Mikko Hypponen: Kampen mot virus, skydda nätet

Jag älskar Internet. Det är sant. Tänk på allt som det har gett oss. Tänk på alla tjänster vi använder, all konnektivitet, all underhållning, alla affärer, all handel. Och det händer under vår livstid. Jag är ganska säker på att den dagen då vi kommer att skriva historieböckerna om hundratals år. Den här gången kommer vår generation att bli ihågkommen som generationen som gick online, generationen som byggde något äkta globalt. Men ja, det är också sant att Internet har problem, väldigt allvarliga problem, problem med säkerheten och problem med integriteten. Jag har ägnat min karriär åt att bekämpa dessa problem.

Så låt mig visa dig någonting. Det här är Brain. Det här är en diskett -- fem och en halv-tums diskett infekterad med Brain.A. Det är det första viruset som hittades för PC-datorer. Och vi vet faktiskt var Brain kom ifrån. Vi vet det för att det står i koden. Låt oss ta en titt. Okej. Det där är bootsektorn hos den infekterade disketten. Och om vi tar en närmare titt, kommer vi att se precis där, att det står "Welcome to the dungeon". Och sedan fortsätter det med 1986, Basit och Amjad. Och Basit And Amjad är förnamn. Pakistanska förnamn. Faktum är att det finns ett telefonnummer och en adress från Pakistan.

(Skratt)

1986. Nu är det 2011. Det är 25 år sedan. Virusproblemet för PC-datorer är 25 år gammalt. Så för ett halv år sedan, bestämde jag mig själv för att åka till Pakistan. Så låt oss se, här är ett par bilder jag tog när jag var i Pakistan. Det här är från staden Lahore, vilket är ungefär 30 mil söder om Abbottabad där Bin Laden blev fångad. Här är en typisk gata. Och här gatan eller vägen som leder till den här byggnaden, vilket är 730 Nizam-kvarteret vid Allama Iqbal Town. Och jag knackade på dörren. (Skratt) Vill ni gissa vem som öppnade dörren? Basit and Amjad; de bor fortfarande där. (Skratt) (Applåder) Han som står upp är Basit. Och han som sitter ner är Amjad. Det här är de två killarna som skrev det första PC-viruset. Självklart hade vi en väldigt intressant diskussion. Jag frågade dem varför. Jag frågade dem vad de tyckte om det de hade startat. Och jag fick någon form av tillfredsställelse när jag fick höra att både Basit och Amjad hade fått sina datorer infekterade dussintals gånger av helt andra, orelaterade virus. genom åren. Så det finns någon form av rättvisa i världen ändå.

Virusen vi brukade se på 1980- och 1990-talet är uppenbarligen inte ett problem längre. Låt mig visa ett par exempel på hur de brukade se ut. Det jag kör här är ett system som ger mig möjlighet att köra uråldriga program på en modern dator. Så låt mig bara montera några diskar. Gå dit. Vad vi har här är lista på gamla virus. Så låt mig bara köra några virus på min dator.

Till exempel, låt oss ta Centipede-viruset först. Och som ni kan se på toppen av skärmen är det en tusenfoting (centipede) rullandes tvärs över din dator när du bli infekterad av det här. Du vet att du är infekterad, eftersom det faktiskt syns. Här är ett annat. Det här är viruset Crash som skapades i Ryssland 1992. Låt mig visa ett som faktiskt låter. (Sirenljud) Och ett sista exempel, gissa vad Walker-viruset gör. Japp, det är en kille som går (walking) tvärs över skärmen när du har blivit infekterad. Så det brukade vara ganska lätt att se att du är infekterad av ett virus, när virusen skrevs av hobbyister och tonåringar.

Idag skrivs de inte längre av hobbyister och tonåringar. Idag är virus ett globalt problem. Vad vi har här i bakgrunden är ett exempel på våra system som vi kör i våra labb, där vi spårar virusinfektioner världen över. Så vi kan faktiskt se i realtid att vi precis blockerade virus i Sverige och Taiwan och Ryssland och på andra ställen. Faktum är att om vi ansluter till våra labbsytem genom nätet, kan vi se i realtid en fingervisning om hur många virus, hur många nya sorters skadlig kod vi hittar varenda dag Här är det senaste viruset vi hittade i en fil kallad Server.exe. Och vi hittade det för tre sekunder sedan -- den innan, 6 sekunder sedan Och om vi bara scrollar omkring, det är massivt. Vi hittar tiotusentals, till och med hundratusentals. Och det här är de senaste 20 minuterna av skadlig kod varenda dag.

