Новый полиморфный вирус атаковал компьютеры по всему миру

26 ноября 2019 г. на сайте компании Microsoft появилась пугающая новость: специалисты компании около года назад обнаружили заражение вирусами нового типа; на текущий момент заражено более 80 000 компьютеров по всему миру. Это новый вирус-майнер, который очень сложно обнаружить и еще сложнее уничтожить в силу того, что он имеет полиморфную структуру — то есть массу видоизменений.

Мы уже писали про вирусы-майнеры, поэтому остановимся на них лишь кратко. Вирус-майнер, в отличие от любого другого, имеет, как правило, всего одну цель: использовать ресурсы вашего компьютера для добычи криптовалюты. При этом вы оплачиваете весь банкет злоумышленника: при добыче криптовалют тратятся электроэнергия (это основной внешний ресурс, необходимый для процедуры майнинга) и вычислительные мощности вашей машины (ваша система может начать работать медленнее). Один такой вирус не заработает много денег, однако при создании сетей из майнинговых компьютеров доходы злоумышленника могут быть вполне осязаемыми.

Очевидно, что при заражении 80 000 машин, даже если одна машина будет майнить количество криптовалюты, эквивалентное 10 центам в день, общий доход злоумышленника составит не менее 8 000 долларов. Ежедневно. Очевидно, что овчинка вполне себе стоит выделки.

Эволюция полиморфного вируса Dexphot; кредит: Microsoft.com

Новый вирус получил название Dexphot. Заражение компьютеров производится в виде последовательности из нескольких этапов, описанных на сайте Microsoft следующим образом:

  1. При осуществлении атаки вирус записывает на диск файл-инсталлятор, содержащий две ссылки, с которых впоследствии будет скачиваться основной код.
  2. С одного из этих URL скачитвается инсталляционный пакет.
  3. После этого на диск разворачивается защищенный паролем и зашифрованный архив в формате zip.
  4. Из этого архива разворачивается загрузочная библиотека.
  5. Загружается зашифрованный файл, в котором содержатся три исполняемых файла, которые загружаются в системные процессы посредством process hollowing (осуществляется инъекция).

Блок-схема методов заражения содержится на сайте Microsoft и приводится здесь:

Блок-схема атаки компьютера вирусом Dexphot

Как отмечают специалисты Microsoft, в силу того, что заражение и работа вируса происходят разными способами, его надежная идентификация затруднена. Кроме того, после заражения исполнение вируса происходит по невидимой безфайловой технологии: легитимный системный процесс заменяется на вредоносное содержание и затем запускается из легитимного системного источника (библиотеки или исполняемого файла). При таком методе запуска, когда все изменения кода производятся «на лету» в памяти машины, идентифицировать источник заражения практически невозможно.

Полиморфизм вируса заключается прежде всего в том, каким образом он атакует компьютер. Инсталляционный пакет, загружаемый на компьютер-жертву, на текущий момент существует в 22 разных вариациях (и вовсе не факт, что это окончательное число), в которые входят файлы разных названий, размеров и т.п. Кроме того, количество URL, используемых вирусом для загрузки своего кода, на текущий момент составляет 18 (и, вполне вероятно, это число также может быть занижено). Таким образом, вирус может комбинировать огромное количество комбинаций для заражения: учесть их все стандартный антивирус не в состоянии.

Что же делать? Следовать советам Microsoft, конечно. Они первыми обнаружили эту угрозу, детально ее исследовали — ими же и разработаны методы борьбы. Эти методы — Microsoft Defender Advanced Threat Protection. Вы можете скачать пробную версию этого продукта с сайта Microsoft (ссылка выше), и если вам она понравится — купить ее.

Windows 10Х: новая операционная система от Microsoft

2 октября 2019 года корпорация Microsoft анонсировала новую операционную систему — Windows 10X. Предполагается, что новая операционка появится на рынке через год.

Чем Windows 10X отличается от Windows 10 и более ранних версий Windows? Главные отличия — модульная структура операционной системы, полностью переработанное меню «Пуск» и отсутствие традиционных для Windows 10 плиток на рабочем столе.

Модульная структура позволяет легко подключать или отключать необходимые пользователю модули. Например, пользователю не нужен сервер сценариев Microsoft — он может его отключить. Или, наоборот, необходим — тогда его можно подключить. Что это дает? В идеале — кастомизацию операционной системы под каждое устройство. Вы сами настраиваете свою Windows, убирая ненужное и оставляя или подключая только то, что нужно. При этом, естественно, вы увеличиваете производительность машины.

Кнопка «Пуск» — это другое нововведение Windows 10X. Расположение этой кнопки и ее функциональность полностью отличаются от таковых в предыдущих версиях операционной системы. Кнопка находится в нижней части экрана и фактически заменяет традиционную панель задач. Можно сказать, что кнопка «Пуск» и панель задач Windows 10X слиты в единое целое.

Интерфейс Windows 10X. Кредит: https://cdn.vox-cdn.com

Наконец, плиточная структура основного меню, характерная для Windows 8 и Windows 10, в Windows 10X упразднена. Теперь основное меню выполняется в виде иконок, более характерном для мобильных телефонов. В меню можно разместить как иконки приложений, так и иконки наиболее часто используемых документов.

Как обычно, нас больше всего волнует вопрос совместимости.

Первое, и самое главное — эта операционная система заточена под двухдисплейные системы. Однако это не означает, что она не будет работать и на традиционных системах с одним экраном. Таким образом, ОС можно будет установить на любое устройство, в котором будет заявлена его поддержка.

Второе — приложения. Их, как и в случае с Windows 10, можно будет устанавливать как из магазина, так и извне — с установочных дисков или напрямую из интернета, с сайтов разработчиков. Разработчики новой операционной системы обещают поддержку старых 32-битных программ (новая операционная система, очевидно, будет выпускаться исключительно в 64-битном исполнении), которые будут работать в особом программном контейнере.

Ну и третье — драйвера. Очевидно, что для официально совместимых устройств драйвера будут поставляться с самим устройством, либо будут доступны для загрузки на официальном сайте производителя устройства. Что касается устройств, которые не имеют официальной совместимости с Windows 10X, то тут, очевидно, возможно два варианта развития событий. Первый — это выпуск производителем совместимых с Windows 10X драйверов, а второй — это использование драйверов, выпущенных для Windows 10. Как показала практика, в 80% случаев драйвера имеют обратную совместимость, и могут применяться для более новой операционной системы без проблем и ограничений.

Чтож, будем с нетерпением ожидать релиза новой, свежей, и, по обещаниям Microsoft, значительно более шустрой, чем предыдущие, операционной системы.

UFS Explorer + DeepSpar Disk Imager: новые возможности восстановления данных

Потрясающая новость в области развития индустрии восстановления данных! Два продукта, занимающих лидирующее положение в этой области, объединились. Программное обеспечение UFS Explorer (R.Explorer в новой редакции) и PCIe-система восстановления данных и криминалистического анализа информации DeepSpar Disk Imager теперь могут работать совместно.

Эту информацию мы попросили прокомментировать Андрея Широбокова, президента компании DeepSpar (ACE Data Recovery Engineering) и автора одной из основополагающих технологий восстановления данных: 3D Data Recovery (3D: Disk restoration, Disk imaging, Data retrieval – восстановление работоспособности диска, клонирование восстановленного диска, извлечение данных из полученного клона).

Комментарий Андрея:

«UFS Explorer может работать с DeepSpar Imager (DDI) напрямую через локальную сеть, то есть он может найти DDI в сегменте сети и подключившись к нему может совершать все те же операции как и с обычным, подключенным напрямую, диском. В таком режиме DDI будет создавать посекторную копию анализируемого диска на лету, то есть, когда UFS Explorer читает блок с диска, DDI сначала клонирует этот блок с неисправного диска на исправный, а потом передает данные для анализа в UFS Explorer. Естественно, если этот блок уже был предварительно склонирован, то, он передается для анализа сразу с исправного диска.

UFS также работает с картами прочитанных секторов, то есть он знает, какие сектора прочитаны без ошибок, а какие сектора были прочитаны с ошибками, не прочитаны или пропущены при клонировании. На основании этих данных генерируется список поврежденных/целых файлов. Работа с картами поддерживается как через сетевое подключение к DDI, так и напрямую с подключенным к системе исправным диском с готовым образом, сделанным на DDI системе.

Но есть еще всякие мелочи. Ребята постоянно работают над поддержкой DDI, так что возможно в UFS Explorer еще что-то будет добавлено в ближайшее время.»

От себя скажу, что такие новости по уровню их значимости в индустрии восстановления данных – и особенно в области сложных восстановлений данных с дисковых массивов продвинутого и корпоративного уровней – являются очень важными. Принципиальное значение имеет связка «программное обеспечение – реализация в виде компьютерной платы расширения». Суть в том, что UFS Explorer поддерживает не только широко распространенные файловые системы, такие как NTFS или FAT, но и значительно менее распространенные, применяемые в основном в корпоративном сегменте, файловые системы: BTRFS, UFS, XFS и так далее. При этом UFS Explorer позволяет восстанавливать дисковые массивы, построенные на указанных выше и многих других файловых системах. Соединение возможностей UFS Explorer по извлечению данных из таких файловых систем и DeepSpar Disk Imager по созданию посекторных копий неисправных или частично исправных носителей превращает эту связку оборудования в мощнейший инструмент восстановления информации с дисковых массивов продвинутого и корпоративного уровней.

