Мікко Хайппонен: Борючись з вірусами, захищаючи інтернет

Я люблю інтернет. Це правда. Подумайте про все те, що дав нам інтернет. Подумайте про всі послуги, якими ми користуємось, про всі види зв'язку, всі розваги, бізнес та комерцію. І все це відбувається в наш час. Я глибоко переконаний, що колись, через сотні років, людство писатиме книги з історії. І тоді наше покоління будуть згадувати як покоління, що винайшло інтернет, покоління, яке створило щось справді глобальне. Та справді, з іншого боку, інтернет стикається з проблемами, серйозними проблемами: проблемами безпеки та проблемами приватності. Я присвятив свою кар'єру боротьбі з цими проблемами.

Тож, дозвольте дещо вам показати. Тут знаходиться Brain. Це - дискета, п'ятидюймова дискета, заражена вірусом Brain A. Це перший вірус, який ми виявили для персональних комп'ютерів. І ми навіть знаємо звідки Brain походить. Знаємо, бо про це говорить сам код. Давайте глянемо. Так. Це завантажувальний сектор зараженої дискети. І якщо ми придивимось уважніше, ми побачимо, що тут навіть написано: "Ласкаво просимо в темницю". Напис продовжується словами: "1986, Базіт та Амджад". Базіт та Амджад - це імена, пакистанські імена. Тут навіть є номер телефону та адреса в Пакистані.

(Сміх)

Отже, вказано 1986 рік. Зараз - 2011. Пройшло 25 років. Проблемі комп'ютерних вірусів вже 25 років. Отож, півроку тому я вирішив особисто поїхати до Пакістану. Давайте подивимось, ось кілька світлин, які я там зробив. Це місто Лахор, що знаходиться на 300 км південніше від Абботтабаду, де схопили Бен Ладена. Це вигляд типової вулиці. А ось вулиця чи дорога, що веде до цієї будівлі - 730 Нізам блок у Аллама Ікбал Таун. Я постукав у двері. (Сміх) Спробуйте вгадати, хто мені відчинив? Базіт та Амджад, - вони ще й досі там. (Сміх) (Оплески) Чоловік, який стоїть - Базіт. Той, що сидить - його брат Амджад. Це хлопці, які написали перший комп'ютерний вірус. Звичайно ж, у нас зав'язалась жвава бесіда. Я запитав їх - Чому? Я запитав, як вони почуваються після того, що розпочали. І я відчув певне задоволення, коли дізнався, що комп'ютери Базіта і Амджада були заражені десятки разів зовсім іншими вірусами за весь цей час. Отже, таки існує якась справедливість у цьому світі.

Тепер, віруси з якими ми зазвичай стикались у 1980-их та 1990-их роках, звичайно вже не становлять проблеми. Дозвольте, я покажу вам кілька прикладів, як вони виглядали. Зараз я увімкну систему, що дозволяє запустити старі програми на сучасному комп'ютері. Я тільки встановлю деякі диски. Давайте перейдемо сюди. Тут ви бачите перелік старих вірусів. Я запущу деякі віруси на свій комп'ютер.

Наприклад, запустимо першим вірус Centipede. І ви бачите в верхній частині екрану стоногу, що пробігає по комп'ютеру, коли ваша система заражена цим вірусом. Ви розумієте, що комп'ютер заражений, бо можете це побачити. Ось ще один вірус під назвою Crash, створений в Росії 1992 року. Я покажу вам інший вірус, який навіть видає певні звуки. (Звук сирени) І останній приклад, здогадайтесь, що робить вірус Walker. Так, з'являється чоловічок, який ходить по вашому екрану, коли система заражена. Отже, було досить легко зрозуміти, що комп'ютер заражений вірусом, коли ці віруси створювались аматорами та підлітками.