Så var kommer alla de här ifrån då? Nu för tiden är det organiserade kriminella gäng som skriver dessa virus eftersom de tjänar pengar på sina virus. Det är gäng som -- låt oss gå till GangstaBucks.com. Det här är en hemsida som drivs i Moskva där de köper infekterade datorer. Så om du är en virusskapare och du är kapabel att infektera Windows-datorer, men du vet inte vad du ska göra av dem, så kan du sälja dessa infekterade datorerna -- någon annans datorer -- till de här killarna. Och de kommer faktiskt att betala dig pengar för de här datorerna. Så hur gör då de här killarna sen för att tjäna pengar på de infekterade datorerna? Det finns flera olika sätt, som banktrojaner, vilka stjäl pengar från ditt internetbankkonto när du håller på med bankärenden online. eller "keyloggers". "Keyloggers" sitter tyst och stilla i din dator, utan att synas, och sparar allt du skriver. Så du sitter vid datorn och söker på Google. Varenda sökning du gör sparas och skickas till brottslingarna. Varenda e-mail du skriver sparas och skickas till brottslingarna. Samma sak med varenda lösenord, och så vidare.

Men det de faktiskt letar mest efter är sessioner där du är online och handlar saker i en onlinebutik. För när du handlar saker i en onlinebutik, skriver du in ditt namn, din leveransadress, ditt kreditkortsnummer och kreditkortets säkerhetskoder. Här är ett exempel på en fil som vi hittade på en server för ett par veckor sedan. Där är kreditkortsnumret, där är giltighetsdatumet, där är säkerhetskoden, och där är namnet på ägaren av kortet. När du väl en gång har fått tillgång till folks kreditkortsuppgifter, kan du gå online när du vill med den här informationen. Och det är, uppenbarligen, ett problem. Så vi har nu en hel illegal marknad och affärsekosystem byggt runt brottslighet online.

Ett exempel är hur dessa killar faktiskt är kapabla att tjäna pengar på sin verksamhet. Nu tar vi oss en titt på INTERPOOLs sidor och söker efter de mest efterlysta personerna. Vi hittar killar såsom Björn Sundin, ursprungligen från Sverige, och hans kompanjon, som också står på INTERPOOLs efterlysningssida, Mr. Shaileshkumar Jain, en Amerikansk medborgare. Dessa killar skötte om en operation vid namn I.M.U., en internetbrottsverksamhet genom vilken de tjänade miljoner. De är båda två just nu på fri fot. Ingen vet var de är. Amerikanska tjänstemän frös, bara för ett par veckor sedan, ett schweiziskt bankkonto tillhörandes Mr. Jain, och det bankkontot hade 14,9 miljoner US-dollars på sig.

Så mängden pengar som internetbrott genererar är betydande. Och det betyder att internetbrottslingar faktiskt har råd att investera i sina attacker. Vi vet att internetbrottslingar anställer programmerare, anställer testfolk, testar deras kod, har back-end-system med SQL-databaser. Och de har råd att observera hur vi arbetar -- hur säkerhetsfolk arbetar -- och att försöka ta sig runt alla försiktighetsåtgärder vi skapar. De kan också använda Internets globala natur till deras fördel. Jag menar, Internet är internationellt. Det är därför vi kallar det Internet.

Och om vi bara tar en titt på vad som händer i internetvärlden, här är en video skapad av Clarified Networks, som illustrerar hur en enda familj av skadlig kod kan flytta runt i världen. Den här operationen, troligen ursprungligen från Estland, flyttas från ett land till ett annat så fort som hemsidan försöks plockas ner. Så man kan inte bara stänga av dessa killar. De kommer att flytta från ett land till ett annat, från en jurisdiktion till en annan -- flytta runt i världen, utnyttja det faktum att vi inte klarar av globala polisoperationer på det sättet. Så Internet är som om någon hade gett gratis flygbiljetter till alla världens kriminella. Kriminella som inte var kapabla att nå oss förut kan nå oss.

Så hur gör man egentligen för att gå online och hitta kriminella? Hur man faktiskt spårar upp dem. Låt mig ge dig ett exempel. Vad vi har här är en exploit-fil. Här tittar jag på en hexadecimal skärmdump från en bildfil. som innehåller en exploit. Och det betyder huvudsakligen att om du försöker titta på den här bilden på din Windows-dator, kommer den faktiskt ta över din dator och köra kod.

Om vi tar oss en titt på den här bildfilen -- här har vi bild-headern. och här är själva koden där attacken börjar. Och den koden har krypterats, så låt oss dekryptera det. Den har blivit krypterad med en XOR 97-funktion. Ni får helt enkelt tro på mig, det är den, det är den. Så vi kan gå hit och faktiskt starta dekrypteringen. Den gula delen av koden har nu dekrypterats. Och jag vet, det ser inte särskilt annorlunda ut jämfört med originalet. Men fortsätt bara titta på den. Så kommer du att se att här nere finns en webbadress: unionseek.com/d/ioo.exe Så när du tittar på den här bilden på din dator kommer den faktiskt att ladda ner och köra det hör programmet. Och det är en bakdörr som kommer att ta över din dator.

