Mikko Hypponen: Combatendo vírus, defendendo a Internet

Eu adoro a Internet. É verdade. Pensem em tudo aquilo que nos trouxe. Pensem em todos os serviços que usamos, toda a conectividade, todo o entretenimento, todos os negócios, todo o comércio. E está a acontecer durante as nossas vidas. Tenho a certeza que, um dia, serão escritos livros de história, daqui a centenas de anos. Nessa altura, a nossa geração será recordada como a geração que ficou on-line, a geração que construiu algo real e verdadeiramente global. Mas sim, também é verdade que a Internet tem problemas, problemas muito sérios, problemas de segurança e problemas de privacidade. Passei a minha carreira a lutar contra estes problemas.

Por isso, deixem-me mostrar-vos algo. Isto aqui é o Brain. Isto é uma disquete de 5 polegadas e um quarto infectada com o Brain.A. É o primeiro vírus alguma vez encontrado para computadores PC. E sabemos, na verdade, de onde veio o Brain. Sabemo-lo porque está escrito dentro do seu código. Vejamos. Muito bem Este é o sector de arranque de uma disquete infectada. E se olharmos com atenção veremos que aqui, diz, "Bem-vindos à masmorra." E depois continua, dizendo, 1986, Basit e Amjad. E Basit e Amjad são nomes próprios, nomes próprios Paquistaneses. Na verdade, há um número de telefone e um endereço paquistaneses.

(Risos)

Ora, 1986. Agora estamos em 2011. Isto foi há 25 anos. O problema de vírus para PC tem 25 anos. Há meio ano atrás, decidi ir ao Paquistão. Vejamos, temos aqui duas fotos que tirei enquanto estive no Paquistão. Esta é da cidade de Lahore, que fica cerca de 300km a sul de Abbottabad, onde Bin Laden foi capturado. Aqui está uma vista de rua típica. E aqui está a rua que nos leva a este edifício, no Bloco Nizam, nº 730, Allama Iqbal Town. E bati à porta. (Risos) Querem adivinhar quem é que abriu a porta? O Basit e o Amjad. Ainda lá vivem. (Risos) (Aplausos) Aqui, de pé, está o Basit. E, sentado, o seu irmão Amjad. Estes são os tipos que escreveram o primeiro vírus para PC. Tivemos, claro, uma discussão muito interessante. Perguntei-lhes porquê. Perguntei-lhes como se sentiam em relação ao que iniciaram. E senti alguma satisfação quando soube que tanto o Basit como o Amjad tinham tido os seus computadores infectados dezenas de vezes por outro vírus não relacionados ao longo destes anos. Portanto, há aqui um certo tipo de justiça no mundo, no final das contas.

Os vírus que estávamos habituados a ver nos anos 80 e 90 já não são, obviamente, um problema. Deixem-me mostrar-vos só dois exemplos de como costumavam ser. Aqui estou a correr um sistema que me permite correr programas antigos num computador moderno. Deixem-me só montar algumas drives. Ir ali. Aqui temos uma lista de vírus antigos. Deixem-me executar alguns vírus no meu computador.

Por exemplo, vou executar primeiro o vírus Centipede. E podem ver no topo do ecrã, que aparece uma centopeia a vaguear pelo computador quando se é infectado com este vírus. Sabem que estão infectados, porque ele aparece mesmo. Aqui está outro. Este é o vírus Crash inventado na Rússia em 1992. Deixem-me mostrar-vos um que até faz som. (Som de sirene) E o último exemplo, adivinhem o que faz o vírus Walker. Sim, um tipo anda pelo vosso ecrã quando são infectados. Costumava ser muito fácil saber se estavam infectados com um vírus, quando os vírus eram escritos por aficionados e adolescentes.

Hoje já não são escritos por aficionados e adolescentes. Hoje, os vírus são um problema global. O que temos aqui em segundo plano é um exemplo dos sistemas que corremos nos nossos laboratórios, onde seguimos infecções no mundo inteiro. Podemos ver, em tempo real, que acabámos de bloquear vírus na Suécia e na Ilha Formosa, e na Rússia e noutros locais Na verdade, se me ligar aos nossos sistemas através da web, podemos ter, em tempo real, uma ideia de quantos vírus, quantos novos exemplos de malware encontramos cada dia. Aqui está o último vírus que encontrámos num ficheiro chamado Server.exe. E encontrámo-lo aqui há 3 segundos atrás. O anterior, há 6 segundos atrás. E se virmos o resto, é simplesmente massivo. Encontramos dezenas, ou até centenas de milhares. E isto representa os últimos 20 minutos de malware, cada dia.