Изображение взято с сайта deepspar.com

О не совсем обычной безопасности. Безопасность игровых аккаунтов

Прокачанный персонаж игры Lineage 2. Ориентировочная стоимость 800 долларов США

Восстановление данных в настоящее время – настолько разнообразная деятельность, что иногда поступают по-настоящему неожиданные заказы. Вот и в этот раз было так. Принесли SSD-диск, но восстановить было нужно не документы или базы данных, а папку с компьютерной игрой. Работы завершились успешно, но этот заказ заставил меня задуматься о том, что ценными могут оказаться совсем неожиданные данные.

Как ни странно, индустрия игр в настоящее время – одна из основных в разработке программного обеспечения, приносит просто баснословные барыши. Общеизвестно разделение компьютерных игрушек на шутеры (стрелялки), аркады, стратегии и квесты. Но это деление настолько условно, тем более, в современном игростроении… Игры делаются такими, чтобы затянуть пользователя, чтобы ему было интересно играть, поэтому в них намешано всего понемножку, с превалированием чего-то одного. Например, известный многим Counter Strike – шутер, но с элементами стратегии (нужно правильно рассчитать свой выход, чтобы победить). Или вот нашумевшая игра STALKER – это тоже шутер, но в нем огромная доля квеста (по ходу миссий требуется выполнение заданий) и стратегии (для того, чтобы выполнить миссию, требуется разведать местность и найти наиболее безопасный и наименее затратный по боеприпасам способ). В общем, сейчас все сложно.

Однако с массовым внедрением интернета в нашу жизнь вошли и так называемые онлайн-игры. От обычных компьютерных игр, которые можно запускать и играть на компьютере без доступа в Сеть, их отличает только одно: необходимость быть в Сети. Естественно, онлайновые игры также разделились на шутеры, стратегии, аркады и квесты, но границы между ними настолько размыты, что назвать, например, WarFace чистым шутером ни у кого не поднимется язык.

Онлайн-игры оказались настолько прибыльны, что развивались буквально семимильными шагами. Суть онлайн-игры проста. Где-то в Сети имеется сервер, на котором хранится база данных игроков. У каждого игрока имеется свой собственный набор предметов, необходимых для игры; каждый игрок имеет определенный уровень и соответствующие ему умения; и т.п. На стороне пользователя устанавливается клиент – программа, визуализирующая то, что происходит вокруг персонажа пользователя в реальном времени из той самой базы данных. Персонажем может быть все что угодно: эльфы и орки в таких играх, как WarCraft и Lineage 2, сказочные персонажи как в игре «Хроники Хаоса», танки, морские суда или космические корабли, как в играх «Танки», «Warships» и EVE, и многое другое.

Так а почему эти данные ценны, спросите вы? Да, вопрос хороший. Для ответа на него следует знать три вещи: что такое донат, прокачка и шмот.

Донат

Любая онлайн-игра строится по простому принципу: конкуренция. Чем круче пользователь развивает своего персонажа, тем более «могучим» он становится на сервере, где играет. Игра настолько затягивает, что стираются грани между реальным и виртуальным миром. Виртуальный мир человеку начинает казаться более важным, ведь он в нем – могучий волшебник (или танк, или адмирал космического флота). Он может выйти в чисто поле и зарубить кучу противников. Но… На горизонте может появиться такой же могучий, или даже помогучее, волшебник, и уложить могучего на обе лопатки.

Поэтому, чтобы не оказаться в хвосте, персонажа надо все время развивать. И, поверьте, в онлайн-играх предела совершенству нет. Они запрограммированы так, чтобы всегда было куда стремиться. Достиг уровня 100? Через пару дней программист сделает в игре 150 уровней, и сделает так, чтобы для достижения уровня 150 тебе пришлось развиваться в 2 раза дольше, чем до уровня 100. Добыл редкую вещь, помогающую тебе валить врагов направо и налево? Завтра такая появится у твоих игровых противников. И так далее.

Все это достигается огромным напряжением. Как правило, персонаж в онлайн-игре полностью раскрывается на максимальных уровнях. Но до них – долгий путь с нуля.

И вот тут на свое место выступает Его Величество Донат. Что это такое? Английское слово donate имеет точный перевод: пожертвование. Пользователь начинает «жертвовать» деньги хозяевам игры, вкладывая их, по сути, в пикселы. Наиболее распространенный вид официального доната – продажа премиум аккаунтов. Такой аккаунт имеет некоторые преимущества по отношению к обычному (бесплатному): быстрее идет набор опыта, а следовательно – и прокачка; увеличены вероятности добыть в игре какие-то предметы, и т.п. Но официальный донат – это верхушка айсберга игровой экономики. Основные деньги крутятся вокруг продажи игровых ценностей, персонажей и игровой валюты.

Да, их покупают. И покупают много. Например, если в google ввести запрос «купить адену», то вас поразит многообразие продавцов. Адена – это игровая валюта Lineage 2, одной из культовых корейских онлайн-игр. За адену можно купить многое, но все же… Не все. И вот тут на арену выступают черные дилеры, которые предлагают за реальные деньги уникальные игровые предметы или даже полностью готовых прокачанных персонажей. Вы подумаете, что речь идет о паре баксов? Нет. К примеру, в той же Lineage 2 стоимость игрового предмета «Серьга Валакаса» может доходить до 700 долларов!

И многие это все покупают. Вот это и называется «донат».

Прокачка

Однако, каким бы не был обеспеченным пользователь, просто вложив деньги в игру, он ничего не добьется. Требуется развитие персонажа, набор им необходимого опыта. Опыт набирается в процессе прокачки. В разных играх это реализовано по разному, но суть всегда одна: требуется длительное монотонное исполнение какого-то одного действия, чтобы понемногу накапливались очки опыта. В той же Lineage 2 прокачка – это убийство монстров; для получения следующего уровня их может потребоваться убить не один десяток тысяч. И занять это может много дней. Так как быть?

Вот тут вступают в игру сервисы прокачки. Где-то это реализовано в виде официального доната, а где-то этим занимаются другие игроки. Как пример официального доната приведу игру «Хроники Хаоса», в которой можно покупать или зарабатывать просмотром рекламы изумруды, которые затем обмениваются на очки опыта через игровой процесс. Ну а неофициальная прокачка – это вступление в команду высокоуровневых игроков, которые в локации для быстрой прокачки за короткое время набьют вам очки опыта и выведут на нужный уровень. Не бесплатно, конечно.

Шмот

И последнее, на что нужно обратить внимание – это игровой инвентарь, или, как его часто называют сами геймеры, «шмот». В любой игре с уровнями у него есть градации: определенные предметы до определенного уровня нельзя использовать. И чем выше уровень, тем сложнее добываются эти предметы. В качестве примера приведу все ту же игру Lineage 2.

От нулевого до максимального уровня персонажа в этой игре постепенно происходит смена градации инвентаря, который персонаж может использовать. Сначала это предметы без градации (no grade), но на 20 уровне персонаж может использовать предметы градации D, которые дают ему лучшие характеристики. С 41 уровня персонаж может использовать следующую градацию, С. Она еще более приятна в плане улучшений. Предметы градаций D и C можно, в общем-то, почти не напрягаясь купить в игровых магазинах. Но начиная с уровня 50 появляется возможность использовать следующий уровень предметов: В. Его в магазинах уже нет. Для того, чтобы его добыть, нужно с бешеным усердием уничтожать монстров, из которых время от времени валятся куски этих предметов, рецепты и ресурсы. Собрав нужное количество ресурсов, кусков и рецептов, необходимо найти персонажа, который сможет произвести из всего этого вожделенный предмет.

Вы думаете, на этом сложности заканчиваются? Как бы не так… С 61 уровня персонаж может использовать предметы градации А. Для того, чтобы их добыть, требуется не только уничтожать монстров, но и выполнять особые задания в игре. Задания также заключаются в уничтожении монстров, но с них будут падать не только ресурсы или куски, но еще и квестовые предметы, которые затем обмениваются у игрового торговца на рецепт на нужный вам предмет. Причем обмен этот – рандомный, то есть игровой торговец может дать вам совсем не то, что вам нужно; скажу больше – он может дать вообще бесполезный предмет вместо рецепта. А без рецепта вещь не создать. Тяжко? Конечно. Но я подолью масла в огонь: эти самые рецепты, которые вы с таким трудом получите у игрового торговца, имеют вероятность успеха 60%. То есть попытка создать вещь может вполне окончиться неудачей, и все собранные вами ресурсы, куски и рецепты просто пропадут.

А ведь градация А – это еще не предел. Есть и другие, и добыть предметы этих градаций пропорционально труднее.

Выводы

А какие можно из всего этого сделать выводы? Очень простые.

