Mikko Hypponen: Paglaban sa viruses, pagtatanggol ng net

Mahal ko ang Internet. Totoo yun. Isipin mo ang lahat ng naidulot nito sa atin. Isipin mo ang lahat ng pakinabang nito sa atin, lahat ng pagkakaugnay, lahat ng uri ng aliw, lahat ng negosyo, lahat ng kalakalan. At ito'y nangyayari sa panahon natin. Sigurado ako na balang araw tayo'y magsusulat ng librong pangkasaysayan ilang daang taon mula ngayon. Ngayon ang henerasyon natin ay maaalala bilang henerasyon na nagka-online, ang henerasyon na bumuo ng isang bagay na tunay at talagang pangdaigdigan. Subalit, totoo din naman na ang internet ay may mga suliranin, mga napakaseryosong suliranin, mga problema sa seguridad at mga problema sa pagiging pribado nito. Ginugol ko ang aking karera upang labanan ang mga problemang ito.

Kaya hayaan niyo sanang ipakita ko sa inyo ito. Ito ay ang Brain. Ito ay isang disket -- lima at sangkapat na pulgadang disket na nahawaan ng Brain.A. Ito ang kauna-unahang virus na natagpuan namin para sa mga PC kompyuter. At alam namin talaga kung saan nagmula ang Brain. Alam namin dahil ito'y sinabi mismo sa loob ng code. Tingnan natin. Ayos. Ito ang boot sector ng nahawang disket. At kung titingnan natin ng mabuti sa loob, makikita natin ito dito, nakasaad dito na, "Welcome to the dungeon." At kasunod nito, ay nakasaad, 1986, Basit and Amjad. At Basit at Amjad ay mga pangalan, Mga pangalan ng mga Pakistani. Sa katunayan, may numero ng telepono at address sa Pakistan.

(Tawanan)

Ito, 1986. Ngayon ay 2011. Yun ay 25 taong nakalipas. Ang problema sa PC virus ay 25 taon na. Kaya kalahating taon ang nakalipas, Nagpasya akong magpunta sa Pakistan nang ako mismo. Kaya tingnan natin, ito'y dalawang larawan na kinuhanan ko habang ako ay nasa Pakistan. Ito ay mula sa siyudad ng Lahore, na humigit kumulang na 300 kilometro patimog mula Abbottabad kung saan nahuli si Bin Laden. Ito'y karaniwang tanawin mula sa kalye. At ito ang kalye at daan papunta sa gusali, ang 730 Nizam block sa bayan ng Allama Iqbal. At kinatok ko ang pintuan. (Tawanan) Hulaan niyo kung sino ang nagbukas ng pinto? Basit at Amjad; nandoon pa din sila. (Tawanan) (Palakpakan) Kaya ito nakatayo si Basit. Nakaupo naman ang kanyang kapatid na si Amjad. Sila ang mga taong sumulat ng kaunaunahang PC virus. Syempre, naganap ang isang kawili-wiling talastasan. Tinanong ko sila kung bakit. Tinanong ko kung ano ang tingin nila sa kanilang naumpisahan. At nagkaroon ako ng mumunting kagalakan nang nalaman kong sila Basit at Amjad ay nagkakaproblema din sa mga nahawang komputer mula sa iba't ibang klase ng virus sa mga nakalipas na taon. May hustisya naman pala sa mundong ito.

Ngayon, ang mga virus na dati nating nakikita noong 1980s at 1990s ay hindi na problema. Hayaan niyong ipakita ko sa inyo ang ilang halimbawa ng kanilang dating anyo. Pinapatakbo ko dito ang isang sistema na nagbibigay-daan para gumana ang mga lumang programa dito sa modernong kompyuter. Ilalagay ko muna itong mga drives. Punta ka doon. May listahan tayo dito ng mga lumang virus. Paaandarin ko ang ilang mga virus sa aking kompyuter.

Halimbawa, tingnan natin ang Centipede virus. Makikita niyo sa taas ng screen, may centipede na gumagapang sa inyong kompyuter kapag nahawaan nito. Alam mong nahawaan ito, dahil nakikita mo ito mismo. Heto pa ang isa. Ito ang virus na tinatawag na Crash na naimbento sa Russia noong 1992. Ito naman ay isang virus na gumagawa ng tunog. (Tunog ng wang-wang) At ang huling halimbawa, hulaan niyo ang ginagawa ng Walker virus. Tama, may taong maglalakad sa screen kapag ikaw ay nahawaan. Kaya napakadaling malaman dati na ika'y nahawaan ng virus, noong ang mga virus ay nililikha bilang katuwaan at ng mga binatilyo.

