Mikko Hypponen: Virüslerle savaşmak, ağı savunmak

Internet'i seviyorum. Doğru Bize getirdiği herşeyi düşünün. Kullandığımız servisleri düşünün, tüm bağlantıyı tüm eğlenceyi tüm iş ve ticareti. ve hepsi de bizim yaşam süremizde oluyor. Oldukça eminim ki, bir gün tarih kitapları yazacağız. Bundan yüzlerce yıl sonra. Bu sefer bizim neslimiz online olan nesil olarak anılacak. Gerçekten küresel bir şey yapan nesil. Ama evet, aynı zamanda doğru Internet'in problemleri var, çok ciddi problemler güvenlikle ilgili problemler ve gizlilik ile ilgili problemler. Tüm kariyerimi bu problemlerle savaşarak geçirdim.

Dolayısı ile size bir şey göstereyim. Buradaki şey "Brain" Bu bir disket beş çeyrek inçlik Brian A bulaşmış bir disket Bu PC bilgisayarlar için olan bulduğumuz ilk virüs. Ve aslında Brain'in nereden geldiğini biliyoruz. Biliyoruz, çünkü kodun içinde yazıyor. Bir göz atalım. Pekala. Bu enfekte olmuş bir disketin açılış kesimi Ve eğer biraz daha yakından bakarsak tam burada "Zindan'a hoş geldiniz" diyor. Ve devam ediyor 1986, Basit ve Amjad ve Basit ve Amjad isimler Pakistanlı isimler Hatta, Pakistan'da bir adres ve telefon numarası var.

(Gülüşmeler)

Şimdi, 1986 Şimdi 2011 Bu 25 yıl önceydi. PC virüs problemi şimdi 25 yaşında. Yarım sene önce Pakistan'a gitmeye karar verdim. Bakalım, işte Pakistan'dayken çektiğim bir kaç fotoğraf. Bu Lahore şehrinden, Bin Laden'in yakalandığı Abbotabad'dan 300 km. kadar güneyde. İşte tipik bir sokak görüntüsü ve işte bu binaya giden cadde veya yol, Allama Ikbal şehrinde, 730 Nizam. Ve kapıyı çaldım. (Gülüşmeler) Kapıyı kimin açtığını tahmin etmek ister misiniz? Basit ve Amjad; hala oradalar. (Gülüşmeler) (Alkış) Ayakta duran Basit. Oturan ise kardeşi Amjad. İlk PC virüsünü yazan arkadaşlar bunlar. Ve tabii çok ilginç bir sohbet ettik. Onlara neden diye sordum. Başlattıkları şey hakkında nasıl hissetiklerini sordum. Ve Basit ve Amjad'ın da tüm bu yıllar boyunca bilgisayarlarının düzinelerce kez, tamamen ilgisiz virüsler tarafından enfekte olmuş olmasından bir tür tatmin duydum. Demek eninde sonunda dünyada bir çeşit adalet var.

Şimdi, 1980 ve 1990'larda gördüğümüz virüsler açıkça belli ki artık problem değiller. Neye benzedikleri hakkında bir kaç örnek göstereyim. Burada çalıştırdığım şey eski programları modern bir bilgisayarda çalıştırmama izin veren bir sistem. Birkaç sürücü oluşturayım. Şuraya gideyim. Burada gördüğümüz eski virüslerin bir listesi. Bilgisayarımda bir kaç virüs çalıştırayım.

Örneğin, ilk olarak Centipede virüsü ile başlayalım. Ekranın tepesinde görebildiğiniz gibi, bununla enfekte olduğunuz zaman ekranınızın tepesinden bir kırkayak kayıyor. Enfekte olduğunuzu biliyorsunuz, çünkü gözüküyor. İşte bir başkası. Bu virüsün adı Crash 1992'de Rusya'da icat edildi. Size gerçekten ses çıkartan bir tanesini göstereyim. (Siren sesi) Ve son örnek, tahmin Walker (yürüyen) virüsü ne yapıyor. Evet, bir kez enfekte oldunuz mu ekranınızda yürüyen bir adam var. Yani, hobiciler ve gençler tarafından yazılmış virüsler tarafından enfekte olduğunuzu bilmek nispeten daha kolaydı.