Чем больше времени, денег и других ресурсов вложено в персонажа, тем выше его цена. Его можно продать целиком, вместе с игровым аккаунтом, а можно распродать его шмот. В любом случае, все это принесет определенную прибыль. Стоимость некоторых персонажей в некоторых играх достигает сумм с шестью нулями. Поэтому завладеть таким персонажем с целью банальной продажи – вполне логичная задача для злоумышленника. Потеря игрового персонажа или игрового аккаунта может оказаться весьма ощутимой для ее хозяина. Известны случаи суицида в ряде стран, связанные с потерей игровых ценностей. И это вовсе не шутки.

Таким образом, на современном этапе развития цифровых технологий ценность представляют уже не только те данные, которые можно соотнести с деловой активностью или личностью пользователя (документы, базы данных, фото- и видео-файлы и т.п.), но и виртуальные ценности, фактически существующие на удаленных компьютерах, доступ к которым осуществляется с помощью аутентификации.

Меры предосторожности. Справедливы не только для игровых, но и для любых других аккаунтов

Первое. Не передавайте пароли и логины от своего игрового (а равно и любого другого) аккаунта по электронной почте, SMS, сообщением в мессенджере или социальной сети. Эта информация, не смотря на то, что заявлено, что она шифрована, является одной из самых часто подвергаемых атакам.

Второе. Не храните логины и пароли от ваших аккаунтов на своем компьютере. Компьютер может быть взломан, или зашифрован вирусом-шифровальщиком.

Третье. Используйте сложный пароль. Простой пароль очень легко подобрать.

Четвертое. Не используйте один и тот же пароль для всех ваших аккаунтов. Лучше пусть это будут разные пароли.

Пятое. Если аккаунт подразумевает двухфакторную (в два этапа) идентификацию – используйте ее. Взломать такой аккаунт уже практически невозможно.

Вот, наверное, и все.

А вы знаете, сколько могут стоить аккаунты в социальных сетях, и для чего их взламывают? Если хотите, я об этом расскажу в одной из следующих статей.

Так выглядит аккаунт в игре «Хроники Хаоса». Персонажи средней прокачки, стоимость невелика. Но если докачать их до уровня 100, то их стоимость поднимется на несколько порядков.

Самые интересные факты из области индустрии хранения информации и восстановления данных

А что можно сказать про самые-самые устройства для хранения данных, самые-самые случаи восстановления данных, самые-самые интересные факты из этой области? Эта подборка – для вас.

Самый маленький жесткий диск. Диск форм-фактора 0.85 дюйма. Диски этого размера начали массово продаваться в 2007 г. корпорацией Toshiba. Исходя из размеров, основным сегментом, куда планировалось применять эти диски, были мобильные устройства – и действительно, их ставили даже в мобильные телефоны (например, Nokia N91). Со временем NAND-память стала сильно дешеветь, и рентабельность производства таких устройств упала. В настоящее время эти диски иногда поступают на восстановление данных, главным образом из профессиональных видеокамер.


На фото — накопитель форм-фактора 0,85 дюйма

Самый емкий носитель информации. В 2016 г. компания Amazon представила диск на колесах. Емкость устройства составила на то время рекордные 100 петабайт; в настоящее время емкость увеличена еще на 25%. Устройство представляет собой фургон размером с морской контейнер, который установлен на шасси мощного тягача. Этот диск на колесах был назван компанией Amazon Snowmobile за белоснежный цвет гаджета на колесах. Для чего потребовалось создание такого устройства? С увеличением объема данных их передача становится слабым местом всей системы. Даже при гигабитной сети передача одного петабайта данных займет не менее 20 лет. Snowmobile перевезет тот же объем информации за 2 месяца. Это достигается очень просто: скорости локальных сетей гораздо выше, чем скорость интернет-соединения, и снежная машина, подключившись к локальной сети компьютера, с которго требуется забрать данные, выкачивает их на максимальной возможность скорости до 100 Гигабит/с; на стороне сервера соединение еще быстрее, поэтому передача данных на результирующий сервер обычно занимает меньше времени.


На фото – жесткий диск на колесах от компании Amazon; фото взято с сайта Amazon.

Самый первый жесткий диск. Он же и самый тяжелый. Он же самый большой. Это диск IBM 350, представленный 4 сентября 1956 г. Это был громадный шкаф, шириной 1.5 м, высотой 1.7 м и длиной 74 см. Вес устройства составлял почти тонну. Внутри устройства находилось 50 «блинов» диаметром 61 см. Несущим данные слоем была специальная краска, содержавшая мелкодисперсные частицы ферромагнитных элементов. Объем диска составлял 3.75 Мбайт.


На фото – жесткий диск IBM 350 в музее

Самый первый жесткий диск форм-фактора 3,5 дюйма был выпущен корпорацией Seagate, его объем равнялся 5 Мбайт, а стоимость составляла около 1500 долларов США. Именно этот диск стал эталоном при создании компьютеров архитектуры IBM AT и IBM XT, а также при составлении первых стандартов передачи данных, принятых основными игроками на рынке IT в то время. ST-506 (именно так назывался тот жесткий диск), без преувеличений, является самым-самым важным устройством в череде продуктов этой компании и всей индустрии, так как позволил ее стандартизировать.


На фото – один из первых жестких дисков форм-фактора 3.5 дюйма

Самый первый жесткий диск для ноутбука (форм-фактор 2,5 дюйма) был выпущен также компанией Seagate, произошло это в 1991 г., а объем такого накопителя составлял 40 Мбайт.


На фото – один из первых накопителей для ноутбуков от компании Seagate. Фото предоставлено Д. Шмыглевым (Симферополь, Крым)

Самые известные жесткие диски Barracuda производства компании Seagate ведут свою историю с 1992 года, когда был выпущен первый диск под этим брендом. Существенным отличием нового диска была скорость вращения его шпинделя – это был самый-самый первый жесткий диск со скоростью вращения шпинделя 7200 оборотов в минуту. Емкость первых накопителей Seagate Barracuda 2LP составляла 1 и 2 Гбайт: это был самый-самый первый жесткий диск, перешагнувший предел в 1 Гбайт.


На фото – жесткий диск Seagate Barracuda третьего поколения

Самые оборотистые жесткие диски были разработаны компаниями Seagate (накопители Seagate Cheetah со скоростью вращения шпинделя вначале 10 000 оборотов в минуту, а затем и 15 000) и Western Digital (накопители Raptor со скоростью вращения шпинделя 15 000 оборотов в минуту). Первые изготавливались с интерфейсом SCSI, а затем и SAS, вторые – традиционный интерфейс SATA.


На фото – накопитель Seagate Cheetah со скоростью вращения шпинделя 15 000 оборотов в минуту

Самая первая флешка была создана израильской компанией M-Systems в 1999 году (апрель 1999 г. – официальная регистрация патента). В 2000 г. была выпущена первая серийная флешка емкостью 8 Мбайт, которая стоила 50 долларов США. Немного позже, к концу 2000 г., были выпущены флешки емкостью 16 и 32 Мбайт. Годом позже компания Mitsubishi приступила к выпуску первых карт памяти; карта Mitsubishi SRAM Card выпускалась в редакциях 1, 2 и 4 Мбайт и имела интерфейс PCMCI.


На фото – карта памяти Mitsubishi SRAM емкостью 1 Мбайт

Самый дорогой жесткий диск для персонального компьютера стоил 4999 долларов США, это был диск емкостью 18 Мбайт производства компании North Star Horizon. Только подумайте – 1 мегабайт дискового пространства стоил когда-то около 280 долларов США! За такие деньги сейчас вы можете приобрести жесткий диск объемом 14 Тбайт.


На фото – выдержка из рекламного постера компьютерных систем North Star Horizon, с ценой на новый на то время диск емкостью 18 Мбайт

Самое известное восстановление данных. В 2008 году американским специалистом по восстановлению данных Джоном Эдвардсом, работающим в компании Kroll Ontrack, были восстановлены примерно 80% данных с накопителя Seagate емкостью 400 Мбайт, пострадавшего в результате крушения шаттла Columbia. Работа по восстановлению данных с обугленного и сильно пострадавшего при падении с высоты в 63 километра жесткого диска заняла около 5 лет; стоимость этой работы не разглашается, однако, исходя из того, в каком состоянии находились пластины диска (диск был сильно оплавлен, а пластины сплавлены вместе и представляли собой почти монолитную структуру), можно предположить огромный объем научных исследований, направленных не только на безопасное разделение потоков данных на разных сторонах пластин, но также и на возврат намагниченности пластин, так как при взрыве шаттла накопитель подвергся воздействию температур в несколько тысяч градусов и неизбежно прошел точку Кюри, а стоимость комплекса таких исследований с последующей реализацией их в виде технологии восстановления данных можно оценить в несколько десятков миллионов долларов США. Все это позволяет заключить, что для некоторых компаний по восстановлению данных в настоящее время перегрев диска и его температурное размагничивание не являются препятствием для восстановления информации.


