Um dos tópicos de interesse do 7 Tutoriais^{(7 Tutorials)} é a segurança. Não apenas escrevemos artigos e tutoriais sobre como ter uma experiência de computação^{(computing experience)} segura, mas também revisamos produtos de segurança regularmente. Uma das coisas sobre as quais queríamos aprender mais é como os produtos de segurança são feitos: quais são as etapas envolvidas? os desafios mais importantes? etc. Por sorte^(Luck) tivemos a chance de nos encontrar com Alexandru Constantinescu - Gerente de Mídia Social^{(Social Media Manager)} da Bitdefender , que imediatamente disse: "Ei! Por que você não nos visita e aprende mais com nossa equipe? Aceitamos o convite e hoje^{(invite and today)}podemos compartilhar com você uma extensa discussão sobre como os produtos de segurança são feitos."

Nossos parceiros de discussão

BitDefender é uma empresa de segurança^{(security company)} que não deve exigir muita introdução. Ou pelo menos não para nossos leitores. Eles são a empresa líder em segurança^{(security company)} na Romênia^(Romania) e desenvolvem produtos de segurança que receberam muitos elogios e apreços^{(praise and appreciation)} . Seus produtos estão constantemente aparecendo nas listas das principais soluções de segurança.

BitDefender - Cătălin Coşoi

Fomos à sede da BitDefender^{(BitDefender headquarters)} em Bucareste^(Bucharest) e tivemos uma longa discussão com Cătălin Coșoi - Pesquisador Chefe de Segurança^{(Security Researcher)} (na foto acima) e Alexandru Bălan - Gerente Sênior de Produto^{(Product Manager)} . Ambos são pessoas muito conhecedoras e amigáveis, com quem gostámos de ter esta conversa.

Logo do BitDefender

Como os produtos de segurança são feitos

Não perdemos muito tempo com apresentações e imediatamente começamos nossa conversa.

Quais são as etapas pelas quais você passa ao desenvolver uma nova versão de um produto de segurança, como um Internet Security Suite?^{(What are the stages you go through, while developing a new version of a security product, such as an Internet Security Suite?)}

A abordagem não é muito diferente do seu projeto de desenvolvimento de software^{(software development project)} típico . Digamos que acabamos de lançar a versão 2012 de nossos produtos. Assim que o lançamento termina, começamos a trabalhar na versão 2013. Primeiro^(First) , decidimos sobre o conjunto de recursos e mudanças que serão introduzidos nesta próxima versão.

Para identificar os recursos que terão grande impacto para a próxima versão, discutimos com diversos públicos: revisores, especialistas em segurança, especialistas técnicos e usuários que podem nos dar insights sobre o que funciona, o que não funciona e o que poderia funcionar bem na próxima versão. Além disso, nossa própria equipe técnica fornece informações com base em sua experiência e visão^{(expertise and vision)} de onde eles gostariam de levar o produto. Também fazemos uma análise de mercado^{(market analysis)} para entender melhor a(s) direção(ões) para onde as outras empresas estão indo. Com base em todas essas entradas, fazemos uma chamada sobre o que será incluído na próxima versão e o que não será.

Em seguida, temos a etapa de desenvolvimento^{(development stage)} , com várias fases de teste incluídas. Primeiro^(First) , temos uma prévia interna quando testamos nosso software pré-beta. Em seguida, temos vários estágios beta:

Um beta interno –^{(beta –)} assim como o preview interno, mas com um público um pouco maior testando o produto;
Um beta privado –^{(beta –)} onde escolhemos um círculo fechado de usuários de fora da empresa para testar o produto. Envolvemos até alguns milhares de usuários e escolhemos pessoas cujo feedback consideramos útil. Incluímos usuários experientes, pessoas com quem tivemos uma colaboração mais longa, especialistas técnicos cuja opinião valorizamos, etc.;
Uma versão beta pública –^{(beta –)} ocorre de 2^{(place 2)} a 3 meses antes do lançamento real. Neste momento, qualquer pessoa interessada pode pegar o produto, testá-lo e fornecer feedback.

Durante os estágios beta, ajustamos o produto continuamente e, pouco antes do lançamento, temos uma pequena janela de tempo para fazer os retoques finais. Em seguida, ocorre o lançamento, onde as equipes de marketing, relações públicas, vendas e outras estão envolvidas em fazer o burburinho necessário, enquanto a equipe de desenvolvimento^{(development team)} lida com quaisquer problemas que possam surgir.

