Mikko Hypponen 談打擊病毒,捍衛網路

Mikko Hypponen: Fighting viruses, defending the net

自從第一個PC病毒(Brain A)攻擊網路以來已有25年了,曾經只是惱人的病毒現在已成為用於犯罪和間諜活動的複雜工具。資訊安全專家Mikko Hyppönen告訴我們,以我們所知,如何能阻止這些新型病毒對網路造成威脅。

講者介紹

Mikko Hypponen

隨著電腦的廣泛使用,Mikko Hypponen詢問:下一個關鍵病毒會是什麼,我們的世界有辦法應付嗎?身為芬蘭F - Secure公司的資安研究總監,Mikko Hypponen帶領他的團隊經歷了一些史上最大的電腦病毒爆發。

他的研究小組記錄了全世界被Sobig.F電腦蠕蟲利用的網路。他是第一個向全世界警告關於Sasser病毒爆發的人,他做了關於Stuxnet電腦蠕蟲運作方式的分類簡介-這是一個非常複雜的電腦蠕蟲,被設計來破壞伊朗的濃縮鈾工廠。由於來自印度、中國及其他地區超過幾百萬的網路使用者加入網路世界,以及政府和企業越來越擅長使用病毒作為武器,Hypponen詢問,接下來會發生什麼情況?誰將會在最前線捍衛世界網路避免遭受惡意軟體攻擊?他的工作讓我們一窺後Stuxnet時代的未來。

譯者介紹

翻譯人員洪曉慧

繁體編輯朱學恒、洪曉慧

簡體編輯朱學恒、洪曉慧

檔案後製處理洪曉慧、謝旻均


Mikko Hypponen 談打擊病毒,捍衛網路

  • 我愛網路,這是事實,想想它帶給我們的一切,想想我們使用的所有服務、所有連結、所有娛樂、所有業務、所有交易。這是發生在我們有生之年的事,我敢肯定,幾百年後,有一天人類會將其寫入歷史;這一次,我們這一代將被記錄為前進網路的一代,建立某種真正全球性產物的一代。但不可否認的事實是,網路本身存在著一些問題,非常嚴重的問題,即安全與隱私問題。我將職業生涯貢獻於與這些問題抗爭。

    讓我給你們看一些東西。這是Brain,這是一片軟碟。一片被Brain A病毒感染的五又四分之一吋軟碟。這是我們發現的第一種感染PC的病毒,而我們確實知道Brain來自哪裡。我們會知道,是因為它的代碼中有寫,我們來看看。好的,這是被感染軟碟的開機磁區,如果我們仔細看看裡面,我們看到,就在這裡,它寫著,「歡迎來到地牢」,然後寫著1986,Basit和Amjad。Basit和Amjad是人名,巴基斯坦人名,事實上,這裡還有一個巴基斯坦的電話號碼和地址。

    (笑聲)

    當時是1986年,現在是2011年,這是25年前的事,PC病毒的問題至今已有25年歷史了。因此,半年前,我決定親自去巴基斯坦。我們來看看,這是幾張我在巴基斯坦拍攝的照片,這是拉合爾市,大約在賓拉登被捕的Abbottabad以南300公里的地方,這是這城市典型的街景,這是通往這棟建築物的街道,地址是Allama Iqbal鎮730 Nizam街區,然後我敲了門。(笑聲)你們想猜猜看開門的是誰嗎?Basit和Amjad,他們仍住在那裡。(笑聲)(掌聲)站著的是Basit,坐著的是他兄弟Amjad,這就是寫出第一個PC病毒的傢伙們。當然,我們進行了一場非常有趣的討論,我問他們為什麼這麼做,我問他們對自己起頭的這件事有什麼感覺,而我得到某種滿足感,因為得知這些年來,Basit和Amjad的電腦被完全不同的其他病毒感染了幾十次;所以,畢竟世界上還是有某種形式的正義。

    展開英文



  • 現在,我們在80和90年代常見的病毒顯然不再是個問題,所以我展示幾個例子,讓你們看看以往的病毒看起來是什麼模樣。我在這裡執行的是一個系統,讓我能在當今電腦裡執行年代久遠的程式。讓我安裝一些驅動程式,看那邊,這是一個舊時病毒的列表,讓我在我的電腦裡執行一些病毒。

    例如,我們先執行蜈蚣病毒(Centipede),你們可以在螢幕上方看到,當你的電腦被這個病毒感染時,會有一條蜈蚣滑過。你知道電腦被感染了,因為它事實上已經顯示在螢幕上。這是另一個叫做Crash的病毒,1992年在俄羅斯發明的。讓我展示一個事實上會發出聲音的病毒,(鳴笛聲)最後一個例子,猜猜看Walker病毒會做什麼。是的,當電腦被感染時,有個傢伙會走過你的螢幕。因此,以往很容易就知道電腦被病毒感染,當時病毒是由業餘愛好者和青少年所寫。