Bugün, artık hobiciler ve gençler tarafından yazılmıyorlar. Bugün, virüsler global bir problem. Burada arka planda gördüğümüz şey laboratuvarlarımızda çalıştırdığımız dünya çapında virüs bulaşmalarını takip eden sistemlerin bir örneği. Dolayısı ile aslında İsveç ve Tayvan'da ve Rusya ve başka yerde bir virüsü engellediğimizi gerçek zamanlı olarak görebiliyoruz. Aslında laboratuvar sistemlerimize web üzerinden tekrar bağlanacak olursak gerçek zamanlı olarak her gün ne kadar virüsü, ne kadar yeni kötü amaçlı yazılım örneğini bulduğumuz konusunda bir fikir edinebilirsiniz. İşte bulduğumuz son virüs Server.exe adında bir dosya içinde Ve tam olarak burada üç saniye önce bulduk -- bir öncekini ise altı saniye önce Ve aşağı inecek olursak... sadece devasa on binlerce hatta yüz binlerce buluyoruz. Ve bu sadece son 20 dakika içindeki kötü amaçlı yazılımlar. Her gün.

Peki tüm bunlar nereden geliyorlar? Bugün, bu virüsleri yazanlar organize suç çeteleri, çünkü virüsleri ile para kazanıyorlar. Bunun gibi çeteler -- GangstaBucks.com'a bir bakalım. Bu Moskova'da çalışan bir websitesi, bu adamlar enfekte olmuş bilgisayarları satın alıyorlar. Eğer bir virüs yazarıysanız ve Windows bilgisayarları enfekte edebiliyorsanız ama onlarla ne yapacağınız konusunda bir fikriniz yoksa bu enfekte olmuş bilgisayarları satabilirsiniz -- bir başkasının bilgisayarını -- bu adamlara. Ve size bu bilgisayarlar için gerçekten para veriyorlar. Peki bu adamlar bu enfekte bilgisayarları nasıl paraya çeviriyorlar. Bunun bir çok farklı yöntemi var, banka truva atları gibi, siz online banka işlemleri yaparken online hesabınızdan para çalmak gibi. veya klavye kayıt programları. Klavye kayıt programları sessizce bilgisayarınızda otururlar, gözden uzak ve yazdığınız her şeyi kaydederler. Yani bilgisayarınızın başında oturuyor ve Google'da arama yapıyorsunuz. Her yazdığınız Google araması kaydediliyor ve bu suçlulara gönderiliyor. Yazdığınız her bir e-posta kaydediliyor ve bu suçlulara gönderiliyor. Her bir şifre içinde aynı şey geçerli.

Ama en çok aradıkları şey online olduğunuz ve online bir dükkanda alış veriş yaptığınız zamanlar. Çünkü online bir mağazada satınalma yaptığınız zaman isminizi, sevkiyat adresinizi, kredi kartı numaranızı ve kredi kartı güvenlik numaranızı yazacaksınız. Ve işte bir sunucu üzerinde bir kaç hafta önce bulduğumuz bir dosya örneği. Bu bir kredi kartı numarası bu son kullanma tarihi, bu güvenlik kodu ve bu da kredi kartı sahibinin ismi. Bir kere bir kişinin kredi kartı bilgilerine eriştiğiniz zaman, bu bilgi ile istediğiniz zaman online olabilir ve istediğinizi satın alabilirsiniz. Ve açıkçası bu bir problem. Artık online suç etrafında oluşmuş bir iş ekosistemi ve bütün bir yeraltı pazarı var.

Bu adamların operasyonlarını nasıl paraya çevirebildikleri ile ilgili bir örnek. INTERPOL'e gidip sayfalara baktığımız ve aranan kişileri arıyoruz. Aslen İsveçli olan Bjorn Sundin gibi adamları ve suç ortağını buluyoruz, gene INTERPOL arananlar listesinde olan Shaileshkumar Jain, bir A.B.D. vatandaşı. Bu adamlar I.M.U. adında bir operasyon yürütüyorlar, milyonlar kazandıkları bir siber suç operasyonu. Şimdi ikisi de kaçaklar Kimse nerede olduklarını bilmiyorlar. A.B.D. görevlileri sadece bir kaç hafta önce Bay Jain'e ait bir İsviçre banka hesabını dondurdular ve bu banka hesabında 14.9 milyon A.B.D. doları vardı.

Yani online suçun oluşturduğu para miktarı kayda değer. Ve bu online suçluların aslında saldırılarına yatırım yapabilecekleri anlamına geliyor. Biliyoruz ki online suçlular SQL veritabanları olan uç sistemleri için programcılar işe alıyorlar ve bunları test edecek insanlar işe alıyorlar. Ve nasıl çalıştığımızı, güvenlik insanlarının nasıl çalıştığını izlemeye güçleri yeter ve bunların etrafını ve yaptığımız her güvenlik önlemini aşabilirler. Aynı zamanda Internet'in küresel doğasını kendi avantajlarına kullanıyorlar. Demek istediğim, Internet uluslararası. Bu yüzden Internet diyoruz.

