Микко Хюппонен: Борьба с вирусами, защита Сети

Я люблю Интернет. Это правда. Подумайте о всём том, что он нам дал. Подумайте обо всех сервисах, которыми мы пользуемся, о всех коммуникациях, развлечениях, о бизнесе и торговле. И всё это происходит на наших глазах. Я уверен, что однажды, сотни лет спустя, люди напишут учебник по истории. И тогда наше поколение назовут поколением, которое впервые вышло в Интернет, поколением, которое создало что-то по-настоящему глобальное. Но все мы знаем, что Интернет связан со многими, очень серьёзными проблемами, проблемами с безопасностью и проблемами с неприкосновенностью личной жизни. Я посвятил свою карьеру борьбе с этими проблемами.

Итак, позвольте мне показать вам кое-что. Здесь находится Brain. Это дискета, пятидюймовая дискета, заражена вирусом Brain. A. Это самый первый обнаруженный вирус для персональных компьютеров. И мы даже знаем, откуда взялся этот вирус. Нам известно это потому, что об этом написано в самом коде. Давайте посмотрим. Так, хорошо. Это загрузочный сектор заражённой дискеты. И если мы посмотрим поближе, то увидим, что тут же написано: «Добро пожаловать в подземелье». А дальше написано «1986, Басит и Амджад». Басит и Амджад — это имена, пакистанские имена. Здесь даже есть номер телефона и адрес в Пакистане.

(Смех)

Это было в 1986 году. Сейчас 2011 год. Прошло 25 лет. Проблеме компьютерных вирусов уже 25 лет. Полгода назад я решил съездить в Пакистан. Давайте посмотрим, вот несколько фотографий, сделанных мной в Пакистане. Это город Лахор, который находится в трёхстах километрах южнее Абботтабада, где был пойман бен Ладен. Это вид типичной улицы. А вот улица или дорога, которая ведёт к этому зданию, 730 Низам блок в районе Аллама Икбала. И я постучал в дверь. (Смех) Угадайте, кто открыл? Басит и Амджад, они все еще там. (Смех) (Аплодисменты) Тот, кто стоит — это Басит. А сидит его брат Амджад. Это люди, которые написали первый вирус для ПК. Естественно, у нас состоялся очень интересный разговор. Я спросил их, зачем они это сделали, что они думают о том, что они начали. И я почувствовал некоторое удовлетворение, когда узнал, что компьютеры Басита и Амджада были заражены десятки раз совершенно различными вирусами за эти годы. Так что какая-то справедливость в этом мире всё же есть.

Сейчас те вирусы, которые мы привыкли видеть в 80-х и 90-х, очевидно, не являются проблемой. Позвольте показать вам несколько примеров вирусов тех времён. Здесь у меня запущена система, которая позволяет мне запускать старые программы на современном компьютере. Сейчас я примонтирую некоторые диски. Перейдём сюда. Здесь у нас список старых вирусов. Давайте запустим некоторые вирусы на компьютере.

Например, давайте начнём с вируса Centipede. Вы видите, что в верхней части экрана начинает бегать многоножка, как только компьютер заражается этим вирусом. Вы понимаете, что компьютер заражён, потому что вирус проявляет себя. Вот еще один вирус, который называется Crash, он был изобретен в России в 1992 году. А вот вирус, который издаёт звуки. (Шум сирены) И последний пример, угадайте, что делает вирус Walker. Да, как только компьютер заражается, по экрану начинает ходить парень. Таким образом, когда вирусы писались любителями и подростками, было легко понять, что ваш компьютер заражён.

Но вирусы больше не пишутся любителями и подростками. Сейчас вирусы представляют глобальную проблему. То, что вы видите на экране, это пример системы, которой мы пользуемся в наших лабораториях для отслеживания вирусных инфекций по всему миру. Здесь видно в режиме реального времени, что мы только что заблокировали вирусы в Швеции и в Тайване, в России и в других странах. На самом деле, если я подключусь к нашей системе через Интернет, мы сможем в реальном времени понять, как много вирусов, как много новых вредоносных программ мы находим ежедневно. Вот последний вирус, который мы нашли в файле с именем Server.exe. И мы нашли его три секунды назад, а предыдущий — шесть секунд назад. И если мы прокрутим вниз, то увидим, что это просто огромный список. Мы находим десятки тысяч, даже сотни тысяч вирусов. И это только последние 20 минут вредоносных программ за день.

