Cum se realizează produsele de securitate - O discuţie cu BitDefender

Securitatea calculatoarelor este unul dintre cele mai interesante subiecte abordate de echipa noastră. Nu numai că scriem articole despre principii de securitate, dar avem în mod regulat şi articole de analiză a produselor de securitate existente pentru Windows. Unul din subiectele despre care doream să aflăm mai multe este modul în care se realizează produsele de securitate: ce paşi presupune acest proces, care sunt cele mai importante provocări? etc. Am avut norocul să îl întâlnim pe Alexandru Constantinescu - Manager Social Media în cadrul BitDefender, care ne-a spus: Ce-ar fi să ne faceţi o vizită, ca să aflaţi mai multe de la echipa noastră? Am acceptat invitaţia şi acum vă putem împărtăşi o amplă discuţie despre modul în care sunt realizate produsele de securitate.

Partenerii noştri de discuţie

BitDefender este o companie ce nu are nevoie de o introducere. Este liderul autohton al pieţei de produse de securitate, iar produsele lor primesc multe premii şi aprecieri din partea organizaţiilor de specialitate. Produsele lor apar în mod constant în listele cu cele mai bune soluţii de securitate.

BitDefender - Cătălin Coșoi

Ne-am dus la sediul central BitDefender din Bucureşti şi am avut o discuţie cu Cătălin Coşoi - Chief Security Researcher (în imaginea de mai sus) şi Alexandru Bălan - Senior Product Manager. S-au dovedit a fi doi parteneri de discuţie cu multe cunoştinţe în domeniu, foarte prietenoşi şi deschişi la dialog. Ne-a făcut mare plăcere să avem această discuţie cu ei.

BitDefender logo

Cum sunt realizate produsele de securitate

Nu am pierdut prea mult timp cu introducerile şi am început conversaţia:

Care sunt etapele prin care treceţi atunci când dezvoltaţi o versiune nouă a unui produs de securitate, cum ar fi Internet Security Suite?

Abordarea nu este mult diferită de un proiect obişnuit de dezvoltare de software. Să spunem că am lansat versiunea 2012 a produselor noastre. De îndată ce terminăm lucrul la lansare, începem să lucrăm la versiunea 2013. În primul rând vom decide care este setul de caracteristici şi modificările importante incluse în versiunea următoare.

Pentru a identifica caracteristicile ce vor avea un impact major, avem discuţii cu: diverşi oameni care fac recenzii ale produselor noastre, experţi în securitate, experţi tehnici şi utilizatori care sunt în măsură să ne ofere o bună perspectivă asupra a ceea ce ar fi bine sau nu să includem în versiunea următoare. În plus, echipa noastră de dezvoltare vine cu experienţa din dezvoltarea versiunilor precedente şi viziunea lor asupra unde ar dori să ducem produsele noastre în viitor. De asemenea, facem şi o analiză de piaţă, pentru a înţelege mai bine direcţiile în care merg companiile concurente. Pe baza datelor rezultate din toate aceste surse, luăm deciziile finale asupra a ceea ce va fi inclus sau nu în versiunea următoare.

Apoi avem etapa de dezvoltare ce cuprinde mai multe faze de testare. Iniţial avem o pre-evaluare internă în care testăm versiunea pre-beta. Apoi, avem câteva faze de beta:

  • O versiune beta internă - este la fel ca pre-evaluarea internă, dar cu un număr mai mare de participanţi;
  • O versiune beta privată - alegem un cerc restrâns de utilizatori din exteriorul companiei pentru a ne testa produsul. Implicăm până la câteva mii de utilizatori şi alegem acele persoane al căror feedback îl considerăm util. Includem utilizatori experimentaţi, oameni cu care colaborăm de mult timp, experţi tehnici a căror opinie o apreciem, etc.;
  • O versiune beta publică - se desfăşoară cu 2-3 luni înainte de lansarea oficială. În această fază toţi cei interesaţi pot să descarce produsul, să îl testeze şi să ne ofere feedback.

În timpul etapelor beta, noi ajustăm continuu produsul şi, chiar înainte de lansare, avem o mică fereastră de timp pentru retuşurile finale. Apoi are loc lansarea, moment în care departamentele de marketing, relaţii publice, vânzări sunt cele se implică pentru a crea impactul necesar, timp în care echipa de dezvoltare se ocupă de orice probleme de natură tehnică ce pot apărea pe parcurs.