    如今,病毒不再是由業餘愛好者和青少年所寫,如今,病毒是個全球性問題。圖片背景是我們在實驗室所執行的一個系統的例子,我們在那裡追蹤全球的病毒感染,因此,我們事實上可以即時看到才剛被阻擋住的,來自瑞典、台灣、俄羅斯和其他地方的病毒。事實上,如果我透過網路連回我們的實驗室系統,就可以即時瞭解到每天發現了多少病毒、多少新的惡意軟體。這是我們在一個叫做Server.exe的檔案中所發現的最新病毒,是我們是三秒前發現的,在這裡-前一個病毒是六秒前發現的。如果我們捲動頁面,可知病毒數量相當龐大,我們發現幾萬、甚至幾十萬個病毒,這是最近20分鐘內發現的惡意軟體,每天都是如此。

    展開英文



  • 那麼,這所有的病毒來自哪裡?現今是有組織的犯罪集團編寫這些病毒,因為他們靠病毒賺錢,其集結的方式就像-讓我們到GangstaBucks.com網站看看。這是在莫斯科經營的網站,這些傢伙購買感染病毒的電腦,因此,如果你是一個寫病毒的人,而你有能力感染視窗作業系統的電腦,但不知道該怎麼處理它們,你可以出售這些感染病毒的電腦-別人的電腦-給這些傢伙,他們事實上會付錢向你買這些電腦。那麼,這些傢伙如何靠這些感染病毒的電腦賺錢?有許多種不同方法,例如銀行木馬程式,當你使用網路銀行時,它會從你的網路銀行賬戶竊取你的錢;或鍵盤記錄程式,鍵盤記錄程式默默地潛伏在你的電腦中,隱藏在看不到的地方,記錄所有你鍵入的東西,所以,當你坐在電腦前用Google搜尋時,你鍵入的每一筆Google搜尋資料都被存起來並發送到這些罪犯手中;你寫的每一封電子郵件都被存起來並發送到這些罪犯手中;你所鍵入的每一個密碼也是一樣,以此類推。

    但事實上,他們大部分尋找的是當你上網時所建立的連線,以及在任何網路商店所做的網路購物。因為當你在網路商店購物時,你會輸入姓名、送貨地址、信用卡號碼和信用卡安全碼。下面這個例子是我們幾星期前在一個伺服器上所發現的檔案,這是信用卡號碼,這是到期日,這是安全碼,這是信用卡持有者名字。一旦你獲得其他人的信用卡資訊,就可以利用這個資訊上網購買任何你想要的東西,這顯然是個問題。我們現在有整個圍繞網路犯罪建立的地下市場和商業生態系統。

    這是這些傢伙如何能靠他們經營的集團賺錢的例子。我們來看看國際刑警組織的網頁,並搜尋一下通緝犯。我們找到像Bjorn Sundin這個傢伙,他最初來自瑞典,他的犯罪夥伴也列在國際刑警組織的通緝網頁上;Shaileshkumar Jain先生是一位美國公民,這些人運作並經營一間叫I.M.U的公司,他們藉由這個網路犯罪集團淨賺了數百萬美元。他們兩人現在都在跑路,沒人知道他們在哪裡。美國官員就在幾星期前凍結了一個屬於Mr. Jain的瑞士銀行帳戶,那個銀行帳戶裡有1490萬美元。

    因此,網路犯罪獲取的金錢總數相當龐大,這意味著網路罪犯確實有能力投資於他們的攻擊行動。我們知道,網路罪犯正在招募程式設計師,雇用測試人員,測試他們寫的代碼,並擁有SQL資料庫的後端系統。他們負擔得起監視我們如何工作-像是資訊安全人員如何工作,試圖在我們所能建立的任何安全防範措施中找出破解方法。他們還利用網際網路的全球化性質作為他們的優勢,我的意思是,網際網路是國際性的,這就是為什麼我們叫它網際網路。

    展開英文



  • 如果你們想看看在網路世界發生了什麼事,這是一部由Clarified Networks製作的影片,說明了一個惡意軟體家族如何能在全世界四處遷移,這種操作方式被認為源於愛沙尼亞。一旦網站被關閉,就從一個國家遷移到另一個國家,所以你根本無法制止這些傢伙。他們從一個國家遷移到另一個,從一個司法管轄區遷移到另一個,在全世界四處遷移,利用我們沒有能力讓警方像這樣在全球範圍內行動這個事實。因此,網際網路就像是有人給了全世界所有網路犯罪者一張免費機票,之前無法將犯罪觸手伸到我們身上的罪犯,現在能做到了。

    那麼,要如何著手尋找網路罪犯?要如何追蹤他們?我給你們舉個例子。這是一個探測檔案,在這裡,我現在看的是一個映像檔的十六進位轉儲,其中包含一個漏洞,這基本上意味著,如果你試圖在你的視窗作業系統電腦上觀看這個映像檔,它事實上會接管你的電腦,並執行一些代碼。

    現在,如果你仔細看看這個映像檔-這是映像檔標頭,這是攻擊開始的真正代碼,這個代碼已經被加密,所以我們將它解密。這是用XOR function 97加密的,你們一定要相信我,它是的,別懷疑。我們可以到這裡,真正開始將它解密。黃色部分的代碼現在解密了,我知道,它跟原來的代碼看起來並沒有很大的不同,但請繼續仔細看,你可以在這裡看到一個網址:unionseek.com/d/ioo.exe,當你在電腦上觀看這個映像檔時,它事實上會開始下載並執行這個程式,這是一個將接管你電腦的後門。

