Mikko Hypponen: Boj s vírusmi, obrana internetu

Milujem internet. Je to pravda. Pomyslite na všetko čo nám priniesol. Pomyslite na všetky služby, ktoré používame, všetky tie spojenia, všetku tu zábavu, všetok obchod, všetok predaj. A deje sa to počas našich životov. Som si istý, že jedného dňa budeme písať dejepisy, stovky rokov od teraz. A vtedy naša generácia bude generáciou, ktorá sa stala online, generáciou, ktorá postavila niečo naozaj a skutočne globálne. Ale áno, je tiež pravda, že Internet má problémy, veľmi vážne problémy, problémy s bezpečnosťou a problémy so súkromím. Strávil som svoju kariéru bojom s týmito problémami.

Dovoľte mi niečo ukázať. Toto je Brain. Toto je disketa -- päť a štvrť-palcová disketa infikovaná vírusom Brain A. Je to prvý vírus, ktorý sme našli pre osobné počítače. A vieme odkiaľ Brain prišiel. Vieme to, pretože je to napísané v kóde. Pozrime sa. V poriadku. Toto je boot sektor infikovanej diskety. A ak sa pozrieme bližšie, uvidíme presne tu to vraví "Vitajte v jaskyni". A pokračuje to vraviac 1986, Basit a Amjad. Basit a Amjad sú mená, pakistanské mená. V skutočnosti je tu telefónne číslo a adresa v Pakistane.

(Smiech)

Nuž, rok 1986. Teraz je rok 2011. To je 25 rokov. Problém počítačových vírusov má 25 rokov. Pred pol rokom som sa rozhodol ísť do Pakistanu. Pozrime sa, tu je zopár fotiek z môjho pobytu v Pakistane. Toto je mesto Lahore, ktoré je asi 300 km južne od Abbottadabu, kde chytili Bin Ladena. Toto je typická ulica. A tu je ulica či cesta vedúca k tejto budove, čo je 730 Nizam blok v Allama Iqbal. Zaklopal som na dvere. (Smiech) Chcete hádať kto otvorili dvere? Basit a Amjad; sú stále tam. (Smiech) (Potlesk) Ten čo stojí je Basit. Sediaci je jeho brat Amjad. Toto sú chlapíci, ktorí napísali prvý počítačový vírus. Mali sme samozrejme veľmi zaujímavú diskusiu. Pýtal som sa prečo. Pýtal som sa čo cítia z toho čo naštartovali. A tak trochu som sa potešil, keď som zistil, že aj Basit aj Amjad mali infikované svoje počítače nespočetkrát úplne neznámymi inými vírusmi počas tých rokov. Takže je predsa istá spravodlivosť vo svete.

Vírusy, ktoré sme vídavali v 80-tych a 90-tych rokoch už nie sú problémom. Ukážem vám pár príkladov ako zvykli vyzerať. To čo tu púšťam je systém, ktorý mi umožňuje spúšťať prastaré programy na modernom počítači. Pripojím nejaké disky. Sem. Tu máme zoznam starých vírusov. Pustím teda zopár vírusov na mojom počítači.

Napríklad pozrime sa najskôr na Centipede (Stonožku). A vidíte na vrchu obrazovky, stonožka beží cez váš počítač keď sa infikuje týmto. Viete, že ste boli infikovaní, lebo sa to ukáže. Tu je ďalší. To je vírus Crash (Pád) z Ruska, 1992. Ukážem vám jeden, ktorý robí nejaký zvuk. (Hluk sirény) A posledný príklad, hádajte čo robí vírus Walker (Chodec). Áno, je tam panák kráčajúci cez obrazovku keď vás infikuje. Takže to bývalo ľahké vedieť, že ste infikovaní virusom, keď bolo písanie vírusov hobby amatérov a tínedžerov.

