тим, як вважає розробник легендарного вітчизняного антивіруса Dr.Web Ігор Данилов, весь ринок антивірусів - це величезний мильна бульбашка, яка тримається на страху користувачів.
Ви стояли біля витоків становлення антивірусного ринку Росії. Що змінилося з тих пір?
У той час ринку не було взагалі, хоча його, напевно, немає і зараз. Є спроба створити щось подібне, але сьогоднішній антивірусний ринок - це велика мильна бульбашка.
Причому це відноситься не тільки до Росії, але і до світового ринку.
В кінці 80-х - початку 90-х років, коли тільки з'явилися віруси, кожен другий програміст писав антивірус. Робити це було досить просто і швидко. Є вірус - вноситься сигнатура, або контрольна сума, сканується файл, знаходиться в ньому тіло вірусу, відбувається інформування користувача і все.
Потім тільки інформування стало недостатньо: антивіруси стали включати в себе лікування.
І ось тут стався якісний стрибок, коли величезна кількість самописних антивірусів перестало задовольняти вимогам користувачів і просто зникло.
Ця еволюція вивела вперед технологічних лідерів, які могли виробляти повноцінні детектування і лікування вірусів. Потім, в середині 1993 року, з'явилися перші поліморфні антивіруси. Приблизно в цей час Dr.Web і став відомим. У період 1993-1997 років з'явилася всього парочка нових антивірусів, і до кінця 1997 року на ринку сформувалася п'ятірка основних гравців. Далі працювати стало нецікаво - з поширенням інтернету вірусні технології стали вкрай примітивними. Завдання доставки вірусу з точки А в точку Б стала вкрай простий, вже не потрібно було використовувати серйозні технології приховування вірусного тіла. Розробники антивірусів тут виявилися заручниками - в гонці за прибутком стали проводитися неякісні продукти, які на перший погляд були хорошими, так як дозволяли боротися з примітивними вірусами. І те, що зі складними завданнями вони не справлялися, було не дуже помітно на тлі величезної маси тривіальних вірусів.
Те, що зараз відбувається на ринку, взагалі не піддається ніякому опису. Тут сьогодні присутні програмні продукти, які просто технологічно не можуть перебувати в стані антивірусів, тому що за своїм рівнем, якщо говорити перебільшено, це продукція хорошого учня 11-ого класу. Причому всі вони називають себе лідерами. Поріг вступу в антивірусний клуб сильно знизився, і на перший план вийшли борці з примітивними скриптовими вірусами.
Чому ж практично ніхто не говорить про боротьбу зі складними поліморфними вірусами?
Чи означає це, що лише вкрай мале число сьогоднішніх антивірусів здатне щось протиставити дійсно серйозну загрозу?
Як відповідь наведу приклад. Трохи більше місяця тому з'явився новий вірус. Нічого видатного, але на тлі сьогоднішнього рівня їх технологічного розвитку, це пік. Раніше були віруси куди складніше. Він потрапив до нас, ми його подивилися: так, складний. Подумали, зробили детектування і забули. Проходить місяць, а цей вірус до сих пір не детектирует більше жоден антивірус в світі. Жоден лідер, який заявляє про те, що у них технології майбутнього, не бачить цей вірус. Дійшло до смішного - нас звинуватили в тому, що ми його самі і написали - мовляв, Dr.Web робить собі рекламу. Але це ще не все. Незабаром користувачі нам заявили, щоб ми зробили ще і лікування вірусу. Ніхто з лідерів не може його навіть зловити, а з нас вимагають лікування! А лікування там зовсім нетривіальне, так як використовується алгоритм XTEA, зламати який приблизно те ж саме, що розкрити DES. Цікаво, що до нас звернулися з цим проханням не тільки наші користувачі, а й клієнти інших виробників антивірусів. Я їм кажу: Хлопців, у вас же є свій вендор? Попросіть його зробити хоча б детектування !? Проте, нам вдалося зробити і лікування.
А що таке справжній антивірус у вашому розумінні?