Та сьогодні, віруси більше не пишуться аматорами та підлітками. Сьогодні віруси є проблемою світового масштабу. Те, що ви бачите на екрані - зразок систем, які ми використовуємо у своїх лабораторіях для дослідження вірусних інфекцій по всьому світу. Можна навіть побачити в реальному часі, що ми щойно заблокували віруси у Швеції та Тайвані, в Росії та в інших країнах. По суті, якщо я підключусь до системи наших лабораторій через інтернет, ми навіть побачимо в реальному часі скільки вірусів, скільки нових небезпечних програм ми виявляємо щодня. Ось останній вірус, який ми знайшли у файлі під назвою Server.exe. І ми знайшли його лише 3 секунди тому, а попередній - 6 секунд тому. І якщо ми прокрутимо цей список, то побачимо, що він величезний. Ми знаходимо десятки тисяч, навіть сотні тисяч вірусів. І це лише останні 20 хвилин вірусних програм за один-єдиний день.

Тож, звідки вони всі беруться? Сьогодні цим займаються організовані злочинні угруповання, пишучи ці віруси, бо на цьому вони "роблять" гроші. Це групи типу - давайте відкриємо GangstaBucks.com Це московський сайт, де ті хлопці купують заражені комп'ютери. Тож, якщо ви самі створюєте віруси і здатні заразити комп'ютери з Windows, але не знаєте, що з ними робити - ви можете продавати ці заражені комп'ютери, чиїсь комп'ютери, цим хлопцям. І вони дійсно заплатять вам за них гроші. Тож, як ці хлопці заробляють на заражених комп'ютерах? Існує безліч різних способів, наприклад, банківські трояни, які крастимуть гроші з вашого банківського рахунку, коли ви проводите банківські операції через інтернет, або клавіатурні шпигуни. Ці клавіатурні шпигуни, зовсім непомітні, мовчки чатують на вашому комп'ютері та записують все, що ви друкуєте. Уявіть, ви просто сидите за своїм комп'ютером і проводите пошуки в Google. І кожен запит, який ви вводите, зберігається та надсилається злочинцям. Кожен імейл, який ви пишете, зберігається та надсилається злочинцям. Те ж саме відбувається з кожним паролем, і так далі.

Але те, на що вони розраховують найбільше - це коли ви заходите в мережу і здійснюєте покупки в будь-якому інтернет-магазині. Адже, коли ви здійснюєте покупки через інтернет, ви вводите ваше ім'я, адресу доставки, номер кредитної картки та її захисні коди. А ось зразок файлу, який ми знайшли на сервері кілька тижнів тому. Це номер кредитної картки, її термін дії, захисний код, а ось - ім'я власника картки. Як тільки ви отримуєте доступ до інформації чиєїсь кредитки, ви без проблем можете купити в інтернеті що забажаєте, володіючи цими даними. І це, без сумніву, становить проблему. Зараз існує цілий підпільний ринок та бізнес-екосистема, створена навколо інтернет-злочинності.

Ось приклад того, як цим хлопцям вдається заробляти на їхніх операціях. Ми зайдемо на сторінки Інтерполу і пошукаємо людей, які перебувають у розшуку. Ми знаходимо людей типу Бьорна Сундіна зі Швеції та його співучасника по злочинності, який також внесений у цей список Інтерполу, містера Шалішкумара Джейна, громадянина США. Ці двоє здійснили операцію, названу I.M.U., злочинну операцію в мережі, завдяки якій вони заробили мільйони. Вони обидва зараз переховуються. Ніхто не знає де вони. Службовці США всього кілька тижнів тому заморозили рахунок у швейцарському банку, що належав містеру Джейну, на якому було 14,9 мільйонів доларів США.

