Mikko Hypponen: Boj s viry a ochrana Internetu

Miluji Internet. Je to pravda. Zamyslete se nad vším, co nám Internet přinesl. Zamyslete se nad všemi službami, které dnes používáme, všechna ta propojení a ta zábava, ty podniky a všechen obchod. A vše tohle se děje během našeho života. Jsem přesvědčen, že jednoho dne za stovky let, budou lidé psát knihy o historii. Naše doba, naše generace bude označena jako generace, která se stala online. generace, která vytvořila něco skutečně světového. Ale ano, je také pravdou, že Internet má problémy, velice vážné problémy. Problémy s bezpečností a problémy se soukromím. Celou svou kariéru jsem strávil bojem s těmito problémy.

Dovolte mi tedy něco vám ukázat. Toto tady je Brain (jméno viru). Toto je disketa -- 5,25 palcová disketa nakažena virem Brain A. Jedná se o první virus pro stolní počítače, který jsme objevili. A vlastně i víme, odkud se k nám Brain dostal. Víme to, protože je to napsané uvnitř kódu. Pojďme se na to podívat. Takže. Toto je spouštěcí oblast nakažené diskety. A když se podíváme lépe, uvidíme tu informaci přímo tady. je tam napsáno "Vítejte v žaláři". A pokračuje to dále, 1986, Basit a Amjad. Basit a Amjad jsou křestní jména, pákistánská křestní jména. Ve skutečnosti je tam napsáno telefonní číslo a adresa v Pákistánu.

(Smích)

Teď, 1986, dnes máme rok 2011. To je před 25 lety. Otázka počítačových virů je dnes 25 let stará. Před půl rokem jsem se rozhodl jet do Pákistánu. Podívejte se, tady mám pár fotek, které jsem udělal v Pákistánu. Toto je z města Lahore, což je asi 300 km jižně od Abbottabadu, kde byl chycen Bin Ládin. Toto je běžný pohled na ulici. A toto je ulice nebo cesta, která vede k této budově s adresou Nizam blok 730 v Allama Iqbal Town. Tak jsem zaklepal na dveře. (Smích) Chcete si tipnout, kdo mi otevřel? Basit a Amjad! Stále tam žijou. (Smích) (Potlesk) Tady, ten stojící je Basit s ten, co sedí, je jeho bratr Amjad. Toto jsou ti lidé, kteří vytvořili první počítačový vir. Samozřejmě, že jsme si měli o čem povídat. Zeptal jsem se jich "proč". Zeptal jsem se na to, jaké mají pocity z toho, co začali. A dostalo se mi nějakého zadostiučinění když jsem se dověděl, že oba Basit a Amjad měli své počítače nepočítaně krát nakažené úplně jinými viry za celé ty roky. Takže máme určitou spravedlnost na tom našem světě.

Ty viry, které jsme vídali v 80. a 90. letech již samozřejmě nejsou problémem. Dovolte mi tedy ukázat aspoň pár příkladů toho, jak tenkrát vypadaly. To, co tady spouštím, je systém, který mi umožní spustit starý program na novém počítači. Jenom vytvořím nějaké jednotky, přesunu je zde. To, co tady máme je seznam starých virů. Takže vám teď nějaké z nich spustím na svém počítači.

Například, začněme s virem Centipede (stonožka). Vidíte nahoře na monitoru, jak se stonožka prochází po vašem počítači ve chvíli, kdy tenhle vir dostanete. Ve skutečnosti víte, že jste vir dostal, protože se vám sám ukáže. A tady je další. Tenhle se jmenuje Crash (náraz) vytvořený v Rusku v roce 1992. Spustím vám nějaký, který vydává i zvuky. (Zvuk houkačky) A jako poslední příklad, co myslíte, že bude dělat virus Walker (chodec). Ano, postava se vám prochází po monitoru ve chvíli, kdy vir dostanete. Takže bylo celkem lehké rozpoznat, že jste dostali vir, když byly viry ještě vytvářeny nadšenci a puberťáky.

