Mikko Hypponen bekämpft Computerviren und verteidigt das Netz

Ich liebe das Internet. Wirklich. Denken Sie an all die Dinge, die es uns gebracht hat. Denken Sie an all die Dienste, die wir benutzen, all die Konnektivität, all die Unterhaltung, all die Geschäfte, all den Handel. Und es passiert jetzt, zu unserer Lebenszeit. Ich bin mir ziemlich sicher, dass wir eines Tages Geschichtsbücher schreiben werden, in einigen hundert Jahren. Dann wird man sich an unsere Generation erinnern als die Generation, die online ging, die Generation, die etwas wirklich Globales schuf. Aber es stimmt auch, dass das Internet Probleme hat, sehr ernste Probleme, Sicherheitsprobleme und Datenschutzprobleme. Ich verbringe meine Karriere damit, diese Probleme zu bekämpfen.

Lassen Sie mich Ihnen etwas zeigen. Das hier ist Brain. Dies ist eine Datendiskette - eine 130 mm Diskette, infiziert mit Brain.A. Es ist der erste Virus, den wir für PCs gefunden haben. Und wir wissen auch, wo Brain herkam. Wir wissen es, weil es im Code steht. Lassen Sie uns einen Blick hineinwerfen. In Ordnung. Das ist der Bootsektor einer infizierten Diskette. Und wenn wir einen etwas genaueren Blick hineinwerfen, dann sehen wir, dass hier geschrieben steht: "Welcome to the dungeon" ("Willkommen im Verlies"). Und dann geht es weiter mit 1986, Basit und Amjad. Und Basit und Amjad sind Vornamen, pakistanische Vornamen. Es gibt sogar eine Telefonnummer und eine Adresse in Pakistan.

(Lachen)

1986 also. Jetzt haben wir das Jahr 2011. Das war vor 25 Jahren. Das Problem der PC-Viren ist jetzt 25 Jahre alt. Vor einem halben Jahr entschied ich mich, selbst nach Pakistan zu gehen. Mal sehen, hier sind ein paar Fotos, die ich in Pakistan aufgenommen habe. Hier sieht man die Stadt Lahore, die etwa 300 km südlich von Abbottabad liegt, wo Bin Laden gefangen wurde. Hier ist eine typische Straßenansicht. Und hier ist die Straße oder der Weg, der zu diesem Gebäude führt, dem Block 730 Nizam in Allama Iqbal Town. Und ich klopfte an die Tür. (Lachen) Und wollen Sie einmal raten, wer die Tür öffnete? Basit und Amjad; sie leben immer noch dort. (Lachen) (Applaus) Hier steht Basit. Und dahinter sitzt sein Bruder Amjad. Dies sind die Männer, die den ersten PC-Virus geschrieben haben. Natürlich hatten wir eine sehr interessante Diskussion. Ich fragte sie nach dem Grund. Ich fragte sie, was sie davon halten, was sie angefangen haben. Und ich fand es recht befriedigend herauszufinden, dass die Computer beider Männer über die Jahre hinweg dutzende Male infiziert worden waren mit komplett verschiedenen Viren. Es gibt also doch eine Art von Gerechtigkeit in der Welt.

Nun, die Viren, die wir in den 1980ern und 1990ern gesehen haben, sind offensichtlich kein Problem mehr. Lassen Sie mich Ihnen nur ein paar Beispiele davon zeigen, wie sie aussahen. Was ich hier benutze, ist ein System, das es mir ermöglicht, alte Programme auf einem modernen Computer auszuführen. Lassen Sie mich hier nur ein paar Laufwerke einbinden. Schauen Sie nach dort drüben. Was wir hier haben, ist eine Liste alter Viren. Lassen Sie mich ein paar Viren auf meinen Computer vorführen.

Lassen Sie uns zum Beispiel zunächst einmal den Centipede-Virus anschauen. Wir Sie in der oberen Hälfte des Bildschirms sehen können, ist dort ein Tausendfüßler, der über den Computer läuft, wenn er mit diesem Virus infiziert ist. Man weiß, dass man eine Vireninfektion hat, weil sie sich tatsächlich bemerkbar macht. Hier ist noch einer. Dieser Virus nennt sich Crash, erfunden in Russland im Jahr 1992. Lassen Sie mich Ihnen einen zeigen, der ein Geräusch macht. (Geräusch einer Sirene) Und das letzte Beispiel, raten Sie einmal, was der Walker-Virus tut. Genau, man sieht einen Mann über den Bildschirm gehen, wenn der Computer infiziert ist. Es war also sehr einfach festzustellen, ob man eine Virusinfektion hatte, als die Viren noch von Bastlern und Teenagern geschrieben wurden.

