Мико Хипонен: Борба с вирусите, защита на мрежата.

Обожавам интернет. Вярно е. Помислете за всичко, което ни е дал. Помислете за всички услуги, които използваме, цялата тази свързаност, всичкото това забавление, всичкия този бизнес и търговия. И това се случва по време на нашия живот. Почти съм сигурен, че един ден след стотици години ще пишем учебници по история и в този момент, нашето поколение ще бъде запомнено, като поколение, което стана "онлайн" поколението, което създаде нещо истински глобално. Но да, също така е вярно, че интернетът има проблеми, много сериозни проблеми, проблеми със сигурността и проблеми с личните данни. Аз съм прекарал кариерата си, борейки се с тези проблеми.

Нека ви покажа нещо. Това тук е "Brain" Това е флопи диск с размер пет и половина инча заразен с "Brain.A." Това е първият вирус, който сме открили за PC компютри. И ние всъщност знаем откъде е дошъл Brain. Знаем, защото това се казва в самия код. Нека погледнем. И така. Това е "boot" сектора на заразената дискета. И ако надникнем по-внимателно в него, ще видим следното нещо. Пише "Добре дошли в тъмницата". И след това написаното продължава и четем 1986, Basit и Amjad Basit и Amjad са лични имена, пакистански лични имена. Всъщност е вписан дори телефонен номер и адрес в Пакистан.

(смях)

И така, 1986 г. Сега сме 2011 г. Това е било преди 25 години. Проблемът с компютърните вируси е вече на 25 г. И така преди половин година реших лично да отида до Пакистан. Нека видим няколко снимки, които направих докато бях в Пакистан. Това е снимка от град Лахор, който се намира на около 300 км. южно от Аботабад където Бин Ладен бе заловен. Ето една типична улична гледка. Ето я и улицата, която води до тази сграда, която е именно "Низам" 730 в град Алама Икбал. И аз почуках на вратата. (смях) Искате ли да отгатнете кой отвори вратата? Basit и Amjad, те са все още там. (смях) (аплодисменти) И така, тук изправеният е Basit. Седящ на стола е брат му Amjad. Това са хората, които написаха първия компютърен (PC) вирус. И разбира се, ние имахме много интересна дискусия. Аз ги попитах "Защо?" Попитах и как се чувстват, виждайки какво са започнали. И получих някакъв вид удовлетворение като разбрах, че както компютърът на Basit, така и на Amjad са били заразявани много пъти от всякакви различни вируси през годините. Така че има някаква справедливост в света, все пак.

И така, вирусите, които срещахме през 80-те и 90-те, очевидно вече не са проблем. Нека ви покажа няколко примера на това как изглеждаха старите вируси. Това което стартирам сега е система, която ми позволява да пускам много стари програми на модерен компютър. Позволете само да закача няколко устройства. Да отида там. Това, което виждате е списък със стари вируси. Нека сега си пусна малко вируси в компютъра.

Например, нека започнем с вируса Centipede (гъсеница). Можете да видите, че най-отгоре на екрана има една гъсеница, която преминава през компютъра когато се заразите с този вирус. И знаете, че сте заразени, тъй като вируса всъщност се показва на екрана. Ето още един. Това е вирус наречен Crash (катастрофа), създаден в Русия през 1992. Нека ви покажа и един, който даже издава звуци. (звук от сирена) И последният пример. Познайте какво прави вируса Walker (ходещият). Да, появява се човек, който преминава през екрана ви когато се заразите. Така че беше относително лесно да разбереш когато си заразен с вирус, когато те бяха писани от хора с такова хоби или тинейджъри.

Днес, те вече не се пишат от хора с такова хоби или от тинейджъри. Днес, вирусите са глобален проблем. Това, което виждате отзад е примерна система като тази, която използваме в лабораториите си където засичаме вирусни атаки по целия свят. Така че всъщност можем да видим в реално време, че току що сме блокирали вируси в Швеция и Тайван, и Русия, и на други места. Всъщност, ако се свържа със системата в нашата лаборатория чрез нета, можем да видим в реално време и да придобием някаква представа за това колко много вируси, колко много нови видове молуеър откриваме всеки един ден. Ето и последния вирус, който сме намерили във файл с името server.exe. И сме го намерили, виждате тук, преди три секунди, а предишния, преди шест секунди. И ако просто скролваме нагоре-надолу, виждаме, че списъка е огромен. Намираме десетки хиляди, дори стотици хиляди, а това е само списъкът на молуеър програмите през последните 20 минути, всеки един ден.