Ale dnes už dávno nejsou vytvářeny nadšenci a puberťáky. Dnes jsou viry celosvětový problém. To, co je tady za mnou, je příklad systémů, které používáme v našich laboratořích, kde sledujeme viry po celém světě. Takže se vlastně můžeme v reálném čase podívat že jsme právě zablokovali viry ve Švédsku a na Taiwanu a v Rusku a kdo ví kde ještě. Vlastně, když se teď připojím zpátky do našeho systému prostřednictvím Internetu, můžeme se v reálném čase podívat, získat trochu představu o tom, kolik virů, kolik nových typů škodlivých programů najdeme každý den. Toto je poslední virus, který jsme objevili v souboru s názvem Server.exe. A našli jsme ho před pouze 3 sekundami -- ten předchozí před 6 sekundami. A pokud sjedu až dolů, je toho opravdu spousta. Objevujeme 10.000, dokonce 100.000 virů. A to je pouze posledních 20 minut škodlivých programů každý den.

Odkud se ale všechny tyhle viry berou? Dnes existují organizované kriminální spolky, které vytvářejí viry, čistě proto, že díky nim vydělávají peníze. Kriminální spolky jako -- podívejme se na GangstaBucks.com. To je webová stránka fungující v Moskvě, kde tihle lidé kupují infikované počítače. Takže, pokud jste tvůrcem viru a jste schopný nakazit počítač s Windows, ale nevíte, co s ním potom dělat, můžete tyto infikované počítače prodat -- počítače někoho jiného -- těmhle chlápkům. A oni vám skutečně zaplatí penězi za takový počítač. Jak ale tito lidé poté zpeněží infikované počítače? No, možností je spousta, jako třeba bankovní trojské koně, které vám začnou krást peníze z vašeho online bankovního účtu, když se přihlásíte do online bankovnictví, nebo "keyloggers". Keylogger si tiše sedí na vašem počítači, schován před vámi a ukládá vše, co píšete. Takže sedíte u počítače a hledáte něco na Googlu. Každé slovo, které na Googlu vyhledáte je uloženo a posláno těmto zločincům. Každý email, který napíšete, je uložen a poslán těmto zločincům. To samé se děje s každým heslem, a tak dále.

Ale to, na co čekají nejvíce, je chvíle, kdy se připojíte online a koupíte si něco z nějakého e-shopu. Protože když nakupujete v e-shopech, musíte napsat své jméno, dodací adresu, číslo vaší kreditní karty a bezpečnostní kódy vaší karty. A toto je příklad souboru, který jsme našli před několika týdny. Toto je číslo kreditní karty, toto lhůta, kdy vyprší její platnost a toto bezpečnostní kód, tady je jméno vlastníka karty. Ve chvíli, kdy získáte přístup k informacím o kreditních kartách jiných lidí, můžete se připojit kdekoli online a koupit si, co se vám zachce, díky této informaci. A to je samozřejmě problém. Existuje dnes celý černý trh a podnikatelský ekosystém vytvořený okolo online kriminality.

Mám pro vás jeden příklad toho, jak jsou tito lidé schopni zpeněžit své operace. Podívejme se na stránky INTERPOLu a najděme si hledané osoby. Najdeme lidi jako Bjorn Sundin původem ze Švédska a jeho kriminálního partnera, který je také na seznamu hledaných osob INTERPOLem pan Shaileshkumar Jain, občan Spojených Států. Tihle lidé mají na svědomí akci s názvem I.M.U., kriminální akce, díky které získali miliony. Oba jsou nyní na útěku. Nikdo neví, kde jsou. Před pouhými pár týdny, úředníci Spojených Států zmrazili účet ve švýcarské bance který patřil panu Jainovi účet, který obsahoval 14,9 milionu amerických dolarů.

