Võidurelvastumine küberrindel

Arvan, et uute epideemiate - nagu oli näiteks Slammer 2003. aastal - vallandumine tulevikus pole eriti tõenäoline.

Esimene põhjus on see, et viimasel ajal on toimunud suured arreteerimised, kinni on võetud mõnisada inimest. Võimalikud epideemia loojad teavad, et epideemia vallandumisel võivad sellele järgneda edukad arreteerimised.

Viimane selline tõsine näidisprotsess toimus Venemaal häkkerite üle, kes „võtsid maha" Briti-Austraalia kihlveofirma veebiserveri ning nõudsid selle taasavamise eest neli miljonit eurot. Tänavu oktoobris mõisteti kolmele häkkerite rühma liikmele kaheksa aastat ranget vanglarežiimi, mitte küber-, vaid tavakuritegevuse paragrahvide alusel. See oli teade: kui käitute halvasti, siis juhtub nii.

Seetõttu üritavad kurjategijad tegeleda märkamatult, aga samal ajal kuritegevus kasvab. On jäänud targad, niiöelda kirjaoskajad professionaalsed häkkerid, kes istutavad arvutitesse troojalasi, et hankida neist andmeid. Meie andmetel on neid üha rohkem. Samal ajal kasutavad nad troojalaste kirjutamiseks palju professionaalsemaid meetodeid. Troojalased on üha keerulisemad.

Kuidas te sellega toime tulete?

Peamine probleem ongi see, et viirustõrje pakkujad on selle laviini peatamiseks jõuetud. Meil on vaja elavdada võitlust, oleks vaja luua interneti-interpol, et saaks erinevates riikides kiiremini vajalike inimestega sidet pidada. Oleme mitmel pool aidanud kurjategijaid jälitada - Venemaal, Hollandis, Brasiilias.

Olukorra muudab veel keerulisemaks see, et enamik kuritegusid on rahvusvahelised - hiinlased ründavad ameeriklasi, venelased britte, brasiillased Hollandit.

Muidugi, politsei sekkumiseta oleks meil maailmas kümme korda rohkem rünnakuid ja kuritegelikke rühmitusi.

Viimasel ajal osa rühmitusi isegi ei vaevu enam peituma, aga politseil pole piisavalt jõudu, et neid tüüpe kinni püüda. Kohati on tegemist sama olukorraga nagu politseiniketa linnas: võid teha, mida tahad. Seepärast kurjategijate arv kasvabki. Me muidugi ei tea, kui palju neid on, sest nad ei anna end ise üles, ei maksa makse, ei loe end kokku.

Aga ma näen, et kuritegelike IT-projektide hulk suureneb ja neid arendavad väga erinevad rühmitused ja inimesed.

Kuidas see muudab teie elu?

Meeldiv on see, et tulevad pidevalt uued tehnoloogiad ja meil tuleb välja töötada uusi vahendeid. Käib pidev võidurelvastamine viirustõrjujate ja häkkerite vahel.

Meil tuleb investeerida üha rohkem viirustõrjetehnoloogiasse ja me tegeleme üha enam konkreetsete häkkerite rühmadega. Me ei tea, kus see rühm asub, aga teame, et liikvele on pääsenud järjekordne, varasemast keerulisem muteeruv troojalane. Ja selle tõrjumiseks peame välja töötama konkreetse tehnoloogia.

Aga neid bandesid on üha rohkem ja võib juhtuda, et ühel hetkel meil ei jätku enam inimesi. Programmeerijad ei piisa, neid tuleb välja õpetada vähemalt kolm kuud, et nad suudaksid lihtsamaid asju lahendada. Hea spetsialisti koolitamiseks kulub aasta-kaks.

Millised on praegu suurimad ohud, mis meid küberruumis ähvardavad?