Ngayon, hindi lamang mga hobbyists at binatilyo ang lumilikha nito. Ngayon, ang mga virus ay isang pandaigdigang suliranin. Dito sa aking likuran ay isang silip sa sistemang ginagamit namin sa lab, na sumusubaybay sa paghawa ng mga virus sa buong mundo. Nakikita natin dito sa real time na may hinarang tayong virus sa Sweden at Taiwan at Russia at kahit saan man. Sa katunayan, kung kokonekta ulit ako sa aming lab system gamit ang Web, makikita natin sa real time kung gaano kadami ang mga virus, kung ilang uri ng bagong malware ang natutuklasan namin bawat araw. Ito ang pinakabagong virus na natuklasan namin sa file na tinatawag na Server.exe. At natuklasan namin ito dito tatlong segundo lang ang nakalipas -- yung isa naman, anim na segundo ang lumipas. At kung titingnan natin lahat, ito'y napakarami. Makakahanap tayo ng libo-libo, at ilang daang libo pa. At yun lamang ay malware sa nakalipas na 20 minuto bawat araw.

Saan kaya nagmumula ang lahat ng ito? Ngayon, mula ito sa mga organisadong grupong kriminal na lumilikha ng mga virus upang pagkakitaan ng pera ang mga virus. Ito'y parang mga grupo -- punta tayo sa GangstaBucks.com. Ito ay website na nakabase sa Moscow kung saan binibili nila ang mga nahawaang kompyuter. Kaya kung ikaw ay nagsusulat ng virus at marunong kang manghawa ng kompyuter ng Windows, ngunit hindi mo alam kung anong gagawin sa kanila, pwede mong ipagbili ang mga kompyuter na nahawaan -- mga kompyuter ng pagmamay-ari ng iba -- sa mga taong ito. At magbabayad talaga sila ng pera para sa mga kompyuter na iyon. Paano naman kumikita ang mga taong ito gamit ang mga nahawaang kompyuter? May iba't ibang paraan, gaya ng banking trojans, na magnanakaw ng pera sa inyong online account sa bangko kung ika'y nag-oonline banking, o di kaya'y keyloggers. Nag-aabang ang keyloggers sa loob ng inyong kompyuter, nakatago, at itinatala nito ang lahat ng iyong tina-type. Halimbawang ika'y nakaharap sa iyong kompyuter at nagsasaliksik sa Google. Bawat pananaliksik mo sa Google na tina-type ay naitatala at naipapadala sa mga kriminal. Bawat email na iyong sinusulat ay nakatala at pinadadala sa mga kriminal. Ganoon din sa bawat password at ilan pa.

Ngunit ang talagang nais nila ay ang mga pagkakataong online ka at bumibili sa isang tindahan online. Dahil kung ika'y bumibili sa mga online stores, sinusulat mo ang iyong pangalan, tirahan, numero ng credit card at ang mga security codes ng credit card. At nandito ang isang halimbawa ng file na nakita namin sa server dalawang linggo na ang nakalipas. Iyon ang numero ng credit card, iyon ang expiration date, iyon ang security code, at iyon ang pangalan ng may-ari ng card. Kapag nakuha mo na ang mga impormasyong ito mula sa ibang tao, maari ka nang bumili online ng kahit ano gamit ang impormasyong ito. At iyon, siyempre, ay isang problema. May isang malaking lihim na kalakaran at negosyong nagaganap na nakaugat sa online na krimen.

Isang halimbawa kung paano pinagkakakitaan ng mga taong ito ang ganitong modus operandi. Pumunta tayo at tingnan ang mga pahina ng INTERPOL at hanapin natin ang mga wanted. Makikita natin ang mga taong tulad ni Bjorn Sundin, na nagmula sa Sweden, at ang kanyang kasabwat sa krimen, na nakalista din sa INTERPOL sa mga pahina ng mga wanted, Mr. Shaileshkumar Jain, isang mamamayan ng U.S. Pinapatakbo ng mga taong ito ang modus na tinatawag na I.M.U., isang modus sa cybercrime na pinagkakitaan nila ng milyon-milyon. Parehas sila ngayong nagtatago. Walang nakakaalam kung nasaan sila. Dalawang linggo ang nakakalipas, isinara ng mga tauhan sa U.S., ang isang account sa bangko sa Switzerland na pagmamay-ari ni Ginoong Jain, na may laman na 14.9 milyong U.S. dolyares.

