32

Mikko Hyppönen: Czy policja w Polsce korzysta z trojanów? Wywiad z wybitnym specjalistą od bezpieczeństwa w sieci!

Mikko Hyppönen to jeden z najbardziej znanych ludzi zajmujących się bezpieczeństwem. Jako pierwszy poinformował o epidemii robaka Sasser. Przez magazyn PC World został wybrany jednym z 50 najbardziej wpływowych ludzi Internetu. Jest tegorocznym laureatem nagrody Virus Bulletin dla najlepszego nauczyciela w branży, twórcą kilku patentów. Przede wszystkim jest otawrtym, bezpośrednim i sympatycznym człowiekiem. Zgodził się […]

Mikko Hyppönen to jeden z najbardziej znanych ludzi zajmujących się bezpieczeństwem. Jako pierwszy poinformował o epidemii robaka Sasser. Przez magazyn PC World został wybrany jednym z 50 najbardziej wpływowych ludzi Internetu. Jest tegorocznym laureatem nagrody Virus Bulletin dla najlepszego nauczyciela w branży, twórcą kilku patentów. Przede wszystkim jest otawrtym, bezpośrednim i sympatycznym człowiekiem. Zgodził się odpowiedzieć na kilka moich pytań i w ten sposób powstał niniejszy wywiad. Jeśli chcecie się dowiedzieć, który system operacyjny jest najbezpieczniejszy, czy Linux zyska popularność na desktopach oraz czemu Mikko zajął się bezpieczeństwem komputerowym, to zapraszam do lektury.

 

Jan Rybczyński: Co jest największym zagrożeniem dla zwykłego użytkownika szeroko pojętej elektroniki?

Mikko Hyppönen: Elektroniki, a więc nie tylko komputerów. Myślę, że prywatność. Używając elektronik, różnych urządzeń, komputerów, tabletów, telefonów, różnych aplikacji, korzystając z internetu dajemy się zbyt łatwo śledzić i profilować. To niepokojące jak łatwo wielkie, amerykańskie firmy mogą nas śledzić i zbierać informacje na nasz temat np. na temat wszystkich obywateli Polski. W celach reklamowych. Wygląda na to, że ludzie się tym nie przejmują. A to dopiero początek i będzie coraz gorzej. Im więcej danych zgromadzą na nasz temat, tym bardziej będą mogli ingerować w nasze życia. Trudno walczyć z tym problemem, dla przykładu Google, nie sama wyszukiwarka, ale wszystkie usługi, Google Maps, Google Docs, Chrome, Chrome OS, Android to świetne produkty i usługi, ciężko ich unikać, bo są dobrej jakości. Nawet jeżeli dbasz o swoją prywatność, nie chcesz być śledzony i profilowany, to i tak trudno ich unikać.

JR: Sądzisz, że któregoś dnia okaże się to większym problemem niż przestępczość w sieci?

Mikko: Nie, raczej nie. W każdym razie nie większym problemem, bo to problem innego rodzaju. Google i Facebook śledzą nasze poczynania w sieci, chcą zebrać jak najwięcej informacji na nasz temat jak to tylko możliwe, ale nie chcą wyrządzić nam szkody, skrzywdzić, okraść. Potrzebują nas. Gdyby zrobili coś naprawdę złego, utraciliby użytkowników, a tego chcą uniknąć. To jedyny sposób w jaki zarabiają pieniądze – profilują i targetują reklamy. To innego rodzaju problem niż przestępcy, którzy chcą ukraść nam pieniądze z konta bankowego czy karty kredytowej, zbudować botnet w oparciu o nasze komputery, chcą wyrządzić nam szkodę, zabrać konkretnie nasze pieniądze. Moja rada jest następująca, pojedynczym, największym ryzykiem dla użytkowników komputerów jest zainfekowanie komputera, a najczęstszą przyczyną infekcji komputerów z systemem Windows jest korzystanie z sieci za pomocą przeglądarki, która ma nieaktualną wtyczkę Java. Wystarczy zrobić jedną rzecz, zrezygnować z Java, albo z pluginu w przeglądarce, albo upewnienie się, że jest zaktualizowany do najnowszej wersji, aby drastycznie obniżyć liczbę infekcji. Nie znikną całkiem, ale drastycznie spadnie ich liczba.