Me näeme veebis üha uusi kriminaalseid äristrateegiaid. Kõige ohtlikumad ja populaarsemad on praegu finantsrünnakuid, mille k& auml;igus püütakse troojalastega nakatatud arvutitest varastada andmeid. Eesmärk on rünnata pankade kliente. Kui klient läheb netipanka, siis troojalaste abil varastatakse ligipääsuks vajalikud andmed ning häkkerid kasutavad neid. Seejärel arendavad nad uue troojalase ja varastavad taas tuhandeid andmeid.

Samal ajal on hakanud levima täpsemalt sihitud rünnakud, mis mõjutavad ainult ühte arvutisüsteemi. Näiteks mingi panga arvutisüsteemi. Vahel rünnatakse ka ainult ühte serverit.

Kuidas te tõrjute neid rünnakuid?

Massilisemate rünnakute puhul tegutseme klassikaliselt: keegi kahtlustab pahatahtlikku koodi, saadab meile näite ning me töötame välja selle tõrjumise tehnoloogia.

Kuidas te saate uutest viirustest teada?

Jälgime väga palju internetti ja laadime alla häkkerite töö näidiseid. Nemad muidugi vaatavad, kelle IP-aadressilt alla laetakse ja asendavad troojalase süütu programmiga. Meie kasutame omalt poolt võltsitud IP-aadressiga arvuteid ja nakatame neid. See on tõesti mäng.

Mäng küll, aga kurjategijad on ikka veidi ees korrakaitsjatest...

Seda küll, nad on alati sammu või kaks ees. Kurjategijatel on ju aega, et rünnakut välja töötada ja arendada tehnoloogiat. Meie peame seevastu olema väga kiired nende rünnakute kaitsmisel. Loomulikult on võimalik arendada heuristikat, mis analüüsib faile ja püüab sealt leida pahatahtlikku koodi, aga see peatab ainult rumalaid. Tarku mitte. Pole olemas sajaprotsendilist kaitset.

Mind on alati hämmastanud kiirus, millega Kaspersky Lab reageerib uutele küberrünnakutele. Kuidas te suudate sellise tempoga töötada?

Me pole alati nii kiired, kui tahaksime, aga me lihtsalt teeme oma tööd. Seda, miks teised firmad pole nii kiired, peaks neilt küsima. Meil on inimesed tööl ja töötame ööpäev läbi. Kui toimub turvarünnaku läbimurre, siis paneme oma süsteemi kiiremini tööle ja töötame uusi tehnoloogiaid kiiremini välja.

Teie konkurendi F-Secure viirustõrjelabori juht Mikko Hyppönen on öelnud, et olete vahel liigagi kiired ja teete seetõttu vigu, andes valehäireid.

Suuri vigu me pole viimasel ajal teinud. Viimase väga suure vea tegime 1999. aastal, kui meie tarkvara uuendustega oli tõsiseid probleeme. Pärast seda kriitilisi probleeme pole enam olnud. Mõnikord on uuendused liiga mahukad ja see võib arvutite tööd aeglustada. Aga me töötame selle kallal, et viiruste kirjeldusi ja programmi uuendusi kiiremini tööle panna, samuti arendame monitooringusüsteemi, et see paremini toimiks. Tervel veerand meie programmeerijatest tegeleb sellega.

Aga kui tegemist on ainult ühe arvuti vastu suunatud rünnakuga, siis on asi oluliselt keerulisem?

Kui ainult ühes arvutis on unikaalne troojalane, siis on sellele väga raske jälile saada. Kui see õnnestub, siis peame välja töötama uue viirustõrje tehnoloogia, tavalisest viirustõrjest siis ei piisa. Meil on selleks tütarfirma InfoWatch .

Tavaliselt on sellistel puhkudel tegemist väga suurte pankadega, millel on olemas viirustõrje ja tulemüürid ning osa süsteemist pole turvapõhjustel isegi internetiga ühendatud. Kuid pangas tegutseb insaider, kes ühendab pangasüsteemi välisvõ ;rguga, et troojalane saaks tegutseda.

