Czy trzeba się bać komputerowych wirusów?

To nie są już szalone dzieciaki. Walczymy z zawodowcami, którzy na wirusach chcą po prostu zarobić - mówi Mikko Hypponenem z fińskiej firmy F-Secure, wybitny specjalista od walki z wirusami.
Hubert Salik: Nie boi się Pan korzystać z internetu?

Mikko Hypponen*: Nie. Wystarczy być ostrożnym i wiedzieć, co się robi. Używanie internetu przypomina przyjazd z zapadłej wsi do wielkiego miasta. W Nowym Jorku można się czuć całkowicie bezpiecznie, pod warunkiem, że jest jasno i przebywa się w centrum. Jeśli jest jednak środek nocy i jest się nieco wstawionym, a na dodatek idzie się do klubów ze striptizem, łatwo można zostać oszukanym i okradzionym. To samo dotyczy internetu. Tak długo, jak używamy dużych, znanych portali, będziemy bezpieczni. Marka staje się coraz ważniejsza w internecie. Takim markom jak Amazon i eBay możesz zaufać, ale jeśli chce się wejść w podziemny świat internetu w poszukiwaniu nielegalnych kopii programów, utworów cyfrowych czy filmów pornograficznych, trzeba się liczyć z ryzykiem.

Korzystając z karty kredytowej do kupna pornografii, musimy być świadomi, że najprawdopodobniej ktoś przechwyci jej numer i może go wykorzystać. I na dodatek możemy zarazić nasz komputer jakimś złośliwym programem.

Używam internetu codziennie, robię za jego pośrednictwem zakupy, a od 1991 r. kontaktuje się ze swoim bankiem tylko przez internet. Przez ostatnie 13 lat nie postawiłem stopy w moim banku. Pod żadnym względem nie boję się korzystać z internetu.

I nie zdarzyły się Panu w tym czasie żadne przygody z wirusami?

Z wirusami nie. Mam za to sporo kłopotów z ich autorami. Czasami znajduję się na ich celowniku. Kiedyś jakaś grupa twórców wirusów stworzyła stronę o nazwie bardzo podobnej do naszej firmowej domeny F-Secure. I zaczęli rozsyłać e-maile z moim imieniem i nazwiskiem np. do różnych redakcji. I tak dostawały one listy: "Cześć, tu Mikko, przesyłam Ci w załączniku obiecany artykuł". Oczywiście w załączniku nie było artykułu, ale zarażony dokument tekstowy.

Niestety, ze swojej strony nie mogę nic zrobić, żeby temu zapobiec. I z biegiem czasu dochodzę do wniosku, że powoli zaczyna to przypominać wojnę.

Czemu rośnie liczba złośliwych programów czyhających na nas w internecie?

Przede wszystkim powstaje coraz więcej wirusów, dzięki którym ich twórcy mogą zarobić. Pisanie wirusów dla pieniędzy to nowość. Ten fenomen zaczął się zaledwie w ubiegłym roku. Pojawili się profesjonalni autorzy wirusów. Piszą oni np. wirusa, którego celem jest zarażenie jak największej liczby komputerów, aby móc później rozsyłać z nich spam [masowo rozsyłane e-maile, zwykle o charakterze reklamowym - red.]. Następnie sprzedają adresy internetowe tych maszyn spamerom [osobom zarabiającym na rozsyłaniu spamu - red.].

To zjawisko całkowicie zmieniło sytuację w internecie. Kiedyś walczyliśmy z dzieciakami, nastolatkami i hobbystami, którzy pisali wirusy, bo uważali to za zabawę. Teraz walczymy z profesjonalistami, którzy zarabiają na życie pisaniem wirusów. Inwestują własne pieniądze w wymyślanie i rozwijanie nowych wirusów. Stają się one coraz bardziej skomplikowane.

A czy rozwój internetu nie wpłynął na rozmiary epidemii?

To jest kolejny powód. Kiedyś problem z wirusami był dużo mniejszy, bo internet nie był tak popularny. Jedenaście lat temu pojawił się wirus Michelangelo, który uruchamiał się przy starcie systemu. Kiedy się już pozbyliśmy takich wirusów, przyszła kolej na makrowirusy ukryte w plikach Worda lub Excela. Te rozprzestrzeniały się jeszcze szybciej. Zanim jednak pojawiły się na całym świecie, mijał miesiąc. Robak internetowy do rozprzestrzenienia się po wszystkich krajach świata za pośrednictwem poczty elektronicznej potrzebuje już tylko 24 godzin. Kolejne generacje wirusów i robaków - Sasser, Blaster czy Slammer - mogą pojawić się we wszystkich krajach tak szybko, jak dane mogą trafić z jednego końca świata na drugi. Te wirusy nie potrzebują do rozprzestrzeniania się ludzi. Nie musimy nic robić, żeby się zarazić. Mogą zainfekować nasz komputer podłączony do internetu w środku nocy, kiedy smacznie śpimy. Rekordzistą jest Slammer, który pojawił się w styczniu 2003 r. Był tak szybki, że nie było możliwości, żeby się przed nim ochronić programem antywirusowym.