JR: Czy możemy powiedzieć, że jeden system operacyjny jest bezpieczniejszy lub mniej bezpieczny od drugiego? Czy jest zbyt wiele rzeczy, które trzeba wziąć pod uwagę? Czy Linux jest bezpieczniejszy od Windows?

Mikko: Jest zasadnicza różnica, czy mówimy o teorii czy o praktyce. Weźmy dla przykładu Mac OS X i Windows 7. W teorii są podobne, w zasadzie w teorii Windows 7 w wersji sześćdziesięcio cztero bitowej jest bezpieczniejszy od OS X, w teorii. W praktyce Windows jest zdecydowanie częściej atakowany i jest zdecydowanie większe prawdopodobieństwo zainfekowania Windowsa niż Maka. W praktyce jest wyraźna różnica w bezpieczeństwie systemów. Weźmy inny przykład: smartfony i trzech największych graczy: Windows Phone, iOS i Android. Na Windows Phone zero malware’u, na iOS zero malware’u, na Androidzie tysiące. To niesamowite, bo te trzy platformy, Windows, Apple i Linux występują na komputerach, a na komputerach Linux nie ma w zasadzie żadnych wirusów, a Windows ma niemal wszystkie wirusy. Na platformach mobilnych jest dokładnie na odwrót.

JR: Czyli w teorii gdyby Linux stał się bardziej popularny, powtórzyłaby się sytuacja z Androida?

Mikko: Co masz na myśli? Android to jest Linux.

JR: Mam na myśli Linuksa na desktopach.

Mikko: Nie sądzę aby Linux kiedykolwiek odniósł sukces na desktopach. To platforma serwerowa. Linux już odniósł wielki sukces na serwerach, na systemach wbudowanych, na telefonach, to telefon z Androidem, prawda? (tutaj wskazał mój telefon). Odniósł wielki sukces wszędzie poza desktopem. Za to na desktopie nie jest zbytnio konkurencyjny. Nie sądzę, aby kiedykolwiek miało się to w sposób znaczący zmienić. Mam dwa komputery pracujące pod kontrolą Chrome OS w domu. Są świetne, bardzo je lubię. Bardzo małe, bardzo szybkie, oczywiście cały czas podłączone do internetu, inaczej są bezużyteczne. Mimo to to była komercyjna porażka dla Google. Mój wuj kiedyś mnie zapytał o tą kwestię, jak wiesz Linux pochodzi z Finlandii, mój wuj jest w okolicach sześćdziesiątki, niespecjalnie zna się na komputerach. Siedzieliśmy przy kawie i on mnie zapytał: „Hej Mikko, ty siedzisz w komputerach, powiedz jak to jest z tym Linuksem, czemu nie odniósł sukcesu?”. A ja na to: „Jak to nie odniósł sukcesu? Jak mógł odnieść większy sukces? 70% stron WWW na całym świecie działa na Linuksie, Facebook działa na Linuksie, Google działa na Linuksie, twój samochód, twoje radio działają na Linuksie. Twój telefon działa na Linuksie. Mimo tego on odbierał to jako porażkę Linuksa. Oczywiście nie odniósł porażki, ale według niego tak to właśnie wyglądało, bo jedyne komputery jakie widział miały Windowsy i Maki.

Czy poznałeś kiedyś Linusa Torvaldsa?

JR: Niestety nie.

Mikko: Widywałem się z nim regularnie, gdy mieszkał w Finlandii, ale od 10 lat mieszka w USA, więc od dawna się z nim nie widziałem.

JR: W dzisiejszych czasach mamy dużo urządzeń, telefon, tablet, czasem kilka komputerów. Czy nie powoduje to znacznego zwiększenia ryzyka pod względem bezpieczeństwa? Osobiście uważam, że to duży problem. Możemy zgubić telefon, albo mogą go nam ukraść. Nie zawsze i nie wszyscy szyfrujemy dane na urządzeniach mobilnych i nie tylko. Jak oceniasz, czy to faktycznie duży problem? Jak sobie z nim radzić?