И така, от къде идват всички тези вируси? Ами днес организираните престъпни банди пишат тези вируси, защото правят пари с тези вируси. Това са банди като, нека отидем на Gangstabucks.com. Това е уеб сайт, опериращ в Москва, през който тези хора купуват заразени компютри. Така че ако пишеш вируси и можеш да заразяваш компютри с Уиндоус, но не знаеш какво да правиш с тях, можеш да продадеш тези компютри, това са нечии други компютри, на тези хора. И те всъщност ще ти платят за тези компютри. И така, как тези хора след това си връщат парите чрез тези заразени компютри? Ами има много различни начини, като "троянски коне" при банкиране, които крадат пари от вашите електронни банкови сметки, когато банкирате през интернет или пък "кийлогърите". "Кийлогърите" стоят тихо на вашия компютър, скрити от екрана и записват всичко, което пишете. И така вие си седите пред компютъра и си търсите нещо в google. Всяко търсене в google, което сте написали е запаметено и изпратено на престъпниците. Всеки един имейл, който пишете е запаметен и изпратен на престъпниците. Същото е с всяка една парола и така нататък.

Но това, което те всъщност търсят най-много е сесия, в която вие влизате в нета и пазарувате в някой интернет магазин. Защото, когато пазарувате в интернет магазини, ще напишете вашето име, адрес за доставка, вашата кредитна карта и кода за сигурност на кредитната карта. И ето една извадка от файл, който намерихме на един сървър преди няколко седмици. Ето го номера на кредитната карта, това е датата на валидност, това е кода за сигурност, а това е името на картодържателя. А щом получите достъп до информацията за кредитните карти на други хора, просто можете да влезете в интернет и да си купите каквото си поискате с тази информация. И очевидно това е проблем. Сега вече се сблъскваме с цял "ъндърграунд" пазар и бизнес екосистема построена чрез интернет престъпления.

Ето един пример, как тези хора всъщност правят пари от тези операции. Нека да погледнем страниците на "Интерпол" и да потърсим за хора, които се издирват. Намираме хора като Bjorn Sundin, роден от Швеция, и неговия партньор в пресъпления, също записан в страниците на "Интерпол" за издирвани, г-н Shaileshkumar Jain, американски гражданин. Тези момчета са поддържали операция наречена I.M.U. (аз.съм.теб) една нелегална кибер операция, чрез която са спечелили милиони. Те в момента и двамата се укриват. Никой не знае къде са. Само преди няколко седмици, американски агенти са замразили швейцарска банкова сметка, принадлежаща на г-н Jain и в нея е имало 14.9 милиона щатски долара.

Така че средствата, които могат да се придобият чрез интернет престъпления са значителни. И това означава, че интернет престъпниците всъщност могат да си позволят да инвестират в своите атаки. Ние знаем, че интернет престъпниците наемат програмисти, наемат хора за тестване на техните кодове и имат back-end системи (без интерфейс) с SQL бази от данни. И те могат да наблюдават как ние работим, как работят хората по сигурността, и да се опитват да намерят начин да преодолеят всякаквите мерки за сигурност, които ние създаваме. Те също използват и глобалното естество на интернета в тяхна полза. Имам предвид, че интернет е международен. За това и го наричаме интернет.

И ако просто погледнем какво се случва онлайн (в интернет света), ето видео клип направен от Clarifies Networks, който ни показва как едно единствено семейство молуеър, може да се движи по целия свят. Тази операция, която се смята че е започнала от Естония, се мести от една страна в друга в момента, в който някой се опита да затвори уебсайта. Така че, просто не можеш да спреш тези хора. Те просто преминават от една страна в друга, от едно местно управление в друго, като се движат по целия свят и се възползват от факта, че нямаме възможността да преследваме законово такива операции в глобален мащаб. Така че интернет е сякаш някой е дал безплатни самолетни билети на всички интернет престъпници по света. И сега, престъпници, които не са имали възможност да ни достигнат досега, вече могат да ни достигнат.

И така, как всъщност намираме интернет престъпниците? Как всъщност можем да ги проследим? Нека ви дам един пример. Тук имаме един файл с вирусен код. Това, което гледам сега е съдържанието на една картина в "хекс" символи, които съдържат вирусен код. В общи линии, това значи, че ако се опитате да разгледате този файл с картина на вашия компютър с Уиндоус, той всъщност поема контрол над вашия компютър и стартира изпълнението на код.

Сега нека погледнем този файл с картина, ето това е горната част на картината, а това е всъщност кода, който стартира атаката. А този код е бил шифрован, така че нека го разшифроваме. Той е бил шифрован в XOR function 97. Просто трябва да ми повярвате за това. Наистина е. След това отиваме тук и всъщност започваме да го дешифрираме. И така, жълтата част от кода сега е дешифрирана. И знам, че вероятно не ви изглежда много по-различна от оригинала. Но просто продължавайте да я наблюдавате. И всъщност ще видите, че тук долу се вижда уеб адрес: unionseek.com/d/ioo.exe И когато вие разгледате този файл с картина на вашия компютър той всъщност ще свали и пусне тази програма. И това е "троянски кон", който ще поеме контрол върху вашия компютър.

