Cum se realizează produsele de securitate - O discuție cu BitDefender

Securitatea calculatoarelor este unul dintre cele mai interesante subiecte abordate de echipa noastră. Nu numai că scriem articole despre principii de securitate, dar avem în mod regulat și articole de analiză a produselor de securitate existente pentru Windows. Unul din subiectele despre care doream să aflăm mai multe este modul în care se realizează produsele de securitate: ce pași presupune acest proces, care sunt cele mai importante provocări? etc. Am avut norocul să îl întâlnim pe Alexandru Constantinescu - Manager Social Media în cadrul BitDefender, care ne-a spus: Ce-ar fi să ne faceți o vizită, ca să aflați mai multe de la echipa noastră? Am acceptat invitația și acum vă putem împărtăși o amplă discuție despre modul în care sunt realizate produsele de securitate.

Partenerii noștri de discuție

BitDefender este o companie ce nu are nevoie de o introducere. Este liderul autohton al pieței de produse de securitate, iar produsele lor primesc multe premii și aprecieri din partea organizațiilor de specialitate. Produsele lor apar în mod constant în listele cu cele mai bune soluții de securitate.

BitDefender - Cătălin Coșoi

Ne-am dus la sediul central BitDefender din București și am avut o discuție cu Cătălin Coșoi - Chief Security Researcher (în imaginea de mai sus) și Alexandru Bălan - Senior Product Manager. S-au dovedit a fi doi parteneri de discuție cu multe cunoștințe în domeniu, foarte prietenoși și deschiși la dialog. Ne-a făcut mare plăcere să avem această discuție cu ei.

BitDefender logo

Cum sunt realizate produsele de securitate

Nu am pierdut prea mult timp cu introducerile și am început conversația:

Care sunt etapele prin care treceți atunci când dezvoltați o versiune nouă a unui produs de securitate, cum ar fi Internet Security Suite?

Abordarea nu este mult diferită de un proiect obișnuit de dezvoltare de software. Să spunem că am lansat versiunea 2012 a produselor noastre. De îndată ce terminăm lucrul la lansare, începem să lucrăm la versiunea 2013. În primul rând vom decide care este setul de caracteristici și modificările importante incluse în versiunea următoare.

Pentru a identifica caracteristicile ce vor avea un impact major, avem discuții cu: diverși oameni care fac recenzii ale produselor noastre, experți în securitate, experți tehnici și utilizatori care sunt în măsură să ne ofere o bună perspectivă asupra a ceea ce ar fi bine sau nu să includem în versiunea următoare. În plus, echipa noastră de dezvoltare vine cu experiența din dezvoltarea versiunilor precedente și viziunea lor asupra unde ar dori să ducem produsele noastre în viitor. De asemenea, facem și o analiză de piață, pentru a înțelege mai bine direcțiile în care merg companiile concurente. Pe baza datelor rezultate din toate aceste surse, luăm deciziile finale asupra a ceea ce va fi inclus sau nu în versiunea următoare.

Apoi avem etapa de dezvoltare ce cuprinde mai multe faze de testare. Inițial avem o pre-evaluare internă în care testăm versiunea pre-beta. Apoi, avem câteva faze de beta:

  • O versiune beta internă - este la fel ca pre-evaluarea internă, dar cu un număr mai mare de participanți;
  • O versiune beta privată - alegem un cerc restrâns de utilizatori din exteriorul companiei pentru a ne testa produsul. Implicăm până la câteva mii de utilizatori și alegem acele persoane al căror feedback îl considerăm util. Includem utilizatori experimentați, oameni cu care colaborăm de mult timp, experți tehnici a căror opinie o apreciem, etc.;
  • O versiune beta publică - se desfășoară cu 2-3 luni înainte de lansarea oficială. În această fază toți cei interesați pot să descarce produsul, să îl testeze și să ne ofere feedback.