Na verdade, não soa diferente de outros projetos de desenvolvimento de software. No entanto, existem desafios específicos para esse nicho de desenvolvimento de software de segurança?^{(Indeed, it doesn't sound different from other software development projects. However, are there any challenges specific to this niche of developing security software?)}

Isso teria que ser a necessidade de agilidade no verdadeiro sentido da palavra. É fundamental para o nosso nicho, mais do que em qualquer outra linha de desenvolvimento de software^{(software development)} . Para proteger os computadores, redes e dispositivos de nossos clientes, devemos ser muito rápidos em responder a novas ameaças. Geralmente, você não tem muitos novos tipos de ameaças aparecendo em um dia. A maioria dos malwares é simplesmente uma evolução de malwares mais antigos e geralmente achamos fácil lidar com isso. No entanto, quando algo realmente novo surge, devemos agir muito rápido. Em apenas algumas horas você tem que entregar pelo menos uma atualização de suas definições ou heurísticas que manterão seus clientes seguros.

É ainda mais difícil quando, para responder a uma nova ameaça, não basta atualizar nossas definições e devemos desenvolver um novo recurso em nosso produto. Isso afeta não apenas os produtos atualmente usados por nossos clientes, mas também os novos produtos que estamos desenvolvendo.

Tomemos como exemplo o Facebook . À medida que cresceu em popularidade, tornou-se uma ferramenta frequente para distribuição de spam e malware^{(spam and malware)} . Como seria de esperar, sempre ficamos de olho nessa rede social e monitoramos os links de malware que se espalhavam por ela e os incluímos em nosso banco de dados na nuvem. No entanto, sentimos a necessidade de desenvolver uma nova ferramenta que lidasse melhor com malware no Facebook . Foi assim que criamos o conceito do BitDefender SafeGo (um produto analisado também em 7 Tutoriais^{(7 Tutorials)} ). No outono de 2010 lançamos a primeira versão deste produto e, posteriormente, tornou-se parte integrante de nossos produtos de segurança, como o BitDefender Internet Security Suite 2012 .

Aliás, um ótimo exemplo. Falando em BitDefender SafeGo – você pretende mantê-lo disponível também como um produto gratuito para clientes não pagantes, como é hoje?^{(Indeed, a great example. Speaking of BitDefender SafeGo – do you intend to keep it available also as a free product for non-paying customers, as is today?)}

Sim, este produto estará disponível em nossos produtos de segurança comercial e como um aplicativo gratuito do Facebook e Twitter^{(Facebook and Twitter app)} . Isso porque os problemas de segurança no Facebook continuarão existindo e se espalhando. Este produto nos ajuda a identificar malware mais rapidamente e proteger nossos clientes pagantes e não pagantes. Além disso, achamos que disponibilizar esta ferramenta gratuitamente ajuda a aumentar a conscientização sobre o BitDefender para clientes que podem não ter ouvido falar de nós. Se eles gostarem do BitDefender SafeGo^{(BitDefender SafeGo)} , temos uma chance maior de eles considerarem outros produtos de segurança que desenvolvemos.

Algum outro exemplo de quando uma grande agilidade é necessária?^{(Any other examples of when great agility is needed?)}

Outra coisa que fazemos o nosso melhor é tentar identificar oportunidades para atender a outros tipos de necessidades de segurança que as pessoas têm, não apenas sua detecção e proteção de vírus^{(virus detection and protection)} padrão . Por exemplo, se você se lembra da controvérsia sobre o Carrier IQ – um software instalado por muitos fornecedores de dispositivos móveis, que registrava informações como localização sem notificar os usuários ou permitir que eles optassem por não participar. Apesar de não ser um malware e ter sido pré-instalado em seu telefone pela operadora^{(mobile carrier)} de celular , muitas pessoas queriam saber se o tinham instalado em seus telefones ou não. Quando soubemos disso, era um sábado^(Saturday) . Um membro da nossa equipe foi ao escritório, gastou cerca de 3 a 4 horas e desenvolveu um produto gratuito do zero, paraUsuários do Android^(Android) . Chama-se Bitdefender Carrier IQ Finder e permite que os usuários do Android saibam rapidamente se estão sendo rastreados ou não.