Снимок экрана с сайта Ontrack Kroll с рассказом о том, как восстанавливались данные из жесткого диска с шаттла Columbia

Самый удачный жесткий диск и самый неудачный жесткий диск в истории индустрии по производству HDD по роковому стечению обстоятельств – одно и то же устройство. Это диск форм-фактора 3.5 дюйма компании Fujitsu, выпускавшийся под названием Fujitsu MPG. Диски этого семейства имели емкость 10, 20, 30 и 40 Гбайт (от 1 до 4 головок, максимально 2 пластины) и обладали фантастическим качеством механики. Довольно часто при таком объеме эти диски не содержали дефектов в заводском дефект-листе (Р-лист), а значит, их поверхности были абсолютно идеальными. То же самое можно сказать и о их головках и системе позиционирования. Использованная технология адаптивных параметров подстройки головки под трек с отклонениями от абсолютного круга (RRO – Repirable Run Out) делала работу системы позиционирования исключительно точной и абсолютно надежной. К сожалению, при изготовлении этих дисков была совершена роковая ошибка – в их основной микросхеме (микроконтроллер) был использован фосфор-содержащий компаунд, который накапливал воду из окружающего воздуха, и в один «прекрасный» момент диск переставал определяться в системе. Прогрев основной микросхемы часто приводил диск в работоспособное состояние, но на очень непродолжительное время. Количество отказов этих дисков носило столь массовый характер, что корпорация Fujitsu отозвала с рынка все проданные устройства, а подразделение, выпускавшее трехдюймовые жесткие диски, было закрыто и не функционирует до сих пор. Ходили неподтвержденные слухи, что управляющий директор этого подразделения сделал харакири, но они не были официально подтверждены.


На фото – легендарный накопитель Fujitsu MPG

Самое курьезное восстановление данных в моей практике случилось совсем недавно, месяца два назад. На восстановление информации прибыл жесткий диск для ноутбука Western Digital емкостью 500 Гбайт. В качестве донора был предложен такой же диск, но емкостью 250 Гбайт. Клиент настаивал на том, что ему где-то кто-то определил, что у диска неисправна головка номер 1, то есть вторая снизу, а остальные головки исправны. Поэтому заем тратить на донора на 10 баксов больше, если у этого диска в 250 Гбайт имеется две головки, и как раз – 0 и 1. Определенная доля истины в словах заказчика имелась, да и диагноз оказался правильным, поэтому я отчитал больной диск по трем исправным головкам, затем «уронил» его в сон, сделал замену головок из донора (только 2 головки из 4), стартанул «уснувшую» плату и, не без танцев с бубном, считал последнюю поверхность. Столь прошаренного и экономного клиента я встретил в первый раз в своей жизни =).


На фото – рутинная работа по восстановлению информации – клонирование неисправного накопителя

Самый наглый обман с емкостью накопителей до сих пор демонстрируют почти все производители этих устройств. Для расчета емкости они используют значение 1000 Мбайт на 1 Гбайт, хотя на самом деле в гигабайте 1024 Мбайта. Это приводит к тому, что емкость устройства, которое вы покупаете, сильно отличается от заявленной. Скажем, если на жестком диске написано 500 Гбайт, то по факту он будет отформатирован на 465 Гбайт. Увы, но ситуация не меняется десятилетиями: маркетологам намного проще делать громкие заявления об очередном прорыве емкости, оперируя тысячамегабайтным гигабайтом, чем реальным, 1024-мегабайтным.


На фото – накопитель Seagate Barracuda с заявленной емкостью 4 Тбайт, который форматируется системой на 3.6 Тбайт

Самый оптимальный режим работы жесткого диска. Корпорация Google в 2007 г. проанализировала работу около 100 000 жестких дисков в своих хранилищах и выяснила, что наименьшее количество отказов и наибольшую производительность обеспечивают диски, работающие при температуре около 40 градусов по Цельсию. Смещение температурного режима в направлении увеличении температуры заметно снижает эффективность работы дисков уже при превышении оптимального значения на 5 градусов; то же самое наблюдается и при уменьшении температуры, но уже на 10 градусов.


На фото – простое подключение дисков к компьютеру «гроздью», весьма далекое от оптимального

Самый странный закон Мура: объем жестких дисков на протяжении всей их истории ежегодно удваивается. В текущем году максимальный объем жестких дисков в сегменте настольных компьютеров в продаже составляет уже 14 Тбайт, а значит, что к концу 2019 г. в продаже должны появиться диски емкостью 28 Тбайт. И это вполне реальная перспектива, так как использование технологии двойного актуатора MACH.2 и разработанной корпорацией Toshiba технологии записи MAMR позволяет увеличить в первом случае количество работающих в диске пластин в 2 раза, а во втором случае – увеличить плотность записи минимум на 50%.


На фото – три поколения мобильных телефонов Apple iPhone с емкостью 8, 16 и 32 Гбайт

Самый большой разброс в объеме жесткого диска получается, если сравнить современный емкий накопитель (14 Тбайт) с первым в мире жестким диском (3.75 Мбайт). Разница между этими дисками составит 3 823 047 раз. При этом современный накопитель больше чем в тысячу раз легче первого и почти в 10 000 раз меньше его по размерам. Если же рассчитывать разницу между современными SSD серверного сегмента (100 Тбайт), то разница составит больше 27 000 000 раз! Таким образом, за почти 60 лет истории разработок и производства жестких дисков их объем был увеличен в миллионы раз, а размеры уменьшены в тысячи раз. Потрясающе, не правда ли?


На фото – монолитная флеш-карта емкостью 32 Гбайт. Для того, чтобы организовать такую емкость в 1956 г., с использованием первого жесткого диска IBM-350, потребовалось бы 8,5 млн. тонн первых жестких дисков

Самый первый стандарт в области передачи данных принадлежит компаниям Western Digital и Compaq. Этот стандарт носил название IDE (Integrated Drive Electronics) и был внедрен в 1986 г. До сих пор по названию этого стандарта жесткие диски с параллельным интерфейсом часто называют IDE-дисками.


На фото – жесткий диск с интерфейсом SCSI, одной из разновидностей IDE

Самый первый АТА-стандарт, т.е. стандарт передачи данных в его современном виде, появился в 1994 г. и носил название АТА-1. Разработка АТА-стандартов завершилась в 2002 г. с выпуском седьмой версии стандарта (АТА-7). С 2003 г. развивается стандарт SATA, накопители с интерфейсом PATA более не выпускаются. В настоящее время активно развивается стандарт SATA 3.2, позволяющий поднять производительность интерфейса до 16 Гбит/с.


На фото – жесткий диск Seagate с интерфейсом PATA (IDE).

Самый быстрый интерфейс накопителей данных на настоящий момент – интерфейс NMVe. Диски с этим интерфейсом работают на скорости PCI-Express шины, их производительность достигает сотен тысяч IOPS при пропускной способности несколько десятков Гбит/с.


Твердотельный накопитель Samsung с новейшим интерфейсом NMVe

Самый вредный миф о восстановлении данных заключается в том, что жесткий диск можно просто открыть, и ничего при этом не случится. На практике при открывании жесткого диска в условиях, далеких от необходимых (вне чистого бокса, без предварительной очистки корпуса и т.п.) в гермозону накопителя немедленно попадает огромное количество мусора, которое приводит к очень быстрому выходу диска из строя в случае его включения.


На фото – последствия самостоятельной разборки жесткого диска с его последующим включением

Самый широко распространенный интерфейс накопителей информации на текущий момент – интерфейс SATA. Более 60% всех устройств этого типа оснащены данным интерфейсом. Второй по распространению – интерфейс USB, им оснащено около 25% всех устройств данного типа. Интерфейсы других типов (SCSI, SAS, Fibrechannel, Thunderbolt и т.п.) составляют в современных устройствах хранения данных не более 15%.


На фото – жесткий диск с интерфейсом SATA

Станислав Корб, ©2018

Майнеры. Кто-то зарабатывает деньги, а вы платите за электричество.

Вместо предисловия

О шифровальщиках и троянских конях мы недавно поговорили, время поговорить о еще одном довольно широко распространенном компьютерном зле – майнерах криптовалют.

Когда криптовалюты только появились, не так уж и много народа верило в эту затею. Однако когда биткоин начал бить рекорды по обменному курсу, в майнинг ударилась масса людей. Кто-то ставил на ночь свои игровые компьютеры «майнить биток», кто-то собирал специальный компьютер для майнинга, кто-то покупал асики (специальные устройства, которые ничего, кроме майнинга, не делают). Были (и остаются) умники, которые настраивали майнинг на работе – новости о таких господах время от времени мелькают и по телевизору, и в Интернете.

Однако все это, несмотря на то, что направлено непосредственно на «добычу» криптовалют, не слишком выгодно: майнинг идет с весьма серьезными нагрузками на компьютер, который при этом пожирает массу электроэнергии. А за электричество, конечно же, надо платить. В итоге «выхлоп» от легального занятия майнингом ненамного превышает счет за электроэнергию – а ведь надо еще поддерживать в нормальном состоянии компьютер, который добывает вам цифровые деньги, ремонтировать выходящие из строя узлы (а при активном использовании износ идет быстрый и жесткий). Да уж…

Наиболее «светлые» головы вирусописательства подумали и решили: а зачем майнить самостоятельно? Зачем платить за электричество самому? Можно ведь написать модуль, который будет заражать чужой компьютер и занимать его вычислительные мощности в пользу написавшего. А счета за электричество будут приходить хозяину зараженного компьютера. Так и родилась идея вируса-майнера.

«Дроппер» от слова «drop»

Естественно, сам по себе майнер на вашем компьютере не установится – его надо скачать, установить, запустить, замаскировать под что-то безобидное, настроить – в общем, масса разных акций для того, чтобы он работал и не вызывал подозрений. И как, скажете вы, всего этого добиться?