Крітеріїв дуже много. Например, вміння детектуваті СКЛАДНІ поліморфні віруси, які не пропускаючі жодних. При тестуванні нашого продукту ми беремо і розмножуємо, скажімо, 10 тис. Примірників одного і того ж складного вірусу. І якщо хоча б один з них пропущено, для нас це ПП, і антивірус відправляється на доопрацювання. Крім того, є ще важлива умова - антивірус повинен не тільки прекрасно виконувати свої основні функції, але і не дратувати користувача. Він не повинен помітно знижувати продуктивність машини, нелюдським голосом сповіщати щомиті про те, що він в черговий раз врятував тебе від неминучої загибелі і ін. При цьому система міфів і чуток працює безвідмовно. Хтось сказав, що такий-то антивірус? Ловить не всі ?. І пішло, поїхало. І це зрозуміло. Наприклад, я вибираю собі дверний замок. Купив найдорожчий, найважчий, взагалі най-най. А потім побачив по телевізору, що він елементарно розкривається шпилькою за 10 хвилин. А значить він нічим не краще замку за 100 рублів. Так що головний критерій тільки один - якість. Але його, на жаль, можна перевірити тільки на власному досвіді.
Але як кінцевому користувачеві знайти "по-справжньому хороший антивірус"?
Це дуже складно. Тим більше сучасному користувачеві. Він звик до постійних страшилок: всюди віруси, небезпека, все просто кишить троянцями, хробаками, які так і норовлять вкрасти у тебе що-небудь. Подібна атмосфера створюється насамперед деякими вендорами. Схоже на ситуацію з пташиним грипом: гряде пандемія, всі помремо. Страшно. Хтось б'є на сполох, а хтось вважає, що жаху немає. Це ж дуже вигідно - постійно тримати в страху користувача і вселяти йому, що тільки твоє рішення захистить його від усіх бід. Людина відразу купує антивірус, а існує ймовірність, що він навіть ніколи не отримає вірус, а відповідно, і не дізнається, як працює придбаний продукт. При цьому непоодинокі випадки, коли ми вигрібаємо тисячу вірусів після роботи іншого антивіруса.
Але ж антивірус може виявити вірус лише в разі, якщо "знає" його. Разом з тим, зараз багато вендори на ринку ІБ заявляють про проактивного, упреждающей захисту.
Якщо ви маєте на увазі різні поведінкові технології, відстеження дій процесу, які можуть бути класифіковані як небезпечні, то такі рішення були інтегровані в Dr.Web ще в 93 році. Саме за них наш продукт виграв тоді якийсь приз, і ми були безкоштовно запрошені на CeBIT.
Деякі виробники заходять далі, заявляючи, що вони "зашиють" антивірусний функціонал в свої IDS / IPS або програмно-апаратні рішення, і антивіруси зникнуть як клас. Чи це можливо?
Серйозно до цього ставитися не можна. Будь-яке комплексне рішення виявиться слабким в якийсь із безлічі своїх функциональностей. Випускаються у нас зараз і танки, і кораблі, і літаки. Але автомат Калашникова ніхто не відміняв. Якщо є лазівка, вірус все одно проскочить. А в комплексному вирішенні така дірочка буде завжди. Не можна зробити досконалий продукт, особливо якщо він зліплений з десятка вузькоспеціалізованих. При цьому рідко хто цікавиться, а чи є гідними хоча б комплектуючі - ті самі вузькоспеціалізовані продукти. Звичайно, і ми хочемо захищати нашого замовника на всіх етапах, але усвідомлюємо, що всюди робити це з високою якістю не вийде. Ми вміємо це і це, і відповідаємо за свої слова. Так, ніхто краще нас не захищає Unix і Novell.
Детальніше про компанію>
Повернемося до вашої першої розробці, чи була спочатку вибрана будь-яка спеціалізація, стратегія розвитку програми?
Але це була ще стадія хобі?
Web?
Віруси в традиційному розумінні сьогодні вже практично не зустрічаються?
Але ж зараз створити шкідливу програму по плечу навіть любителю?
Ну і що?
А чим, на ваш погляд, викликані подібні сплески?
Якими саме?
А чи не час розглядати мобільний зв'язок як нове середовище поширення вірусів?