Într-adevăr, nu sună foarte diferit faţă de alte proiecte de dezvoltare de aplicaţii. Totuşi, nu există anumite provocări/probleme, specifice nişei de dezvoltare a produselor de securitate?

Există. Provocarea principală este nevoia de a fi agil, în adevăratul sens al cuvântului. Este extrem de important pentru noi, mai mult decât în orice altă nişă de dezvoltare de aplicaţii. Pentru a proteja calculatoarele, reţelele şi dispozitivele clienţilor noştri, trebuie să răspundem foarte rapid în faţa ameninţărilor nou apărute. În general, nu apar multe tipuri noi de ameninţări într-o singură zi. Majoritatea programelor rău intenţionate sunt doar o evoluţie a versiunilor mai vechi şi nu prezintă o provocare majoră pentru noi. Totuşi, când apare ceva cu adevărat nou, trebuie să reacţionăm foarte repede. În doar câteva ore trebuie să oferim clienţilor noştri cel puţin o actualizare a definiţiilor de viruşi sau o metodă euristică ce poate oferi o protecţie eficientă.
Este şi mai dificil atunci când, pentru a răspunde unei noi ameninţări, nu e destul să actualizăm definiţiile şi trebuie să dezvoltăm o nouă caracteristică pentru produsul nostru. Asta are impact nu numai asupra produselor utilizate în mod curent de clienţii noştri, ci şi asupra produselor noi pe care le dezvoltăm.

Să luăm ca exemplu Facebook. Pe măsură ce a crescut în popularitate, a devenit un mijloc frecvent utilizat pentru distribuirea de mesaje nesolicitate şi software rău intenţionat. Cum era normal, am urmărit întotdeauna această reţea de socializare şi am monitorizat produsele rău intenţionate distribuite prin ea şi le-am inclus în baza noastră de date. Totuşi, am simţit nevoia să dezvoltăm o nouă aplicaţie care să lucreze mai bine cu Facebook. Aşa am ajuns să creăm conceptul pentru BitDefender SafeGo. În toamna lui 2010 am lansat prima versiune a acestui produs şi apoi a devenit o parte integrată a produselor noastre de securitate, cum ar fi BitDefender Internet Security 2012.

Într-adevăr, un exemplu foarte bun. Că tot vorbim de BitDefender SafeGo - intenţionaţi să îl păstraţi ca produs gratuit şi pe viitor?

Da, acest produs va fi disponibil atât ca parte a produselor noastre de securitate comerciale cât şi ca aplicaţie gratuită pentru Facebook şi Twitter. Asta, pentru că probleme de securitate vor continua să existe şi să se răspândească prin Facebook şi Twitter. Acest produs ne ajută să identificăm mai repede software-ul rău intenţionat şi să ne protejăm atât clienţii care ne-au achiziţionat produsele comerciale cât şi pe cei care aleg produsele gratuite. De asemenea, credem că dacă oferim această aplicaţie gratuită, putem creşte gradul de conştientizare al serviciilor oferite de noi pentru cei care nu au auzit de BitDefender. Dacă le place BitDefender SafeGo, avem o şansă mai mare ca ei să ia în considerare şi celelalte produse pe care le dezvoltăm.

Aveţi şi alte exemple interesante în care este necesară o agilitate ridicată?

Un alt lucru pe care încercăm să îl facem cât mai bine, este să observăm oportunităţile apărute din nevoia oamenilor de a rezolva şi alte tipuri de ameninţări de securitate, nu doar detecţia şi protejarea împotriva viruşilor. De exemplu, poate vă amintiţi controversele apărute pe tema Carrier IQ - o aplicaţie instalată de mulţi furnizori de telefoane mobile, care înregistra informaţii precum locaţia curentă, fără a notifica utilizatorii. Chiar dacă această aplicaţie nu face parte din categoria software rău intenţionat şi este preinstalată pe telefon de furnizorul dvs. de telefonie mobilă, mulţi oameni au vrut să ştie dacă o aveau sau nu pe telefoanele lor. Când am aflat de această poveste, era într-o sâmbătă. Un membru al echipei noastre a mers la birou, a lucrat în jur de 3-4 ore şi a dezvoltat de la zero un produs gratuit, disponibil pentru utilizatorii de Android. Este numit BitDefender Carrier IQ Finder şi permite utilizatorilor de Android să afle imediat dacă sunt monitorizaţi sau nu.