Довольно просто. Заставить вас запустить приложение, которое «доставит» на ваш компьютер вирус-майнер, установит его, настроит, внесет в исключения вашего антивируса и т.п. И не просто заставить вас его запустить (этого мало), но запустить его с правами администратора. Только запущенное с правами администратора приложение способно внести на ваш жесткий диск все изменения, которые нужны злоумышленнику.

Распространять такой вирус через вложения в электронной почте или фишинговые ссылки неэффективно – никто же не будет запускать какое-то левое приложение с правами админа, так? И как же быть? Да просто. Прятать вирус в каком-то приложении, которое вы в любом случае запустите с правами администратора. Как правило, такие приложения – разные кейгены и кряки, а кроме них – дистрибутивы некоторых других приложений. Такие приложения называются «дропперы», от английского drop – «сбросить». Единственная функция дроппера – доставить на ваш компьютер установщик майнера и набор скриптов для его настройки. Как только вы запускаете такое приложение с правами администратора, тут же начинается бешеная активность вашего трафика, активно устанавливаются и выполняются какие-то модули, пишутся многочисленные ключи в реестр. В результате вы становитесь счастливым обладателем вируса-майнера. Поздравляю =).

Помните главное правило компьютерного пирата: кейгенам и крякам (кроме, пожалуй, только патчеров) не нужны права администратора. Если генератор ключей требует запуска с правами администратора, значит он собирается менять содержимое вашего диска. Подумайте – а оно вам надо? А может там не майнер будет, а шифровальщик? В систему-то вы файл этот уже пустили, антивирусы он уже обошел – и теперь заражение вашего компьютера зависит только от вас, и больше ни от кого.

Как работает майнер?

Многие мирно сосуществуют с вирусами этого типа годами. Кто-то и вообще их не замечает (железо мощное, что там в фоне компьютер делает, пользователь не обращает внимания). Но основная причина долгой жизни майнеров на компьютерах пользователей – относительная незаметность их работы. Они созданы таким образом, что все ресурсы системы не занимают, т.е. пользователь вполне себе комфортно работает на своей машине, а майнер «отъедает» ровно столько процессорной мощности и оперативной памяти, сколько нужно для того, чтобы его работа не была заметной. Доходит до того, что майнер может на время отключиться, если пользователь запускает ресурсоемкое приложение – компьютерную игру, Adobe Photoshop с аппаратной акселерацией работы с графикой (технология CUDA), 3D-редактор и т.п.

Майнер всегда запускается вместе с системой – иначе он просто не будет работать, ведь не будете же вы специально запускать эту программу. То есть он должен присутствовать в автозагрузке приложений или служб – как правило, в последнем, так как этот тип автозагрузки сложнее мониторить и намного сложнее принимать решение об отключении автозагрузки службы, чем приложения. По сути, из автозагрузки приложений можно выключить абсолютно все без вреда для системы, а вот если «погасить» загрузку какой-то службы, можно потерять и саму систему.

После того, как майнер загрузился в память, он начинает делать то, для чего создан – использовать ваши вычислительные мощности для генерации криптовалюты. С какой интенсивностью он будет это делать – зависит от настроек, но обычно обнаруживать себя он не дает.

Важно сказать о бот-сетях. Раньше мы уже о них говорили (когда обсуждали троянские вирусы). Майнеры также могут объединяться в бот-сети для более эффективного майнинга криптовалют; некоторые бот-сети достигают размеров нескольких тысяч машин.

И как же его обнаружить?

Не так-то просто обнаружить майнер =). Тем более, что антивирусы не определяют майнеры как вирусы, так как это по сути не вредоносные программы (мало ли, может вы сами майните), хотя при сканировании системы вполне могут выдать отчет о том, что обнаружены подозрительные программы, которые что-то там майнят.

Дропперы легко определяются антивирусами, но, как правило, пользователь относится к предупреждениям антивируса при установке взломанного ПО недоверчиво: мол, это специально в антивирусы встроено, чтобы с пиратским софтом бороться. На самом деле антивирусу все равно, кейген он сканирует или образ «официального» дистрибутива MS Windows: если там есть вирус или подозрительная программа, он просигналит.

Если же вы установили такую программу, это автоматически означает, что вы допустили в свою систему вирус. Майнер это, троян или что-то еще – выяснить можно только, запустив полное сканирование авнтивирусной программой.

Вообще, я рекомендую регулярное антивирусное сканирование – просто для того, чтобы знать, какие программные фантомы прописываются в вашей системе. Активность многих программ в настоящее время очень просто скрыть, а сюрпризы в виде увеличившегося счета за электричество обычно никто не связывает с работой компьютера. После того, как антивирус отсканирует компьютер, вы получите отчет, в котором, кроме однозначных угроз, хороший антивирус перечислит и программы подозрительные – в их число обычно включаются и майнеры. Если вы сами майнингом криптовалют не занимаетесь – значит, кто-то наживается за ваш счет, и пришло время обломать его нетрудовые доходы. Удаляйте без сожаления все то, что вы не ставили, не давайте злоумышленникам шансов заработать на вашей доверчивости.

И здоровья вашей системе, программного и аппаратного.

Станислав Корб, ©2018

Троянские программы: простые правила во избежание вреда.

Знакомство с этой группой зловредов я начну с поучительной истории.

Однажды ко мне обратился мой хороший знакомый с просьбой разобраться, как оказалось так, что с банковского счета его небольшой фирмы была списана вся имевшаяся там сумма. Расследование оказалось недолгим: оказалось, что все деньги были просто перечислены через клиент-банк на другой банковский счет, оттуда – на какую-то банковскую карту, зарегистрированную на бомжа, ну а после этого банально получены наличкой через банкомат. Естественно, в осуществлении этой схемы тут же заподозрили бухгалтера фирмы, но она оказалась не при чем. На компьютере бухгалтера был обнаружен хитрый вирус-бэкдор, который позволил злоумышленнику зайти на компьютер бухгалтера во время обеденного перерыва и провести банковский платеж. Бухгалтер (да и директор компании) ничего не подозревал до того момента, когда потребовалось оплатить очередные услуги – тут то и оказалось, что банковский счет фирмы пуст, а денежек уже давно и след простыл.

Итак, бэкдоры. Это довольно большая группа вирусов, которые объединяет одно общее свойство: их основное предназначение. Это предназначение – получить доступ к атакуемому компьютеру или к тем сведениям, которые пользователь на нем хранит. Другое название бэкдоров – трояны (троянский конь – способ овладения городом Троя, когда греки спрятались внутри массивной фигуры коня, которого они оставили под стенами Трои; доверчивые троянцы внесли его в город, а ночью греки выбрались из коня и открыли ворота города поджидавшим их войскам).

Троянские программы принято делить на типы по тому, каким образом они наносят вред. Вот эта классификация:

1) Программы для обеспечения удаленного доступа к компьютеру, или бэкдоры в узком смысле. Методов «открывания» дверей очень много – начиная от открытия какого-то порта, и заканчивая установкой специализированного ПО или протокола (типа стандартного RDP), через которое злоумышленник может беспрепятственно проникать на компьютер тогда, когда он включен.

2) Программы для сбора и передачи злоумышленнику данных, которые вводятся с клавиатуры (кейлоггеры). Работа таких программ обычно почти никак не обнаруживается, все, то они делают – дублируют нажатия клавиш на клавиатуре компьютера (и, некоторые из них, могут еще записывать движения курсора мышки) в особый лог-файл, который, с определенной периодичностью, отправляется злоумышленнику. Для чего это делается? Например, вы совершаете покупки в интернете, и вводите с клавиатуры данные своей банковской карты. Эту информацию кейлоггер передаст злоумышленнику, и, кроме вас, использовать карту сможет и он. Именно поэтому сейчас более безопасно использовать системы платежей, привязанные к определенному смартфону и проходящие аутентификацию по отпечатку пальцев – они практически полностью невосприимчивы к взлому. Но традиционных пользователей компьютеров, вручную вводящих данные своих банковских карт, еще очень много.

3) Деактивация систем безопасности компьютера (отключение антивируса, сетевого экрана, файерволла и т.п.) – обычно предшествует внедрению бэкдора, но может быть и отдельной функцией, например, для обеспечения возможности DDoS-атаки. Логично, что при активной системе безопасности заразить компьютер совсем не просто, поэтому атака может состоять из нескольких этапов: проникновение программы-деактиватора; деактивация защиты; загрузка основного кода вируса и его установка в системе; «обучение» охранных систем компьютера взаимодействию с зловредной программой (включение ее в список исключений); запуск систем безопасности. Таким образом компьютер заражается так, что заподозрить факт заражения практически невозможно – ведь системы безопасности компьютера продолжают работать, а сама атака обычно длится очень непродолжительное время. Как правило, таким образом атакуются сервера, контроль над которыми злоумышленник планирует осуществлять продолжительное время.

4) Программы для распространения какого-то контента. При этом ваш компьютер становится ретранслятором спама: для его распространения могут использоваться ваши мессенджеры, электронная почта, аккаунты в социальных сетях, и т.п. Как правило, распространяется два вида контента – или банальный спам, или какой-то вирус, причем не обязательно тот же, которым заражена ваша машина.