Ve online dünyada neler olduğuna gidip bir göz atacak olursak, Clarifed Network tarafından yapılmış bir video tek bir kötü amaçlı yazılım ailesinin dünyada nasıl hareket ettiğini gösteriyor. Özgün olarak Estonya'dan çıktığına inanılan bu operasyon web sitesi kapatılmaya çalışıldığı anda bir ülkeden diğer bir ülkeye hareket ediyor. Yani bu adamları kapatamazsınız. Böyle bir operasyonu küresel olarak denetleme yeteneğimiz olmadığını bilerek bir ülkeden diğer bir ülkeye bir yetki alanından diğerine geçecekler. Internet sanki birisinin dünyanın tüm online suçlularına bedava uçak bileti verdiği yer gibi. Artık bize daha önce erişmesi mümkün olmayan suçlular bize erişebilirler.

Peki online suçluları bulmak için neler yapabilirsiniz? Onları nasıl takip edebilirsiniz. Bir örnek vereyim. Elimizdeki bir istismar dosyası. Burada, bir sömürü içeren, bir resim dosyasının Hex yığınına bakıyorum. Ve bu da basitçe, eğer bu resim dosyasını bir Windows bilgisayarda görüntülemeye çalışırsanız bilgisayarınızı ele geçirip kodu çalıştırdığı anlamına geliyor.

Şimdi, bu resim dosyasına bakacak olursanız -- resmin başlığı var, ve saldırıyı başlatan asıl kod var. Ve bu kod şifrelenmiş Şifreyi çözelim. XOR 97 fonksiyonu ile şifrelenmiş. Bana inanmalısınız, öyle, öyle. ve buraya giderek şifre çözmeyi başlatabiliriz. Kodun sarı kısmının şifresi çözülmüş durumda. Ve biliyorum, aslında özgün halinden çok da farklı gözükmüyor. Ama bakmaya devam edin. Burada, aşağıda bir Web adresi göreceksiniz: unionseek.com/d/ioo.exe Ve bu resmi görüntülediğiniz zaman, aslında o programı indirecek ve çalıştıracak. Ve bu da bilgisayarınızı ele geçirecek bir arka kapı.

Ama daha ilginci, eğer şifreyi çözmeye devam edersek, bu gizemli karakter dizisini bulacağız: O600KO78RUS. Şifrenin altındaki bu kod orada bir çeşit imza olarak duruyor. Hiç bir şey için kullanılmıyor. Ve ona bakıyor, ne anlama geldiğini anlamaya çalışıyordum. Tabii ki Google'da aradım. Hiç bir sonuç çıkmadı; orada değildi. Laboratuvardaki adamlarla konuştum. Ve laboratuvarımızda bir kaç Rus adam var. Bunlardan biri rus ile bittiğinden bahsetti. yani Rusya gibi. Ve 78 de şehir kodu. Saint Petersburg şehri için. Örneğin, bazı telefon numaralarından ve araba plakalarında bunun gibi şeyleri bulabilirsiniz. Saint Petersburg'daki bağlantılarıma bakmaya başladım. Ve uzun bir yolun sonunda sonuçta bu web sitesini bulduk.

İşte yıllardır online olarak çalışan, kendi web sitesini işleten ve popüler Live Journal'da bir blogu olan bir Rus. Ve blogunda kendi hayatı hakkında yazıyor, Saint Petersburg'daki hayatı hakkında -- 20 yaşların başında -- kedisi hakkında, kız arkadaşı hakkında yazıyor. Ve çok güzel bir araba kullanıyor. Aslında bu adam bir Mercedes-Benz S600 kullanıyor. 12 silindirli 6 litrelik motoru var ve 400 beygirin üzerinde. Şimdi, bu 20 küsur yaşında Saint Petersburg'lı bir çocuk için güzel bir araba.