Vamos falar um pouco sobre computação em nuvem. Nós a vemos cada vez mais usada em produtos de segurança. Alguns fornecedores até oferecem apenas segurança baseada em nuvem em seus produtos. O que você acha dessa abordagem?^{(Let's talk a bit about cloud computing. We see it used more and more in security products. Some vendors even offer only cloud-based security in their products. What do you think about this approach?)}

A computação em nuvem^(Cloud) definitivamente tem um papel importante no espaço de soluções de segurança. No entanto, acreditamos que uma abordagem híbrida que usa bancos de dados de definição e a nuvem oferece os melhores resultados. Quando apenas a nuvem é usada, você depende da conexão com a Internet^{(Internet connection)} . Se isso desaparecer, o sistema permanece desprotegido. Ter uma combinação de definições de malware e a nuvem oferece melhores resultados na maioria dos cenários de computação.

Você planeja usar a computação em nuvem ainda mais no futuro? Talvez até adote a mesma abordagem somente na nuvem?^{(Do you plan to use cloud computing even more in the future? Maybe even take the same cloud-only approach?)}

Na verdade. Acreditamos no uso das tecnologias que melhor se adequam ao propósito. Por exemplo, se queremos proteger o navegador da web de um usuário, usamos apenas a nuvem. Sites maliciosos são os mesmos, indiferentes aos sistemas operacionais e navegadores que as pessoas usam para acessá-los. Além disso, se não houver acesso à Internet^{(Internet access)} , o usuário não poderá navegar na web. Portanto, não há problema se a proteção na nuvem^{(cloud protection)} também estiver indisponível.

Para o antivírus, acreditamos que é melhor usar as definições clássicas e a nuvem. As definições ajudam a fornecer proteção quando a nuvem não está disponível devido a uma queda de conexão com a Internet . ^{(Internet connection)}Além disso, eles fazem a análise comportamental de arquivos e aplicativos rodar mais rápido do que quando se tenta usar a nuvem para o mesmo propósito. Quando nosso software está fazendo qualquer tipo de análise comportamental e de ação^{(action analysis)} , as definições fornecem mais velocidade do que a nuvem.

Conte-nos um pouco mais sobre as tecnologias que o BitDefender usa para proteger um sistema.^{(Tell us a bit more about the technologies BitDefender uses to protect a system.)}

Em geral, nos produtos BitDefender existem três tecnologias principais que são usadas para proteger os sistemas:

Comportamento^(Behave) – isso monitora e aprende o comportamento geral de seus aplicativos;
Controle Ativo de Vírus^{(Active Virus Control)} – monitora as ações realizadas por um aplicativo e bloqueia^{(application and blocks)} aquelas que são suspeitas ou mal intencionadas.
Nuvem^(Cloud) – reúne informações de várias fontes sobre malware e se atualiza continuamente. Os dados da nuvem são usados por quase todos os módulos de proteção incluídos em nossos produtos.

Quais são suas fontes para encontrar e aprender sobre novas formas de malware?^{(What are your sources for finding and learning about new forms of malware?)}

Temos muitas fontes para aprender sobre novos vírus e malware em geral:

Honeypots;
BitDefender SafeGo , com suporte para Facebook e Twitter^{(Facebook & Twitter)} ;
Os dados enviados^{(data sent)} dos computadores de nossos clientes sobre infecções e atividades suspeitas;
Nossa colaboração com outros provedores de segurança;
Bancos de dados públicos de malware.

Honeypots. Isso parece interessante. Conte-nos um pouco mais sobre eles. O que exatamente eles são?^{(Honeypots. That sounds interesting. Tell us a bit more about them. What exactly are they?)}

Honeypots são sistemas que distribuímos em nossa rede, que atuam como vítimas. Seu papel é parecer alvos vulneráveis, que possuem dados valiosos sobre eles. Monitoramos esses honeypots continuamente e coletamos todos os tipos de malware e informações^{(malware and information)} sobre atividades de black hat.

Outra coisa que fazemos é transmitir endereços de e-mail falsos que são coletados automaticamente por spammers da Internet . Em seguida, eles usam esses endereços para distribuir e-mails de spam, malware ou phishing. Coletamos todas as mensagens que recebemos nesses endereços, analisamos e extraímos os dados necessários para atualizar nossos produtos e manter nossos usuários seguros e livres de spam.

Vamos supor que você acabou de identificar um novo malware. O que você faz com isso? Como você descobre o que ele faz e como desinfetar melhor um sistema?^{(Let's assume you just identified a new piece of malware. What do you do with it? How do you find out what it does and how to best disinfect a system?)}

Pelo menos inicialmente não estamos tão interessados em aprender o que esse malware faz. Estamos interessados em saber se seu comportamento é suspeito ou não, se é um vírus ou não. Isso permite que nossos produtos atuem e façam coisas como cortar o acesso à rede ou colocar^{(network or place)} em quarentena esse malware.