Dnes už nie sú písané amatérmi a tínedžermi. Dnes sú vírusy globálny problém. To čo tu máme na pozadí je príklad nášho systému, ktorý beží v našich laboratóriách, kde sledujeme vírusové infekcie vo svete. Môžeme vidieť v reálnom čase, že sme zablokovali vírusy zo Švédska a Taiwanu a Ruska a všelikde inde. Vlastne keď sa napojím naspäť do nášho systému cez web, môžeme vidieť v reálnom čase ukážku toho, koľko vírusov, koľko nových príkladov škodlivých programov nachádzame každý deň. Tu je najnovší vírus, ktorý sme našli v súbore Server.exe. Našli sme ho priamo tu, pred troma sekundami -- predchádzajúci, pred šiestimi sekundami. A keď si to prechádzame, je to proste masívne. Nachádzame desaťtisíce, dokonca stotisíce. A to je posledných 20 minút škodlivých programov (malwaru), každý jeden deň.

Takže odkiaľ všetky prichádzajú? Nuž, dnes sú to organizované kriminálne skupiny (gangy), ktoré píšu tieto vírusy, pretože na nich zarábajú. Sú to skupiny ako -- poďme na GangstaBucks.com. Je to web fungujúci v Moskve, kde títo ľudia nakupujú infikované počítače. Takže keď ste autor vírusov a ste schopný infikovať počítače s Windowsom, ale neviete potom čo s nimi, môžete ich predať -- niekoho iného počítače -- týmto ľuďom. A oni vám naozaj zaplatia peniaze za tie počítače. A ako oni potom speňažujú tieto infikované počítače? Nuž, je viacero spôsobov, ako bankové trójske kone, ktoré ukradnú peniaze z vašich online bankových účtov, keď používate online banking, alebo keyloggery. Keylogger potichu sedí vo vašom počítači, schovaný a zaznamenáva všetko, čo napíšete. Sedíte za vašim počítačom a hľadáte na Googli. Každé jedno hľadanie, ktoré napíšete je zaznamenané a odoslané kriminálnikom. Každý jeden email ktorý napíšete je zapísaný a odoslaný kriminálnikom. To isté platí pre každé heslo, a tak ďalej.

Ale to, o čo im ide najviac, sú prihlásenia (sedenia - sessions), keď ste online a online nakupujete v nejakom online obchode. Preto6e keď nakupujete online, píšete vaše meno, adresu doručenia, číslo vašej platobnej karty a bezpečnostný kód platobnej karty. A tu je príklad súboru, ktorý sme našli na serveri pred pár týždňami. Toto je číslo platobnej karty, dátum expirácie, bezpečnostný kód, a toto je meno vlastníka karty. Keď raz získate prístup k informáciám o karte iných ľudí, môžete online nakupovať čo len chcete s týmito údajmi. A zjavne, to je problém. Sú tu celé čierne trhy v podsvetí, biznisový ekosystém vybudovaný okolo online kriminality.

Jeden príklad ako sú títo ľudia schopní speňažiť ich operácie. Poďme a pozrime sa na stránky INTERPOLu a vyhľadajme hľadané osoby. Nájdeme ľudí ak Bjorn Sundin, pôvodom zo Švédska, a jeho partnera v zločine, tiež na zozname hľadaných INTERPOLom, pán Shaileshkumar Jain, občas USA. Títo dvaja riadili operáciu zvanú I.M.U., kyberzločinná operácia, na ktorej zarobili milióny. Obaja sú na úteku. Nikto nevie kde sú. Americkí zástupcovia, len pred pár týždňami zmrazili švajčiarsky bankový účet patriaci pánovi Jainovi a ten účet obsahoval 14.9 milióna dolárov.

Takže objem peňazí, ktorý generuje online kriminalita je významný. A to znamená, že online kriminálnici si môžu dovoliť investovať do svojich útokov. Vieme, že online kriminálnici najímajú programátorov, najímajú testerov, testujú ich kód, majú svoje systémy so SQL databázami. A môžu si dovoliť sledovať ako pracujeme -- my ľudia od bezpečnosti -- a snažia sa nájsť cestu okolo každého bezpečnostného opatrenia, ktoré vymyslíme. Využívajú tiež globálnu povahu internetu na svoju výhodu. Internet je totiž medzinárodný. To je dôvod prečo sa volá internet.