În timpul etapelor beta, noi ajustăm continuu produsul și, chiar înainte de lansare, avem o mică fereastră de timp pentru retușurile finale. Apoi are loc lansarea, moment în care departamentele de marketing, relații publice, vânzări sunt cele se implică pentru a crea impactul necesar, timp în care echipa de dezvoltare se ocupă de orice probleme de natură tehnică ce pot apărea pe parcurs.

Într-adevăr, nu sună foarte diferit față de alte proiecte de dezvoltare de aplicații. Totuși, nu există anumite provocări/probleme, specifice nișei de dezvoltare a produselor de securitate?

Există. Provocarea principală este nevoia de a fi agil, în adevăratul sens al cuvântului. Este extrem de important pentru noi, mai mult decât în orice altă nișă de dezvoltare de aplicații. Pentru a proteja calculatoarele, rețelele și dispozitivele clienților noștri, trebuie să răspundem foarte rapid în fața amenințărilor nou apărute. În general, nu apar multe tipuri noi de amenințări într-o singură zi. Majoritatea programelor rău intenționate sunt doar o evoluție a versiunilor mai vechi și nu prezintă o provocare majoră pentru noi. Totuși, când apare ceva cu adevărat nou, trebuie să reacționăm foarte repede. În doar câteva ore trebuie să oferim clienților noștri cel puțin o actualizare a definițiilor de viruși sau o metodă euristică ce poate oferi o protecție eficientă.
Este și mai dificil atunci când, pentru a răspunde unei noi amenințări, nu e destul să actualizăm definițiile și trebuie să dezvoltăm o nouă caracteristică pentru produsul nostru. Asta are impact nu numai asupra produselor utilizate în mod curent de clienții noștri, ci și asupra produselor noi pe care le dezvoltăm.

Să luăm ca exemplu Facebook. Pe măsură ce a crescut în popularitate, a devenit un mijloc frecvent utilizat pentru distribuirea de mesaje nesolicitate și software rău intenționat. Cum era normal, am urmărit întotdeauna această rețea de socializare și am monitorizat produsele rău intenționate distribuite prin ea și le-am inclus în baza noastră de date. Totuși, am simțit nevoia să dezvoltăm o nouă aplicație care să lucreze mai bine cu Facebook. Așa am ajuns să creăm conceptul pentru BitDefender SafeGo. În toamna lui 2010 am lansat prima versiune a acestui produs și apoi a devenit o parte integrată a produselor noastre de securitate, cum ar fi BitDefender Internet Security 2012.

Într-adevăr, un exemplu foarte bun. Că tot vorbim de BitDefender SafeGo - intenționați să îl păstrați ca produs gratuit și pe viitor?

Da, acest produs va fi disponibil atât ca parte a produselor noastre de securitate comerciale cât și ca aplicație gratuită pentru Facebook și Twitter. Asta, pentru că probleme de securitate vor continua să existe și să se răspândească prin Facebook și Twitter. Acest produs ne ajută să identificăm mai repede software-ul rău intenționat și să ne protejăm atât clienții care ne-au achiziționat produsele comerciale cât și pe cei care aleg produsele gratuite. De asemenea, credem că dacă oferim această aplicație gratuită, putem crește gradul de conștientizare al serviciilor oferite de noi pentru cei care nu au auzit de BitDefender. Dacă le place BitDefender SafeGo, avem o șansă mai mare ca ei să ia în considerare și celelalte produse pe care le dezvoltăm.

Aveți și alte exemple interesante în care este necesară o agilitate ridicată?

Un alt lucru pe care încercăm să îl facem cât mai bine, este să observăm oportunitățile apărute din nevoia oamenilor de a rezolva și alte tipuri de amenințări de securitate, nu doar detecția și protejarea împotriva virușilor. De exemplu, poate vă amintiți controversele apărute pe tema Carrier IQ - o aplicație instalată de mulți furnizori de telefoane mobile, care înregistra informații precum locația curentă, fără a notifica utilizatorii. Chiar dacă această aplicație nu face parte din categoria software rău intenționat și este preinstalată pe telefon de furnizorul dvs. de telefonie mobilă, mulți oameni au vrut să știe dacă o aveau sau nu pe telefoanele lor. Când am aflat de această poveste, era într-o sâmbătă. Un membru al echipei noastre a mers la birou, a lucrat în jur de 3-4 ore și a dezvoltat de la zero un produs gratuit, disponibil pentru utilizatorii de Android. Este numit BitDefender Carrier IQ Finder și permite utilizatorilor de Android să afle imediat dacă sunt monitorizați sau nu.