Todos os novos malwares identificados são enviados automaticamente para nosso laboratório de pesquisa^{(research lab)} em Iaşi . A equipe de lá se encarrega de desconstruir os vírus, entendendo o que eles fazem e atualizando nosso banco de dados de definições com as informações apropriadas.

Falando da equipe de pesquisa, conte-nos um pouco mais sobre eles e seu trabalho em "hackear" vírus.^{(Speaking of the research team, tell us a bit more about them and their work on "hacking" viruses.)}

Bem, eles são uma equipe muito especializada que trabalha em um ambiente muito fechado, de todas as perspectivas. Por exemplo, não queremos que os vírus em que trabalham, saiam à solta ou se espalhem^{(wild or spread)} em nossa própria rede. Todos eles são especialistas em segurança qualificados em coisas que variam de criptografia a fluência em várias linguagens de programação (incluindo linguagem Assembly^{(Assembly language)} ), conhecimento de protocolos de internet, técnicas de hacking, etc.

Eles são responsáveis por descriptografar o código de um vírus e atualizar nossos bancos de dados de definições com as informações apropriadas. No entanto, antes de começar a trabalhar na criação de uma atualização de definição^{(definition update)} por conta própria, eles devem passar por um longo processo de treinamento e especialização^{(training and specialization)} que leva 9 meses. Eles não estão autorizados a trabalhar com nossos bancos de dados de definição por conta própria até que tenham passado por todo o treinamento necessário e tenham provado que sabem o que devem fazer.

BitDefender - Escritório

Além disso, gostaríamos de esclarecer uma lenda urbana, se você quiser chamá-la assim: muitos acreditam que os melhores hackers e criadores de vírus são contratados por empresas de segurança, incluindo BitDefender . Pelo menos quando se trata de nossa empresa, isso não é verdade. Durante o processo de contratação^{(hiring process)} , filtramos todos os candidatos que criaram malware ou fizeram qualquer tipo de hacking black-hat.

Preferimos ser acompanhados por membros da equipe em quem podemos confiar. Queremos que as pessoas se juntem a nós porque gostam de um grande desafio de segurança^{(security challenge)} e não usam suas habilidades e inteligência para fins egoístas. Todos em nossa equipe de pesquisa^{(research team)} podem pelo menos criar seu próprio vírus, se não hackear um sistema mais complexo. No entanto, eles não fazem isso porque acreditam que não é a coisa certa a fazer e nem o uso correto de seus talentos. Além disso, nossa empresa não toleraria esse tipo de comportamento.

Com que frequência seus produtos procuram novas definições em seus servidores?^{(How often do your products look for new definitions on your servers?)}

Uma vez a cada 45 a 60 minutos. É muito importante para nós que novas definições sejam entregues o mais rápido possível. Às vezes, se uma determinada situação o exigir, também enviamos notificações push, para que nossos produtos de segurança se atualizem imediatamente e não esperem a atualização agendada. Gostaríamos de poder enviar dados assim que aprendermos algo novo. No entanto, isso não é viável do ponto de vista técnico e arruinaria a experiência de computação de nossos usuários. É por isso que mantemos as notificações push e atualizações no mínimo e as usamos apenas quando realmente faz sentido.

Você colabora com outras empresas e compartilha conhecimento e informações sobre as ameaças de segurança mais recentes?^{(Do you collaborate with other companies and share knowledge and information about the latest security threats?)}

Sim nós fazemos. Colaboramos com 6 outras empresas, incluindo nossos parceiros para os quais licenciamos nossa tecnologia, como F-Secure ou G-Data^{(F-Secure or G-Data)} . No entanto, não podemos divulgar os nomes das outras empresas.

BitDefender - Escritório

Quanto você investe nos recursos mais secundários, que não necessariamente contribuem para aumentar a segurança de um sistema? Estou me referindo aos recursos incluídos principalmente no Total Security Suites, como: Controle dos Pais, Backup de Arquivos, Sincronização de Arquivos, etc.^{(How much do you invest in the more secondary features, that don't necessarily contribute to enhancing the security of a system? I'm referring to features included mostly in Total Security Suites, such as: Parental Controls, File Backup, File Synchronization, etc.)}

Obviamente, os recursos clássicos de uma suíte de segurança^{(security suite)} como antivírus, firewall, antispam, etc, são o foco principal do trabalho de nossa equipe e recebem a maior parte dos recursos de desenvolvimento de nossa empresa. No entanto, temos equipes dedicadas para cada um dos recursos secundários que oferecemos em nossos produtos e contam com equipes conforme necessário, dependendo da quantidade de trabalho necessária para manter esses módulos. Você pode imaginar que não precisamos de tantas pessoas trabalhando no Controle dos Pais^{(Parental Controls)} quanto no mecanismo de proteção antivírus^{(antivirus protection engine)} .