A keď sa pozriete na to čo sa deje v online svete, tu je video od Clarified Networks, ktoré ilustruje ako sa jedna skupina pracujúca so škodlivým softvérom sa môže hýbať okolo sveta. Táto operácia, predpokladý pôvod má v Estónsku, sa pohybuje z jednej krajiny do druhej hneď pri pokuse o vypnutie ich stránok. Títo ľudia sa proste nedajú vypnúť. Skáču z jednej krajiny do druhej, z jednej jurisdikcie do inej -- premiestňujú sa po svete, využívajúc fakt, ze nemáme možnosť globálne stíhať operácie ako táto. Internet je ako keby niekto dal voľné letenky všetkým online kriminálnikom sveta. Zločinci, ktorí sa predtým nevedeli k nám dostať, na nás dosiahnu.

Takže ako vlastne môžeme hľadať online kriminálnikov? Ako ich vlastne vystopujete. Dám vám príklad. Tu máme jeden súbor na využitie bezpečnostných dier - exploit. Pozerám sa na hexový výpis obrazového súboru, ktorý obsahuje exploit. To vlastne znamená, že keď si pozriete tento obrázok na vašom počítači s Windows, prevezme to váš počítač a spustí kód.

Keď sa pozriete na tento obrázkový súbor -- to je obrazová hlavička a tu začína vlastný kód útoku. A ten kód bol zašifrovaný, takže ho rozšifrujeme. Použila sa šifrovacia funkcia XOR 97. Musíte mi proste veriť, je to tak, je to tak. Môžme ísť sem a začať ho dešifrovať. Žlté časti kódu sú teraz dešifrované. A viem, že to nevyzerá príliš odlišne od originálu. Ale len sa na to pozerajte. Tu dolu uvidíte webovú adresu unionseek.com/d/ioo.exe A keď otvoríte tento obrázok na vašom počítači on vlastne stiahne a spustí ten program. Sú to "zadné vrátka" - bezpečnostná chyba, ktorá spôsobí prevzatie vášho počítača.

Ale ešte zaujímavejšie je, keď pokračujeme v dešifrovaní, nájdeme tento záhadný reťazec, O600KO78RUS. Ten kód je pod šifrou ako nejaký podpis. Nepoužíva sa na nič. Ako som sa na to pozeral, skúšal som zistiť čo to znamená. Vygooglil som to. Nula výsledkov; nebol tam. Tak som hovoril s ľuďmi s nášho labáku. Máme u nás aj pár Rusov a jeden z nich spomenul, nuž, končí na 'rus' ako Rusko. A '78' je kód mesta, mesta Sv. Petrohrad. Môžete ho nájsť napríklad v telefónnych číslach, na značkách áut a tak podobne. Tak som sa vydal hľadať kontakty v Sv. Petrohrade. A po dlhej ceste sme sa konečne dostali na túto jednu webstránku.

Je tu teda tento Rus, ktorý je online už niekoľko rokov, má vlastnú stránku, a bloguje na populárnom Live Journal. A na tomto blogu bloguje o svojom živote, o svojom živote v sv.Petrohrade -- má niečo cez 20 -- o svojej mačke, o svojej priateľke. A má veľmi pekné auto. Tento mladík jazdí na Mercedes-Benz S600 V12 so šesť-litrovým motorom a viac ako 400 koňmi. To je naozaj pekné auto na 20-niečo-ročného chalana zo Sv. Petrohradu.

Ako viem o tom aute? Lebo bloguje o svojom aute. Mal vlastne aj nehodu. V centre Sv. Petrohradu, nabúral so svojim autom do iného auta. A dal na blog obrázky tejto nehody -- to je jeho Mercedes -- to je Lada Samara do ktorej nabúral. A môžete vidieť, že značka tej Samary končí na 78RUS. A keď sa pozrieme na obrázok celej scény, vidíte, že značka Mercedesu je O600KO78RUS. Nie som právnik, ale keby som ním bol, tu by som povedal: "Prípad je jasný."