Mikko: Moją podstawową radą dla każdego, kto pyta, jak zabezpieczyć swoje systemy, jest robienie kopii bezpieczeństwa. Jak spali Ci się dom, twój komputer i telefon, musisz mieć backup. To po pierwsze. Po drugie, upewnij się, że masz aktualną wersję oprogramowania, zarówno system jak i aplikacje, których używasz. Dopiero na trzecim miejscu jest bezpieczeństwo i produkty je zapewniające. Oczywistym jest, że im więcej masz urządzeń, tym więcej backupów musisz robić. Musisz uaktualniać większą liczbę urządzeń. Robi się z tego coraz większy problem. Nie chodzi tylko o twój telefon, tablet czy komputer. Również o Twój telewizor, twój samochód. W końcu zacznie to dotyczyć ekspresu do kawy, mikrofalówki czy lodówki. Pewnie będą działy pod kontrolą Androida i będziesz musiał zbackupować i zaktualizować swoją lodówkę. Wszystko to staje się coraz bardziej skomplikowane i to jest wyzwanie dla nas, dla ludzi odpowiedzialnych za bezpieczeństwo, również dla producentów i usługodawców. Mamy coraz większą odpowiedzialność. Nie możemy zakładać, że wszyscy wiedzą jak aktualizować i że będą to robić. Proces musi być łatwiejszy, bardziej zautomatyzowany.

To nas sprowadza do kolejnego pytania. Przejdźmy 5, 10 lat w przyszłość. Twoja lodówka czy mikrofalówka mają już Androida czy jakikolwiek inny system oraz są podłączone do internetu. Pytanie brzmi, kto chciałby włamać się do Twojej lodówki? Co byłoby jego motywem? Oczywiście można ją zhakować, ale co byłoby motywem? Sądzę, że to kluczowe pytanie. Jeśli weźmiemy pod uwagę motywy, znajdziemy najbardziej prawdopodobne cele ataku. Nie sądzę, że jest duże ryzyko włamania do lodówki, ktoś to może zrobić dla zabawy. Ale jak weźmiemy samochód, kto chciałby włamać się do niego? Każdy kto chciałby go ukraść. Kradzież samochodów jest bardzo powszechna i zorganizowana. Łatwiej ukraść samochód, gdy się do niego włamiesz. Dlatego prawdopodobieństwo włamania do samochodu jest znacznie większe.

JR: Odnosząc się do tego, jak wynika z Twojego doświadczenia, ile procent szkodliwego oprogramowania powstaje dla zabawy i sprawdzenia własnych możliwości, a ile tylko z myślą o czystym zysku na działalności kryminalnej w sieci?

Mikko: Pisanie wirusów dla zabawy było kiedyś jedyną przyczyną. Nie mam twardych danych, nikt nie ma, ale powiedziałbym, że obecnie trzy czwarte ataków to gangi kryminalistów próbujące zdobyć pieniądze. Zdecydowanie większość wszystkich ataków. Botnenty, exploity, trojany bankowe, kradzież z kart kredytowych, spam, przejmowanie kliknięć. Reszta, czyli jedna czwarta jest rozdzielona pomiędzy hakerów hobbystów, haktywistów i ataki rządowe, czyli trojany szpiegowskie oraz cyberataki takie jak Stuxnet czy Duqu.

JR: Jak duże jest zagrożenie cyberterroryzmem i atakami rządowymi?

Mikko: To są dwie różne rzeczy. Szukałem informacji na temat cyberterroryzmu, ponieważ miałem wystąpienie na ten temat wcześniej w tym roku. Chciałem dowiedzieć się jak dużym zagrożeniem jest cyberterroryzm. Mam tu na myśli prawdziwy cyberterroryzm, ataki dokonywane przez prawdziwe grupy terrorystyczne. Spędziłem trochę czasu próbując ustalić poziom zaawansowania technicznego grup terrorystycznych ekstremistycznych islamistów, neonazistów i im podobnych. Oni korzystają z sieci na okrągło, stosują szyfrowaną komunikację, Al-Kaida ma własne szyfrujące narzędzie wykorzystujące Blowfish i AES, używają sieci w celach zaopatrzeniowych, propagandowych, ale praktycznie wcale nie używają sieci aby przeprowadzić faktyczne ataki. Znalazłem pojedyncze przypadki u ekstremistycznych islamistów którzy takich ataków próbowali, ale są to bardzo nieliczne przypadki. Tego rodzaju ataki nie stanowią jeszcze faktycznego problemu.