BitDefender tem uma linha clássica de produtos: BitDefender Antivirus, Internet Security Suite, Total Security Suite e Sphere, que oferece uma licença para até 3 usuários que podem usar a suíte de segurança superior que você fornece, em qualquer plataforma que você suporta, em um número ilimitado de dispositivos. Qual desses conceitos é mais popular entre seus usuários? Eles preferem os recursos adicionais de um conjunto Total Security ou os produtos de segurança mais clássicos?^{(BitDefender has a classic line-up of products: BitDefender Antivirus, Internet Security Suite, Total Security Suite and Sphere, which offers a license for up to 3 users that can use the top security suite you provide, on any platform you support, on an unlimited number of devices. Which of these concepts is most popular with your users? Do they prefer the added features of a Total Security suite or the more classic security products?)}

O BitDefender Internet Security Suite^{(BitDefender Internet Security Suite)} é definitivamente o nosso produto mais popular. Há pessoas que gostam dos recursos adicionais de um Total Security Suite , mas são minoria. No entanto, fomos agradavelmente surpreendidos pelo sucesso e feedback positivo que recebemos para o nosso novo produto BitDefender Sphere^{(BitDefender Sphere product)} . Parece que muitas pessoas gostam de ter uma solução de segurança^{(security solution)} unificada que pode proteger seus PCs, Macs e smartphones ou tablets baseados em Android. Eles gostam muito da flexibilidade de comprar apenas mais uma licença acessível para proteger todos os dispositivos de computação em suas casas.

Por último, mas não menos importante, vamos falar um pouco sobre o Windows 8 e sua nova interface Metro. Você planeja oferecer soluções de segurança projetadas para a nova interface de toque? Você fornecerá produtos de segurança separados para tablets Windows 8?^{(Last but not least, let's talk a bit about Windows 8 and its new Metro interface. Do you plan to offer security solutions designed for the new touch interface? Will you provide separate security products for Windows 8 tablets?)}

Estamos definitivamente trabalhando para fornecer alguns produtos interessantes para o Windows 8^{(Windows 8)} e a nova interface Metro^{(Metro interface)} . O desafio com o Metro é que os aplicativos são executados com restrições e permissões limitadas. Eles não têm acesso total ao sistema como os aplicativos de desktop . Portanto, precisamos encontrar maneiras de contornar isso e fornecer proteção eficaz.

Infelizmente, porém, não temos liberdade para discutir mais detalhes sobre nossos planos com produtos de segurança para Windows 8 . Poderemos fornecer mais informações mais perto^{(information closer)} da finalização e disponibilização do Windows 8 .

Conclusão

Como você pode ver nesta discussão, desenvolver uma boa solução de segurança^{(security solution)} não é tarefa fácil. Envolve muito trabalho, conhecimento de diferentes aspectos da computação, rede e segurança^{(networking and security)} . Esperamos que você tenha achado esta conversa interessante^{(conversation interesting)} e útil para aprender mais sobre todo o processo envolvido.

Antes de encerrarmos este artigo, gostaríamos de agradecer à BitDefender por nos enviar este convite e nos dar a oportunidade de ter uma conversa muito interessante com alguns de seus melhores especialistas.

How Security Products Are Made - A Discussion with Bitdefender

One of the topics of interest at 7 Tutorials is security. Not only we write articles and tutorials about how to have a safe computing experience but we also review security products on a regular basis. One of the things we wanted to learn more about, is how security products are made: what are the steps involved? the most important challenges? etc. Luck has it that we got the chance to meet with Alexandru Constantinescu - Social Media Manager at Bitdefender, who immediately said: "Hey! Why don't you pay us a visit and learn more from our team? We accepted the invite and today we can share with you an extensive discussion about how security products are made."

Our Discussion Partners

BitDefender is a security company which should not require much of an introduction. Or at least not to our readers. They are the leading security company in Romania and they develop security products which received lots of praise and appreciation. Their products are constantly showing up in lists with top security solutions.

BitDefender - Cătălin Coșoi

We went to the BitDefender headquarters in Bucharest and had a lengthy discussion with Cătălin Coșoi - Chief Security Researcher (in the picture above) and Alexandru Bălan - Senior Product Manager. They are both very knowledgeable and friendly people, with whom we enjoyed having this conversation.