5) Организация распределенных вычислений. При этом ваш компьютер становится участником бот-сети, основной функцией которой является осуществление крупных массивов вычислений (например, взлом пароля методом брут-форса). Бот-сети – это прекрасное изобретение современных хакеров, которые делают взлом казавшихся до текущего момента стойкими алгоритмов шифрования относительно простым. Представьте: у вас имеется файл, зашифрованный ключом длиной 2048 бит. Для брут-форса этого ключа требуется 1 000 000 000 (1 миллиард лет). А теперь представьте, что для его брут-форса используется не один компьютер, а 100 000. Каждому из компьютеров передается файл и назначаются границы брут-форсинга (от значения Х0 до значения Х1 компьютеру 1, от значения Х1 до значения Х2 компьютеру 2, и так далее). При этом подходе требуется уже не 1 миллиард а 1000 лет. Все равно, много, не так ли? А если вывести каждый брут-форс отдельным потоком, и сделать каждый поток использующим одно ядро процессора? Скажем, у нас имеется 100 000 двухъядерных процессоров. Это уже 500 лет. А если пойти еще дальше, и внедрить виртуализацию? Каждому ядру назначить по десятку независимых виртуальных потоков? Это уменьшит время перебора в 20 раз, т.е. с 500 до 25 лет. Видите, как из невообразимого одного миллиарда лет мы дошли до уже вполне приемлемых 25? А если бот-сеть состоит не из 100 000, а из полумиллиона машин? Это дает возможность «ломать» файл, защищенный, казалось бы, невообразимо надежным шифрованием, за 2 месяца! Вот почему очень у многих людей «живут» троянцы, которые вообще не проявляют никакой зловредности – их функция заключается в том, чтобы предоставлять злоумышленнику доступ не к вашему компьютеру как таковому, а к его вычислительным мощностям.

Насколько опасен каждый из этих типов троянцев? Увы, но нельзя говорить, что какой-то из типов троянцев более опасен, а какой-то – менее. Опасны они все. Просто у них разные функции, и, скажем, если ваш компьютер просто ретранслирует какое-то сообщение, заражая троянцем другие машины, то лично вас прямой вред от этого может и не коснуться, но совокупный вред, который работа троянца на вашем компьютере нанесет в целом, будет велик. Исходя из этого, любой тип бэкдора должен незамедлительно обнаруживаться и удаляться.

Распространение троянских вирусов происходит обычно также, как распространение других вирусных программ, но всегда сопряжено с определенными факторами. Главный из этих факторов – первый запуск троянской программы или ее загрузчика в вашей системе должен быть однозначно совершен или санкционирован вами. Если вы не запустите троянца или программу, которая скачает и установит его в ваш компьютер, он не сможет у вас появиться. Поэтому, как и в случае с вирусами-шифровальщиками, важным моментом защиты является внимательность и правильная работа firewall.

Другой фактор – это ваша антивирусная защита. В случае с троянскими программами антивирусы справляются очень хорошо, так как алгоритмы эвристического анализа почти безошибочно определяют программу, как зловредную. Установив хороший антивирус с постоянно обновляемыми базами и активированными функциями эвристического и логического анализа, вы обезопасите себя от внедрения троянского коня почти на 100%.

Третий фактор – это макросы и встроенный язык Visual Basic, используемый в приложениях Microsoft Office. Спрятать в макросе загрузчик вредоносного кода злоумышленники догадались на второй день после того, как Microsoft начала поддерживать макросы в Office. Получая по почте документ MS Word или таблицу MS Excel, будьте внимательны, и, прежде чем разрешать выполнение макросов этим документом, проверьте его на вирусы. Современные продукты MS Office поддерживают функцию защищенного просмотра – она активируется для любых файлов, скачанных из интернета. Для просмотра присланных документов защищенного просмотра обычно хватает, если источник файла является подозрительным или вам не известен – лучше не включать редактирование документа и не разрешать исполнение макросов.

Для того, чтобы на вашем компьютере не было «сюрпризов» в виде троянских программ, следуйте трем простым правилам.

Правило первое. На вашем компьютере должен стоять хороший антивирус со свежими антивирусными базами и включенными функциями эвристического анализа.

Правило второе. Еженедельное сканирование диска на предмет поиска вирусов. Понимаю, что сканирование может занимать много времени, однако оно необходимо, и необходимо регулярное. Запланируйте антивирусу сканирование всех ваших дисков, скажем, на ночь, и просто оставьте компьютер включенным этой ночью. Для того, чтобы во время работы компьютер нельзя было взломать извне, сеть от него можно отключить. При сканировании компьютера лучше не оставлять опцию автоматического удаления найденных угроз – некоторые слишком подозрительные антивирусы могут удалить и нужные файлы, заподозрив в них вирусы – поэтому лучше, если результатом сканирования будет формирование отчета с обнаруженными угрозами, по каждой из которых вы будете принимать решение самостоятельно.

Правило третье. Внимательное отношение к трафику входящих файлов и сообщений и отфильтровывание тех, которые явно несут вредоносное ПО. Об этом я уже говорил ранее на примере вирусов-шифровальщиков.

И помните. Троянские программы создаются не забавы ради, их основная функция – извлечение пользы из ваших данных, вашего компьютера. Поэтому «сосуществовать» с ними категорически нельзя. Восстановление данных и восстановление украденных денег – это совершенно разные задачи, лучше не доводить до того, чтобы киберпреступники имели возможность украсть ваши реальные деньги с использованием вашего же компьютера.

Безопасного вам интернета и не терять ваши данные!

Станислав Корб, ©2018

iOS 12: новая операционная система от Apple для вашего гаджета

17 сентября состоялся релиз новой операционной системы от Apple: iOS 12. Систему можно установить на любой гаджет компании, который поддерживает обновление, начиная с iPhone 5S (год выпуска не младше 2013). Новая операционка позиционируется как стабильная, надежная, быстродействующая; кроме того, заявлен целый ряд новых возможностей, таких как групповой чат в Face Time, функция ярлыков (с помощью которых можно персонализировать работу всей системы или отдельных приложений), функция уведомлений по приложениям (с возможностью закрыть всю группу уведомлений сразу, а не ходить по приложениям, как было раньше), и т.д.

Обновив операционную систему и немного ей попользовавшись, можем сказать следующее.

Дизайн не изменился никак по сравнению с iOS 11. Ярлыки, кнопки, Siri – все тоже.

Сразу же – о Siri. Компания Apple анонсировала, что Siri в этой ОС сильно поумнеет. Для проверки работы искусственного интеллекта мы задали ей несколько вопросов, ответы на которые были временами неплохими. В частности, мы спросили у Siri, где нам можно побухать (использовав именно это слово), и знаете, куда она нас отправила? В один из баров города Москвы :D.

По поводу производительности и быстродействия. Заявлено, что все будет работать сильно быстрее. На деле новая операционная система работает примерно также, как предыдущая, замедления работы на старых устройствах (тестировалось на iPhone 5s) я не увидел, как и ускорения работы, поэтому обладатели старого оборудования могут обновляться смело.

Теперь поговорим о новых функциях iOS 12. Про Siri я сказал выше – если у нее и изменился интеллект, то это не очень заметно. Ярлыкам найти какое-то полезное применение я не смог.

В программе «Фото» появилась возможность оставлять подсказки для каждого фото или ролика, а также улучшен поиск. Эти функции, бесспорно, полезны только тем, кто хранит в своей медиатеке тысячи снимков; такие функции не дадут в них запутаться. Если ваша медиатека не так велика, то эту функцию можно смело забыть.

В новой ОС обновились некоторые приложения; пропустим Акции, которые большинству пользователей просто не нужны, и расскажем немного о других. Первое – это диктофон. У него немного поменялся дизайн, а также он стал синхронизироваться с iCloud. Качество записи звука при этом не изменилось. Приложение «Книги» (Apple Books, раньше называлось iBooks) изменилось в основном дизайном, изменений в движке программы я не заметил.

Для того, чтобы посмотреть еще на одно обновившееся приложение iOS 12 – Новости – вам придется переключить свой регион в настройках аппарата на США. Язык при этом не пострадает. Новости (News), увы, будут на английском, но сам аггрегатор работает хорошо, собирая новости по вашему местонахождению (он обязательно попросит разрешения на использование службы геолокации – согласитесь с этим). Навигация в «Новостях» проста и понятна.

Довольно удобной оказалась функция группировки уведомлений. Когда вам некогда или нет желания просматривать их по одному, достаточно просто закрыть всю группу.

Приложение «Экранное время» позволяет оценить время, которое провел пользователь гаджета в той или иной программе. Это особенно полезно для контроля того, как используется устройство детьми. Любопытно, что теперь можно устанавливать лимиты по типам приложений (используя программу «Экранное время» как источник данных) – это сильно упростит борьбу с интернет-зависимостью у подростков.

В iOS 12 были заявлены и такие интересные введения, как Animoji (анимированные emoji) и Memoji (эмодзи, созданные с помощью вашей камеры). Оказалось, что обе эти функции доступны только на флагманских моделях iPhone (Phone X и XS). Жаль, я думал об Apple намного лучше :D.