Haideţi să vorbim puţin şi despre cloud computing. Îl vedem folosit tot mai mult în produsele de securitate. Unii furnizori oferă în produsele lor doar securitate bazată pe cloud-computing. Ce părere aveţi despre această abordare?

Cu siguranţă, cloud computing are un rol foarte important în zona de soluţii pentru securitate. Totuşi, credem că o abordare hibridă care foloseşte bazele de date cu definiţii dar şi cloud-ul, oferă cele mai bune rezultate. Dacă e utilizat doar cloud-ul, eşti dependent de conexiunea la internet. Dacă aceasta dispare, sistemul rămâne neprotejat. În majoritate scenariilor, se obţin rezultate mai bune dacă ai la dispoziţie o combinaţie de fişiere cu definiţii şi acces la soluţii de cloud-computing.

În viitor, aveţi planuri să folosiţi cloud-computing mai mult decât o faceţi astăzi? Poate să alegeţi aceeaşi abordare bazată doar pe cloud-computing?

Nu tocmai. Credem în utilizarea acelor tehnologii care se potrivesc cel mai bine obiectivului pe care îl ai. De exemplu, dacă vrem să oferim protecţie pentru navigatorul de internet al unui utilizator, atunci folosim doar cloud-computing. Siturile maliţioase sunt aceleaşi, indiferent de sistemele de operare şi navigatoarele pe care le folosesc utilizatorii pentru a le accesa. De asemenea, dacă nu există acces la internet, utilizatorul nu poate naviga pe internet. Ca urmare, nu este nici o problemă dacă protecţia cloud nu este disponibilă.
Pentru antivirus credem că cel mai bine este să folosim atât definiţiile clasice cât şi cloud-ul. Definiţiile oferă protecţie atunci când cloud-ul nu este accesibil, datorita lipsei conexiunii la internet. De asemenea, definiţiile fac ca analizarea comportamentului aplicaţiilor să fie mai rapidă decât atunci când foloseşti cloud-ul pentru asta. Când software-ul nostru execută orice fel de analiză a comportamentelor şi acţiunilor desfăşurate pe un sistem, definiţiile oferă mai multă viteză decât cloud-ul.

Spuneţi-ne mai multe detalii despre tehnologiile pe care BitDefender le foloseşte pentru a proteja un sistem.

În general, în produsele BitDefender există trei tehnologii principale utilizate pentru securizarea sistemelor:

  • Behave - monitorizează şi învaţă comportamentul aplicaţiilor pe care le utilizaţi;
  • Active Virus Control - monitorizează acţiunile luate de o aplicaţie şi le blochează pe cele suspicioase sau rău intenţionate;
  • Cloud - adună informaţii despre software rău intenţionat din mai multe surse şi se actualizează continuu. Datele din cloud sunt utilizate de aproape toate modulele de protecţie incluse în produsele noastre.

Care sunt sursele voastre pentru depistarea şi învăţarea noilor forme de software rău intenţionat?

Avem multe surse din care aflăm despre noii viruşi şi software-ul rău intenţionat în general:

  • Honeypots;
  • BitDefender SafeGo, cu suportul pentru Facebook şi Twitter;
  • Datele trimise de calculatoarele clienţilor noştri, legate de infecţii şi activităţi suspicioase;
  • Colaborările noastre cu alţi furnizori de produse de securitate;
  • Bazele de date publice cu software rău intenţionat.

Honeypots ("borcane cu miere"). Sună interesant. Ce sunt ele de fapt?

Honeypots sunt sisteme pe care le-am distribuit în reţeaua noastră, care acţionează ca victime. Rolul lor este să pară ţinte vulnerabile, cu date valoroase stocate pe ele. Noi le monitorizăm continuu şi colectăm toate tipurile de software rău intenţionat care încearcă să le infecteze şi informaţii despre activităţile hackerilor.