BitDefender logo

How Security Products are Made

We did not waste a lot of time on introductions and we immediately started our conversation.

What are the stages you go through, while developing a new version of a security product, such as an Internet Security Suite?

The approach is not really different from your typical software development project. Let's say we just launched the 2012 version of our products. As soon as the launch ends, we start working on the 2013 version. First, we decide on the set of features and changes that will be introduced in this next version.

In order to identify the features that will have a great impact for the next version, we have discussions with several audiences: reviewers, security experts, technical experts and users who are able to give us insights on what works, what doesn't and what could work well in the next version. On top of that, our own technical team gives input based on their expertise and vision of where they would like take the product. We also do a market analysis to better understand the direction(s) where other companies are heading. Based on all these inputs, we make a call on what gets included in the next version and what doesn't.

Then, we have the development stage, with several test phases included. First, we have an internal preview when we test our pre-beta software. Next, we have several beta stages:

An internal beta – just like the internal preview, but with a slightly bigger audience testing the product;
A private beta – where we choose a closed circle of users from outside the company to test the product. We involve up to a few thousand users and we choose people whose feedback we consider helpful. We include knowledgeable users, people with whom we had a longer collaboration, technical experts whose opinion we value, etc.;
A public beta – it takes place 2 to 3 months prior to the actual launch. At this time, anyone interested can pick up the product, test it and provide feedback.

During the beta stages we fine-tune the product on a continuous basis and, just before launch, we have a small time-window to make the final touches. Then the launch takes place, where marketing, PR, sales and other teams are involved in making the required buzz, while the development team handles any issues that might come up.

Indeed, it doesn't sound different from other software development projects. However, are there any challenges specific to this niche of developing security software?

That would have to be the need for agility in the truest sense of the word. It is key to our niche, more than in any other line of software development. In order to protect our client's computers, networks and devices, we must be very fast in responding to new threats. Generally, you don't have many new types of threats appearing in a day. Most malware is simply an evolution of older malware and we find it generally easy to deal with this. However, when something truly new comes up, we must act very fast. In only a few hours you have to deliver at least an update to your definitions or heuristics that will keep your clients safe.

It is even harder when, in order to answer to a new threat, it is not enough to update our definitions and we must develop a new feature in our product. This impacts not only the products currently used by our customers but also the new products we are developing.

Let's take for example Facebook. As it grew in popularity, it became a frequent tool for distributing spam and malware. As you would expect, we always had an eye on this social network and monitored the malware links being spread through it and included them in our cloud database. However, we felt the need to develop a new tool that deals with malware on Facebook in a better way. This is how we created the concept for BitDefender SafeGo (a product reviewed also on 7 Tutorials). In the autumn of 2010 we launched the first version of this product and later, it became an integral part of our security products, such as BitDefender Internet Security Suite 2012.

Indeed, a great example. Speaking of BitDefender SafeGo – do you intend to keep it available also as a free product for non-paying customers, as is today?

Yes, this product will be available both in our commercial security products and as a free Facebook and Twitter app. That's because security problems on Facebook will continue to exist and spread. This product helps us identify malware faster and protect both our paying and non-paying customers. Also, we think that making this tool available for free helps raise awareness about BitDefender to customers who might not have heard about us. If they like BitDefender SafeGo, we have a higher chance of them considering other security products we develop.

Any other examples of when great agility is needed?

Another thing we do our best to do, is try to spot opportunities for meeting other types of security needs people have, not only your standard virus detection and protection. For example, if you remember the controversy about Carrier IQ – a piece of software installed by many mobile vendors, that was logging information such as location without notifying users or allowing them to opt-out. Even though this was not a piece of malware and was preinstalled on your phone by your mobile carrier, many people wanted to know if they had it installed on their phones or not. When we learned about it, it was a Saturday. A member of our team went to the office, spent about 3 to 4 hours and developed a free product from scratch, for Android users. It is called Bitdefender Carrier IQ Finder and it allowed Android users to quickly learn if they are being tracked or not.

Let's talk a bit about cloud computing. We see it used more and more in security products. Some vendors even offer only cloud-based security in their products. What do you think about this approach?

Cloud computing definitely has an important role in the space of security solutions. However, we believe that a hybrid approach which uses both definition databases and the cloud, delivers the best results. When only the cloud is used, you are dependent on the Internet connection. If that's gone, the system remains unprotected. Having a mix of malware definitions and the cloud, delivers better results in most computing scenarios.