Bu arabayı nereden mi biliyorum? Çünkü araba hakkında blogunda yazdı. Aslında bir araba kazasına karışmış. Saint Petersburg şehir merkezinde arabasını başka bir arabaya çarpmış. Ve araba kazası ile ilgili resimleri bloguna koymuş -- bu onun Mercedes'i -- tam burada da çarptığı Lada Samara. Ve aslında Samara'nın plakasını görebiliyorsunuz, 78RUS ile bitiyor. Ve resme bir kez daha bakacak olursanız, Mercedes'in de plakasını görebilirsiniz O600KO78RUS. Ben bir avukat değilim, ama eğer olsaydım, burası, "Başka sorum yok" dediğim yer olurdu.

(Gülüşmeler)

Peki online suçlular yakalandıkları zaman ne oluyor? Çoğu zaman bu kadar ileri gitmez. Online suç dosyalarının büyük çoğunluğunda saldırıların hangi kıtadan geldiğini bile bilmeyiz. Ve hatta online suçluları bulabilsek bile çoğu zaman sonuç alınmaz. Yerel polis harekete geçmez, geçselerde yeterince delil yoktur, veya başka bir sebepten onları yakalayamayız. Daha kolay olmasını dilerdim; Maalesef değil.

Ama aynı zaman da bazı şeyler değişiyor, oldukça hızlı bir şekilde. Hepiniz Stuxnet gibi şeyleri duydunuz. Stuxnet ne yaptığına bakacak olursanız, yaptığı bunları enfekte etmek. Bu bir Siemens S7-400 PLC, Programlanabilir Mantık Kontrolörü (PMK). Ve altyapımızı çalıştıran şey bu. Etrafımızdaki herşeyi çalıştıran bu. PMK'lar, ekranı ve klavyesi, olmayan bu küçük kutular, programlanıp yerlerine konurlar ve işlerini yaparlar. Örneğin, bu binadaki asansörler büyük olasılıkla bunlardan biri tarafından kontrol ediliyor. Ve Stuxnet bunlardan birine bulaştığı zaman bu hakkında endişe duymamızı gerektiren riskler türünde devasa bir devrimdir. Çünkü etrafımızdaki her şey bunlarla çalışıyor. Demek istediğim kritik bir altyapımız var. Herhangi bir fabrikaya gidin, bir elektrik santraline, herhangi bir kimyasal fabrikaya, besin işleme fabrikasına, etrafa bakın -- herşey bilgisayarlar tarafından çalıştırılmakta.

Herşey bilgisayarlar tarafından çalıştırılmakta. Herşey bu bilgisayarların çalışmasına bağımlıdır. Internet'e ve elektirik gibi basit şeylere, bilgisayarların çalışmasına son derece bağımlı hale geldik. Ve bu gerçekte bizim için tamamen yeni problemler yaratan bir durum. Bilgisayarlar çalışmayı durdursa bile işimize devam edebilecek bir yol bulmalıyız.

(Gülüşmeler)

(Alkış)

Hazırlıklı olmak demek özümsediğimizi düşündüğümüz şeyler orada olmasa bile birşeyler yapabileceğimiz anlamına gelir. Aslında oldukça temel şeyler -- devamlılık hakkında düşünmek, yedekler hakkında düşünmek aslında önemli olan şeyler hakkında düşünmek.

Size söyledim -- (Gülüşmeler) Interneti seviyorum. Seviyorum. Sahip olduğumuz bütün online servisleri düşünün. Bir gün bunlara sahip olmadığınızı, şu yada bu sebepten bunların elinizden alındığını düşünün. Internet'in geleceğinde güzellik görüyorum, ama bunları göremeyeceğimizden endişeliyim. Online suç yüzünden problemlerle karşılaşacağımız için endişeliyim. Online suç bunları elimizden alabilecek tek şey.

(Gülüşmeler)

Hayatımı ağı savunarak geçirdim. Ve eğer online suç ile savaşmazsak bütün bunları kaybedebilme riskinde olduğumuzu hissediyorum. Bunu küresel olarak yapmalıyız, ve bunu hemen şimdi yapmalıyız. İhtiyacımız olan şey bu online suç çetelerini bulacak saldırılarından milyonlar kazanan bu organize çeteleri bulacak daha küresel, uluslararası kanun güçleri. Bu tüm anti-virüs programları ve güvenlik duvarlarını çalıştırmaktan daha önemli. Asıl olan bu saldırıların arkasındaki kişileri bulmak. Ve daha da önemlisi bu online suç dünyasının parçası haline gelmek üzere olan ama daha gelmemiş kişileri bulmak. Yetenekleri olan ama fırsatları olmayan bu kişileri bulmalı ve yeteneklerini iyiye kullanmaları için onlara fırsatlar vermeliyiz.

Çok teşekkür ederim.

(Alkış)