Mikko Hypponen: Virussen bestrijden, het internet beschermen.

Ik hou van het internet. Het is waar. Denk aan alles wat het ons gebracht heeft. Denk aan de diensten die we gebruiken, alle verbindingen, alle vermaak, alle zakendoen, alle commercie. Het is gebeurd tijdens ons leven. Ik ben er vrij zeker van dat wanneer ze geschiedenisboeken schrijven, over honderden jaren, deze tijd, onze generatie zal worden herinnerd als de generatie die online ging. De generatie die iets bouwde dat werkelijk wereldwijd was. Maar, het is ook waar dat het Internet problemen heeft, heel serieuze problemen, problemen met beveiliging en problemen met privacy. Ik heb mijn carrière gewijd aan het bestrijden van deze problemen.

Ik zal je iets laten zien. Dit hier is Brain. Dit is een floppy disk -- 5¼ inch floppy disk besmet met Brain.A. Het is het eerste virus dat we ooit vonden voor pc's. We weten ook waar Brain vandaan kwam. Dat weten we omdat het in de code staat. Laten we even kijken. Oké. Dat is de bootsector van een geïnfecteerde floppy. Als we die wat nader bekijken, zien we dat hier staat: "Welkom in de kerker". Dan gaat het door, en hier staat: "1986, Basit en Amjad". Basit en Amjad zijn voornamen, Pakistaanse voornamen. Er staat ook nog een telefoonnummer en adres in Pakistan bij.

(Gelach)

Nou, 1986. Nu is het 2011. Dat is 25 jaar geleden. Het pc-virusprobleem is 25 jaar oud. Dus een half jaar geleden besloot ik zelf naar Pakistan te gaan. Hier zijn wat foto's die ik nam terwijl ik in Pakistan was. Dit is de stad Lahore, ongeveer 300 km ten zuiden van Abottabad, waar Bin Laden gesnapt is. Hier is een typisch straatbeeld. Hier is de straat die voert naar dit gebouw: 730 Nizam block in Allama Iqbal Town. Ik klopte op de deur. (Gelach) Wil je raden wie opendeed? Basit en Amjad; ze zijn er nog steeds. (Gelach) (Applaus) Daar staat Basit. Hier zit zijn broer Amjad. Dit zijn de mensen die het eerste pc-virus schreven. We hadden uiteraard een interessante discussie. Ik vroeg ze waarom. Ik vroeg hoe ze staan tegenover wat ze begonnen zijn, en ik kreeg enige voldoening toen ik vernam dat zowel Basit als Amjad hun computers tientallen malen besmet hebben gehad met volstrekt ongerelateerde, andere virussen door de jaren heen. Dus er is toch enige vorm van gerechtigheid in de wereld.

Nu zijn de virussen die we zagen in de jaren '80 en '90 uiteraard geen probleem meer. Dus ik ga je een paar voorbeelden laten zien van hoe ze er uitzagen. Wat hier draait, is een systeem dat me toestaat om stokoude programma's op een moderne computer te draaien. Even wat schijven klaarzetten. Ga daar heen... Wat we hier hebben is een lijst met oude virussen. Laat ik even wat virussen draaien op mijn computer.

Bijvoorbeeld, hier als eerste het duizendpootvirus. Je ziet aan de bovenkant van het scherm dat een duizendpoot over je computer loopt wanneer je door dit virus besmet bent. Je weet dat je besmet bent omdat je het daadwerkelijk ziet. Hier is er nog eentje. Dit heet Crash, geschreven in Rusland in 1992. Hier eentje dat ook nog geluid maakt. (Sirenegeluid) Het laatste voorbeeld. Raad eens wat het Wandelaarvirus doet. Ja hoor, er wandelt een kerel over je scherm als je besmet raakt. Het was ooit redelijk makkelijk om te weten dat je besmet was, toen de virussen geschreven werden door hobbyisten en tieners.