Kuidas te ikkagi avastate ühe arvuti vastu suunatud rünnaku?

Tavaliselt ettevõte teatab, et nende võrgus või serveris toimub midagi tavapäratut või nad leiavad kahtlust äratava faili. Üldjuhul me ei pääse nendele failidele ligi. Meie eksperdid lähevad firmasse kohale, et nende arvutites juhtunut uurida. Kuid kahtlustan, et on ka selliseid juhtumeid, kus on sellisel moel firma infosüsteemi sissetungijat lihtsalt võimatu avastada ilma, et kasutaks spetsiaalseid turvatarkvara.

Veel mõne aja eest oli hulk küberkurjategijaid, keda kannustas tagant enda tõestamise vajadus või uudishimu. Viimasel ajal on raha jahtijate hulk oluliselt kasvanud. Mis paneb küberkurjategijad liikvele?

Raha, raha ja veel kord raha. Nad arendavad troojalasi, et varastada raha või andmeid, et inimesed maksaksid nende tagasi saamise eest. Või ründavad selleks, et arvuti helistaks tasulistele telefoninumbritele või telefon saadaks tasulistele numbritele lühisõnumeid. Internetis on praegu palju raha, informatsioon tähendab raha.

Kas te olete viimasel ajal kohanud terroristide küberrünnakuid? Näiteks keegi püüab rivist välja viia Pentagoni mõnda infosüsteemi?

Mõnikord me näeme selliseid asju, kaks aastat tagasi oli Saksamaal üks „poliitiline" viirus. Samuti levis mõni aeg tagasi info, et üks islami veebisait palus inimestel neid aidata rünnata Iisraeli arvutivõrke, kuid sellel ei olnud märkimisväärseid tulemusi.

Selliseid rünnakuid ei ole eriti lihtne läbi viia, vähemalt loodan seda, sest militaarsete struktuuride arvutivõrgud ja infoarhitektuur on piisavalt head selliste rünnakute tõrjumiseks. Ma ei julge ennustada, kas näeme selliseid rünnakuid tulevikus.

Te ütlesite, et väga palju rünnatakse panku. Mille poolest erineb julgeolekustruktuuri võrk panga omast?

Hea küsimus. Kui pankade infosüsteeme on rünnatud, siis on olnud asjasse segatud insaider. Samas on insaideril pangas lihtsam tegutseda kui näiteks Pentagonis või mõnes muus militaarorganisatsioonis või luureteenistuses või valitsusasutuses. Kõik on võimalik, aga ma loodan, et seda ei juhtu.

Teisest küljest, mõni kord me isegi ei mõista põhjust, miks troojalane loodi või spämmi saadeti. Me saame aru, et selle taga on kriminaalne äri, kuid täpset põhjust ei oska arvata.

Milliseid markantsemaid kuritegusid saate viimasest ajast esile tuua?

Viimasel ajal on palju ärispämmi. Näiteks spämmisaatjad ostavad mingi firma aktsiaid, nad saadavad spämmi ettevõtte kohta heade uudistega, aktsiahinnad tõused ning spämmerid müüvad aktsiad maha, teenides tulu.

Mõni aeg tagasi pääsesid kaks häkkerit ligi Vene naftafirma Datneft holdingfirma infosüsteemile ning hakkasid nende aktsiatega aktsiaturul mängima.

Toon veel ühe näite: saadeti laiali spämm, mis reklaamis USAs ja Venemaal toimivat firmat, mis oli äsja noteerinud börsil aktsiad. Kiri ütles, et praegu maksab aktsia neli dollarit, kuid ootame, et selle hind tõuseb 12 dollarini. Nädala pärast saatsid nad uue spämmi, siis oli aktsia hinnaks vaid kaks dollarit. Pärast selgus, et seda firmat tegelikult polnudki, sest neid aktsiaid maini ainult Yahoo! portaali finantskülgedel. Ma tõesti ei tea, kuidas on võimalik valefirma aktsiaid Yahoo! kaudu müüa.