Do you plan to use cloud computing even more in the future? Maybe even take the same cloud-only approach?

Not really. We believe in using those technologies that best fit the purpose. For example, if we want to protect the web browser of a user, then we use only the cloud. Malicious websites are the same, indifferent of the operating systems and browsers people use to access them. Also, if there is no Internet access, the user cannot browse the web. Therefore, there is no problem if the cloud protection is also unavailable.

For the antivirus we believe it is best to use both classic definitions and the cloud. The definitions help provide protection when the cloud is not available due to an Internet connection drop-out. Also, they make the behavioral analysis of files and applications run faster than when trying to use the cloud for the same purpose. When our software is doing any kind of behavioral and action analysis, the definitions provide more speed than the cloud does.

Tell us a bit more about the technologies BitDefender uses to protect a system.

In general, in BitDefender products there are three main technologies that are used to secure systems:

Behave – this monitors and learns the general behavior of your applications;
Active Virus Control – monitors the actions taken by an application and blocks those which are suspicious or mal-intentioned.
Cloud – gathers information from lots of sources about malware and updates itself continuously. The data from the cloud is used by almost all protection modules included in our products.

What are your sources for finding and learning about new forms of malware?

We have many sources for learning about new viruses and malware in general:

Honeypots;
BitDefender SafeGo, with its support for both Facebook & Twitter;
The data sent from our clients' computers about infections and suspicious activities;
Our collaboration with other security providers;
Public malware databases.

Honeypots. That sounds interesting. Tell us a bit more about them. What exactly are they?

Honeypots are systems we distributed across our network, that act as victims. Their role is to look like vulnerable targets, which have valuable data on them. We monitor these honeypots continuously and collect all kinds of malware and information about black hat activities.

Another thing we do, is broadcast fake e-mail addresses that are automatically collected by spammers from the Internet. Then, they use these addresses to distribute spam, malware or phishing e-mails. We collect all the messages we receive on these addresses, analyze them and extract the required data to update our products and keep our users secure and spam free.

Let's assume you just identified a new piece of malware. What do you do with it? How do you find out what it does and how to best disinfect a system?

At least initially we are not that interested in learning what that piece of malware does. We are interested to learn if its behavior is suspicious or not, if it is a virus or not. This allows our products to act and do things such as cut access to the network or place into quarantine that piece of malware.

All the new pieces of malware that are identified get sent automatically to our research lab in Iaşi. The team there takes care of deconstructing the viruses, understanding what they do and updating our definitions database with the appropriate information.

Speaking of the research team, tell us a bit more about them and their work on "hacking" viruses.

Well, they are very specialized team that works in a very closed environment, from all perspectives. For example, we don't want viruses they work on, to get out in the wild or spread into our own network. All of them are security experts skilled in things that vary from encryption to being fluent with multiple programming languages (including Assembly language), knowledge of internet protocols, hacking techniques, etc.

They are in charge of decrypting the code of a virus and updating our definitions databases with the appropriate information. However, before they get to work on creating a definition update on their own, they must go through a lengthy process of training and specialization that takes 9 months. They are not allowed to work with our definition databases on their own until they have gone through all the required training and have proven that they know what they have to do.

BitDefender - Office

Also, we would like to clarify an urban legend, if you would like to call it that way: many believe that the best hackers and virus makers get hired by security companies, including BitDefender. At least when it comes to our company, this is not true. During the hiring process, we filter out all the candidates who have created malware or have done any kind of black-hat hacking.

We prefer to be joined by team members whom we can trust. We want people to join us because they enjoy a great security challenge and do not use their skills and intelligence for selfish purposes. Everyone in our research team can at least create their own virus if not even hack a more complex system. However, they don't do it because they believe it is not the right thing to do and not the correct use of their talents. Also, our company would not tolerate this kind of behavior.

How often do your products look for new definitions on your servers?

Once every 45 to 60 minutes. It is very important for us to have new definitions delivered as soon as possible. Sometimes, if a given situation requires it, we also send push notifications, so that our security products update themselves immediately and don't wait for the scheduled update to take place. We would like to be able to send data as soon as we learn something new. However, that is not feasible from a technical perspective and it would ruin the computing experience of our users. That's why we keep push notifications and updates to a minimum and use them only when it really makes sense.

Do you collaborate with other companies and share knowledge and information about the latest security threats?

Yes, we do. We collaborate with 6 other companies, including our partners to which we licensed our technology, such as F-Secure or G-Data. However, we cannot disclose the names of the other companies.

