Mikko Hypponen: Combattere i virus, difendere la rete

Adoro Internet. Davvero. Pensate a tutto quello che ci ha portato. Pensate a tutti i servizi che utilizziamo, a tutte le connettività, tutto l'intrattenimento, tutto il business, il commercio. E sta succedendo adesso. Sono quasi sicuro che un giorno scriveremo libri di storia tra centinaia di anni -- questo periodo la nostra generazione sarà ricordata come la generazione che è andata online, la generazione che ha costruito qualcosa di veramente globale. Ma si, è anche vero che Internet ha dei problemi, problemi molto seri, problemi con la sicurezza e problemi con la privacy. Ho passato la mia carriera a combattere questi problemi.

Lasciate che vi mostri una cosa. Questo qui è Brain. Questo è un floppy disk -- da 5 pollici e ¼ infettato da "Brain.A" E' il primo virus che sia mai stato trovato per PC. E ora sappiamo da dove viene Brain. Lo sappiamo perché è indicato all'interno del codice. Diamo un'occhiata. Bene. Questo è il Boot sector di un floppy infettato. Se guardiamo più da vicino, lo vediamo proprio qui, dice, "Benvenuti nei sotterranei." E poi continua, dice, 1986, Basit e Amjad, E Basit e Amjad sono nomi propri, nomi propri Pachistani. In effetti, c'è un numero di telefono e un indirizzo in Pakistan.

(Risate)

Ora, 1986. Oggi siamo nel 2011. Sono passati 25 anni. Il problema dei virus ai PC ha 25 anni. Allora 6 mesi fa, ho deciso di andare in Pakistan. Vediamo, ecco un paio di fotografie che ho scattato mentre ero in Pakistan. Questa è della città di Lahore, che si trova a circa 300 km a sud di Abbottabad dove è stato catturato Bin Laden. Ecco una tipica veduta della strada. Ed ecco la via o la strada che porta a questo edificio, che si trova al 730 di Nizam block ad Allama Iqbal. E ho bussato alla porta. (Risate) Provate a indovinare chi ha aperto la porta? Basit e Amjad; sono ancora li. (Risate) (Applausi) Qui in piedi c'è Basit. Seduto suo fratello Amjad. Questi sono i ragazzi che hanno scritto il primo virus per PC. Certo, abbiamo fatto una chiacchierata molto interessante. Ho chiesto loro perché. Ho chiesto loro cosa provavano quando hanno cominciato. E sono rimasto abbastanza soddisfatto nel sapere che i computer di Basit e Amjad sono stati infettati dozzine di volte da altri virus senza alcun legame tra loro nel corso di questi anni. Allora, dopo tutto, c'è un qualche tipo di giustizia a questo mondo.

I virus che eravamo abituati a vedere negli anni '80 e '90 ovviamente non sono più un problema. Lasciate che vi mostri un paio di esempi di come apparivano. Quello che sto scrivendo è un sistema che mi permette di far andare vecchi programmi su un computer moderno. Lasciatemi caricare qualche drive. Vai lì. Quello che si vede qui è una lista di vecchi virus. Ora attiverò qualche virus sul mio computer.

Per esempio, prima facciamo andare il virus Millepiedi. E vedete in alto sullo schermo, c'è un millepiedi che scorre lungo lo schermo quando si viene infettati da questo virus. Sapete che siete stati infettati, perché, di fatto, il virus si fa vedere. Eccone un altro. Questo è il virus denominato Crash inventato in Russia nel 1992. Lasciate che ve ne mostri uno che emette suoni. (Rumore di sirene) E l'ultimo esempio, indovinate cosa fa il virus Marciatore. Si, c'è un tizio che cammina sullo schermo una volta che siete stati infettati. Quindi era abbastanza facile sapere che eravate stati infettati da un virus, quando i virus venivano scritti da amatori e adolescenti.

Oggi non vengono più scritti da amatori e adolescenti. Oggi i virus sono un problema globale. Quello che si vede qui sullo sfondo è un esempio dei sistemi all'opera nei nostri lavoratori, dove rileviamo le infezioni di virus in tutto il mondo. Quindi possiamo vedere in tempo reale che abbiamo bloccato dei virus in Svezia e Taiwan e in Russia e altrove. In effetti, se mi connetto al nostro sistema in laboratorio via Web, si può vedere in tempo reale, avere un'idea di quanti virus, quanti nuovi esempi di malware troviamo ogni giorno. Questo è l'ultimo virus che abbiamo trovato su un file di nome Server.exe. E l'abbiamo trovato proprio qui tre secondi fa -- il precedente, sei secondi fa. E se scorriamo verso il basso, ce n'è una quantità enorme. Ne troviamo decine di migliaia, addirittura centinaia di migliaia. E questi sono gli ultimi 20 minuti di malware, ogni singolo giorno.