В целом переход на новую iOS, как минимум, ничем неприятным не грозит. Обновляться можно и нужно.

Станислав Корб, ©2018

IOS и MACOS: ждет ли нас объединение операционных систем?

В конце марта текущего года Apple представила новый iPad, существенно отличающийся от старого образца (того же года) новым процессором (А10 вместо А9) и поддержкой для ввода данных пера iPencil. Поддержка перьевого ввода для устройств Apple – явление в целом необычное, сильно расширяющее возможности пользователя устройства. Действительно, теперь владелец нового iPad может рисовать, писать от руки и даже подписывать электронные документы.

Как водится, планшет выпускается как в обычной Wi-Fi, так и в LTE версии. Важно отметить, что LTE версия устройства оборудована Apple SIM. Хорошо это или плохо – решать пользователю; удобство перехода с одного тарифа на другой без смены оператора (как и смена самого оператора), конечно, нравится всем. Но лишь в том случае, если для вашей страны имеется хоть какой-то выбор. А на деле оказывается, что особого выбора нет, и Apple SIM жестко выкачивает деньги из пользователей (скажем, 250 Мбайт трафика на неделю может легко стоить 50 долларов – ПЯТЬДЕСЯТ ДОЛЛАРОВ, КАРЛ!!!; да я в роуминге на интернет потрачу меньше).

И вот недавно журналист The Sydney Morning Herald Питер Уэллс, проводя интервью с исполнительным директором Apple Томом Куком, спросил: будет ли использовать Apple опыт компании Microsoft, которая успешно продвигает Windows 10 не только в мобильных компьютерах, но также и в настольных решениях, планшетах и трансформерах. Другими словами, не ждет ли нас объединение MacOS и iOS?

Действительно, предпосылки к тому намечены уже давно, и все те, кто внимательно следит за развитием продукции Apple, не могут не замечать тенденций к слиянию двух операционных систем. Особенно «тревожным» сигналом стал переход и iOS, и MacOS на единую файловую систему APFS: интегрировать платформы, имеющие общий базис, намного проще, чем работающие на разных принципах распределения и управления файлами.

Как же тогда относиться к слухам о том, что с 2020 года Apple планирует прекратить использовать микропроцессоры Intel, переводя свои устройства настольного и мобильного сегмента на ядро ARM? Слухи об этом недавно озвучило авторитетное издание Bloomberg. По информации издания, проект перевода продукции Apple этого сегмента с архитектуры Intel на архитектуру ARM носит кодовое название Kalamata; в рамках этого проекта разрабатывается программная оболочка Marzipan, которая должна сделать возможным установку и запуск приложений для iPad и iPhone на компьютерах iMac. Действительно, выглядит как первый шаг к возможному слиянию платформ.

Томас Кук в своем интеревью Питеру Уэллсу заметил, что теперь разработчики программного обеспечения могут делать ПО для мобильных устройств Apple (iPad, iPhone) как с поддержкой сенсорного экрана, так и с поддержкой мыши – а это значит, что проект Marzipan уже реализован, и современное ПО для iPhone и iPad можно запускать в среде MacOS.

Чтож, все идет к тому, чтобы еще больше интегрировать мобильные и настольные устройства. У Apple в этом отношении имеется огромный опыт, и вовсе не удивительно, что вслед за программной интеграцией (единые типы файлов, единое сетевое хранилище, единая файловая система) планируется интеграция на уровне архитектуры (ARM-ядро). Такая интеграция сделает из устройств Apple мощный конгломерат единой, непрерывно обрабатывающей одни и те же данные, аппаратной системы с децентрализованным или централизованным (по выбору пользователя) хранением информации; таким образом воплощаются в жизнь идеи Стива Джобса о полной интеграции компьютеров разных назначений в единый, удобный и высокотехнологичный продукт.

Написано по материалам The Sydney Morning Herald и Bloomberg

Станислав Корб, ©2018

РЕЗЕРВИРОВАНИЕ ДАННЫХ: МНЕНИЕ СПЕЦИАЛИСТА ПО ВОССТАНОВЛЕНИЮ ИНФОРМАЦИИ

Введение

Резервное копирование данных (по-английски – data backup) – это создание дополнительной копии файлов, которые вы не хотите по тем или иным причинам потерять.

Для начала – зачем? Причина проста: обезопасить себя от потери данных и от затрат по их восстановлению. Потерять данные сейчас намного проще, чем кажется. Причин масса, перечислю лишь основные: вы случайно отформатировали раздел с данными; вы случайно удалили нужные файлы; ваш жесткий диск сломался; вы «подцепили» вирус, который зашифровал ваши файлы; вы зашифровали раздел с данными и потеряли/забыли пароль; и т.п. Что дешевле – иметь резервную копию данных, или восстанавливать данные? Конечно, иметь копию: восстановление данных может стоить и 100, и 200, и больше долларов, тогда как стоимость резервного копирования – это обычно лишь стоимость устройства для создания копии и стоимость программы, которая будет эту копию создавать и поддерживать в актуальном состоянии (однако последний пункт справедлив не всегда – многие предпочитают бесплатное ПО с достаточным для их потребностей функционалом).

По типу резервирования резервное копирование может быть:

  • ручным,
  • полуавтоматическим,
  • автоматическим.

По используемому для резервирования накопителю:

  • на тот же накопитель,
  • на другой накопитель,
  • в облако.

Ну и по самому резервированию это могут быть:

  • Полное резервирование (при каждом копировании переписываются все файлы без разбора);
  • Инкрементальное резервирование (копируются и заменяются только измененные после последнего резервирования файлы);
  • Дифференциальное резервирование (измененные файлы копируются в предназначенные для этого папки).

Куда резервировать данные?

Сначала поговорим о том, куда резервировать ваши данные. Вполне очевидно, что резервное копирование на тот же накопитель (скажем, в другой логический раздел или в специальную папку) – наименее надежно. Если диск вышел из строя, отформатирован, зашифрован – вы теряете доступ не только к основным данным, но и к их копии. Вирус-шифровальщик также зашифрует и основную копию данных, и резерв. И так далее. В общем, рекомендовать резервирование данных на тот же накопитель можно только в том случае, когда нет финансовой или физической возможности использовать резервирование на внешний накопитель или в Сеть.

Резервирование файлов в облако – относительно недавно появившийся метод резервного копирования ваших данных. Бесплатные варианты облачных сервисов обычно невелики (5 – 10 Гбайт), поэтому для более-менее полного резервирования информации среднего пользователя недостаточны. Как правило, купить дополнительную емкость в облаке не составляет проблем, но это возлагает на пользователя дополнительные заботы (не просрочить оплату – основная из них), поэтому платные облачные сервисы можно рассматривать, пожалуй, только для организаций (там оплатой услуг занимаются специально обученные люди, и вероятность потерять данные потому, что просрочили оплату на полгода, минимальна). Однако не следует забывать, что ни один облачный сервис не несет ответственности за ваши данные – когда вы соглашаетесь с дисклеймером, там это написано черным по белому. Поэтому, хотя вероятность такого события и ничтожно мала, потерять данные в облаке все-таки возможно.

Ну и резервирование файлов на физически другой носитель. Как показывает практика, это наиболее дешевый и наиболее надежный способ сохранения резервной копии ваших данных. Почему наиболее дешевый? А давайте посчитаем. 1 ТБ места в облаке iCloud стоит 10 долларов/месяц. 1 ТБ места на GoogleDrive – 13 долларов/месяц. Это получается в первом случае 120 долларов в год, а во втором – больше 150. Внешний жесткий диск емкостью 1 Тбайт можно купить за 50 – 70. И использовать его не один год. Вот и получается – дешевле. Почему этот способ хранения данных надежнее облака? Хотя бы потому, что при хранении в облаке вы привязаны к интернету – причем для хранения больших объемов данных, интернет должен быть быстрым. Ну и, естественно, вы должны помнить регистрационные данные вашего облака (логин и пароль) чтобы в него попасть; если вы их забыли или потеряли, и нет возможности их восстановить – ваши данные утеряны.

Типы резервирования данных

Теперь давайте рассмотрим типы резервирования.

1. Ручное резервирование данных. Может подразделяться соответственно на:

  • Резервирование файлов,
  • Резервирование раздела,
  • Резервирование диска целиком.

Во всех трех случаях резервирование производится лично вами и под вашим личным контролем. При резервировании файлов вы, соответственно, выбираете файлы, которые хотите поместить в резервное хранилище, и отправляете их туда. При резервировании раздела создается сжатый или несжатый образ раздела, а при резервировании диска – всего диска. Для первой задачи обычно используются файловые менеджеры (Total Commander, FAR и их аналоги), для второй наиболее часто используются продукты компании Acronis (Acronis True Image). Резервирование диска хорошо тем, что в случае утери исходного диска (сломался, отформатировали и т.п.) вы берете другой диск аналогичной или большей емкости и записываете на него образ, после чего, при правильном старте компьютера, получаете полностью работающую операционную систему и все данные.