Тож, суми, зібрані завдяки інтернет-злочинності, є значними. І це означає, що інтернет-злочинці дійсно можуть дозволити собі інвестувати у свої атаки. Нам відомо, що інтернет-злочинці наймають програмістів, тестувальників, вони тестують свій код, вони мають сервери з базами даних SQL. Вони можуть дозволити собі дивитись, як ми працюємо, як, наприклад, працюють спеціалісти з безпеки, і спробувати створити свій вихід із будь-яких заходів безпеки, які ми можемо створити. Вони також використовують глобальну природу інтернету на свою користь. Я маю на увазі те, що інтернет - міжнародна система. Саме тому ми й називаємо його Інтернетом.

Давайте подивимось, що відбувається у світі інтернету. Ось відео з Clarified Networks, яке показує, як одна сім'я вірусних програм здатна мандрувати по світу. Ця операція, батьківщиною якої вважають Естонію, переходить з однієї країни в іншу, як тільки сайт намагаються закрити. Тож, цих хлопців не так легко зупинити. Вони будуть переходити з однієї країни в іншу, від однієї сфери до іншої, мандруючи цілим світом, користуючись тим, що в нас немає можливостей глобально контролювати такі операції. Отже, інтернет влаштований так, наче хтось дав безплатні квитки на літак всім інтернет-злочинцям світу. Тепер злочинці, які не могли дістатись до нас раніше, здатні на це.

Тож, яким чином можна знайти інтернет-злочинців? Як можна їх вистежити? Дозвольте я наведу вам приклад. Тут ми маємо один експлойт. Ми бачимо шістнадцятковий код файлу з зображенням, який містить експлойт. І це означає, що якщо ви спробуєте подивитись цей файл на комп'ютері з Windows, то відразу запуститься експлойт, який заволодіє комп'ютером.

Якщо ви подивитесь цей файл із зображенням, ви побачите його заголовок, й відразу після цього активується атакуючий код. Цей код був зашифрований, тому давайте розшифруємо його. Його зашифрували за допомогою XOR-функції 97. Просто повірте мені на слово, це правда, правда. І ми можемо приступити до самого розшифрування. Ця частина коду жовтого кольору вже розшифрована. Я знаю, вона мало чим відрізняється від оригіналу. Але просто продовжуйте дивитись на неї. Тепер внизу ви можете побачити веб-адресу: unionseek.com/d/ioo.exe І в той час, коли ви дивитесь на це зображення на комп'ютері, насправді вже завантажується і запускається ця програма. І це наче чорний хід, через який проникають у ваш комп'ютер.

Та ще цікавішим є наступне: якщо ми продовжимо розшифрування, ми наштовхнемося на цей загадковий рядок з написом O600KO78RUS. Цей код внизу, після шифрування, схожий на якийсь підпис. Він ніде не використовується. Я дивився на нього, намагаючись збагнути його значення. Звичайно я пошукав у Google, та не знайшов нічого, жодної інформації. Тоді я поговорив з колегами із лабораторії. З нами працюють кілька росіян, і один з них сказав, що закінчення rus - наче скорочення від Russia. А 78 - це код міста, Санкт-Петербургу. Ви можете знайти його, наприклад, в деяких телефонних номерах, в автомобільних номерних знаках тощо. Тож я почав шукати контакти із Санкт-Петербургом. І після довгих пошуків ми зрештою знайшли ось цей вебсайт.

Це російський парубок, який вже кілька років працює в інтернеті, в якого є власний вебсайт, і який веде блог популярного Live Journal. У цьому блозі він розповідає про своє життя, про своє життя у Санкт-Петербурзі - йому трохи більше за двадцять - про свою кішку, про свою дівчину. І він водить чудове авто. Чесно кажучи, у цього хлопця Mercedes-Benz S600 V12 з шестилітровим двигуном та з більш ніж 400 кінськими силами. Так, це гарний автомобіль як на двадцятирічного парубка із Санкт-Петербургу.

