Twórcy wirusów górą

Rozmowa z Mikko Hypponenem, ekspertem od zagadnień bezpieczeństwa komputerowego, specjalizującym się w badaniach nad metodami antywirusowymi w fińskiej firmie F-Secure, przedstawiona na łamach Network World.

Rozmowa z Mikko Hypponenem, ekspertem od zagadnień bezpieczeństwa komputerowego, specjalizującym się w badaniach nad metodami antywirusowymi w fińskiej firmie F-Secure, przedstawiona na łamach Network World.

Co myślisz o Mydoom.M, który niedawno pojawił się w obiegu?

Mikko Hypponen

Mikko Hypponen

Jest to rzeczywiście interesująca technika, jeśli pamięta się jak bardzo rozprzestrzenił się w styczniu Mydoom.A. Była to największa w historii epidemia, jaka ogarnęła pocztę elektroniczną. Mydoom znalazł się na czołówkach gazet, dlatego że zaatakował witrynę SCO, a jego mutacja Mydoom.C - witrynę Microsoftu. Z kolei Mydoom.M zrobił się sławny z powodu Google, choć w rzeczywistości nie był to atak na ich serwery. Google został wykorzystany tylko do uzyskania jak największej liczby adresów pocztowych.

Jednak najważniejsze jest to, co Mydoom pozostawiał po sobie - tylne drzwi. Można to było zaobserwować już przy okazji Mydoom.A, który pozostawił furtki i kilka dni później jego twórcy zaczęli skanować adresy publiczne, poszukując zainfekowanych przez niego komputerów, by następnie zainstalować na nich trojana o nazwie Mitglieder - pośrednika w wysyłaniu spamu. Nowy Mydoom wyróżnia się tym, że zamiast osadzać trojana spamowego, zostawia na opanowanej maszynie klienta DoS przygotowanego do obciążania witryny Microsoft.com. Ten zamiar nie powiódł się w pełni.

Czy masz jakieś podejrzenia, kto za tym stoi?

Myślę, że ci sami ludzie stoją nie tylko za mutacjami Mydoom, ale także za Bagle. Możliwe jest nawet, że za SoBig i innymi znanymi tworami. Nie mam żadnych konkretnych dowodów, skąd operują ci faceci, chociaż istnieją pewne wskazówki, że pochodzą z Rosji i mieszkają w Europie Środkowej. Myślę, że jest to grupa, i to dobrze zorganizowana.

Jaka jest szansa na ich złapanie?

Ten rok był rzeczywiście pomyślny, jeżeli chodzi o łapanie twórców wirusów. Jednak prawie wszyscy aresztowani to jeszcze dzieci Z krótkim stażem w tej grze - żaden profesjonalny twórca wirusów nie został złapany. Ci, którzy zostali złapani, nie są prawdziwymi przestępcami, jak ci, którzy robią to dla pieniędzy.

Tak więc osobnicy ci robią to z chęci zysku?

W przypadku Mydoom.M nie wygląda to na robienie pieniędzy. Jednak patrząc na działanie wcześniejszych wariantów Mydoom i Bagle, to ich celem było tworzenie bardzo dużych sieci wzajemnie połączonych komputerów i wykorzystywanie ich jako proxy dla spamu lub darmowych serwerów, a także kradzież informacji, takich jak numery kart kredytowych, haseł czy kont użytkowników. Zdecydowanie największe korzyści przynosi spamming - większość spamu jest dzisiaj wysyłana z zainfekowanych komputerów domowych, przyłączonych do Internetu przez modem kablowy lub DSL.

Istnieją pewne podziały ról. Nie mamy do czynienia z twórcą wirusów piszącym programy wirusowe i następnie używającym komputerów do wysyłania spamu. Jest to grupa, która tworzy wirusy. Kiedy opanują one pewną liczbę komputerów, to lista ich adresów IP sprzedawana jest podziemnym komputerowym tablicom ogłoszeniowym, z których wiele działa na terenie Rosji i Chin. Aktualna cena waha się w granicach 500 USD za 10 000 adresów IP. Taka odsprzedaż prawdopodobnie wymaga czasu - zanim spamerzy zbiorą dostateczną liczbę adresów i zaczną ich używać. W praktyce trudno jest śledzić sprzężenia zwrotne.

Co myślisz o Microsofcie i innych firmach oferujących nagrody za ujawnienie twórców wirusów?