Haideți să vorbim puțin și despre cloud computing. Îl vedem folosit tot mai mult în produsele de securitate. Unii furnizori oferă în produsele lor doar securitate bazată pe cloud-computing. Ce părere aveți despre această abordare?

Cu siguranță, cloud computing are un rol foarte important în zona de soluții pentru securitate. Totuși, credem că o abordare hibridă care folosește bazele de date cu definiții dar și cloud-ul, oferă cele mai bune rezultate. Dacă e utilizat doar cloud-ul, ești dependent de conexiunea la internet. Dacă aceasta dispare, sistemul rămâne neprotejat. În majoritate scenariilor, se obțin rezultate mai bune dacă ai la dispoziție o combinație de fișiere cu definiții și acces la soluții de cloud-computing.

În viitor, aveți planuri să folosiți cloud-computing mai mult decât o faceți astăzi? Poate să alegeți aceeași abordare bazată doar pe cloud-computing?

Nu tocmai. Credem în utilizarea acelor tehnologii care se potrivesc cel mai bine obiectivului pe care îl ai. De exemplu, dacă vrem să oferim protecție pentru navigatorul de internet al unui utilizator, atunci folosim doar cloud-computing. Siturile malițioase sunt aceleași, indiferent de sistemele de operare și navigatoarele pe care le folosesc utilizatorii pentru a le accesa. De asemenea, dacă nu există acces la internet, utilizatorul nu poate naviga pe internet. Ca urmare, nu este nici o problemă dacă protecția cloud nu este disponibilă.
Pentru antivirus credem că cel mai bine este să folosim atât definițiile clasice cât și cloud-ul. Definițiile oferă protecție atunci când cloud-ul nu este accesibil, datorita lipsei conexiunii la internet. De asemenea, definițiile fac ca analizarea comportamentului aplicațiilor să fie mai rapidă decât atunci când folosești cloud-ul pentru asta. Când software-ul nostru execută orice fel de analiză a comportamentelor și acțiunilor desfășurate pe un sistem, definițiile oferă mai multă viteză decât cloud-ul.

Spuneți-ne mai multe detalii despre tehnologiile pe care BitDefender le folosește pentru a proteja un sistem.

În general, în produsele BitDefender există trei tehnologii principale utilizate pentru securizarea sistemelor:

  • Behave - monitorizează și învață comportamentul aplicațiilor pe care le utilizați;
  • Active Virus Control - monitorizează acțiunile luate de o aplicație și le blochează pe cele suspicioase sau rău intenționate;
  • Cloud - adună informații despre software rău intenționat din mai multe surse și se actualizează continuu. Datele din cloud sunt utilizate de aproape toate modulele de protecție incluse în produsele noastre.

Care sunt sursele voastre pentru depistarea și învățarea noilor forme de software rău intenționat?

Avem multe surse din care aflăm despre noii viruși și software-ul rău intenționat în general:

  • Honeypots;
  • BitDefender SafeGo, cu suportul pentru Facebook și Twitter;
  • Datele trimise de calculatoarele clienților noștri, legate de infecții și activități suspicioase;
  • Colaborările noastre cu alți furnizori de produse de securitate;
  • Bazele de date publice cu software rău intenționat.

Honeypots ("borcane cu miere"). Sună interesant. Ce sunt ele de fapt?

Honeypots sunt sisteme pe care le-am distribuit în rețeaua noastră, care acționează ca victime. Rolul lor este să pară ținte vulnerabile, cu date valoroase stocate pe ele. Noi le monitorizăm continuu și colectăm toate tipurile de software rău intenționat care încearcă să le infecteze și informații despre activitățile hackerilor.