Mamy za to bardzo konkretne przypadki ataków przeprowadzonych przez rządy. Nie tylko Stuxnet, Duqu czy Flame. Najbardziej typowym przykładem jest działalność wywiadowcza. Kiedyś informacja była tylko wyłącznie na papierze. Żeby ją zdobyć trzeba było wybrać się po nią osobiście. Teraz sytuacja uległa zmianie. Tego rodzaju informacje można osiągnąć przez sieć, nawet jeżeli nie znajdują się one w systemach bezpośrednio podłączonych do internetu. Chodzi o różnego rodzaju backdory i trojany.

Wreszcie mamy ostatni rodzaj rządowej aktywności, którym jest wykorzystywanie trojanów przez policję w celu śledzenia swoich własnych obywateli. Czy policja w Polsce korzysta z trojanów?

JR: Nie jestem pewien.

Mikko: A jak myślisz?

JR: Myślę, że mogliby to robić. Wiem, że robi to niemiecka policja.

Mikko: Tak, wiem. I robią to w Stanach Zjednoczonych, oraz w większości krajów na bliskim wschodzie.

JR: Uważam, że to jest przekraczanie granicy, której nie powinno przekraczać państwo.

Mikko: Mi też się to nie podoba. Rozumiem czemu chcą to robić. Jeżeli chcesz złapać przestępcę, zakładasz podsłuch na jego telefonie, na jego telefonie komórkowym, na jego łączu internetowym. Tego typu metody są na okrągło wykorzystywane. Ale jeżeli podsłuchiwany używa Skype, Gmail czy innych usług szyfrowanych SSL, nic taki podsłuch nie daje. Po to stosują trojany, które rozwiązują ten problem. Wszystko w porządku, gdy podejrzany okazuje się winny. Ale jeśli jest niewinny, to jest po prostu okropne.

JR: Podobny dylemat dotyczy prawa w niektórych krajach, które zmusza Cię do wyjawienia swojego hasła do zaszyfrowanych danych, a gdy tego nie zrobisz, jesteś traktowany jak winny.

Mikko: Julian Assange napisał program, który rozwiązuje ten problem. Zanim stworzył Wikileaks, napisał program do szyfrowania o nazwie Rubberhose. Pomysł polega na tym, że jest wiele zaszyfrowanych warstw. Gdy złapie cię totalitarna władza, która podejrzewa, że chcesz obalić rząd i nie podoba im się to, więc chcą sprawdzić zawartość Twojego komputera, podajesz im hasło, które działa i daje dostęp do określonych plików. Ale danych jest więcej i dostęp do nich daje zupełnie inne hasło. Koncepcja polega na tym, że ilość poziomów szyfrowania jest nielimitowana. Nikt nie wiele ile poziomów jest na Twoim komputerze. Rząd wie, że korzystasz z tego rozwiązania i wie, że nie ma sensu np. torturowanie Ciebie, bo nigdy nie ma pewności, że podałeś już absolutnie wszystkie hasła, nawet jeżeli podałeś ich pięć, możesz znać szóste.

JR: Czyli to jest rozwinięcie koncepcji Truecrypta, który ma dwa poziomy szyfrowania?

Mikko: Tak z tym, że Rubberhose powstał wiele lat wcześniej przed Truecryptem. Koncepcja jest bardzo podobna. Wiesz co robię, gdy lecę do Stanów Zjednoczonych? Można mnie na tym przyłapać, gdy lecę do USA z moim laptopem, gdy jestem w samolocie i skończę pracować, wyjmuję dysk SSD i chowam go do kieszeni. Biorę inny dysk i wkładam go do komputera. Jeśli zatrzymają mnie na kontroli i chcą bym pokazał im swój komputer, uruchamiam go, pojawia się czysta instalacja Windows 7 z tylko jednym folderem na pulpicie o nazwie „Pornografia”. Moje prawdziwe dane trzymam wówczas w kieszeni.