Heute werden sie nicht länger von Bastlern und Teenagern geschrieben. Heute sind Viren ein globales Problem. Hier im Hintergrund sehen wir ein Beispiel unserer Systems, dass wir in unseren Laboren benutzen, wo wir Vireninfektionen weltweit verfolgen. Wir können tatsächlich in Echtzeit sehen, dass wir gerade Viren in Schweden und Taiwan und Russland und andernorts blockiert haben. Wenn ich eine Verbindung mit unseren Laborsystemen über das Web herstelle, können wir in Echtzeit einen Eindruck davon bekommen, wie viele Viren, wie viele neue Beispiele von Malware wir jeden Tag finden. Hier ist der neueste Virus, den wir gefunden haben, in einer Datei genannt Server.exe. Und wir haben ihn dort drüben vor drei Sekunden gefunden - den davor vor sechs Sekunden. Und wenn wir herumscrollen, ist es schlicht überwältigend. Wir finden zehntausende, sogar hunderttausende. Und das sind nur die letzten 20 Minuten an Malware an jedem einzelnen Tag.

Woher kommen diese ganzen Viren also? Tja, heutzutage sind es organisierte Verbrecherbanden, die diese Viren schreiben, weil sie mit ihren Viren Geld verdienen. Es sind Banden wie - lassen Sie uns GangstaBucks.com aufrufen. Das ist eine Webseite, die in Moskau operiert, wo diese Leute infizierte Computer kaufen. Wenn man also Viren schreibt und in der Lage ist, Windows-Computer zu infizieren, aber nicht weiß, was man damit anfangen soll, dann kann man diese infizierten Computer - Computer von anderen Leuten - an diese Leute verkaufen. Und sie bezahlen tatsächlich Geld für diese Computer. Wie machen diese Leute dann mit diesen infizierten Computern Geld? Nun, es gibt verschiedene Wege, zum Beispiel Banking-Trojaner, die Geld von Konten stehlen, wenn man Online-Banking benutzt, oder Keylogger. Keylogger nisten sich still und leise im Computer ein, gut verborgen, und zeichnen alles auf, was man tippt. Sie sitzen also zum Beispiel am Computer und suchen etwas mit Google. Jede einzelne Google-Suche, die Sie durchführen, wird gespeichert und an die Kriminellen weitergeleitet. Jede einzelne E-Mail, die Sie schreiben, wird gespeichert und an die Kriminellen gesendet. Das Gleiche mit jedem einzelnen Passwort und so weiter.

Aber wonach sie eigentlich suchen, sind Sitzungen, in denen Sie online gehen und Sachen in einem beliebigen Online-Store kaufen. Denn wenn Sie Sachen in Online-Stores kaufen, dann geben Sie Ihren Namen, die Lieferadresse, Ihre Kreditkartennummer und die Prüfnummer Ihrer Kreditkarte ein. Und hier ist ein Beispiel einer Datei, die wir vor ein paar Wochen auf einem Server gefunden haben. Das ist die Kreditkartennummer, das ist das Verfallsdatum, das ist die Kartenprüfnummer und das ist der Name des Kreditkartenbesitzers. Sobald man Zugang zu den Kreditkarteninformationen anderer Leute hat, kann man einfach online gehen und kaufen, was man will mit diesen Informationen. Und das ist, offensichtlich, ein Problem. Wir haben jetzt einen ganzen Markt und ein Geschäftssystem im Untergrund, die Online-Verbrechen dienen.

Ein Beispiel, wie diese Leute mit ihren Operationen Geld machen können. Wir schauen uns die Seiten von INTERPOL an und durchforsten sie nach gesuchten Personen. Wir stoßen auf Männer wie Bjorn Sundin, ursprünglich aus Schweden, und seinen Komplizen, auch aufgeführt auf den Seiten von INTERPOL, Mr. Shaileshkumer Jain, einen U.S.-Bürger. Diese Männer leiteten eine Operation genannt I.M.U., eine cyberkriminelle Operation, mit deren Hilfe sie Millionen erbeuteten. Sie befinden sich beide momentan auf der Flucht. Niemand weiß, wo sie sind. U.S.-Beamten haben vor ein paar Wochen ein Schweizer Bankkonto beschlagnahmt, das Mr. Jain gehört, und auf diesem Bankkonto befanden sich 14,9 Millionen U.S.-Dollar.

Das Vermögen, das Online-Verbrechen erwirtschaften, ist also beachtlich. Und das bedeutet, das es sich Online-Kriminelle leisten können, in ihre Attacken zu investieren. Wir wissen, dass Online-Verbrecher Programmierer und Leute einstellen, die ihren Code testen, und Back-End-Systeme mit SQL-Datenbanken haben. Und sie können es sich leisten zu beobachten, wie wir arbeiten - wie Sicherheitsleute arbeiten - und versuchen, einen Weg zu finden, die Sicherheitsvorkehrungen, die wir treffen, zu umgehen. Sie nutzen außerdem den globalen Charakter des Internets zu ihrem Vorteil. Ich meine, das Internet ist international. Das ist der Grund, warum man es Internet nennt.