Slammer to także jeden z wirusów, który spowodował najwięcej strat.

Tak. Spowodował wstrzymanie lotów na trzech międzynarodowych lotniskach, masową awarię bankomatów w wielu krajach świata i wywołał kłopoty w pracy amerykańskiej elektrowni atomowej.

Jego następca Sasser też ma na koncie wstrzymane loty.

Jemu oprócz problemów na lotniskach udało się zarazić systemy komputerowe dwóch szwedzkich szpitali. Kontrolujące urządzenia rentgenowskie komputery pracujące w systemie Windows co chwila się restartowały. W efekcie wszyscy pacjenci, którzy czekali na zdjęcie rentgenowskie, wożeni byli do innych szpitali. Wysyłanie karetek z pacjentami oznacza oczywiście konkretne koszty i straty.

Myślę, że twórca Sassera, 18-letni Niemiec Sven Jaschen, nie miał zielonego pojęcia, że jego wirus spowoduje taki efekt. Internet stał się tak jednolity, że te same technologie - np. Windows i protokół transmisji danych TCP/IP - wykorzystywane są niemal wszędzie - od serwerów internetowych, przez konsole do gier, po centra zarządzania kryzysowego w elektrowniach. Autor wirusa nie musi już myśleć o grupie użytkowników, która chce zaatakować. Od razu atakuje wszystkich.

Slammerowi udało się nawet zarazić komputery niemające nic wspólnego z Windows. Wystarczał ten sam protokół komunikacyjny.

Mam jednak wrażenie, że liczba wyjątkowo złośliwych programów, które np. kasują pliki, systematycznie spada.

Zgadzam się. Nie przypominam sobie, kiedy po raz ostatni widziałem wirusa, który był stworzony, aby niszczyć. Kiedyś to był standard. Michelangelo i CIH kasowały całą zawartość dysku twardego. Były rzeczywiście niszczycielskie.

Czemu tak się dzieje?

Zanik niszczycielskich wirusów jest związany z powstaniem grupy profesjonalnych autorów wirusów. Piszą wirusy, aby zarobić, a nie zarobią, gdy skasują pliki lub uszkodzą dysk twardy. Po co im to? Z ich punktu widzenia dużo bardziej efektywne jest dyskretne zarażenie komputera, tak aby nie zwrócić naszej uwagi. Nieświadomy niczego użytkownik nie zdaje sobie nawet sprawy, że ktoś inny ma kontrolę nad jego komputerem. W tle uruchamiane są programy, które np. pozwalają na rozsyłanie spamu. Bez wiedzy użytkownika można nawet wykorzystać komputer jako serwer strony pornograficznej. Dzięki takim wirusom można stworzyć sieć kontrolowanych komputerów, które zostaną wykorzystane np. do zmasowanego ataku na witryny dużych koncernów. Kiedy taki atak spowoduje wyłączenie strony danej firmy na kilka godzin, dostaje ona żądania zapłaty pieniędzy w zamian za "ochronę" przed kolejnymi atakami. W ten sposób też można zarobić. Nie można tylko na niedziałających komputerach.

Kto jest szybszy w tej walce - hakerzy czy specjaliści od bezpieczeństwa?

Zdecydowanie hakerzy. Jeśli ktokolwiek wygrywa w tej rywalizacji, to tylko oni.

To nie jest dobra informacja dla internautów.

Nie jest. I, niestety, tak będzie również w przyszłości. W ciągu ostatnich 18 lat byliśmy świadkami pojawienia się kilkuset tysięcy wirusów komputerowych. Każdy z nich został wykryty. Wymyślono sposób na zniszczenie każdego z nich. Ale taka możliwość nie jest dana na zawsze. Pewnego dnia spotkamy wirusa, którego nie będziemy w stanie zniszczyć. Który będzie tak dobrze zabezpieczony, że nie będziemy w stanie dojść, jak się go pozbyć, lub pokonanie go zajmie tyle czasu, że będzie już zbyt późno, aby opanować epidemię. W tym kierunku zmierzają grupy profesjonalnych autorów wirusów.

Mają oni nad nami jedną istotną przewagę - dostęp do całego arsenału naszych broni. Jak wspomniałem, jest to wojna i, niestety, nie jest ona uczciwa. Kiedy kończą kolejnego wirusa, testują go, ściągając z sieci wszystkie dostępne programy antywirusowe, i sprawdzają, czy któryś z nich wykrywa wirusa. Jeśli tak jest - po prostu modyfikują wirusa. I testują dalej, aż ich program będzie całkowicie niewykrywalny. Mogą na to poświęcić całe tygodnie. My musimy zareagować w ciągu kilku godzin. Mają nad nami ewidentną przewagę. I to jest główny powód, dlaczego ludzie powinni stale uaktualniać swoje programy antywirusowe.

Czy tej przewagi hakerów nie zawdzięczamy przypadkiem producentowi systemu Windows, który co pewien czas publikuje informacje o błędach?

Nie sadzę. Tego nie można lepiej rozwiązać, niż robi to Microsoft. Koncern ogłasza informacje o lukach równocześnie z wypuszczeniem na rynek tzw. łaty, która usuwa błąd. Tak było kilka dni temu, kiedy MS ogłosił 22 błędy i od razu opublikował odpowiednie łaty.