Allora da dove vengono tutti questi virus? Oggi sono le bande criminali organizzate che scrivono questi virus perché fanno soldi con i loro virus. Sono bande come -- andiamo su GangstaBucks.com. Questo è un sito web che opera a Mosca dove questa gente compra computer infettati. Quindi se siete un programmatore di virus e siete capaci di infettare i computer basati su Windows, ma non sapete cosa farvene, potete vendere questi computer infettati -- i computer di qualcun'altro -- a questa gente. E di fatto vi pagheranno per questi computer. Dunque come riesce questa gente a monetizzare questi computer infettati? Ci sono diversi modi, come i trojan bancari, che rubano soldi dal vostro conto online quando fate transazioni online, o i key logger. I Key logger se ne stanno zitti zitti nel vostro computer, nascosti, e registrano tutto quello che digitate. Quindi siete lì al computer e state facendo ricerche su Google. Ogni singola ricerca Google che digitate viene salvata e inviata ai criminali. Ogni singola email che scrivete viene salvata e mandata ai criminali. Stessa cosa con ogni singola password e così via.

Ma le cose che sono più ricercate sono le sessioni in cui andate online e fate acquisti online in negozi online. Perché quando fate acquisti nei negozi online, inserite il vostro nome, l'indirizzo di consegna, il numero della carta di credito e il codice di sicurezza della carta. Ed ecco l'esempio di un file che abbiamo trovato su un server un paio di settimane fa. Questo è il numero della carta di credito, questa è la data di scadenza, questo è il codice di sicurezza, e questo è il nome del titolare della carta. Una volta che avete accesso ai dati delle carte di credito della gente, potete andare online e acquistare quello che volete con queste informazioni. E questo, ovviamente, è un problema. Ora abbiamo tutto un mercato sotterraneo e un ecosistema commerciale costruiti intorno al crimine online.

Un esempio di come questa gente di fatto è capace di monetizzare le proprie operazioni. Andiamo a dare un'occhiata alle pagine dell'INTERPOL e andiamo alle persone ricercate. Troviamo gente come Bjorn Sundin, dalla Svezia, e il suo complice, inserito anche lui nelle liste dei ricercati dell'INTERPOL, il Sig. Shaileshkumar Jain, un cittadino americano. Questa gente mandava avanti un'operazione di nome I.M.U. un'operazione di crimine informatico attraverso cui hanno raccolto milioni. Ora sono tutt'e due in fuga. Nessuno sa dove si trovino. Dei funzionari americani, solo un paio di settimane fa, hanno congelato un conto corrente svizzero che appartiene a Mr. Jain, e quel conto corrente aveva su 14,9 milioni di dollari.

Quindi l'ammontare di soldi che genera il crimine informatico è rilevante. E questo significa che i criminali informatici possono permettersi di investire nei loro attacchi. Sappiamo che i criminali informatici assumono programmatori, assumono persone per testare, testare i loro codici, avendo sistemi basati su database SQL. E possono permettersi di vedere come lavoriamo -- come lavoriamo noi della sicurezza -- e cercano di aggirare le barriere di sicurezza che costruiamo. Usano anche la natura globale di Internet a loro vantaggio. Voglio dire, Internet è internazionale. Questo è il motivo per cui lo chiamiamo Internet.

E se date un'occhiata a quello che sta succedendo nel mondo online, ecco un video fatto da Clarified Networks, che spiega come una singola famiglia di malware sia capace di spostarsi nel mondo. Questa operazione, si crede sia originaria dell'Estonia, si sposta da un paese all'altro non appena il sito cerca di sbarazzarsene. Quindi semplicemente non li si può spegnere. Passeranno da un paese all'altro, da una giurisdizione a un'altra -- spostandosi in tutto il mondo, sfruttando il fatto che non abbiamo la capacità di vigilare globalmente su operazioni come questa. Quindi Internet... è come se qualcuno avesse dato via biglietti aerei gratis a tutti i criminali informatici del mondo. I criminali che prima non erano in grado di raggiungerci ora possono farlo.

Allora come si fa a trovare questi criminali online? Come si fa a rintracciarli. Lasciate che vi faccia un esempio. Quello che vedete qui è un file exploit [codice]. Qui sto guardando un hexdump di un file di immagine, che contiene un exploit. In sostanza, se cercate di vedere questo file di immagine sul vostro PC, di fatto prende il controllo del vostro PC e attiva il codice.

Ora, se date un'occhiata a questo file di immagine -- c'è l'intestazione dell'immagine, e qui il vero codice che inizia l'attacco. Questo codice è stato criptato, quindi lo drecriptiamo. E' stato criptato con XOR function 97. Credetemi e basta, è così. E possiamo andare qui e cominciare a decriptarlo. La parte gialla del codice ora è decifrata. E lo so, non sembra molto diverso dall'originale. Ma continuate a guardare. Vedrete qui sotto, potete vedere un indirizzo Web: unionseek.com/d/ioo.exe. E quando visualizzate quest'immagine sul vostro computer vi scarica un programma e lo fa partire. E questa è la backdoor che prende possesso del vostro computer.