Так откуда же они все берутся? Сейчас этим занимаются организованные преступные группировки, с помощью вирусов они делают деньги. Это группы вроде… давайте откроем GangstaBucks.com. Это московский сайт, здесь ребята покупают заражённые компьютеры. Так что если вы пишете вирусы и умеете заражать компьютеры с Windows, но не знаете, что с ними делать, вы можете продавать эти компьютеры — чьи-то чужие компьютеры — этим парням. И они действительно заплатят вам за них. Итак, как же они потом получают деньги с помощью этих компьютеров? Есть несколько различных способов. Например, банковские трояны, которые будут воровать деньги с вашего банковского счета, когда вы проводите банковские транзакции в интернете, или клавиатурные шпионы. Клавиатурные шпионы, невидимые для глаз, молча сидят на вашем компьютере и записывают всё, что вы печатаете. Вы сидите за вашим компьютером и ищете что-то в Google. Каждый поисковый запрос сохраняется и отправляется преступникам. Каждое письмо, которое вы печатаете, сохраняется и отправляется преступникам. То же самое и с каждым паролем, и так далее.

Но то, ради чего они это делают, это те сессии, когда вы делаете покупки в интернет-магазинах. Потому что, когда вы делаете такие покупки, вы вводите ваше имя, адрес доставки, номер и код кредитной карты. А вот пример файла, найденного нами на сервере пару недель назад. Вот номер кредитной карты, срок действия карты, защитный код, а это имя владельца карты. Как только вы получите доступ к информации о чужой кредитной карте, вы можете просто зайти в Интернет и купить всё, что хотите, с этой информацией. И это, естественно, является проблемой. Существует целый подпольный рынок и бизнес-экосистема, построенная вокруг сетевых преступлений.

Вот пример того, какие деньги получают эти ребята благодаря своим действиям. Давайте зайдём на сайт Интерпола и откроем список разыскиваемых лиц. Здесь можно найти людей вроде Бьорна Сундина, родом из Швеции, и его подельника, тоже представленного на страницах Интерпола, Шалишкумара Джейна, гражданина США. Эти люди провернули операцию, названную I.M.U., сетевое преступление, с помощью которой они завладели миллионами. Они оба сейчас в бегах. Никто не знает, где они находятся. Официальные лица США всего пару недель назад заморозили счёт, в швейцарском банке, принадлежащий г-ну Джейну, на котором было 14,9 миллионов долларов.

Суммы, участвующие в сетевых преступлениях, значительны. И это значит, что киберпреступники действительно могут инвестировать в свои атаки. Известно, что киберпреступники нанимают программистов, нанимают тестировщиков, тестируют свой код, у них есть сервера с SQL базами данных. И они могут позволить себе наблюдать, как мы работаем, как работают специалисты по безопасности, и искать путь вокруг любых мер предосторожности, которые мы можем создать. Помимо этого они используют глобальный характер Интернета в своих интересах. Я имею в виду, что Интернет — это международная система. Поэтому мы и называем его Интернетом.

Давайте посмотрим на то, что происходит в Интернете, вот видео от Clarified Networks, которое показывает, как семейство вредоносных программ способно передвигаться по всему миру. Эта операция предположительно началась в Эстонии, и она перемещается из одной страны в другую, как только сайт пытаются закрыть. Таким образом, это просто невозможно остановить. Они будут переходить из одной страны в другую, из одной юрисдикции в другую, они будут перемещаться по всему миру, пользуясь тем, что у нас нет возможности глобально контролировать подобные операции. Таким образом, Интернет — это как если бы кто-то дал бесплатные билеты на самолет всем киберпреступникам мира. Теперь преступники, которые не могли добраться до нас раньше, могут сделать это сейчас.

Так каким же образом можно найти киберпреступников? Как можно их выслеживать? Позвольте привести вам один пример. Здесь у меня есть один эксплойт. Это шестнадцатеричный код файла изображения, содержащего эксплойт. Это значит, что если вы попытаетесь посмотреть это изображение на Windows-компьютере, то фактически запустится эксплойт, который захватит управление компьютером.

Взглянув на этот файл, мы увидим здесь заголовок изображения, но затем начинается атакующий код. Этот код зашифрован, давайте расшифруем его. Код зашифрован с помощью XOR-функции 97. Просто поверьте мне, что это так. И мы можем фактически начать расшифровку. То, что подсвечено жёлтым, — расшифрованная часть. Я знаю, она мало отличается от оригинальной части. Просто продолжайте смотреть на это. Теперь внизу мы можем увидеть веб-адрес: unionseek.com/d/ioo.exe Когда вы просматриваете это изображение на компьютере, на самом деле загружается и запускается эта программа. И это лазейка, с помощью которой ваш компьютер будет захвачен.

Но еще более интересно, что если мы продолжим расшифровку, мы найдем эту загадочную строку O600KO78RUS. Этот код после расшифровки похож на некую подпись. Он нигде не используется. Я смотрел на него, пытаясь понять, что он значит. Естественно, я искал в Google. Я не получил ни одной ссылки. Я поговорил с ребятами из лаборатории. У нас в лаборатории есть пара русских ребят, и один из них заметил, что окончание rus означает Russia. А 78 — это код Санкт-Петербурга Его можно встретить, например, в некоторых номерах телефонов, на автомобильных номерных знаках и тому подобное. Тогда я начал искать связи с Санкт-Петербургом. После долгих поисков в конечном итоге мы нашли один сайт.