Kust tulevad kõige nutikamad rünnakud?

Kõige keerulisemad troojalased tulevad Venemaalt, need on tehniliselt kõige huvitavamad.

Miks?

Seal on haridussüsteem väga hea ja seal asub märkimisväärne osa häkkereid.

Hiinast tuleb suurem osa troojalasi, väga palju nuhkvara, samuti online-mängude tegelaskujude varustuse varastamise tarkvara. See on kujunenud omaette äriks: nad varastavad online-mängude tegelastelt andmeid ja müüvad neid.

Teisel kohal on hispaania- ja portugalikeelsed riigid. Troojalasel pole ju passi, me ei tea, kust ta täpselt pärit on. Aga mõnikord on näha, mis keelt troojalane räägib. Enamik finantstroojalasi tuleb just Brasiiliast ja hispaaniakeelsetest riikidest.

Indiast tuleb väga vähe, ei teagi, miks see nii on. Jaapanist tuleb ka väga vähe pahavara - seal on ilmselt asi mentaliteedi küsimuses, nad ei riku seadust.

Kas olete saanud isiklikke ähvardusi?

Ei, me ei kanna relva, me pole politseinikud. Me toodame kuuliveste, nii politseinikele kui ka kurjategijatele.

Kas vahel tuleb ka ette, et pahad poisid hakkavad headeks? Kas teil töötab mõni endine häkker?

Mõnikord on sellised inimesed otsinud meilt tööd, aga oleme aru saanud, et nende minevik pole puhas. Vahel oleme intervjuu ajal aru saanud, et tegemist on aktiivse häkkeriga, ütleme head aega ja saadame CV politseile edasi.

Pealegi, miks nad peaksid tulema? Kurjategijatel on rohkem raha kui minul.

Muidugi, meil on Moskvas mitusada töötajat. Kindlasti on neist keegi olnud häkker. Aga kui teismeline teeb pahandust, vaadake kasvõi mind, siis... Ma polnud huligaan, aga ma ei istunud ka päevad läbi kodus, kui te saate aru, mida öelda tahan.

Milliseid uusi ohte ennustate järgmiseks ja ülejärgmiseks aastaks?

Kindlasti tuleb rohkem ussviiruseid ja troojalasi nutitelefonidele, sest need lähevad üha odavamaks ja inimesed ostavad neid üha rohkem. Mul on lemmikküsimus: mis vahe on nutitelefonil ja arvutil? Ei olegi mingit vahet, lihtsalt telefonil pole hiirt ja arvutit on helistades ebamugav kõrva juures hoida.

Teine suur oht on see, et rünnakud muutuvad üha kriminaalsemaks. Troojalaste hulk kasvab aasta aastalt. Samuti oleme avastanud esimesed viirused, mis kasutavad arvutis olevat Kaspersky tarkvara, et konkurentidest lahti saada.

Sony muusikaplaatide koopiakaitse ehk rootkit'i avastamine võttis üle aasta. Miks selleks nii kaua aega kulus?

Sest keegi polnud selle tehnoloogia jaoks valmis. Neil oli aega arendada. Seda oli muidugi imelik näha, et nii suur firma kasutab häkkeritehnoloogiat oma õiguste kaitsmiseks.

Kui palju teile pakuvad konkurentsi avatud lähtekoodiga tarkvara arendajad?

Mõned avatud lähtekoodiga turvatarkvarad on, näiteks ClamAV, aga nad pole tõsised konkurendid, sest nad ei suuda kvaliteeti ega kiiret reaktsiooni tagada. Viirustõrje on väga eriline valdkond - seda ei saa arendada avatud projektina, sest tegemist pole mitte toote, vaid teenusega. Näiteks auto on toode, mida saab sõpradega ise avatud lähtekoodi põhimõtete kohaselt kokku panna. Aga bensiinijaam pakub teenust, mis peab töötama pidevalt.