Un alt lucru pe care îl facem, este să distribuim conturi de poştă electronică false care sunt colectate automat de spammeri pe internet. Apoi, ei folosesc aceste adrese pentru a distribui mesaje nesolicitate, software rău intenţionat sau mesaje de tip phishing. Colectăm tot ceea ce primim la aceste adrese, analizăm şi extragem datele necesare pentru actualizarea produselor noastre.

Să presupunem că tocmai aţi identificat un nou virus. Ce faceţi cu el? Cum aflaţi ce face şi care este soluţia cea mai bună să dezinfectaţi un sistem?

Iniţial nu suntem foarte interesaţi să vedem ce face acel virus. Suntem interesaţi să aflăm dacă comportamentul său este suspicios sau nu, dacă este virus sau nu. Acest lucru permite produselor noastre să acţioneze în consecinţă şi să facă lucruri precum blocarea accesului la internet sau mutarea în carantină a acelui virus.

Toate noile aplicaţiile rău intenţionate care sunt identificate de produsele noastre, sunt trimise automat la laboratorul nostru de cercetare din Iaşi. Echipa de acolo se ocupă de dezasamblarea viruşilor, înţelegerea acţiunilor lor şi actualizarea bazei de date cu informaţiile necesare.

Că tot vorbim despre echipa de cercetare, spuneţi-ne mai multe despre ei şi munca lor la neutralizarea viruşilor.

Ei sunt echipă foarte specializată care lucrează într-un mediu foarte închis, din toate punctele de vedere. Spre exemplu, nu vrem ca viruşii cu care lucrează să "evadeze" sau să se împrăştie în reţeaua noastră. Toţii sunt experţi în securitate, cu calificare în diverse domenii, de la criptare la fluenţă în multiple limbaje de programare (incluzând Limbajul de asamblare), cunoştinţe despre protocoalele de internet, tehnici de hacking, etc.

Ei sunt responsabili de decriptarea codului unui virus şi actualizarea bazelor de date cu definiţii, cu informaţiile corespunzătoare. Totuşi, înainte de a trece la crearea de noi actualizări, ei trebuie să treacă întâi printr-un proces de pregătire şi specializare lung, care ţine 9 luni. Nu sunt lăsaţi să lucreze individual cu bazele noastre de definiţii până când nu au terminat toată pregătirea şi nu au demonstrat că ştiu ce au de făcut.

BitDefender - Birou

De asemenea, am vrea să clarificăm o legendă urbană, dacă o putem numi aşa: mulţi cred că cei mai buni hackeri şi programatori de viruşi sunt angajaţi de companiile de securitate, incluzând şi BitDefender. Cel puţin când vine vorba de compania noastră, acest lucru nu este adevărat. Pe timpul procesului de angajare, eliminăm toţi candidaţii care au creat software rău intenţionat sau au participat la activităţi de black-hat hacking.

Preferăm să ni se alăture colegi în care putem avea încredere. Vrem ca ei să devină colegii noştri pentru că le place o provocare în domeniul securităţii şi nu îşi folosesc abilităţile şi inteligenţa în scopuri egoiste. Oricine din echipa noastră de cercetare poate cel puţin să creeze un virus şi uneori chiar să spargă un sistem mai complex. Totuşi, nu o fac pentru că nu consideră că este o metodă corectă de a îşi folosi talentul. De asemenea, compania noastră nu ar tolera un astfel de comportament.

Cât de des sunt actualizate produsele BitDefender cu noi definiţii?

O dată la fiecare 45 - 60 de minute. Este foarte important să distribuim definiţiile noi cât mai rapid posibil. Câteodată, dacă situaţia este de aşa natură, trimitem şi notificări push, astfel încât produsele noastre de securitate să se actualizeze imediat şi să nu aştepte actualizările programate. Ne-ar plăcea să putem trimite informaţii imediat ce găsim ceva nou. Totuşi, nu este posibil din punct de vedere tehnic fără a afecta în mod negativ experienţa utilizatorului. De aceea încercăm să trimitem cât mai puţine notificări push şi să le folosim doar când apare ceva cu adevărat important.

Colaboraţi şi cu alte companii şi împărţăşiţi informaţii şi cunoştinţe despre cele mai noi ameninţări apărute?