2. Полуавтоматическое резервирование. В этом случае вы настраиваете в приложении один раз то, что должно резервироваться (указываете папки, файлы, разделы, которые программе следует обработать), но процесс резервного копирования запускаете сами (нажатием кнопки, например). Такой тип резервирования обычно применяется при небольших объемах данных и в тех случаях, когда накопитель для резервного копирования подключается только на время копирования, а компьютер, с которого создается копия, работает не круглосуточно.

3. Автоматическое резервирование. Оператор создает в программе резервного копирования данных задачу, в которой указывает, что и куда резервировать, а также устанавливает время начала операций резервирования и их период. В этом случае все операции по резервированию данных производятся автоматически и без участия пользователя. Все, что ему нужно делать – время от времени контролировать результат резервирования (действительно ли данные скопированы и насколько они актуальны).:

Полное, инкрементальное или дифференциальное резервирование?

Если данных немного, то полный тип резервирования наиболее оптимален. Резервирование займет немного времени, и у вас будет в наличии наиболее актуальный набор ваших файлов.

Инкрементальный тип резервирования подходит тем пользователям, у которых имеются большие массивы постоянно обновляемых данных – такие, как библиотеки электронных книг, коллекции музыкальных файлов, архивы фотографий и т.п. Полное копирование нескольких сотен гигабайт данных – занятие долгое, а вот если копировать только то, что было добавлено или изменено после последнего резервирования, то можно управиться и за несколько минут.

Наконец, дифференциальный тип резервирования нужен тем пользователям, которым важно иметь все версии определенных файлов. Например, некоторые бухгалтера хранят версии одной и той же электронной таблицы под разными именами; таким образом, у них всегда есть возможность посмотреть, какие движения средств были в нужном месяце и т.п.

Программы для резервного копирования

Для ручного резервирования данных, как я уже говорил выше, подойдет любой файловый менеджер (Total Commander, FAR и т.п.). Некоторые, наиболее хардкорные пользователи, используют для этих целей проводник Windows.

Программ для реализации автоматического и полуавтоматического резервного копирования на рынке огромное множество, остановимся лишь на наиболее известных. В топе, конечно же, программные продукты компаний Paragon и Acronis: Paragon Backup Recovery, Acronis True Image. Кроме них стоит назвать Active Backup (и Active Backup Pro), ABC Backup, EASEUS Todo Backup, и др. Менее известных программ многие сотни, и вовсе не обязательно зацикливаться именно на тех, которые я перечислил выше.

На что обратить внимание при подборе программы для создания резервной копии данных? Параметров немного. Первый – возможность настраивания процесса резервного копирования, расписания и пр. Второй – возможность инкрементального резервирования (программа отслеживает, что изменилось после последнего копирования, и резервирует только измененные файлы; таким образом экономится масса времени). Третий – есть ли возможность выгружать данные в Сеть (облако или FTP). Собственно, это все. Остальной функционал – на ваше личное усмотрение и удобство.

Сидинг

Еще одна разновидность резервного копирования данных – сидинг. В общем-то, это обычное использование облачных сервисов, с той лишь разницей, что вы отправляете туда данные не через сеть, а на физическом носителе данных (по почте или курьером). Обычно сидинг заказывают крупные компании, имеющие большие объемы данных, пересылка которых через сеть либо технически затруднена, либо невозможна из соображений конфиденциальности. Используя сидинг, такие компании копируют на носитель для передачи в облако не необработанные файлы, а защищенные паролем архивы; в том же виде они размещаются и в облаке. Минусы сидинга вполне очевидны: данные для резервирования необходимо подготовить, скопировать на диск, этот диск отправить в компанию, которая обеспечивает облачные услуги, там они должны быть скопированы в хранилище, и т.п. Таким образом, минусы: долгое время отклика, уязвимость резервной копии во время пересылки (диск может выйти из строя), невозможность организовать резервирование данных с большой частотой. Именно поэтому здесь мы не рассматриваем сидинг подробно.

В принципе, разновидностью сидинга будет отправка ваших данных на отдельном носителе не в облако, а в банковскую ячейку. Разница лишь в том, что при сидинге вы будете иметь доступ к данным через сеть (все-таки они отправляются в облако), а во втором – нет. Но надежность хранения данных в банковской ячейке составит все 100%.

Рекомендации и предупреждения

1. Приобретая накопитель для резервного копирования, помните: объем ваших данных будет расти, а значит, лучше взять накопитель «на вырост». Насколько большим должен быть запас объема – решать вам, но я бы советовал покупать диск как минимум в 2 раза больше, чем текущий резервируемый объем.

2. Выбирая накопитель для резервного копирования, руководствуйтесь не только объемом, но и размерами и форм-фактором. Помните, что повредить накопитель форм-фактора 3.5’ проще, чем аналогичный по объему накопитель форм-фактора 2.5’.

3. Подготавливая накопитель для резервирования, убедитесь, что его файловая система поддерживает файлы большого размера, необходимое количество записей в файловых таблицах, и т.п. Нам попадались случаи резервирования файлов размером больше 4 Гб в файловую систему FAT – естественно, никакого резервирования не происходило, система резервного копирования создавала файл нулевого размера (но с правильным названием) и усердно пыталась делать вид, что льет в резерв данные.

4. Обычно достаточно иметь одну резервную копию данных, если все те же данные хранятся у вас на компьютере. Однако некоторые пользователи (особенно – профессиональные фотографы и видеооператоры) имеют огромные объемы медиа-контента, хранение которого на компьютере невозможно. Для хранения этих данных они используют внешние диски или NAS. Эти данные обычно хранятся в единственном экземпляре вследствие их большого объема; делать их резервирование крайне желательно.

5. Старайтесь хранить резервную копию данных не там же, где стоит ваш компьютер с основной копией. Это убережет вас от потери данных в случае пожара, кражи, землетрясения и других непредвиденных факторов.

6. Регулярно проверяйте состояние накопителя для резервирования данных – как минимум, просматривая его SMART, и как максимум – проводя тестирование поверхности (например, программой Victoria for Windows). Это убережет вас от внезапной смерти накопителя с вашим бэкапом. Помните: лучше вовремя заменить накопитель и не потерять ничего, чем потерять накопитель с резервной копией и некоторое время (до покупки нового резервного диска и создания нового резерва) работать с риском потери и основной копии данных, ведь закон Мерфи гласит: если неприятности случаются подряд, то они случаются в самой неприятной последовательности.

7. И последнее. Старайтесь подключать накопитель для резервирования данных только на время резервирования – так вы обезопасите себя от порчи данных при внезапном заражении компьютера вирусами-шифровальщиками. И, если у вас есть возможность и время, контролируйте как основную копию данных, так и резервную: деятельность многих вредоносных программ не видна до того момента, как они ее закончили, и если в ваших папках начали появляться непонятные файлы со странными расширениями – это повод начать бить тревогу и не подключать к компьютеру «здоровый» резерв.

Выводы

Резервирование данных – в настоящее время необходимая почти для каждого пользователя ПК или продвинутого смартфона процедура. Как организовать резервирование, куда резервировать данные и как часто это делать – решать вам, исходя из ваших потребностей и примерного времени накопления критической при потере массы измененных данных. Кому-то не критично потерять данные, копившиеся полгода, кому-то – месяц, ну а для кого-то неприемлемо потерять данные даже за 1 день.

Оптимальной для подавляющего большинства конфигурацией резервирования данных будет: использование внешнего накопителя форм-фактора 2.5’ с разъемом USB3.0 емкостью 1 – 2 Тб, период обновления 1 неделя, тип резервирования – инкрементальное резервирование файлов. Такой тип резервирования для обычного пользователя позволит полностью обновлять резервную копию данных примерно за 10 минут (в неделю) и использовать один и тот же накопитель для резервирования данных до конца его службы.

Пожелания к разработчикам ПО для резервного копирования

Этот раздел своей статьи я хотел бы адресовать разработчикам программного обеспечения для резервирования данных. Все эти пожелания родились в процессе дискуссии специалистов по восстановлению данных о существующих продуктах для резервирования информации.

1. В условиях серьезного прессинга вирусов-шифровальщиков существует достаточно большая вероятность, что во время выполнения резервирования может произойти заражение резервной копии и, как следствие, ее утеря. Поэтому было бы не лишним ввести в алгоритм работы ПО резервного копирования анализ и детектирование известных разрешений файлов, зашифрованных шифровальщиками; в случае обнаружения такого файла при копировании – копирование немедленно остановить а на накопитель отправить команду “sleep”. Конечно, это не даст 100% гарантии от заражения резервного носителя, так как ПО для резервирования – не антивирус, но существенно снизит такой риск.

2. Было бы неплохо видеть в ПО для резервирования данных возможности, которые представляет АТА-Стандарт, а именно: возможность создания резервной партиции за основной областью данных (с использованием HPA) и возможность закрывать накопитель АТА-паролем по окончании работ по резервированию данных. Это в значительной мере обезопасит данные от несанкционированного доступа (в том числе – и вирусам).

3. Для постоянно подключаемых дисков для резервирования было бы неплохо иметь возможность держать все резервируемые файлы в состоянии «занят» с тем, чтобы никакой дргой процесс не мог их изменить. Это обезопасит резервируемые файлы от заражения вирусами и изменения «на лету».

Станислав Корб, ©2018



Мы принимаем к оплате | We accept payments


Мы стажировались и работали в странах | We worked or practiced in following countries