De onde vêm todas estas coisas? Bem, hoje, há grupos de crime organizado a escrever estes vírus porque fazem dinheiro com os seus vírus. São gangues como... visitemos o GangstaBucks.com. Este website é operado a partir de Moscovo onde estes tipos compram computadores infectados. Se forem criadores de vírus e forem capazes de infectar computadores Windows, mas não souberem o que fazer com eles, podem vender esses computadores infectados, computadores de outras pessoas, a estes tipos. E eles pagam-vos mesmo dinheiro por esses computadores. E como é que estes tipos fazem dinheiro com estes computadores infectados? Fazem-no de várias formas, como usar cavalos de tróia que roubam dinheiro das vossas contas bancárias quando acedem ao vosso banco on-line, ou keyloggers. Estas aplicações correm silenciosamente no vosso computador, escondidas, e registam tudo o que escrevem. Estão no vosso computador a pesquisar no Google. Cada pesquisa que fazem é registada e enviada aos criminosos. Cada e-mail que escrevem é guardado e enviado aos criminosos. O mesmo acontece com cada palavra-passe, e por aí fora,

Mas aquilo em que estão mais interessados é nas vossas sessões online de compras online em lojas virtuais. Porque quando fazem compras em lojas virtuais, vão escrever o vosso nome, morada de entrega, número de cartão de crédito e respectivos códigos de segurança. E aqui está um exemplo de um ficheiro que encontrámos num servidor há um par de semanas. Isto é o número do cartão de crédito, a data de validade, o código de segurança, e o nome do proprietário do cartão. Assim que conseguem aceder ao cartão de crédito de outras pessoas, podem simplesmente ir à Internet e comprar o que quiserem com esta informação. E isso, obviamente, é um problema. Temos agora um mercado negro e um ecossistema de negócios construídos à volta do crime on-line.

Este é um exemplo de como estes tipos são capazes de gerar dinheiro com as suas operações. Podemos ir ao site da INTERPOL e pesquisar pessoas procuradas. Encontramos pessoas como Bjorn Sundin, originalmente da Suécia, e o seu parceiro criminoso, também presente nas páginas da INTERPOL, Sr. Shaileshkumar Jain, um cidadão Americano. Estes tipos geriram uma operação chamada I.M.U., uma operação ciber-criminosa através da qual embolsaram milhões. Estão agora ambos em fuga. Ninguém sabe onde estão. O estado Americano, há um par de semanas atrás, congelou uma conta bancária na Suíça pertencente ao Sr. Jain, e essa conta tinha 14,9 milhões de dólares americanos.

A quantidade de dinheiro que o crime online gera é significativa. E isso significa que os ciber-criminosos conseguem, na verdade, investir nos seus ataques. Sabemos que ciber-criminosos estão a contratar programadores e pessoal para testar o seu código, e têm sistemas back-end com bases de dados SQL. Podem dar-se ao luxo de observar como trabalhamos, como trabalha o pessoal de segurança, e tentar dar a volta a qualquer sistema de segurança que possamos construir. Também usam a natureza global da Internet em seu proveito. Quer dizer, a Internet é internacional. É por isso que se chama Internet.

E se derem uma espreitadela ao que está a acontecer no mundo on-line, aqui está um vídeo da Clarified Networks, que ilustra como uma só família de malware é capaz de se mover através do mundo. Esta operação, que se acredita ser originária da Estónia, move-se de um país para o outro assim que se tenta deitar abaixo o website. Não se consegue desligar estes tipos. Andam de país em país, de uma jurisdição para outra, movendo-se pelo mundo, servindo-se da nossa incapacidade de policiar globalmente operações como esta. A Internet é como se alguém tivesse dado bilhetes de avião grátis a todos os ciber-criminosos do mundo. Agora, criminosos que antes não eram capazes de chegar a nós, já conseguem.

Então, como é que encontramos ciber-criminosos? Como é que os perseguimos? Deixem-me dar-vos um exemplo. O que temos aqui é um ficheiro malicioso. Estou a ver o conteúdo hexadecimal de um ficheiro de imagem que contém um código malicioso. E isso significa que se tentarem ver esta imagem no vosso computador Windows, a imagem toma o vosso computador de assalto e executa o código.

Se olharem para este ficheiro de imagem -- temos aqui o cabeçalho da imagem e aqui é onde o código de ataque começa. Esse código foi encriptado, por isso vamos desencriptá-lo. Foi encriptada com a função XOR 97 Têm que acreditar em mim, foi, foi. E podemos vir aqui e começar a desencriptá-lo. A parte amarela do código está agora desencriptada. E eu sei que não parece ser muito diferente do original. Mas continuem a olhar. Vão reparar que aqui em baixo se pode ver um endereço web: unionseek.com/d/ioo.exe E quando vêem esta imagem no vosso computador na verdade, vai transferir e executar esse programa. Isto vai deixar uma porta aberta para que outros controlem o vosso computador.