Und wenn Sie sich anschauen, was in der Online-Welt passiert, hier ist ein Video von Clarified Networks, das illustriert, wie sich eine einzige Malware-Familie um die Welt bewegen kann. Diese Operation, von der man annimmt, das sie ihren Ursprung in Estland hat, wandert von einem Land zum nächsten, sobald versucht wird, die Webseite still zu legen. Also kann man diese Leute einfach nicht stoppen. Sie bewegen sich von einem Land zum anderen, von einem Gerichtsbezirk zum nächsten - wandern um die Welt und nutzen die Tatsache aus, dass wir nicht in der Lage sind, Operationen wie diese global strafrechtlich zu verfolgen. Durch das Internet ist es also so, als ob man allen Online-Verbrechern in der Welt kostenlose Flugtickets gegeben hätte. Kriminelle, die uns früher nicht erreichen konnten, können uns jetzt erreichen.

Wie also findet man Online-Verbrecher? Wie spürt man sie auf? Lassen Sie mich Ihnen ein Beispiel geben. Was wir hier haben, ist ein Exploit. Hier sieht man den Hexdump einer Bilddatei, die einen Exploit enthält. Und das bedeutet, wenn Sie versuchen, diese Bilddatei auf Ihrem Windows-Computer zu öffnen, dann übernimmt er die Kontrolle über Ihren Computer und führt einen Code aus.

Wenn Sie sich nun diese Bilddatei anschauen - nun, hier ist der Header des Bildes und dort beginnt der eigentliche Code des Angriffs. Und dieser Code wurde verschlüsselt, also lassen Sie uns ihn entschlüsseln. Er würde verschlüsselt mit XOR function 97. Sie müssen mir das einfach mal glauben, es stimmt, es stimmt. Und wir können hier hingehen und damit anfangen, ihn zu entschlüsseln. Der gelbe Teil des Codes ist jetzt entschlüsselt. Und ich weiß, es sieht im Grunde nicht viel anders aus als das Original. Aber starren Sie ihn weiter an. Sie werden feststellen, dass Sie dort unten eine Internetadresse sehen können: unionseek.com/d/ioo.exe Und wenn Sie diese Bilddatei auf Ihrem Computer öffnen, dann wird dieses Programm heruntergeladen und ausgeführt. Und das ist die Hintertür, über die Ihr Computer übernommen wird.

Aber noch interessanter, wenn wir mit dem Entschlüsseln fortfahren, dann finden wir diese mysteriöse Zeichenfolge O600KO78RUS. Dieser Code befindet sich unter der Verschlüsselung als eine Art Signatur. Er wird für nichts verwendet. Und ich schaute mir das an und versuchte herauszufinden, was es bedeutet. Und natürlich googelte ich danach. Ich erhielt null Treffer; gab es nicht. Also sprach ich mit den Leuten aus dem Labor. Und wir haben einige russische Angestellte in unserem Labor und einer von ihnen sagte, nun, es endet in rus wie Russland. Und 78 ist der Stadtcode für St. Petersburg. Man kann ihn zum Beispiel in Telefonnummern oder Autokennzeichen und Ahnlichem finden. Also suchte ich nach Kontakten in St. Petersburg. Und nach langer Suche fanden wir schließlich diese besondere Webseite.

Hier ist dieser Russe, der seit einigen Jahren online aktiv ist und seine eigene Webseite hat und einen Blog beim populären Live Journal führt. Und in diesem Blog schreibt er über sein Leben, sein Leben in St. Petersburg - er ist Anfang 20 - über seine Katze, über seine Freundin. Und er fährt ein sehr schönes Auto. Um genau zu sein, fährt er einen Mercedes Benz S600 V12 mit einem 6-Liter-Motor und mehr als 400 PS. Das ist ein ziemlich schickes Auto für einen Mann Anfang 20, der in St. Petersburg lebt.

Woher weiß ich von diesem Auto? Weil er in seinem Blog darüber geschrieben hat. Er hatte einen Autounfall. In der Innenstadt von St. Petersburg fuhr er mit seinem Wagen in ein anderes Auto. Und er postete Bilder des Unfalls in seinem Blog - das ist sein Mercedes - hier ist der Lada Samara, in den er hinein fuhr. Und man kann sehen, dass das Nummernschild des Samara mit 78RUS endet. Und wenn Sie sich die Bilder der Szene näher anschauen, dann können Sie sehen, dass das Kennzeichen des Mercedes O600KO78RUS lautet. Tja, ich bin kein Anwalt, aber wenn ich es wäre, dann würde ich an dieser Stelle sagen: "Damit ist der Fall abgeschlossen".