BitDefender - Office

How much do you invest in the more secondary features, that don't necessarily contribute to enhancing the security of a system? I'm referring to features included mostly in Total Security Suites, such as: Parental Controls, File Backup, File Synchronization, etc.

Obviously, the classic features of a security suite such as antivirus, firewall, antispam, etc are the main focus of our team's work and receive most of our company's development resources. However, we do have dedicated teams for each of the secondary features we offer in our products and they are staffed as needed, depending on the amount of work required to maintain these modules. You can imagine that we don't need as many people working on Parental Controls as on the antivirus protection engine.

BitDefender has a classic line-up of products: BitDefender Antivirus, Internet Security Suite, Total Security Suite and Sphere, which offers a license for up to 3 users that can use the top security suite you provide, on any platform you support, on an unlimited number of devices. Which of these concepts is most popular with your users? Do they prefer the added features of a Total Security suite or the more classic security products?

BitDefender Internet Security Suite is definitely our most popular product. There are people who enjoy the added features of a Total Security Suite but they are in minority. However, we've been pleasantly surprised by the success and positive feedback we received for our new BitDefender Sphere product. It seems many people enjoy having a unified security solution that can protect their PCs, Macs and Android-based Smartphones or Tablets. They very much enjoy the flexibility of purchasing just one more affordable license to protect all the computing devices in their homes.

Last but not least, let's talk a bit about Windows 8 and its new Metro interface. Do you plan to offer security solutions designed for the new touch interface? Will you provide separate security products for Windows 8 tablets?

We are definitely working on providing some exciting products for Windows 8 and the new Metro interface. The challenge with Metro is that applications run with restrictions and limited permissions. They don't have full access to the system as Desktop applications do. Therefore we need to find ways to get around that and provide effective protection.

Unfortunately though, we are not at liberty to discuss more specifics about our plans with security products for Windows 8. We will be able to provide more information closer to Windows 8 being finalized and made available.

Conclusion

As you can see from this discussion, developing a good security solution is no easy task. It involves lots of work, knowledge of different aspects of computing, networking and security. We hope you found this conversation interesting and useful in learning more about the whole process involved.

Before we close this article, we would like to thank BitDefender for sending us this invitation and giving us the opportunity to have a very interesting conversation with some of their best specialists.

Ariadna das Dores

About the author

Sou engenheiro de software com mais de 10 anos de experiência na indústria Xbox. Sou especialista em desenvolvimento de jogos e testes de segurança. Também sou um revisor experiente e tenho trabalhado em projetos para alguns dos maiores nomes dos jogos, incluindo Ubisoft, Microsoft e Sony. No meu tempo livre, gosto de jogar videogame e assistir a programas de TV.

Como os produtos de segurança são feitos - uma discussão com o Bitdefender

Nossos parceiros de discussão

Como os produtos de segurança são feitos

Conclusão

How Security Products Are Made - A Discussion with Bitdefender

Our Discussion Partners

How Security Products are Made

Conclusion

Ariadna das Dores

About the author

Related posts

Windows 11 é uma droga: 7 razões pelas quais você não pode gostar

O que é seguro Mode?

Sobre InPrivate and Incognito. Qual é a navegação privada? Which browser é o melhor?

Windows 10 May 2021 Update: O que há de novo e removido?

13 melhores coisas sobre Windows 10

"Fique na loja do Google Play!" diz renomado especialista em segurança da informação da ESET

8 razões pelas quais o Cyberghost VPN é uma das melhores VPNs do mercado

Perguntas simples: O que é o DuckDuckGo e quais são os benefícios de usá-lo?

O ReadyBoost funciona? Melhora o desempenho para PCs mais lentos?

Proxy vs. VPN: Quando usar um proxy server e quando usar um VPN?

Veja seu perfil de anúncios do Google e o que a publicidade do Google sabe sobre você

7 maneiras pelas quais os navegadores devem melhorar a navegação privada (Incognito, InPrivate, etc)

Como remover uma conta de Windows (7 maneiras)

Segurança para todos - Revise o Bitdefender Total Security

Mais de 15 razões pelas quais você deve obter o Windows 10 Fall Creators Update

Saiba o que seus aplicativos Android sabem sobre você, usando o Bitdefender Clueful

4 aplicativos que ajudam você a diagnosticar a saúde do seu dispositivo Android

As 5 principais práticas irritantes dos fornecedores de antivírus

8 passos para maximizar a segurança do seu roteador ASUS ou ASUS Lyra mesh WiFi

Prêmios: O melhor produto antivírus gratuito do ano de 2018