Tegenwoordig worden ze niet langer geschreven door hobbyisten en tieners. Tegenwoordig zijn virussen een wereldwijd probleem. Wat we hier op de achtergrond hebben, is een voorbeeld van systemen uit onze labs, waar we besmettingen wereldwijd traceren. Dus we kunnen in real time zien dat we zojuist virussen hebben geblokkeerd in Zweden en Taiwan en Rusland en elders. In feite, als ik me via internet verbind met onze labsystemen, zien we, in real time, een soort indicatie van hoeveel virussen, hoeveel nieuwe malware we iedere dag vinden. Hier is het laatste virus dat we vonden in een bestand genaamd Server.exe. We vonden het... drie seconden geleden -- het voorgaande, zes seconden geleden. Als we even scrollen... het is gigantisch. We vinden tienduizenden, zelfs honderdduizenden -- en dit is slechts de laatste 20 minuten -- stuks malware iedere dag.

Dus waar komen deze allemaal vandaan? Tegenwoordig zijn het de georganiseerde misdaadbendes die de virussen schrijven omdat ze er geld mee verdienen. Het zijn bendes als -- even kijken bij GangstaBucks.com. Dit is een website die opereert in Moskou, waar deze jongens geïnfecteerde computers kopen. Dus als jij een virusschrijver bent, in staat om Windows-computers te infecteren, maar je weet niet wat je er verder mee moet doen, kun je die geïnfecteerde computers verkopen -- computers van anderen -- aan deze jongens. Zij betalen je er daadwerkelijk geld voor. Hoe slaan deze jongens dan munt uit deze computers? Er zijn verschillende manieren, zoals trojaanse paarden die geld stelen uit je online-bankrekeningen wanneer je online bankiert, of keyloggers. Keyloggers nestelen zich in je computer, uit het zicht, en ze registreren alles wat je typt. Dus stel je geeft zoekopdrachten bij Google. Alles wat je typt bij Google wordt opgeslagen en naar de criminelen gestuurd. Elke email die je schrijft, wordt opgeslagen en verstuurd naar de criminelen. Hetzelfde met ieder wachtwoord enzovoort.

Maar waar ze vooral in geïnteresseerd zijn, zijn sessies waarin je op internet aankopen doet bij een online winkel. Want als je online aankopen doet, typ je je naam, het afleveradres, je creditcard-nummer en de veiligheidscodes. Hier is bijvoorbeeld een bestand dat we enkele weken geleden vonden op een server. Dit is het creditcard-nummer, de verloopdatum... de veiligheidscode... en dit is de naam van de eigenaar. Als je eenmaal toegang tot deze informatie hebt, kun je overal online kopen wat je maar wilt met die informatie. Dat is uiteraard een probleem. We hebben nu een complete ondergrondse marktplaats en zakelijk ecosysteem rondom internetcriminaliteit zitten.

Eén voorbeeld van hoe deze jongens in staat zijn om geld te slaan uit hun operaties. We kijken even naar de pagina's van INTERPOL en zoeken naar gezochte personen. We vinden jongens als Bjorn Sundin, oorspronkelijk uit Zweden, en zijn criminele partner, eveneens vermeld op de INTERPOL-pagina's, Meneer Shaileshkumar Jain, een Amerikaans staatsburger. Deze jongens runden een operatie genaamd I.M.U. een cybercrime-operatie waarmee ze miljoenen roofden. Ze zijn nu allebei op de vlucht. Niemand weet waar ze zijn. Amerikaanse ambtenaren bevroren enkele weken geleden een Zwitserse bankrekening die toebehoorde aan meneer Jain. Daarop stond 14,9 miljoen US dollar.

Dus de bedragen die in internetcriminaliteit omgaan, zijn aanzienlijk. Dat betekent dat de internetcriminelen kunnen investeren in hun aanvallen. We weten dat computercriminelen programmeurs inhuren, proefpersonen inhuren die hun codes testen, en backend-systemen hebben met SQL-databases. Ze kunnen het zich veroorloven te kijken hoe wij werken -- hoe beveiligingsmensen werken -- en proberen om de maatregelen die wij nemen te omzeilen. Ze benutten ook het globale karakter van internet in hun voordeel. Ik bedoel, het internet is internationaal. Daarom noemen we het internet.