(Smiech)

Čo sa vlastne stane keď sú online kriminálnici chytení? Nuž, väčšina prípadov sa tak ďaleko nedostane. U väčšiny prípadov online zločinu nevieme, ani z ktorého kontinentu tie útoky prichádzajú. A aj keď sa nám podarí nájsť zločincov, dosť často z toho napokon nič nie je. Miestna polícia nekoná, alebo ak áno, nie je dosť dôkazov, alebo z nejakých dôvodov ich nemôžeme dolapiť. Želal by som si, aby to bolo ľahšie; nanešťastie to nie je.

Ale veci sa menia vo veľmi vysokom tempe. Počuli ste o veciach ako Stuxnet. Ak sa pozriete na to čo spravil Stuxnet, nakazil toto. To je Siemens S7-400 PLC, programovateľná logická riadiacia jednotka. A to je to, čo hýbe našou infraštruktúrou. To hýbe všetkým okolo nás. PLC, tieto malé skrinky, ktoré nemajú displej, či klávesnicu, sú naprogramované, uložené na miesto a tam robia svoju prácu. Napríklad výťahy v tejto budove sú pravdepodobne riadené niečím podobným. A keď Stuxnet napáda niektoré z nich, to je masívna revolúcia v druhoch rizík o ktoré sa musíme starať. Lebo všetko okolo nás je nimi riadené. Myslím pri tom na kritickú infraštruktúru. Idete do fabriky, elektrárne, chemickej továrne, továrne na spracovanie jedla, poobzeráte sa -- všetko začína byť riadené počítačmi.

Všetko riadia počítače. Všetko sa spolieha na to, že tie počítače fungujú. Stali sme sa veľmi závislýmí na internete, na základných veciach ako elektina, zjavne, ako na fungujúcich počítačoch. A to je niečo, čo pre nás vytvára úplne nové problémy. Musíme mať nejaký spôsob pokračovania v práci aj keď počítače zlyhajú.

(Smiech)

(Potlesk)

Pripravenosť znamená, že vieme robiť veci aj keď veci ktoré berieme za dané tu nebudú. Je to vlastne veľmi o základoch -- rozmýšľať o kontinuite, o zálohovaní, o veciach na ktorých naozaj záleží.

Povedal som vám -- (Smiech) Milujem Internet. Naozaj. Pomyslite na všetky tie služby, ktoré sú dostupné online. Pomyslite na to, ak by vám boli vzaté, ak by ste ich jedného dňa proste nemali, z nejakého dôvodu. Vidím krásu v budúcnosti Internetu, ale obávam sa, že to neuvidíme. Obávam sa, že budeme mať problémy s online zločinom. Online zločin je jedna vec, ktorá nám tieto veci môže vziať.

(Smiech)

Strávil som svoj život obraňovaním internetu. A naozaj cítim, že keď nebudeme bojovať s online zločinom, riskujeme, že to všetko stratíme. Musíme to robiť globálne a musíme to robiť hneď teraz. Čo potrebujeme, je viac globálnej, medzinárodnej kriminalistickej práce na hľadanie gangov online zločinu -- tieto organizované gangy zarábajú na svojich útokoch milióny. To je oveľa dôležitejšie ako používať anti-vírusy a firewally. Na čom naozaj záleží, je nájsť ľudí za týmito útokmi. A ešte dôležitejšie, musíme nájsť ľudí, ktorí sa stávajú časťou tohto sveta online zločinu, ale ešte ním nie sú. Musíme nájsť ľudí so schopnosťami, ale bez príležitostí a dať im tie príležitosti, aby svojimi schopnosťami konali dobro.

Ďakujem veľmi pekne.

(Potlesk)