Звідки мені відомо про це авто? Він сам про нього розповідає. Взагалі-то, він потрапив в автомобільну аварію. У центрі Санкт-Петербургу, він врізався в інший автомобіль. І він виставив фотографії цієї аварії - це його Мерседес - а ось Лада Самара, в яку він врізався. Ви можете побачити, що номерний знак Самари закінчується на 78RUS. І якщо ви уважно подивитесь на фото, ви побачите, що номерний знак Мереседеса - O600KO78RUS. Я, звичайно, не адвокат, та якби я ним був, зараз я б сказав: "Я виклав свою версію".

(Сміх)

То що ж стається, коли інтернет-злочинці спіймані? У більшості випадків справа не заходить так далеко. У більшості випадків інтернет-злочинів ми не знаємо навіть з якого континенту чинять атаки. Та навіть якщо нам вдається знайти злочинців у мережі, часто це не дає жодних результатів. Місцева поліція не вживає жодних заходів, а коли вживає - немає достатньо доказів, чи з певних причин ми не можемо притиснути їх . Хотілося б, щоб все було простіше, та на жаль - це не так.

Але все змінюється швидкими темпами. Всі ви чули про такі речі, як Stuxnet. Stuxnet займався тим, що заражав ось це. Це Siemens S7-400 ПЛК, програмований логічний контролер. Саме він керує нашою інфраструктурою. Це те, що керує всім навколо нас. ПЛК, ці маленькі коробочки, які не мають дисплея, не мають клавіатури, які запрограмовані, встановлюються і виконують свою роботу. Наприклад, ліфти у цій будівлі скоріш за все контролюються одним із них. І коли Stuxnet заражує один з них, відбувається масштабна революція в плані ризику, яка змушує хвилюватись. Адже все навколо нас керується цими контролерами. Я маю на увазі, що ці інфраструктури дуже вимогливі. Погляньте на будь-яку фабрику, будь-яку електростанцію, будь-який хімічний завод чи завод харчової промисловості, озирніться навколо - всім керують комп'ютери.

Все підпорядковується комп'ютерам. Все залежить від роботи комп'ютерів. Ми стали надто залежними від інтернету, від основних речей, таких як електрика, і очевидно, від роботи комп'ютерів. І це саме те, що створює зовсім нові проблеми для нас. Ми повинні навчитися продовжувати роботу, навіть якщо комп'ютери зламаються.

(Сміх)

(Оплески)

Отже, готовність означає здатність продовжувати роботу, навіть коли речі, які ми сприймаємо як належне, зникають. Це дійсно дуже важливо - думати про безперебійність, про резерви, думати про речі, які справді мають значення.

Я казав вам - (Сміх) Я люблю інтернет. Люблю. Задумайтесь над усіма послугами, які дає нам інтернет. Подумайте, що станеться, якщо їх відберуть у вас, якщо одного дня їх просто не стане, з тієї причини, чи з іншої. Я бачу красу в майбутньому інтернету, але я боюся, що ми можемо й не побачити її. Я боюсь, що ми зіткнемось з проблемами, пов'язаними з інтернет-злочинністю. Інтернет-злочинність - саме та річ, яка може все це у нас відібрати.

(Сміх)

Я присвятив своє життя захисту інтернету. Я боюся, що якщо ми не переможемо інтернет-злочинність, ми ризикуємо втратити все це. Ми повинні зробити це разом, у світовому масштабі, і зробити це просто зараз. І що нам потрібно - це більш глобальна, міжнародна діяльність правоохоронних органів для пошуку злочинних угруповань - тих самих угруповань, які заробляють мільйони на своїх атаках. Це набагато важливіше, ніж використання антивірусів чи заходів забезпечення конфіденційності. Що справді має значення - це знайти людей, які стоять за цими атаками. І що ще важливіше - ми повинні знайти тих людей, які мають намір стати частиною цього світу інтернет-злочинності, але які ще не встигли зробити цього. Ми повинні знайти людей з уміннями, але без можливостей і дати їм можливість використати свої уміння для добра.

Дуже вам дякую.

(Оплески)