Částky, které online kriminalita vynáší jsou závratné. A to znamená, že online zločinci si mohou dovolit investovat peníze do svých akcí. Víme, že tito zločinci si najímají programátory, lidi na testování, testování jejich kódů, mají záznamový systém s SQL databázemi. A mohou si také dovolit sledovat, jak pracujeme my -- jak pracují lidé na bezpečnosti -- a snaží se najít si cesty skrze naše bezpečnostní opatření. Využívají také globální prostředí Internetu ke svému prospěchu. Co mám na mysli je, že Internet je mezinárodní (international). To je taky důvod, proč se mu říká Internet.

A podívejte se jen, co se v online světě děje. Tady mám video vytvořené společností Clarified Networks, které ukazuje, jak jeden druh malware programu je schopný cestovat po celém světě. Tahle akce, která zřejmě původně pochází z Estonska, se pohybuje z jedné země do druhé hned ve chvíli, kdy se někdo pokusí stránku zrušit. Takže prostě nemůžete tyhle lidi jen tak vypnout. Přepnou se z jedné země do druhé, z jednoho právního systému do jiného -- po celém světě, využívající faktu, že nejsme schopni globálně stíhat akce jako jsou tyto. Takže Internet je něco jako, kdyby někdo dal letenky zdarma všem online zločincům celého světa. Takže teď, zločinci, kteří na nás nemohli dříve, již mohou nyní.

Jak tedy vlastně postupovat při hledání online zločinců? Jak je můžete vystopovat a najít? Ukážu vám příklad. To, co tady mám, je soubor se záznamem. Tady otevírám šestnáctkové úložiště souboru, který obsahuje záznam. To ve zkratce znamená, že pokud se pokusíte tento soubor pokusíte otevřít na vašem Windows počítači, převezme to váš počítač a spustí kód.

Teď, podívejte se na tento soubor -- tady je hlavička souboru, a tady je samotný kód toho útoku. A ten kód byl zaheslovaný tak ho pojďme odheslovat. Bylo to zaheslované XOR funkcí 97. Prostě mi tohle musíte věřit je to tak. A můžeme se do toho pustit, teď to začíná dešifrovat. Ta žlutá část už není šifrována. Ano, já vím, nevypadá to o moc jinak než ten původní, ale prostě na to stále koukejte. Nakonec uvidíte, že tady dole je napsaná webová adresa: unionseek.com/d/ioo.exe A když se pokusíte tuto stránku načíst na svém počítači, začne to samo stahovat program a spustí ho to. A tohle jsou zadní vrátka, která nakonec převezmou i váš počítač.

Ale co je zajímavější, pokud budeme pokračovat v dešifrování, narazíme na tajemnou hlášku, která říká O600KO78RUS. Tahle hláška je tam pod vším tím šifrováním jako určitý typ podpisu. K ničemu to neslouží. Koukal jsem na to a snažil se přijít na to, co to znamená. Celkem jednoduše jsem to zkusil zadat do Googlu. Nic jsem nedostal, nebylo to tam. Bavil jsem se o tom tedy s lidmi z laboratoře. Máme tam i pár Rusů a jeden z nich se zmínil, že ta hláška vlastně konči písmeny RUS jako Russia. A 78 je kód města, používaný pro Petrohrad. Například, můžete na to narazit u některých telefonních čísel nebo u SPZ aut a podobných věcí. Tak jsem začal hledat kontakty v Petrohradu. A po dlouhém hledání jsme narazili na tuhle jednu webovou stránku.

Tady je jeden Rus, který už je online několik let, má vlastní webovou stránku a píše blog na populárním Live Journal. Na tom blogu píše o svém životě, o životě v Petrohradu -- je mu jen málo přes 20 -- o jeho kočce, a o jeho přítelkyni. Tenhle kluk má docela dobré auto. Ve skutečnosti má Mercedes-Benz S600, V12 s motorem o objemu 6 litrů a více než 400 koní. To je docela dobré auto na kluka z Petrohradu, který má něco přes dvacet.