Un alt lucru pe care îl facem, este să distribuim conturi de poștă electronică false care sunt colectate automat de spammeri pe internet. Apoi, ei folosesc aceste adrese pentru a distribui mesaje nesolicitate, software rău intenționat sau mesaje de tip phishing. Colectăm tot ceea ce primim la aceste adrese, analizăm și extragem datele necesare pentru actualizarea produselor noastre.

Să presupunem că tocmai ați identificat un nou virus. Ce faceți cu el? Cum aflați ce face și care este soluția cea mai bună să dezinfectați un sistem?

Inițial nu suntem foarte interesați să vedem ce face acel virus. Suntem interesați să aflăm dacă comportamentul său este suspicios sau nu, dacă este virus sau nu. Acest lucru permite produselor noastre să acționeze în consecință și să facă lucruri precum blocarea accesului la internet sau mutarea în carantină a acelui virus.

Toate noile aplicațiile rău intenționate care sunt identificate de produsele noastre, sunt trimise automat la laboratorul nostru de cercetare din Iași. Echipa de acolo se ocupă de dezasamblarea virușilor, înțelegerea acțiunilor lor și actualizarea bazei de date cu informațiile necesare.

Că tot vorbim despre echipa de cercetare, spuneți-ne mai multe despre ei și munca lor la neutralizarea virușilor.

Ei sunt echipă foarte specializată care lucrează într-un mediu foarte închis, din toate punctele de vedere. Spre exemplu, nu vrem ca virușii cu care lucrează să "evadeze" sau să se împrăștie în rețeaua noastră. Toții sunt experți în securitate, cu calificare în diverse domenii, de la criptare la fluență în multiple limbaje de programare (incluzând Limbajul de asamblare), cunoștințe despre protocoalele de internet, tehnici de hacking, etc.

Ei sunt responsabili de decriptarea codului unui virus și actualizarea bazelor de date cu definiții, cu informațiile corespunzătoare. Totuși, înainte de a trece la crearea de noi actualizări, ei trebuie să treacă întâi printr-un proces de pregătire și specializare lung, care ține 9 luni. Nu sunt lăsați să lucreze individual cu bazele noastre de definiții până când nu au terminat toată pregătirea și nu au demonstrat că știu ce au de făcut.

BitDefender - Birou

De asemenea, am vrea să clarificăm o legendă urbană, dacă o putem numi așa: mulți cred că cei mai buni hackeri și programatori de viruși sunt angajați de companiile de securitate, incluzând și BitDefender. Cel puțin când vine vorba de compania noastră, acest lucru nu este adevărat. Pe timpul procesului de angajare, eliminăm toți candidații care au creat software rău intenționat sau au participat la activități de black-hat hacking.

Preferăm să ni se alăture colegi în care putem avea încredere. Vrem ca ei să devină colegii noștri pentru că le place o provocare în domeniul securității și nu își folosesc abilitățile și inteligența în scopuri egoiste. Oricine din echipa noastră de cercetare poate cel puțin să creeze un virus și uneori chiar să spargă un sistem mai complex. Totuși, nu o fac pentru că nu consideră că este o metodă corectă de a își folosi talentul. De asemenea, compania noastră nu ar tolera un astfel de comportament.

Cât de des sunt actualizate produsele BitDefender cu noi definiții?

O dată la fiecare 45 - 60 de minute. Este foarte important să distribuim definițiile noi cât mai rapid posibil. Câteodată, dacă situația este de așa natură, trimitem și notificări push, astfel încât produsele noastre de securitate să se actualizeze imediat și să nu aștepte actualizările programate. Ne-ar plăcea să putem trimite informații imediat ce găsim ceva nou. Totuși, nu este posibil din punct de vedere tehnic fără a afecta în mod negativ experiența utilizatorului. De aceea încercăm să trimitem cât mai puține notificări push și să le folosim doar când apare ceva cu adevărat important.

Colaborați și cu alte companii și împărțășiți informații și cunoștințe despre cele mai noi amenințări apărute?