Men något som är ännu mer intressant, är att om vi fortsätter dekryptera, kommer vi att hitta en mystisk sträng som säger O600KO78RUS. Den koden är där under dekrypteringen som någon sorts signatur. Den används inte till något. Jag undersökte det och försökte lista ut vad det betyder. Så såklart Googlade jag på det. Jag fick noll träffar; det fanns inte där. Så jag snackade men killarna på labbet. Och vi har ett par Ryska killar i våra labb, och en av dem nämnde, att det slutade med rus som i Russia (Ryssland) Och 78 är är statskoden för staden St. Petersburg. Man kan till exempel hitta det från telefonnummer och registreringskyltar och liknande. Så jag började leta efter kontakter i St. Petersburg. Och efter en lång väg, hittade vi till slut en viss hemsida.

Här har vi en Rysk kille som har varit verksam online i ett flertal år och som driver en egen hemsida, och han har en blogg på populära Live Journal. Och i denna blogg bloggar han om livet, om hans liv i St. Petersburg -- han är ungefär 20 år -- om sin katt, om hans flickvän. Och han kör en väldigt fin bil. Faktum är att den här killen kör en Merceds-Benz S600 V12 med en sexliters-motor med mer än 400 hästkrafter. Det är en väldigt fin bil för en 20-något år gammal kille i St. Petersburg.

Hur känner jag till den här bilen? Eftersom han bloggar om bilen. Han var faktiskt med i en bilolycka. I centrala St. Petersburg. där han körde in i en annan bil. Och han bloggade bilder på olyckan -- Det där är hans Mercedes -- och där är Lada Samaran han körde in i. Och du kan faktiskt se att registreringsskylten på Samaran slutar med 78RUS. Och om vi tar en titt på bilden, så kan man se att Mercedesens registreringsskylt är O600KO78RUS. Nu är inte jag en advokat, men om jag vore det, skulle jag säga , "Jag har inget mer att tillägga".

(Skratt)

Så vad händer när de kriminella blir fångade? I de flesta fall går det aldrig så långt. I majoriteten av alla fall vet vi inte ens vilken kontinent attacken kommer ifrån. Och även om vi kunde hitta dom, blir det oftast inget resultat. Den lokala polisen agerar inte, och om de gör det finns det inte tillräckligt med bevis, eller så vi inte ta ner dem av någon annan anledning. Jag önskar att det vore lättare; men tyvärr är det inte det.

Men saker håller också på att förändras i en väldigt snabb takt. Ni har alla hört om saker som Stuxnet. Så om vi nu tittar på vad Stuxnet gjorde så infekterade de dessa. Det här är en Siemens S7-400 PLC, ett programmerbart styrsystem. Och det är det här som styr vår infrastruktur. Det här är det som styr att runt omkring oss. Programmerbara styrsystem, dessa små lådor utan skärm, utan tangentbord, som att programmerade, placerade på plats, och gör det de ska. Till exempel hissen i den här byggnaden är mest troligt kontrollerad av en sån här Och när Stuxnet infekterar en av dessa, blir det en enorm revolution av de sorts risker vi behöver oroa oss för. Eftersom allting omkring oss styr av dessa. Jag menar, vi har en kritisk infrastruktur. Du kan gå till vilken fabrik, vilket kraftverk, vilken kemikalieanläggning, vilken livsmedelsanläggning som helst och titta runt -- allt styrs av datorer.

Allting styrs av datorer. Allting hänger på att dessa datorer fungerar. Vi har blivit väldigt beroende av Internet, och grundläggande saker såsom elektricitet och, uppenbarligen, att datorer fungerar. Och det här är verkligen något som skapar helt nya problem. Vi måste ha något sätt att kunna fortsätta att arbeta även om datorerna slutar fungera.

(Skratt)

(Applåder)

Så beredskap betyder att vi kan göra saker även när saker som vi tar för givet in finns där längre. Det är faktiskt väldigt grundläggande saker -- att tänka på kontinuitet, tänka på säkerhetskopiering, tänka på allt sånt som faktiskt har en betydelse.

Jag berättade för er -- (Skratt) Jag älskar Internet. Det gör jag. Tänk på alla tjänster vi har online. Tänk om du blev berövad på dem, om du en dag inte har dem på grund av någon anledning. Jag ser skönhet i Internets framtid, men jag är orolig att vi inte kommer att få se det. Jag är orolig att vi stöter på problem på grund av kriminella online. Internetkriminalitet är det som kanske kommer att ta bort dessa saker från oss.

(Skratt)

Jag har spenderat mitt liv med att skydda nätet. Och jag känner att om vi inte motarbetar internetkriminaliteten löper vi en risk att förlora allt. Vi måste göra det det här globalt, och vi måste göra det nu. Vad vi behöver är mer globalt och internationellt polisarbete för att hitta dessa kriminella gäng -- dessa organiserade gäng som tjänar miljoner på sina attacker. Det är mycket viktigare än att ha igång antivirusskydd eller brandväggar. Vad som faktiskt spelar roll är att hitta de som ligger bakom dessa attacker. Och vad som är ännu viktigare, är att vi måste hitta människorna som håller på att bli en del av den värld av kriminalitet online, men som ännu inte har blivit det. Vi måste hitta människorna med skickligheten, men utan möjligheterna och ge dem möjligheter att använda sina förmågor till att göra gott.

Tack så mycket.

(Applåder)