Da. Colaborăm cu încă 6 companii, incluzând partenerii care au licenţiat tehnologia noastră, precum F-Secure sau G-Data. Totuşi, nu putem să dezvăluim numele celorlalte companii.

BitDefender - Birou

Cât de mult investiţi în caracteristicile secundare, care nu contribuie neapărat la îmbunătăţirea securităţii unui sistem? Ne gândim aici la caracteristici incluse mai mult în Total Security Suite, cum ar fi: Controlul parental, Copiile de rezervă pentru fişiere, Sincronizarea de fişiere, etc.?

Evident, caracteristicile clasice ale unei suite de securitate precum antivirus, firewall, antispam, etc. sunt centrul atenţiei şi primesc cele mai multe resurse. Totuşi, avem echipe dedicate pentru fiecare din caracteristicile secundare pe care le oferim în produsele noastre şi acestea au la dispoziţie personal în funcţie de efortul necesar pentru întreţinerea acestor module. Vă puteţi imagina că nu avem nevoie de la fel de mulţi oameni care să lucreze la controlul parental cum avem nevoie la motorul de protecţie antivirus.

BitDefender are o gamă clasică de produse: BitDefender Antivirus, Internet Security Suite, Total Security Suite şi Sphere, care oferă o licenţă pentru trei utilizatori, pe orice platformă pentru care oferiţi suport, pentru un număr nelimitat de dispozitive. Care dintre aceste concepte este cel mai popular printre utilizatori? Sunt preferate caracteristicile ample ale Total Security sau mai mult produsele clasice?

BitDefender Internet Security este cu siguranţă cel mai popular produs al nostru. Sunt persoane care preferă caracteristicile Total Security, dar ei reprezintă o minoritate.

În schimb, am fost plăcut surprinşi de succesul şi aprecierile pozitive pe care le-am primit despre noul nostru produs BitDefender Sphere, ce nu este lansat încă în România. Se pare că multă lume preferă să aibă o soluţie de securitate amplă, unificată, care să ofere protecţie atât calculatoarelor cu Windows, OS X şi telefoanelor sau tabletelor cu Android. Utilizatori se bucură de flexibilitatea oferită de achiziţia unei singure licenţe pentru protecţia tuturor dispozitivelor de calcul din casă.

La final, să vorbim puţin despre Windows 8 şi noua interfaţă Metro. Aveţi de gând să oferiți soluţii de securitate concepute pentru această nouă interfaţă? Veţi oferi produse separate de securitate pentru tabletele cu Windows 8?

Bineînţeles că lucrăm la câteva produse interesante pentru Windows 8 şi noua interfaţă Metro. Provocarea pe care ne-o oferă Metro este că aplicaţiile rulează cu limitări şi restricții. Acestea nu au acces total la sistem, aşa cum au aplicaţiile pentru Desktop. De aceea, va trebui să găsim modalităţi de a ocoli cumva aceste restricţii şi de a oferi o protecţie eficientă.

Din păcate nu vă putem spune mai multe despre planurile noastre referitoare la Windows 8. Vom putea să oferim mai multe informaţii atunci când Windows 8 va fi mai aproape de lansarea oficială.

Concluzii

După cum aţi putut observa din această discuţie, dezvoltarea unei soluții de securitate nu este o sarcină uşoară. Implică multă muncă şi cunoştinţe vaste în mai multe domenii. Sperăm că aţi găsit această conversaţie interesantă şi utilă.
Înainte de a încheia acest articol am dori să mulţumim BitDefender pentru invitaţie şi pentru că ne-au dat şansa de a avea o conversaţie interesantă cu unii dintre cei mai buni specialiști ai echipei lor.

Descoperă articole:
Despre autor: Ciprian Adrian Rusen
Sunt pasionat de tehnologie și lucrez în acest domeniu de mai bine de un deceniu. În cadrul echipei Digital Citizen îndeplinesc rolul de editor șef și, pe lângă munca editorială pentru acest sait, sunt autor al mai multor cărți publicate internațional, cărți ce au fost traduse în 12 limbi. În 2014 am fost recunoscut de Microsoft pentru expertiza mea tehnică și munca în comunitatea utilizatorilor de soluții Microsoft, cu titlul de MVP - Windows Consumer Expert.