    但更有趣的是,如果我們繼續解密,我們會發現這個神秘的字串:O600KO78RUS,這段被加密的代碼像是某種簽名,它沒有任何作用,我盯著它看,試圖找出它代表什麼意思。所以很顯然,我用Google搜尋,我得到0筆資料;什麼也找不到。所以我跟實驗室夥伴們談論這件事,我們實驗室裡有幾個俄羅斯人,其中一人提到,嗯,它結尾的代碼rus像是指俄羅斯,而78是聖彼得堡的城市代碼,例如,你可以在一些電話號碼和汽車牌照之類的東西上找到它。於是,我尋找它與聖彼得堡的關聯,經歷了漫長的過程,我們終於找到這個特定的網站。

    這個俄羅斯人在網路上經營自己的網站好幾年了,他在Live Journal這個受歡迎的網站上經營一個部落格。在這個部落格中,他發表關於他的生活,關於他在聖彼得堡的生活-他現在20出頭,關於他的貓、他的女朋友,他開的是一輛非常不錯的車,事實上,這個傢伙開的是一輛賓士S600,V12,擁有6公升引擎及超過400匹馬力,對一位生活在聖彼得堡20出頭的孩子來說是一輛很不錯的車。

    我怎麼知道關於他車子的事?因為他在部落格上描述了這輛車,他事實上還出了車禍。在聖彼得堡市中心,他的車撞了另一輛車。他在部落格上放了關於那場車禍的照片,那是他的賓士車,這是他撞上的Lada Samara車。事實上,你可以看到Samara的車牌號碼結尾是78RUS,如果你仔細看車禍現場照片,你可以看到,那輛賓士車的車牌號碼是O600KO78RUS。我不是律師,但如果我是,我會這麼說,「我的案子結了。」

    展開英文



  • 那麼,當網路罪犯被捕時會發生什麼事呢?在大多數情況下,很難進展到這個程度。在絕大多數的網路犯罪案件中,我們甚至不知道攻擊來自哪個洲;即使我們能找到網路罪犯,結果往往是不了了之,當地警方不會採取行動;或如果他們採取行動,卻沒有足夠證據;或出於某種原因,我們無法制裁他們。我希望這會更容易些,可惜事實並非如此。

    但情況也以十分迅速的步伐改變了。你們都聽過像Stuxnet這樣的病毒,因此,如果你們想看一下Stuxnet會做什麼,那就是感染這些東西。這是一個西門子S7-400 PLC,可編程式邏輯控制器,這就是使我們基礎設施運行的東西,這就是運行我們周遭一切的東西。PLC的這些小箱子沒有顯示器,沒有鍵盤,而是編入了程式;將它放在適當位置,它就會執行它的工作。例如,這棟建築物裡的電梯,很可能就是由其中一個小箱子所控制。當Stuxnet病毒感染其中一個小箱子,這各式各樣的風險所造成的巨大變革正是我們必須擔心的,因為我們周遭的一切都是由這些小箱子運行。我的意思是,我們有許多重要的基礎設施,當你去任何工廠、任何發電廠、任何化工廠、任何食品加工廠,你看看四周-每樣東西都是由電腦操作的。

    每樣東西都由電腦操作,每樣東西都有賴於這些電腦的運作。我們已變得非常依賴網路,很顯然,一些基本的東西,如電力,都有賴於電腦的運行,這確實是某種會為我們創造出全新問題的情況。我們必須有某種方法能繼續運作一切,即使電腦掛了的時候。

    (笑聲)

    (掌聲)

    所以準備意味著,即使當我們習以為常的東西不存在時,我們仍然能如常生活。這確實是相當基本的東西,想想關於連貫性、關於備份、關於真正重要的東西。

    現在,我告訴你們-(笑聲)我愛網路,真的,想想所有我們從網路上得到的服務,想想如果這些東西都離你而去;如果有一天,你因為某種原因真的失去了這些。我看到未來網路的美好,但我擔心我們可能看不到這些,我擔心我們因為網路犯罪而陷入困境,網路犯罪是一項可能使這些東西離我們遠去的東西。

    (笑聲)

    我窮盡一生的時間來保衛網路,我確實認為,如果我們不打擊網路犯罪,就是冒著全面失去網路的危險,我們必須全球化的進行這件事,我們必須立刻著手進行。我們需要的是更加全球化、國際性的執法合作,尋找網路犯罪集團。這些有組織的集團從他們的攻擊中獲得數百萬美元的利益,這比執行防毒程式或開啟防火牆重要得多。事實上,重要的是,將這些攻擊的幕後黑手找出來;更重要的是,我們必須要找出即將成為網路犯罪世界的一份子,但尚未這麼做的人;我們必須找出擁有這個技能,但沒機會使用的人,並給他們機會,將這個技能用在好的地方。

    非常感謝。

    展開英文