Jak o tom autě vím? Protože o něm psal na blogu. Ve skutečnosti se s ním dostal do bouračky. V centru Petrohradu naboural do jiného auta. A na blog pak dal fotky z této kolize -- toto je jeho Mercedes -- a tady je Lada Samara, do které naboural. A když se podíváte na SPZ té Samary, končí s 78RUS. A když se podíváte na fotku celé havárie, zjistíte, že SPZ jeho Mercedesu je O600KO78RUS. Takže, já nejsem právník, ale kdybych byl, toto je chvíle, kdy bych řekl "Případ uzavřen".

(Smích)

Takže, co se stane, když je online zločinec chycen? Bohužel, ve většině případů se to nedostane až takhle daleko. Pro velkou většinu online zločinů ani nevíme, ze kterého kontinentu útoky vlastně přicházejí. A i když jsme schopni zločince vystopovat, docela často z toho nic není. Policie s tím nic nedělá, a když ano, není dostatek důkazů nebo z nějakého důvodu je nemůžeme zavřít. Přál bych si, aby to bylo snazší, bohužel není.

Ale věci se mění, a to docela rychle. Všichni jste slyšeli o věcech jako Stuxnet. Když se podíváte, co Stuxnet udělal, zjistíte, že napadl tyhle stoje. Toto je Siemens S7-400 PLC, programovatelný logický ovládač. A toto řídí naši infrastrukturu. Toto je ta věc, která řídí vše okolo nás. PLC, tyhle malé krabice, které nemají žádný monitor, žádnou klávesnici, které jsou pouze naprogramovány a dělají svou práci. Například, výtahy v této budově jsou pravděpodobně ovládány jedním z nich. A když Stuxnet napadl jeden takový přístroj, byla to obrovská revoluce ve smyslu toho, čeho bychom se měli obávat. Protože vše okolo nás je řízeno těmito stroji. Máme důležitá místa, závislá na těchto strojích. Když přijdete do jakékoli továrny, elektrárny, chemické továrny nebo místa zpracujícího jídlo, rozhlédnete se kolem sebe -- všechno je řízeno počítači.

Vše je řízeno počítači. Všechno závisí na tom, že tyto počítače fungují. Stali jsme se velice závislými na Internetu, na základních věcech jako elektřina, samozřejmě, na tom, že počítače fungují. A toto je skutečně něco, co nám vytváří úplně nový problém. Potřebujeme mít nějaký způsob, jak pokračovat v práci, i když počítače vypoví službu.

(Smích)

(Potlesk)

Takže připravenost znamená že dokážeme dělat věci, dokonce když jiné věci, které bereme jako samozřejmost, nefungují. Ve skutečnosti je to docela lehké -- přemýšlejte o návaznosti, přemýšlejte o zálohách, myslete na věci, na kterých skutečně záleží.

Takže, jak říkám -- (Smích) Miluji Internet. Velice. Myslete na všechny ty služby, které máme online. Zamyslete se, co když jsou nám jednou odebrány, co když je už nemáme z jakéhokoli důvodu. Vidím pro Internet nádhernou budoucnost, ale také se obávám že bychom to možná nemuseli zažít. Obávám se, že běžíme vstříc problémům, kvůli online kriminalitě. Online kriminalita je jedná z věcí, která by nám vše toto mohla vzít.

(Smích)

Strávil jsem svůj život chráněním Internetu. A skutečně mám pocit, že pokud nezačneme bojovat s online kriminalitou, riskujeme, že o toto vše přijdeme. Musíme to ale udělat globálně a musíme to udělat hned teď. To, co potřebujeme, je více globální, mezinárodní právní tlak k tomu, aby byly online kriminální spolky objevovány -- tyhle organizované skupiny které získávají miliony z jejich činností. Toto je mnohem důležitější než zapínat antiviry a různé firewally. Na čem skutečně záleží, je, abychom našli lidi zodpovědné za tyto útoky. A ještě více, musíme najít ty lidi, kteří se chystají stát součástí online kriminality, ale zatím nejsou. Musíme najít lidi s těmito schopnostmi, ale bez těchto příležitostí a dát jim tu příležitost, aby využili své schopnosti k dobru.

Děkuji vám.

(Potlesk)