Это русский парень, который несколько лет работал в интернете, у него есть собственный сайт, он ведёт блог в LiveJournal. В блоге он рассказывает о своей жизни, о своей жизни в Санкт-Петербурге, он чуть старше 20 лет, о своей кошке, о своей подруге. А еще, у него очень хорошая машина. На самом деле, этот парень водит Mercedes-Benz S600 V12 с шести-литровым двигателем с более чем 400 лошадиными силами. Это хороший автомобиль для двадцатилетнего парня из Санкт-Петербурга.

Как я узнал об этом автомобиле? Потому что он писал о нём. На самом деле он попал в аварию. В центре Санкт-Петербурга он врезался в другой автомобиль. И он выложил в блоге изображение этой аварии — это его Mercedes. Справа Лада Самара, в которую он врезался. И вы можете видеть, что номерной знак Самары заканчивается на 78RUS. И если вы внимательно посмотрите на фотографию, вы увидите, что знак Mercedes — O600KO78RUS. Я не адвокат, но если бы я был им, то я бы сказал, что моя речь окончена.

(Смех)

Так что же происходит, когда киберпреступники оказываются за решеткой? Ну, в большинстве случаев дело не заходит так далеко. В подавляющем большинстве случаев киберпреступлений, мы даже не знаем, с какого континента происходит атака. И даже если мы в состоянии найти в сети преступников, зачастую в итоге нет никакого результата. Местная полиция не действует, а если и действует, то не имеет достаточных доказательств, или по каким-то причинам не может их принять. Я хотел бы, чтобы всё было проще, но, к сожалению, это не так.

Но ситуация также меняется в очень быстром темпе. Вы все слышали о таких вещах, как Stuxnet. Stuxnet занимался тем, что заражал вот это. Это ПЛК Siemens S7-400, программируемый логический контроллер. Это то, на чём держится наша инфраструктура. Это то, что управляет всем вокруг нас. Контроллеры, эти маленькие коробочки, у которых нет дисплея, нет клавиатуры, которые программируются, устанавливаются и делают свою работу. Например, лифты в этом здании, скорее всего, находятся под контролем одного из них. И когда Stuxnet заразил такой контроллер, произошла огромная революция в рисках, о которых нам стоит задумываться. Потому что всё вокруг нас в настоящее время управляется контроллерами. Я имею в виду, что наши инфраструктуры очень требовательны. Возьмите любой завод, любую электростанцию, любой химический завод, любой завод пищевой промышленности, посмотрите вокруг — всё управляется компьютерами.

Всё управляется компьютерами. Всё зависит от работы компьютеров. Мы впали в сильную зависимость от Интернета, от основополагающих вещей, вроде электричества, и, очевидно, от работы компьютеров. И это на самом деле то, что создает нам совершенно новые проблемы. Мы должны каким-то образом продолжать работу даже если сломаются компьютеры.

(Смех)

(Аплодисменты)

Подготовленность означает способность действовать даже тогда, когда то, что мы считаем само собой разумеющимся, отсутствует. На самом деле это очень важно — думать о целостности, думать о резервных копиях, думать о вещах, которые на самом деле важны.

Я говорил вам — (Смех) Я люблю Интернет. Я люблю. Подумайте обо всех услугах, которые даёт нам Интернет. Подумайте, что будет, если их отобрать у вас, если однажды вы окажетесь без них по тем или иным причинам. Я вижу красоту в будущем Интернета, но я боюсь, что мы можем не увидеть этой красоты. Я боюсь, что мы столкнёмся с проблемами из-за сетевой преступности. Интернет-преступность — это то, что может отобрать у нас эти вещи.

(Смех)

Я провёл свою жизнь защищая Сеть. И я чувствую, что если мы не будем бороться с киберпреступностью, мы рискуем потерять всё это. Мы должны сделать это в глобальном масштабе, и мы должны сделать это прямо сейчас. То, что нам нужно, это глобальная, международная деятельность правоохранительных органов по поиску сетевых преступных группировок — этих организованных отрядов, которые делают миллионы на своих атаках. Это гораздо важнее, чем использование антивирусов или брандмауэров. Что действительно имеет значение, это поиск людей, стоящих за этими атаками. И что еще важнее, мы должны найти людей, которые близки к тому, чтобы стать частью этого мира онлайн-преступлений, но ещё не сделали этого. Мы должны найти людей с навыками, но без возможностей, и дать им возможность использовать свои навыки во благо.

Большое спасибо.

TED.com
Перевод: Sergey Skovorodkin
Озвучено: Центр речевых технологий