Hakerzy są jednak pomysłowi i wykorzystują informacje ujawniane przez Microsoft. Często to właśnie oni jako pierwsi ładują łatę i porównują, jak działa system jej pozbawiony i ten uaktualniony. Ustalają, co uległo zmianie, namierzają błąd w systemie i rozpoczynają pracę nad wirusem, który wykorzystuje lukę i omija zabezpieczenia wprowadzone przez uaktualnienie.

Nie ma jednak innej alternatywy. Microsoft musi ogłaszać informację o lukach. Gdyby tego nie robił, byłoby jeszcze gorzej. Wszystkie systemy operacyjne na świecie mają błędy, które może wykorzystać haker - Linux, Macintosh czy BSD. Problem w tym, że to Windows jest najpopularniejszym systemem, więc błędy w nim zawarte uderzają w największą grupę użytkowników. System, który ma ponad 12 tys. plików i składa się z ponad 2 mln kodu, nie może nie mieć błędów. Nawet statystycznie. Największym błędem Microsoftu stało się więc to, że doprowadził do tego, iż ich system jest najpopularniejszy na świecie. W ten sposób są celem nr 1.

Napisał Pan kiedyś sam wirusa?

Nie, nigdy. Nawet wirusa do badań. Nie ma takiej potrzeby.

Czemu zdecydował się Pan na zarabianie na życie, walcząc z wirusami?

To trochę kwestia przypadku. Wszystko zaczęło się od niezwykle popularnego w latach 80. komputera Commodore 64. Dzięki niemu nauczyłem się języka maszynowego, czyli assemblera. Teraz już się go nie uczy. W 1991 r. zacząłem pracę jako programista w F-Secure. Zajmowałem się głównie bazami danych. Kilka miesięcy później dostaliśmy wersję kompletnie nieznanego wirusa. Nikt go wcześniej nie widział. Nie mieliśmy nikogo, kto się tym zajmował. Szef poprosił mnie, żebym go przeanalizował, bo znałem język maszynowy. Nie wiedziałem nic o komputerach PC. Zacząłem czytać książki i podręczniki, przeglądać jego kod i wreszcie znalazłem ukrytą funkcję, która uaktywniała wirusa w każdy piątek trzynastego. Kiedy się uruchamiał, wyświetlał literę omega. Nazwaliśmy go więc Omega. Co ciekawe, doszedłem do tego wszystkiego za pomocą długopisu i kartek papieru. Nie mieliśmy w pracy komputerów PC. Dopiero kilka miesięcy później kupiliśmy jeden i okazało się, że wirus faktycznie działa tak, jak mi się wydawało. Od tamtej pory każdy pracownik, który spędzi w firmie 10 lat, dostaje na pamiątkę zegarek Omega.

Na rynku pojawiają się przeglądarki internetowe, które zaczynają rywalizować z Internet Explorerem. Która jest godna polecenia - Opera, Firefox czy Internet Explorer?

Zdecydowanie Opera. Jest szybsza od Firefoxa i bezpieczniejsza od IE. I nie wynika to tylko z liczby błędów. Jeśli chcemy być bezpieczni w internecie, musimy się odróżniać od innych. Ataki wirusowe przeprowadzane są na masową skalę. Lepiej więc korzystać z mniej popularnych programów. Rezygnacja z IE i klienta poczty Outlooka znacząco podniesie bezpieczeństwo.

Nie mam nic przeciwko IE jako przeglądarce. Choć niewiele mogę na ten temat powiedzieć, bo nie używam IE od 1998 r.

W najnowszym uaktualnieniu Windows XP znajduje się zaszyty skomplikowany system zabezpieczeń ograniczający możliwość zakażania i rozprzestrzeniania się wirusów - tzw. virus throttling. Co ciekawe - Microsoft nie ogłasza szeroko tej informacji, choć podnosi to bezpieczeństwo.

Co będzie największym zagrożeniem internetowym w przyszłości?

Tzw. phishing, czyli oszukiwanie ludzi za pośrednictwem internetu. Zjawisko to przybrało na sile pod koniec ubiegłego roku. Ale to zupełnie inny problem niż wirusy - to zjawisko czysto kryminalne. Motyw jest jasny - chęć kradzieży.

Myślę, że czas robaków internetowych takich jak Sasser czy Slammer niedługo minie. Znikną one dzięki najnowszej aktualizacji Windows XP wyposażonej w technologię virus throttling. W skrócie ogranicza ona z biegiem czasu liczbę połączeń, co skutecznie wykończy robaki internetowe.

Największym zagrożeniem pozostaną wirusy rozprzestrzeniające się dzięki poczcie elektronicznej.





Mikko Hypponen - Dyrektor działu badań nad wirusami fińskiej firmy F-Secure. Jeden z najczęściej cytowanych na świecie specjalistów od bezpieczeństwa internetowego. Mieszka na wyspie niedaleko Helsinek, hoduje łosie i kolekcjonuje zabytkowe maszyny ze starymi grami komputerowymi i znane z salonów gier pinballe.