To jest OK. I co w tym najważniejsze, to wywieranie presji na twórców wirusów, aby zaczęli obawiać się innych, którzy mogą ich wydać. Oczywiście Microsoft może pozwolić sobie na podnoszenie nagrody, chociaż - według mojej wiedzy - do tej pory nie musiał jeszcze zapłacić nikomu.

Kto wygra tę bitwę?

Twórcy wirusów mają w niej przewagę, ponieważ mają dostęp do produktów ochrony oferowanych przez dostawców. Mogą z nich korzystać jak każdy. Dlaczego więc mają wypuszczać wirusy, które mogą być wykryte przez McAfee, Symantec czy naszą firmę?

Nie ma łatwej odpowiedzi na pytanie, kto wygra. Oczywiście, jeżeli chcemy ochronić swój komputer, to musimy przestrzegać trzech podstawowych zasad, do których należą: stosowanie programu antywirusowego, zapory ogniowej i utrzymywanie aktualnego stanu łatek. Można też pozbyć się Windows, przejść na Linuksa i zapomnieć o tego rodzaju problemach. Większość problemów bierze się stąd, że użytkownicy komputerów domowych infekują sieci korporacyjne przypadkowo.

Jaka odpowiedzialność spoczywa na ISP w zakresie ochrony użytkowników domowych?

Jest nieodpowiedzialne sprzedawanie połączeń internetowych bez ostrzeżenia użytkownika o ryzyku, jakie niesie ich używanie. Jeżeli kupujesz modem ADSL i podłączasz go do swojego komputera i nie zastosujesz zapory ogniowej, to możesz spodziewać się wirusa sieciowego. Jeżeli twoi klienci używają Windows, nie łatają go i nikt im nie powiedział, iż powinni to robić, to myślę, że oferowanie im połączeń sieciowych jest nieodpowiedzialne. Wielu ISP włącza jednak podstawowe środki ochronne do swoich usług i jest to obszar, w którym specjalizuje się F-Secure, z największym powodzeniem wśród europejskich ISP.

Najnowsze raporty F-Secure i innych firm przewidują kolejne zagrożenia, jakimi są wirusy urządzeń mobilnych. Jak duży jest ten problem?

Takie wirusy w praktyce nie pojawiały się, aż do tego lata, kiedy to wykryto pierwszego eksperymentalnego wirusa Cabir, atakującego telefony oparte na systemie operacyjnym Symbian. Jest on rzeczywiście interesujący, ponieważ jest pierwszym wirusem rozprzestrzeniającym się przez nosiciela, który zbliżając się do innego urządzenia Bluetooth, może zarazić go wirusem. Można wyobrazić sobie kogoś z zarażonym telefonem w zatłoczonym metrze, transmitującym wirusa do setek innych telefonów. Niedawno znaleźliśmy próbnego wirusa PocketPC pochodzącego od tej samej grupy twórców wirusów. jest platformą otwartą i projektantom jest bardzo łatwo sprawować kontrolę nad swoim kodem i dołączać dowolne oprogramowanie desktopów Windows do PocketPC. Zachodzi obawa, że taki wirus może być użyty do nawiązywania połączeń telefonicznych, wysyłania wiadomości tekstowych, a nawet usuwania numerów telefonicznych. Takie wirusy nie pojawiły się jeszcze na wolności, ale istnieją i prawdopodobieństwo, że ktoś je sprowadzi i spróbuje uwolnić jest bardzo duże.

Co będzie dalej?

Będzie coraz gorzej i gorzej. Zacząłem pracować w tej dziedzinie w roku 1991, ale wtedy sprawy miały się dużo prościej. Mieliśmy wtedy do czynienia z wirusami boot sektorów, które używały do rozprzestrzeniania fizycznych nośników, takich jak dyskietki. Rok był potrzebny na rozprzestrzenianie się ich po całym świecie. Dzisiaj, Slammer, Sasser czy Blaster zarażają komputery i sieci na całym świecie w ciągu minut. Nie możemy temu przeciwdziałać. Ze

100 000 wirusów, jakie pojawiły się w ciągu ostatnich 18 lat, wyłapaliśmy wszystkie. Ale nie można mieć pewności, że tak będzie dalej. Z dużym prawdopodobieństwem można założyć, że pewnego dnia pojawi się wirus, którego nie będziemy mogli namierzyć.

Wywiad ukazał się na łamach Network World (IDG)