JR: Czy możesz opowiedzieć jak to się stało, że zacząłeś zajmować się bezpieczeństwem? Co Cię do tego skłoniło?

Mikko: Gdy pracowałem z malwarem przez dwa lub trzy lata we wczesnych latach dziewięćdziesiątych, to zdałem sobie sprawę z jednej rzecz. Gdy nadchodził czas świąt, a mieliśmy wtedy zaledwie kilku ludzi w laboratorium, dostawaliśmy kartki świąteczne pocztą, od klientów, którym pomogliśmy. Ktoś np. miał duży problem, stracił dostęp do danych, a my pomogliśmy mu je odzyskać, albo ktoś miał zainfekowany komputer i pomogliśmy mu pozbyć się szkodliwego oprogramowania. Byli wdzięczni i przysyłali na kartki świąteczne z podziękowaniami. Wtedy zdałem sobie sprawę, że ludzie którzy pisali wirusy nie dostawali kartek na święta. Zrozumiałem, że to co robimy to przede wszystkim pomaganie innym ludziom. A pomaganie jest szlachetną rzeczą i to jest coś co ja chcę robić. Pracuje przy ekscytujących badaniach, zajmuje się hakowaniem i innymi geekowymi rzeczami, po części podobnymi do tego czym zajmują się hakerzy, ale ja jestem po stronie tych dobrych. To jest dla mnie naprawdę satysfakcjonujące.

JR: Czy balans pomiędzy dobrymi i złymi zostanie kiedyś zachwiany w jedną ze stron?

Mikko: Już został zachwiany. Źli ludzie zdecydowanie prowadzą, a my próbujemy ich gonić. To nieuczciwa gra w kotka i myszkę, bo atakujący mają wszelką broń i środki do dyspozycji. Atakujący zawsze mogą zobaczyć czym dysponuje obrona. Mogą pobrać wszystkie produkty antywirusowe, poświęcić dowolnie wiele czasu na ich rozpoznanie i obejście. Wtedy przypuszczają atak a my mamy bardzo niewiele czasu aby wykryć taki atak i stworzyć odpowiednią aktualizację. To kłopotliwa sytuacja. Całe szczęście mamy w opracowaniu nowe technologie, które powinny pomóc w przyszłości i przewaga znowu będzie na jakiś czas po naszej stronie, ale to znowu będzie sytuacja tymczasowa. Walka nigdy się nie skończy.

JR: Myślę, że mówienie o bezpieczeństwie nie jest łatwe, bo jest tyle odcieni szarości. Mówisz, że Windows jest jednym z najbezpieczniejszych systemów, ale w praktyce mówi się o nim dokładnie odwrotnie. Można sądzić, że nie ma niebezpieczeństwa jeżeli samemu nigdy nie było się zainfekowanym, albo po prostu nie wiemy, że jesteśmy zainfekowani. Nie ma twardego punktu odniesienia. Ciężko to jakoś jednoznacznie ocenić stopień zagrożenia.

Mikko: Zgoda. Dodatkowo wszystko bardzo szybko się zmienia. Użytkownicy Maków byli bezpieczni przez lata. Nawet jeżeli były luki bezpieczeństwa, nikt ich nie wykorzystywał. Nagle, w ostatnią wiosnę prawie 10% Maków na całym świecie zostało zainfekowanych. Skala infekcji była większa niż w przypadku wielu infekcji na Windows. Wszystko zmieniło się z dnia na dzień. A potem zmieniło się ponownie. To jeden z powodów dla których moja praca jest dla mnie tak ekscytująca. Wszystko ciągle się zmienia.

JR: Dziękuję za rozmowę. Cieszę się, że mogłem ją przeprowadzić.

Mikko: Również dziękuję.

Wywiad przeprowadziłem podczas konferencji Biznes to rozmowy, dziękuję Panu Karolowi Wieczorkowi z Netii za pomoc w zorganizowaniu wywiadu.