Kiedyś hakerzy pisali wirusy, bo mogli. Dziś robią to dla pieniędzy - mówi nam Mikko Hypponen z F-Secure

Karol Kopańko, Spider’s Web: Jesteś jednym z pierwszych z ludzi na świecie, którzy zainteresowani się strzeżeniem bezpieczeństwa w internecie i wciąż nad tym pracują.

Mikko Hypponen, F-Secure: 13 września 1991 roku przeanalizowałem swojego pierwszego wirusa. Dostaliśmy wtedy zgłoszenie od klienta, że jego komputery nie działały - wszystko zostało na nich nadpisane.

Z wirusem poradziłem sobie dopiero po 3 dniach. Nazwałem go wtedy Omega, bo przez cały czas wyświetlał ten grecki symbol na ekranie.

Przez ostatnie ćwierćwiecze analizujesz wirusy i tropisz hakerów – jakie były ich motywacje na początku?

Kiedyś hakerzy zupełnie nie odnosili korzyści z pisania wirusów. Nie zarabiali na nich pieniędzy, niewielu zdobywało sławę, nie mieli żadnych politycznych motywów, ani nie szpiegowali nikogo. Robili to, bo... mogli.

Wszystko zmieniło się ok. 2003 roku, kiedy hakerzy-hobbyści zaczęli współpracować ze spamerami. Ci drudzy mieli wówczas duże problemy z dotarciem do odbiorców, bo wysyłali maile z serwerów, które łatwo było wciągnąć na czarną listę. Hakerzy dali im dostęp do zainfekowanych komputerów. A przecież o wiele trudniej zablokować pojedynczy komputer, z którego ktoś np. normalnie pracuje i wysyła swoje maile.

Pamiętam też, że na początku tego wieku często słyszało się o masowych infekcjach komputerów, a teraz jakoś ustały. Czy wygrywamy bitwę na tym polu z hakerami?

Problem jest inny. Kiedyś hakerom zależało na medialnych nagłówkach - chcieli zarazić jak najwięcej komputerów, bo dzięki temu mogli stać się sławni. Teraz zarabiają pieniądze, pisząc szkodliwe oprogramowanie, więc jeśli zostaną wykryci to może to być koniec ich kariery. Jeśli skończą w wieczornych wiadomościach, albo weźmie się za nich firma antywirusowa - przegrali.

Problem jest większy niż był kiedyś, ale za to niewidoczny. Hakerzy powoli powiększają swoje stadka zainfekowanych komputerów i ściśle je kontrolują. Kiedyś wypuszczaliby wirusa, aby hulał po całym internecie.

Kiedyś wirusy były zabawą, dziś jest to poważny biznes. Jak przez te 25 lat zmieniła się walka z hakerami?

Staramy się wszystko automatyzować. Za cel stawiamy sobie, aby wykrywać nowe zagrożenia, zanim dotrą do naszych klientów, więc sami musimy zainfekować się możliwie szybko. Dokładnie w tym momencie mamy 700 serwerów, które przeszukują najniebezpieczniejsze zakątki internetu.

Uruchamiamy na nich maszyny z Windowsem XP, Internet Explorerem 6, javą i flashem, a potem każemy klikać w każdy link na stronach pornograficznych, albo pirackich. Dzięki temu łapiemy wirusy co chwilę, ale w rzeczywistości komputery udają tylko windowsowe, bo działają na Linuksie.

Dzięki temu możemy zbierać próbki nowych wirusów zanim trafią one do klientów, analizować ich zachowanie z zamkniętych środowiskach i automatycznie budować zabezpieczenia.

W idealnej sytuacji człowiek nawet nie bierze udziału w budowie antywirusa, ale kiedyś chyba było inaczej?

Obecnie każdego dnia zbieramy 350 tys. próbek i nie możemy każdej z nich badać manualnie. Kiedyś mogliśmy, bo było ich zdecydowanie mniej.

Mieliśmy trzy laboratoria: jedno w Helsinkach, drugie w San Jose i trzecie w Kuala Lumpur. Prace trwały zmianowo po 8 godzin. Kiedy Helsinki kończyły pracę, to zaczynało San Jose, potem Kuala Lumpur i tak w kółko. Dzięki temu mieliśmy ochronę 24/7. Kiedy wykrywaliśmy zagrożenie, to zwyczajnie ktoś siadał przy komputerze i starał się je zneutralizować.

Zdarzył się jakiś wirus, którego nie mogliście złamać?

Nie było takiego. Są jednak przypadki wirusów, których bardzo długo nie mogliśmy wykryć, np. robak Stuxnet działający przez 2 lata.

Może dlatego, że tworzyli go Amerykanie i Izraelczycy?

Dokładnie amerykańskie NSA i izraelska Jednostka 8200. Dotychczas się do tego nie przyznali, a my nie mamy twardych dowodów.

To przykład cyfrowego sabotażu czy już internetowa wojna?

Zdecydowanie to pierwsze. Mieliśmy już jednak przypadki wykorzystania hakerów w czasie działań wojennych, np. w grudniu zeszłego roku na Ukrainie. Rosła zaatakowała wówczas system zarządzający przesyłem energii w firmie Prykarpattya Oblenergo, co pozostawiło 200 tys. ludzi bez prądu w środku zimy.

Jeśli chodzi o konwencjonalne siły zbrojne, to dość łatwo możemy ocenić potęgę każdego kraju; wiadomo mniej-więcej, ilu jest żołnierzy, czy ile czołgów. A który kraj jest najmocniejszy w internecie?

Oczywiście USA - od dawna bada się tam wykorzystanie internetu do celów zbrojnych. Mogę tylko szacować, że na drugim miejscu jest Izrael, potem Rosja i Chiny. Później zaś wkraczamy w coś, co nazywam "mgłą cyber-wojny", bo nie możemy ocenić potencjału Polski czy Wietnamu. Po prostu nie mamy informacji, choć jestem pewien, że prawie każde nowoczesne wojsko posiada jednostki dedykowane zadaniom w sieci.

Jakie są największe zalety takich jednostek?

Charakteryzują je trzy rzeczy: są efektywne, przystępne i łatwo można odmówić przyznania się do ich wykonania. Nie ma żadnej innej broni, która działa jak zhakowanie czegoś w sieci.

Można się odłączyć od internetu... Pojawiały się taki pogłoski, że Rosja chce stworzyć swój własny internet.

Oby nie. Internet jest największą rzeczą, jaka przytrafiła się naszym pokoleniom. Kiedy za 100 lat powstaną książki historyczne, o tych czasach to o moim pokoleniu będzie się mówiło - "pierwsze, które trafiło do sieci". A potęga internetu drzemie właśnie w połączeniu całego świata, więc najgorszą wersją jego rozwoju może być podział na wyspy, które nie będą się ze sobą komunikowały.

Na koniec: co w ciągu ćwierćwiecza pracy zaskoczyło Cię najbardziej?

Jeśli 25 lat temu, ktoś powiedziałby mi, że będziemy walczyli ze zmilitaryzowanymi grupami, która mają dziesiątki milionów dolarów dochodu, to bym mu nie uwierzył.

Jeśli ktoś powiedziałby mi, że będziemy widzieli rządy wysyłające szkodliwe oprogramowanie, aby zlikwidować infrastrukturę przeciwników, to bym mu nie uwierzył.

Jeśli usłyszałbym, że rząd USA będzie wysyłał drony do zabijania szczególnie niebezpiecznych hakerów, to też bym mu nie uwierzył.

*Wywiad przeprowadzony podczas konferencji Security Case Study 2016.