Da. Colaborăm cu încă 6 companii, incluzând partenerii care au licențiat tehnologia noastră, precum F-Secure sau G-Data. Totuși, nu putem să dezvăluim numele celorlalte companii.

BitDefender - Birou

Cât de mult investiți în caracteristicile secundare, care nu contribuie neapărat la îmbunătățirea securității unui sistem? Ne gândim aici la caracteristici incluse mai mult în Total Security Suite, cum ar fi: Controlul parental, Copiile de rezervă pentru fișiere, Sincronizarea de fișiere, etc.?

Evident, caracteristicile clasice ale unei suite de securitate precum antivirus, firewall, antispam, etc. sunt centrul atenției și primesc cele mai multe resurse. Totuși, avem echipe dedicate pentru fiecare din caracteristicile secundare pe care le oferim în produsele noastre și acestea au la dispoziție personal în funcție de efortul necesar pentru întreținerea acestor module. Vă puteți imagina că nu avem nevoie de la fel de mulți oameni care să lucreze la controlul parental cum avem nevoie la motorul de protecție antivirus.

BitDefender are o gamă clasică de produse: BitDefender Antivirus, Internet Security Suite, Total Security Suite și Sphere, care oferă o licență pentru trei utilizatori, pe orice platformă pentru care oferiți suport, pentru un număr nelimitat de dispozitive. Care dintre aceste concepte este cel mai popular printre utilizatori? Sunt preferate caracteristicile ample ale Total Security sau mai mult produsele clasice?

BitDefender Internet Security este cu siguranță cel mai popular produs al nostru. Sunt persoane care preferă caracteristicile Total Security, dar ei reprezintă o minoritate.

În schimb, am fost plăcut surprinși de succesul și aprecierile pozitive pe care le-am primit despre noul nostru produs BitDefender Sphere, ce nu este lansat încă în România. Se pare că multă lume preferă să aibă o soluție de securitate amplă, unificată, care să ofere protecție atât calculatoarelor cu Windows, OS X și telefoanelor sau tabletelor cu Android. Utilizatori se bucură de flexibilitatea oferită de achiziția unei singure licențe pentru protecția tuturor dispozitivelor de calcul din casă.

La final, să vorbim puțin despre Windows 8 și noua interfață Metro. Aveți de gând să oferiți soluții de securitate concepute pentru această nouă interfață? Veți oferi produse separate de securitate pentru tabletele cu Windows 8?

Bineînțeles că lucrăm la câteva produse interesante pentru Windows 8 și noua interfață Metro. Provocarea pe care ne-o oferă Metro este că aplicațiile rulează cu limitări și restricții. Acestea nu au acces total la sistem, așa cum au aplicațiile pentru Desktop. De aceea, va trebui să găsim modalități de a ocoli cumva aceste restricții și de a oferi o protecție eficientă.

Din păcate nu vă putem spune mai multe despre planurile noastre referitoare la Windows 8. Vom putea să oferim mai multe informații atunci când Windows 8 va fi mai aproape de lansarea oficială.

Concluzii

După cum ați putut observa din această discuție, dezvoltarea unei soluții de securitate nu este o sarcină ușoară. Implică multă muncă și cunoștințe vaste în mai multe domenii. Sperăm că ați găsit această conversație interesantă și utilă.
Înainte de a încheia acest articol am dori să mulțumim BitDefender pentru invitație și pentru că ne-au dat șansa de a avea o conversație interesantă cu unii dintre cei mai buni specialiști ai echipei lor.

Descoperă articole:
Despre autor: Ciprian Adrian Rusen
Sunt pasionat de tehnologie și lucrez în acest domeniu de mai bine de un deceniu. În cadrul echipei Digital Citizen îndeplinesc rolul de editor șef și, pe lângă munca editorială pentru acest sait, sunt autor al mai multor cărți publicate internațional, cărți ce au fost traduse în 12 limbi. În 2014 am fost recunoscut de Microsoft pentru expertiza mea tehnică și munca în comunitatea utilizatorilor de soluții Microsoft, cu titlul de MVP - Windows Consumer Expert.