Als je gaat kijken wat er gebeurt in de online-wereld, hier is een video van Clarified Networks, die illustreert hoe een enkele malware-familie zich over de wereld kan bewegen. Deze waarschijnlijk uit Estland stammende operatie, beweegt van het ene land naar het andere zodra men tracht de website plat te leggen. Je kunt deze jongens eenvoudigweg niet stilleggen. Ze verplaatsen zich van het ene land naar het andere, van de ene jurisdictie naar de andere -- de hele wereld rond. Ze gebruiken het feit dat we niet in staat zijn om dit soort operaties wereldwijd aan te pakken. Dus het internet is alsof iemand gratis vliegtuigtickets had gegeven aan alle internetcriminelen van de wereld. Criminelen die ons voorheen niet konden bereiken, kunnen dat nu wel.

Hoe ga je te werk wanneer je internetcriminelen probeert te vinden? Hoe spoor je ze feitelijk op? Ik zal een voorbeeld geven. Wat we hier hebben, is een exploit-bestand. Hier kijk ik naar de Hex-dump van een beeldbestand, die een exploit bevat. Dat betekent dat wanneer je deze afbeelding probeert te bekijken op je Windows-computer, het je computer overneemt en een programma draait.

Als je naar dit beeldbestand kijkt -- hier is de hoofding van het plaatje, en hier begint de feitelijke code van de aanval. Die code is versleuteld, dus laten we ze ontcijferen. Ze is versleuteld met XOR functie 97. Dat zul je me op mijn woord moeten geloven, het is echt zo. Dan kunnen we hierheen gaan en hem ontcijferen. Het gele deel van de code is nu ontcijferd. Ik weet, het ziet er niet veel anders uit dan de originele code, maar blijf kijken. Je zult zien dat hier beneden een internetadres staat: unionseek.com/d/ioo.exe. Als je dit plaatje op je computer bekijkt, zal het dat programma downloaden en draaien. Dat is een achterdeur die je computer zal overnemen.

Maar nog interessanter, als we blijven ontcijferen, vinden we deze mysterieuze reeks tekens; er staat 0600KO78RUS. Die code staat hier onder de versleuteling als een soort handtekening. Het wordt nergens voor gebruikt. Daar keek ik naar, en ik probeerde te achterhalen wat het betekent. Dus uiteraard googelde ik het. Nul treffers; was er niet. Dus ik praatte met de mensen in het lab. We hebben een aantal Russische mensen in onze labs, en één van hen zei, nou, het eindigt op rus zoals Rusland. en 78 is de stadscode voor Sint-Petersburg. Je kunt het bijvoorbeeld vinden in telefoonnummers en kentekenplaten en dat soort dingen. Dus ik ging op zoek naar contacten in Sint-Petersburg. Via een lange weg vonden we uiteindelijk deze website.

Hier is een Russische jongen die al enkele jaren online actief is en zijn eigen website runt. Ook heeft hij een blog via het populaire Live Journal. Hierop blogt hij over zijn leven, zijn leven in Sint-Petersburg -- hij is begin twintig -- over zijn kat, over zijn vriendin. Hij rijdt in een erg mooie auto. Om precies te zijn: een Mercedes-Benz S600 V12 met een 6-liter motor met meer dan 400pk. Dat is een mooie auto voor een knul van begin 20 in Sint-Petersburg.

Hoe weet ik van die auto? Omdat hij erover blogde. Hij had een auto-ongeluk in de binnenstad van Sint-Petersburg; hij ramde een andere auto. Hij zette beelden van het ongeluk online -- dit is zijn Mercedes -- hier zie je de Lada Samara die hij ramde. Je kunt hier zien dat het kenteken van de Samara eindigt in 78RUS. En als je kijkt naar dit overzichtsshot, zie je dat de nummerplaat van de Mercedes 0600KO78RUS is. Nu ben ik geen advocaat, maar als ik dat zou zijn zou ik nu zeggen: "..en daarmee beëindig ik mijn betoog."