(Lachen)

Was passiert, wenn Online-Verbrecher geschnappt werden? Nun, in den meisten Fällen kommt es gar nicht so weit. In einem Großteil der Fälle aller Online-Verbrechen wissen wir noch nicht einmal, von welchem Kontinent die Angriffe ausgehen. Und selbst wenn wir die Online-Verbrecher aufspüren können, gibt es in vielen Fällen kein Resultat. Die örtliche Polizei agiert nicht, oder, falls sie es tut, gibt es nicht genügend Beweise oder wir können sie aus anderen Gründen nicht zur Rechenschaft ziehen. Ich wünschte, es wäre einfacher; leider ist es das nicht.

Aber die Dinge ändern sich auch rapide. Sie alle haben von Dingen wie Stuxnet gehört. Wenn man sich anschaut, was Stuxnet getan hat, dann sieht man, dass es diese Geräte hier infiziert hat. Das ist ein Siemens S7-400 PLC, ein programmierbarer logischer Controller. Und das ist, was unsere Infrastruktur kontrolliert. Das ist, was alles um uns herum steuert. PLCs, diese kleinen Geräte, die kein Display haben, keine Tastatur, die programmiert werden, eingerichtet werden und ihren Job machen. Die Aufzüge in diesem Gebäude zum Beispiel werden höchst wahrscheinlich von einem dieser Geräte gesteuert. Und wenn Stuxnet eines von ihnen infiziert, dann gibt es eine gewaltige Revolution im Hinblick auf die Arten von Gefahren, über die wir uns Sorgen machen müssen. Denn alles um uns herum wird von diesen Geräten gesteuert. Ich meine, wir haben kritische Infrastruktur. Gehen Sie in eine Fabrik, ein Kraftwerk, ein beliebiges Chemiewerk, eine beliebige Lebensmittelfabrik, und schauen Sie sich um - alles wir von diesen Geräten kontrolliert.

Alles wir mit Hilfe von Computern gesteuert. Alles hängt davon ab, dass diese Computer funktionieren. Wir sind mittlerweile sehr vom Internet abhängig, von grundlegenden Dingen wie Elektrizität natürlich, von funktionierenden Computern. Und das ist wirklich etwas, das uns völlig neue Probleme beschert. Wir müssen irgendeinen Weg finden sicherzustellen, dass alles weiterläuft, auch wenn die Computer ausfallen.

(Lachen)

(Applaus)

Bereit sein bedeutet, dass wir auch dann Sachen tun können, wenn uns die Dinge, die wir für selbstverständlich halten, nicht zur Verfügung stehen. Darunter fallen ganz grundlegende Dinge - Überlegungen hinsichtlich Kontinuität, Back-Ups, bezüglich der Dinge, die wirklich wichtig sind.

Nun, ich habe es Ihnen gesagt - (Lachen) Ich liebe das Internet. Wirklich. Denken Sie an die Dienste, die uns online zur Verfügung stehen. Denken Sie darüber nach, was passiert, wenn Sie Ihnen weggenommen werden, wenn Sie sie eines Tages nicht mehr haben aus irgendeinem Grund. Ich sehe Schönes in der Zukunft des Internets, aber ich mache mir Sorgen, das wir das vielleicht nicht zu Gesicht bekommen werden. Ich bin besorgt, dass wir Probleme haben werden aufgrund von Online-Kriminalität. Online-Kriminalität ist das Einzige, das uns diese Dinge vielleicht nehmen kann.

(Lachen)

Ich habe bisher mein ganzes Leben damit verbracht, das Netz zu verteidigen. Und ich glaube, wenn wir Online-Kriminalität nicht bekämpfen, dann laufen wir Gefahr, alles zu verlieren. Wir müssen dies global tun und wir müssen es jetzt tun. Was wir brauchen, ist mehr globale, internationale Zusammenarbeit in der Verbrechensbekämpfung, um Banden von Online-Verbrechern aufzuspüren - diese organisierten Banden, die Millionen mit ihren Angriffen verdienen. Das ist viel wichtiger, als Anti-Viren-Programme und Firewalls zu verwenden. Wirklich wichtig ist es, die Menschen zu finden, die hinter diesen Angriffen stecken. Und noch wichtiger ist es, dass wir die Leute finden, die kurz davor stehen, Teil dieser Welt der Online-Verbrechen zu werden, die es aber noch nicht sind. Wir müssen die Leute finden, die über die Fähigkeiten verfügen, aber nicht über die Gelegenheiten, und es ihnen ermöglichen, ihre Fahigkeiten für das Gute einzusetzen.

Haben Sie vielen Dank.

(Applaus)