Kaya masasabi nating ang halaga ng pera sa online na krimen ay hindi biro. Nangangahulugan na ang mga online na kriminal ay namumuhunan sa kanilang pag-atake. Alam natin na ang mga online na kriminal ay kumukuha ng mga programmer, mga testing people, na titingin sa code, taglay ang mga sistemang back-end na ginagamitan ng SQL databases. At maari nilang pag-aralan ang ating bawat galaw -- gaya nang ginagawa ng mga security personnel -- at hahanapin nila ng kahit anong butas upang makalusot sa security precautions natin. At dahil sakop ng Internet ang buong mundo ginagamit nila ito upang makalamang. Internasyonal ang internet. Kung kaya't Internet ang tawag dito.

At kung ikaw titingnan mo ang mga nangyayari online, ito ay video na nilikha ng Clarified Networks, na isinasalarawan kung paano kumakalat sa buong mundo ang isang pamilya ng malware. Ang ganitong modus, na pinaniniwalaang nagmula sa Estonia, ay lumilipat mula sa isang bansa papunta sa iba kapag ipinapasara na ang website. Kaya hindi madaling mapahinto ang ganitong modus. Lilipat lang sila mula sa isang bansa papunta sa iba, mula sa iisang saklaw ng hudikatura papunta sa iba -- palipat-lipat sa buong mundo, dahil wala tayong kakayahan upang mahuli ang malawakang modus na tulad nito. Kaya maiisip nating ang internet ay nagiging libreng tiket sa eroplano para sa lahat ng mga online na kriminal sa mundo. Kung dati'y walang kakayahan ang mga kriminal, ngayon ay madali na nila tayong maaabot.

Paano natin mahahanap ang gaya nilang kriminal online? Paano natin sila matutunton? Bibigyan ko kayo ng halimbawa. May isang exploit file tayo dito. Dito, may isang Hex dump ng isang image file, na may lamang exploit. Kung bubuksan ninyo itong image file sa inyong Windows computer, kokontrolin na niya ang inyong kompyuter at papaandarin ang code.

Ngayon, kung titingnan niyo ang image file na ito -- yun ang image header, at doon nagsisimula ang mismong code ng pag-atake. At ang code na iyon ay naka-encrypt, kaya i-decrypt natin. Ito ay naka-encrypt gamit ang XOR function 97. Maniwala ka na lang, tama yan. At pwede nating tingnan dito na inuumpisahan na itong ma-decrypt. Ang bahagi ng code na kulay dilaw ay na-decrypt na. Alam ko, wala namang gaanong pinag-iba sa orihinal. Pero titigan niyo ito ng mabuti. Makikita mo dito sa bandang ilalim na may Web address: unionseek.com/d/ioo.exe At kung titingnan mo itong larawan sa iyong kompyuter ay sisimulan na niya ang download at pagpapatakbo ng program. At iyon ang backdoor na kokontrol sa iyong kompyuter.

Ang mas interesante, ay kung ipagpapatuloy natin ang pagdedecrypt, makikita natin itong misteryong string na nagsasabing O600KO78RUS. Ang code na ito nakapaloob sa encryption na tulad ng isang lagda. Hindi itong ginagamit sa kahit ano. Tinitigan ko ito, sinubukang alamin ang kahulugan nito. Kaya nag-Google ako. Wala akong nakuha; wala siya doon. Kaya kinausap ko ang mga tauhan sa lab. At may dalawang Ruso sa aming labs, at sabi nung isa sa kanila, na ang code ay nagtatapos sa rus tulad ng Russia. at 78 ay ang code ng lungsod para sa lungsod ng St. Petersburg. Halimbawa, nakikita ito sa mga numero ng telephono at sa mga plaka ng sasakyan at sa ibang bagay. Kaya naghanap ako ng mga koneksyon sa St. Petersburg. At sa katagalan ng paglalakbay, nahanap namin ang isang natatanging website.

Heto ang isang Ruso na naka-online sa loob ng maraming taon na may sariling website, at nagsusulat ng blog sa tanyag na Live Journal. At sa blog na iyon, sinusulat niya ang tungkol sa buhay niya, tungkol sa buhay niya sa St. Petersburg -- siya ay higit kumulang 20 gulang -- tungkol sa kanyang pusa, tungkol sa kanyang kasintahan. At minamaneho niya ang isang napakagarang sasakyan. Kung tutuusin, minamaneho ng taong ito ang isang Mercedes-Benz S600 V12 na may makinang anim na litro ang laman at may mahigit 400 horsepower. Iyon ay isang napakagarang kotse para sa isang 20 anyos na binatilyo sa St. Petersburg.