(Gelach)

Wat gebeurt er als internetcriminelen gepakt worden? In de meeste gevallen komt het nooit zover. In de meeste gevallen van internetcriminaliteit weten we niet eens van welk continent de aanval komt. Zelfs als we de criminelen weten te vinden, is er heel vaak geen vervolging. De lokale politie handelt niet, of als ze dat wel doen, is er niet genoeg bewijs, of om een andere reden is vervolging onmogelijk. Ik zou willen dat het anders was; maar dat is het niet.

Tevens veranderen de dingen in rap tempo. Jullie hebben allemaal gehoord van dingen als Stuxnet. Wat Stuxnet deed, is het infecteren van één van deze. Dit is een Siemens S7-400 PLC, programmeerbaar besturingssysteem. Dit is waar onze infrastructuur op draait. Dit is wat alles om ons heen bestuurt. PLC's, die kleine dozen zonder display, zonder toetsenbord, die geprogrammeerd worden, geïnstalleerd, en die dan hun werk doen. Bijvoorbeeld de liften van dit gebouw worden hoogstwaarschijnlijk bestuurd door zo'n apparaat. Als Stuxnet één van deze infecteert, is dat een enorme revolutie in de soort risico's die we lopen. Want alles om ons heen wordt bestuurd door deze dingen. Ik bedoel, we hebben cruciale infrastructuur. Ga naar een willekeurige fabriek of energiecentrale, chemische fabriek of voedselverwerkende fabriek, en kijk om je heen -- alles wordt bestuurd door computers.

Alles wordt bestuurd door computers. Alles is afhankelijk van de werking van deze computers. We zijn zeer afhankelijk geworden van internet, van basiszaken als elektriciteit, uiteraard, van het functioneren van computers. Dat is iets dat compleet nieuwe problemen voor ons creëert. We moeten een manier hebben om te blijven functioneren, zelfs als computers uitvallen.

(Gelach)

(Applaus)

Voorbereid zijn, betekent dat we dingen kunnen doen zelfs wanneer de dingen die we vanzelfsprekend vinden, ontbreken. Het zijn werkelijk heel basale dingen -- nadenken over continuïteit, nadenken over back-ups, nadenken over de dingen die er werkelijk toe doen.

Ik zei jullie al -- (Gelach) Ik hou van internet...echt. Denk aan alle diensten die we online hebben. Stel je voor dat deze dingen je ontnomen worden, dat je ze op een dag opeens niet meer hebt om de een of andere reden. Ik zie schoonheid in de toekomst van internet, maar ik ben bezorgd dat we die wellicht niet zullen zien. Ik ben bezorgd dat we in de problemen komen vanwege internetcriminaliteit. Internetcriminaliteit is hetgene wat ons deze dingen zou kunnen ontnemen.

(Gelach)

Ik heb mijn leven lang het net beschermd. Ik vrees dat als we internetcriminaliteit niet bestrijden, we het risico lopen alles te verliezen. We moeten dit wereldwijd doen, en het moet nu. Wat we nodig hebben, is meer wereldwijd, internationaal politiewerk om internetcriminelen te vinden -- de georganiseerde bendes die miljoenen buitmaken met hun aanvallen. Dat is veel belangrijker dan anti-virussoftware of firewalls. Wat werkelijk belangrijk is, is het vinden van de mensen achter deze aanvallen. Nog belangrijker: we moeten de mensen vinden die op het punt staan om te gaan deelnemen in deze criminele wereld, maar het nog niet hebben gedaan. We moeten de mensen vinden met de vaardigheden, maar zonder de mogelijkheden, en hen de mogelijkheden geven hun vaardigheden goed aan te wenden.

Dank je wel.

(Applaus)