Но дори по-интересно е, че ако продължим да дешифрираме ще открием този мистериозен стринг, в който е записано О600КО78RUS Този код стои там под дешифровката като някакъв вид подпис. Не се използва за нищо. И го гледах и се опитвах да разбера какво означава. И разбира се го потърсих в google. Върна ми нула попадения, нямаше го там. Така че разговарях с момчетата от лабораторията. И ние имаме няколко момчета от Русия в лабораториите си, и един от тях спомена, че завършва с RUS като Русия и 78 е градския код на Санкт Петербург. Например, можете да го намерите на някои телефонни номера или регистрационни номера на коли или други подобни. И така аз започнах да търся контакти в Санкт Петербург. И с много търсене, накрая намерихме един уебсайт.

Ето това е един руснак, който оперира в интернет от години, който поддържа собствен уебсайт и също поддържа блог в популярния Live Journal. И на този блог, той разказва за живота си, за живота си в Санкт Петербург, той е на възраст малко над двадесет, разказва за котката си, за приятелката си. И кара много хубава кола. Всъщност, той кара Мерцедес-Бенц С600 v12 с шест литров двигател и повече от 400 конски сили. Това е много хубава кола за момче малко над двадесетте в Санкт Петербург.

Как съм разбрал за тази кола? Защото той е писал в блога си за нея. Всъщност даже се е блъснал с нея. В централната част на Санкт Петербург, всъщност е ударил колата си в друга. И е сложил в своя блог снимки на инцидента с колата. Това е неговия мерцедес-- и ето там е Ладата Самара, с която се е сблъскал. И всъщност се вижда, че регистрационния номер на самарата завършва на 78RUS И ако се вгледате в снимката от инцидента можете да видите, че регистрационния номер на мерцедеса е O600KO78RUS И така, аз не съм адвокат, но ако бях, ето сега щях да кажа: "случаят е приключен"

(Смях)

И така, какво се случва когато интернет престъпниците биват заловени? Ами в повечето случаи никога не се стига до там. В огромна част от интернет престъпленията ние дори не знаем от кой континент идва атаката. И дори ако имахме възможността да откриваме интернет престъпниците много често няма никакви последствия. Местната полиция не се намесва или пък ако се намесят, нямат достатъчно доказателства или пък поради някаква причина не можем да ги затворим. Щеше ми се да е по-лесно; за съжаление не е.

Но нещата също така се променят с много бърза крачка. Всички сте чували за неща като stuxnet. Ако потърсите какво е направил Stuxnet, той е заразил тези. Това е siemes s7-400 PLC, програмируем логически оператор. И това е нещото, което управлява нашата инфраструктура. Това е нещото, което управлява всичко около нас. PLC-тата, тези малки кутии, които нямат дисплей, нямат клавиатура, които са програмирани, сложени на дадено място и си вършат работата. Да вземем за пример асансьорите в тази сграда, които най-вероятно са управлявани от едно от тези. И когато Stuxnet зарази едно от тези, това е огромно революционно развитие във видовете рискове, за които трябва да се тревожим. Защото всичко около нас се управлява от тези. Това, което искам да кажа е, че имаме престъпна инфраструктура. Ако отидете, в който и да е завод, която и да е електроцентрала, който и да е химически завод или завод за производство на храни, и се огледате, всичко се управлява от компютри.

Всичко се управлява от компютри. И всичко зависи от това тези компютри да работят. Станали сме много зависими от интернет, от основни неща като електричеството, разбира се, и от това компютрите да работят. И това наистина е нещо, което ни създава едни абсолютно нови проблеми. Ние трябва да си осигурим начин да можем да продължим да работим, дори ако компютрите откажат.

(Смях)

(Аплодисменти)

И така да си подготвен означава, че можеш да правиш неща, дори когато неща, които приемаме за даденост вече ги няма. Всъщност става дума за много елементарни неща-- говорим тук за приемственост, да помислим за резервни копия, да мислим за нещата, които всъщност имат значение.

Както вече ви казах -- (смях) Обичам интернет. Така е. Помислете за всички услуги, които получаваме по интернет. Помислете, ако те ви се отнемат, ако един ден вече ги нямате поради една или друга причина. Аз виждам красота в бъдещето на интернет, но съм и притеснен, че можем и да не видим това. Притеснен съм, че се сблъскваме с проблеми, заради интернет престъпленията. Интернет престъпленията са нещо, което може да ни отнеме тези добри неща.

(смях)

Аз съм прекарал живота си, защитавайки мрежата. И съм уверен, че ако не се борим с интернет престъпленията, рискуваме да загубим всичко. Трябва да работим глобално, и то трябва да го направим веднага. Това, от което се нуждаем е повече глобални и международни действия на органите на реда за намиране на престъпните банди в интернет-- тези организирани банди, които правят милиони от своите кибер атаки. Това е много по-важно от пускането на антивирусни програми или защитни стени. Това, което всъщност е от значение е да се открият хората зад тези атаки. И дори още по-важно е да откриваме хората, които са на ръба да станат част от този кибер престъпен свят, но още не са го направили. Ние трябва да открием хората със способностите, но без възможности, и да им дадем възможности да използват уменията си за добро.

Благодаря ви.

(Аплодисменти)