Paano ko nalaman ang tungkol sa kotse? Dahil nagblog siya tungkol sa kanyang kotse. Nagkaroon siya ng aksidente. Sa downtown St. Petersburg, nabangga ang kotse niya sa isa pang kotse. Naglagay siya ng mga larawan sa blog tungkol sa aksidente -- iyon ang kanyang Mercedes -- at ito yung Lada Samara na nakabanggaan niya. At makikita mo na ang plaka ng Samara ay nagtatapos sa 78RUS. At kung titingnan mong mabuti ang larawan ng pangyayari, makikita mo na ang plaka ng Mercedes ay O600KO78RUS. Ngayon hindi naman ako abogado, ngunit kung sakali'y ako man, ngayon ko sasabihin, "Tapos na ang kasong ito."

(Tawanan)

Ano ang mangyayari kung mahuhuli ang mga kriminal na online? Madalas, hindi na umaabot sa ganito. Karamihan sa mga kasong kriminal online, hindi natin malalaman kung aling kontinente nagmula ang pag-atake. At kung mahahanap man sila, madalas walang nangyayari. Hindi ito sakop ng lokal na kapulisan, at madalas walang sapat na katibayan, o sadyang mahirap talaga silang mahuli. Sana may madaling paraan; sa kasamaang-palad, wala.

Ngunit may mga bagay na sadyang mabilis ang pagbabago. Narinig mo na siguro ang mga bagay tulad ng Stuxnet. Mahalaga ang Stuxnet dahil hinawaan niya ang mga ito. Iyan ay ang Siemens S7-400 PLC, programmable logic [controller]. At ito ang nagpapatakbo sa ating imprastraktura. Ito ang nagpapaandar sa lahat ng nakapaligid sa atin. PLC's, mga maliliit na kahon na walang display, walang keyboard, na naka-program, nakapwesto, at nagtatrabaho. Halimbawa, ang mga elevator sa gusaling ito ay marahil pinapatakbo ng mga ito. At kapag nahawaan ng Stuxnet ang isa sa mga ito, iyon ay isang napakalaking pagsisiwalat sa uri ng mga panganib na dapat nating alalahanin. Dahil lahat sa ating paligid ay pinapatakbo ng mga ito. Ibig kong sabihin, nanganganib ang ating imprastraktura. Pumunta ka sa kahit anong pabrika, sa planta ng kuryente, sa planta ng kemikal, sa planta ng pinoprosesong pagkain, tumingin ka sa paligid -- lahat ay pinapaandar ng mga kompyuter.

Lahat ay pinapaandar ng mga kompyuter. Lahat ay umaasa sa mga kompyuter. Masyado tayong umaasa sa Internet, sa mga pangunahing bagay gaya ng kuryente, siyempre, sa mga kompyuter. At ang mga bagay na ito ay lumilikha ng mga panibagong problema para sa atin. Dapat may paraan tayo upang mapagpatuloy ang trabaho kung sakaling mabigo ang mga kompyuter.

(Tawanan)

(Palakpakan)

Kaya ang kahandaan ay ang kakayahang gumawa kung sakaling ang mga bagay na binabaliwala ay biglang mawala sa atin. Ito'y mga simpleng bagay lang -- pag-iisip tungkol sa daloy, sa mga backup, sa mga mahahalagang bagay.

Sinabi ko kanina -- (Tawanan) Mahal ko ang Internet. Totoo yun. Isipin niyo ang lahat ng mga kapakipakinabang online. Ipagpalagay na inalis itong lahat, na isang araw wala na sila, sa kung anumang kadahilanan. Nakikita ko na maganda ang kinabukasan ng internet, ngunit nag-aalala ako na hindi natin ito masisilayan. Nababahala ako dahil nagkakaroon tayo ng mga suliranin sa online na krimen. Ang online na krimen ay isang dahilan upang mawala ang mga bagay na ito sa atin.

(Tawanan)

Ginugol ko ang buhay ko na ipinagtatanggol ang net. At kapag hindi nasugpo ang online na krimen, nanganganib na mawawala ang lahat ng ito. Kailangang pandadaigdigan ang lawak ng aksyon, at kailangang ngayon na. Ang kailangan natin ay isang tanggapan na magpapatupad ng batas na pang-internasyonal upang hanapin ang mga grupong kriminal online -- mga organisadong grupo na kumikita ng milyon-milyon mula sa mga pag-atake. Iyon ay mas mahalaga higit pa sa mga anti-virus at firewall sa kompyuter. Higit pang mahalaga ay ang pagtukoy sa mga taong nagdudulot nito. At mas mahalaga, ay tukuyin ang mga tao na nagbabalak na sumali sa mundo ng online na krimen, na hindi pa nakapagsimula. Hanapin natin ang mga taong may ganitong kakayahan, na hindi nagkaroon ng pagkakataon at bigyan natin sila ng pagkakataon na gamitin ang kanilang angking husay para sa kabutihan.

Maraming salamat.

(Palakpakan)