Mas ainda mais interessante, se continuarmos a desencriptar, é que vamos encontrar uns caracteres misteriosos que dizem O600KO78RUS. Esse código está debaixo da encriptação como uma espécie de assinatura. Não é usado para nada. E olhei para isso, tentando perceber o que significava. E, obviamente, pesquisei no Google. Não tive qualquer resultado. Então falei com o pessoal do laboratório Temos um par de colaboradores Russos nos nossos laboratórios, e um deles referiu que acaba em "rus", como Rússia. E 78 é o código da cidade de São Petersburgo. Por exemplo, podemos encontrá-lo em números de telefone, matrículas automóveis e outras coisas do género. Então comecei a pesquisar contactos em São Petersburgo. Ao fim de algum tempo, encontrei um website específico.

Aqui está um Russo que está online desde há vários anos a administrar o seu próprio website e tem um blogue no popular Live Journal. E neste blogue fala da sua vida, da sua vida em São Petersburgo, está na casa dos 20, acerca do seu gato, da sua namorada. E tem um bom carro. Na verdade, ele tem um Mercedes-Benz S600 V12 com um motor de 6 litros com mais de 400 cavalos de potência. É um carro muito bom para um miúdo na casa dos 20 em São Petersburgo.

Como vim a saber deste carro? Porque ele o mencionou no seu blogue. Na verdade, teve um acidente de carro. Na baixa de São Petersburgo, bateu com o seu carro noutro. E colocou imagens do acidente, este é o seu Mercedes, e aqui o Lada Samara em que bateu. E conseguem ver que a matrícula do Samara acaba em 78RUS. E se olharem para esta imagem, vão ver que a matrícula do Mercedes é O600KO78RUS. Bem, eu não sou advogado, mas se fosse, seria aqui que diria, "não tenho mais nada a acrescentar".

(Risos)

E o que acontece quando estes ciber-criminosos são apanhados? Na maior parte dos casos, nunca se chega tão longe. Na grande maioria deste tipo de crimes, nem sequer sabemos de que continente vêm os ataques. E mesmo se formos capazes de os encontrar, muitas vezes não dá em nada. A polícia local não actua ou, se o fazem, não há provas suficientes, ou por alguma outra razão não os podemos derrubar. Gostava que fosse mais fácil; infelizmente, não o é.

Mas as coisas estão a mudar a um grande ritmo. Já todos ouviram falar de coisas como o Stuxnet. O que o Stuxnet fez foi infectar estas coisas. Este é um Siemens S7-400 PLC, um computador de lógica programável. E é isto que suporta a nossa infra-estrutura É isto que suporta tudo à nossa volta. PLCs, estas caixas pequenas sem ecrã, sem teclado, que são programadas, instaladas e fazem o seu trabalho. Por exemplo, os elevadores neste edifício seguramente são controlados por uma coisa destas. E quando o Stuxnet infecta uma coisa destas, isso representa uma revolução massiva no tipo de riscos com que nos temos de preocupar. Porque tudo à nossa volta é suportado por estas coisas. Ou seja, são infra-estruturas críticas. Qualquer fábrica, qualquer central energética, qualquer central química, qualquer central de processamento de alimentos, se olharem em volta, tudo é controlado por computadores.

Tudo é controlado por computadores. Tudo depende destes computadores funcionarem. Tornámo-nos muito dependentes da Internet, de coisas básicas como a electricidade, obviamente, de computadores a funcionar. E isto é algo que realmente nos cria problemas completamente novos Devemos ter alguma forma de continuar a trabalhar mesmo quando os computador falham.

(Risos)

(Aplausos)

Estarmos preparados significa que podemos fazer coisas mesmo quando aquilo que damos por garantido não está lá. São coisas muito básicas: pensar em continuidade, em cópias de segurança, pensar nas coisas que realmente importam.

Eu já vos disse... (Risos) Eu adoro a Internet. A sério. Pensem em todos os serviços que temos online. Pensem no que seria se vos fossem retirados, se um dia deixam de os ter por uma qualquer razão. Eu vejo beleza no futuro da Internet, mas estou preocupado que possamos não a ver. Estou preocupado por termos problemas devido ao ciber-crime. O ciber-crime é aquilo que nos pode retirar tudo isto.

(diapositivo: Fim da apresentação. Clique para sair) (Risos)

Passei a minha vida a defender a net e sinto que, se não lutarmos contra o ciber-crime, corremos o risco de perdermos tudo. Temos que o fazer de forma global, e temos que o fazer agora. O que precisamos é de forças policiais globais, internacionais, para encontrar estes ciber-criminosos, estes gangues organizados que estão a fazer milhões com os seus ataques. Isso é muito mais importante que correr antivírus ou firewalls. O que realmente importa é encontrar as pessoas por trás destes ataques. E ainda mais importante, temos de encontrar as pessoas que estão prestes a tornar-se parte deste ciber-mundo criminoso, mas que ainda não o fizeram. Temos de encontrar as pessoas com as capacidades, mas sem as oportunidades e dar-lhes as oportunidades de usarem as suas capacidades para o bem.

Muito obrigado.

(Aplausos)