Ma ancor più interessante, se continuiamo a decriptare, troviamo questa stringa misteriosa che dice O600KO78RUS. Quel codice è lì sotto criptato come una specie di firma. Non serve a niente. E la guardavo, cercando di capire cosa significasse. Allora ovviamente l'ho Googlata. Nessun risultato; non c'era. Allora ho parlato con i ragazzi al laboratorio. E abbiamo un paio di Russi nei nostri laboratori, e uno di loro ha pensato... beh, finisce in rus come Russia. E 78 è il codice postale della città di San Pietroburgo. Per esempio, lo trovate in alcuni numeri di telefono, nelle targhe e cose così. Allora sono andato a cercare nella rubrica di San Pietroburgo. E dopo un lungo percorso, abbiamo trovato questo sito particolare.

C'è questo tizio russo che lavora online da parecchi anni che gestisce il suo proprio sito, e gestisce un blog nel più popolare Diario Live. E sul suo blog, racconta della sua vita, della sua vita a San Pietroburgo -- è poco più che ventenne -- racconta del suo gatto, della sua ragazza. E guida una bellissima macchina. In realtà, questo tizio guida una Mercedes-Benz S600 V12 6 litri di cilindrata con più di 400 cavalli. E' una bella macchina per un ragazzo di 20 anni a San Pietroburgo.

Come so di questa macchina? Perché ha raccontato della macchina nel blog. Ha avuto un incidente. In centro a San Pietroburgo, ha tamponato un'altra macchina. E ha messo sul blog immagini dell'incidente -- questa è la sua Mercedes -- questa è la Lada Samara che ha tamponato. E potete vedere che la targa della Samara finisce con 78RUS. E se date un'occhiata alla foto della scena, potete vedere che la targa della Mercedes è O600KO78RUS. Non sono un avvocato, ma se lo fossi, a questo punto direi "Il caso è chiuso."

(Risate)

Allora cosa succede quando i criminali informatici vengono presi? In molti casi non si arriva mai così lontano. Nella maggior parte dei crimini online, non sappiamo neanche da quale continente vengono gli attacchi. E anche se fossimo in grado di trovare i criminali informatici, molto spesso non si arriva a nessun risultato. La polizia locale non interviene, o se lo fanno, non ci sono prove a sufficienza, o per qualche ragione non si possono arrestare. Vorrei tanto che fosse più facile; sfortunatamente non lo è.

Ma le cose stanno cambiando ad un ritmo molto veloce. Avete tutti sentito parlare di Stuxnet. Se osservate quello che ha fatto Stuxnet, ha infettato questi. Questo è un Siemens S7-400 PLC, un computer logico programmabile. E questo fa andare la nostra infrastruttura. Questo è quello che fa andare tutto quello che ci circonda. i PLC, queste piccole scatole senza schermo, senza tastiera, che sono programmate, sono messe lì, e fanno il loro lavoro. Per esempio, gli ascensori di questo edificio molto probabilmente sono controllati da uno di questi. E quando Stuxnet ne infetta uno, è una rivoluzione di massa sul tipo di rischi di cui dobbiamo preoccuparci. Perché intorno a noi tutto è gestito da questi cosi. Voglio dire, abbiamo infrastrutture vitali. Andate in qualunque fabbrica, in qualunque centrale elettrica, qualunque centrale chimica, qualunque stabilimento di produzione alimentare, guardate in giro -- tutto viene gestito da computer.

Tutto viene gestito da computer. Tutto dipende dal lavoro di questi computer. Siamo diventati molto dipendenti da Internet, da cose di base come l'elettricità, ovviamente, dal lavoro dei computer. E questo è qualcosa che ci crea problemi del tutto nuovi. Dobbiamo trovare un modo di continuare a lavorare anche se i computer dovessero venire meno.

(Risate)

(Applausi)

Essere preparati significa che possiamo fare cose anche quando gli strumenti che diamo per scontati non ci sono. E' roba veramente elementare -- pensare alla continuità, pensare a soluzioni di riserva, pensare alle cose che sono veramente importanti.

Vi ho detto -- (Risate) Adoro Internet. E' vero. Pensate a tutti i servizi che abbiamo online. Pensate se ce li portassero via, se un giorno non li aveste più per un motivo o per un altro. Vedo la bellezza nel futuro di Internet, ma sono preoccupato perché potremmo non vedere tutto questo. Sono preoccupato perché stiamo andando incontro a problemi a causa del crimine informatico. Il crimine informatico è l'unica cosa che potrebbe portarci via queste cose.

(Risate)

Ho passato una vita a difendere la rete. E sento che se non combattiamo il crimine informatico, corriamo il rischio di perdere tutto. Dobbiamo farlo a livello globale, e dobbiamo farlo ora. Quello di cui abbiamo bisogno è più globale, un lavoro per applicare leggi internazionali per trovare le bande di criminali informatici -- questi gruppi organizzati che stanno facendo milioni dai loro attacchi. E' molto più importante che attivare anti-virus o firewall. Quello che importa veramente è trovare le persone che stanno dietro a questi attacchi. E ancora più importante, dobbiamo trovare le persone che stanno per entrare a far parte di questo mondo del crimine online, ma ancora non lo hanno fatto. Dobbiamo trovare le persone con le capacità, ma senza le opportunità e dare loro le opportunità di usare le loro capacità per il meglio.

Grazie infinite.

(Applausi)