Kust saate infot uute viiruste kohta?

Meie labor töötab 24 tundi ööpäevas. Infot viiruste kohta saadakse nn meepottidest (honeypots), kohtadest internetis, kus häkkerid armastavad demonstreerida oma „uusi tooteid”, kasutajate ja IT-spetsialistide ja teiste saadetud infost. Toimub ka infovahetus teiste antiviirusfirmadega.

Meie labor uuendab viiruste andmebaase kõige tihedamini – kord tunnis. Sellega tegelevad töötajad, keda ma nimetan „rähnideks”, sest tegu on pideva ja suhteliselt monotoonse tööga.

Kui kaua võtab viirusele tõrjesüsteemi leidmine aega?

Viiruse identifitseerimine ja vastumürgi väljatöötamine võtab tavaliselt vaid 5-10 minutit. Vahel võtab uuele viirusele nime väljamõtlemine kauem aega, kui tõrjelahenduse leidmine.

Kauem võtab vastumürgi testimine labori arvutipargis erinevate opsüsteemide all, et see ei põhjustaks näiteks arvuti kinnijooksmist.

Sellist olukorda, et viiruse vastu ei leita tõrjemoodust, pole kunagi juhtunud. Seda ei saagi juhtuda, alati on võimalik leida algoritm, mis teise algoritmi leiab.

Milliseid viirusetõrjeprogramme peate parimateks?

Jagan viirusetõrjeprogrammid laias laastus kolmeks. Kui te vaatate profiteste, mitte suvalisi teste, siis kõige rohkem esineb tipus kaks programmi – meie ja McAfee. Teised on peajagu madalamad. Peame end parimateks, eriti just viiruste otsimismootori poolest, ning samas kategoorias on vaid McAfee.

Teises grupis on näiteks Norton ja Sophos, F-Secure, seal lõpus ka Panda. Kolmandas on näiteks AVG ja ülejäänud. Need püüavad vaid tõesti ülemaailmset epideemiat, kuid ei püüa paljusid teisi.

Kas terroristid võivad üle võtta teie labori ja sealt uuenduspaketiga viiruse kõigile teie kümnetele miljonitele kasutajatele laiali saata?

Muidugi võivad terroristid üle võtta ka meie labori, kuid uuenduspaketiga kahjurprogrammi saata ei saa. Laialisaatmist korraldab automaatika, mis seda ei võimalda. Selle ümberseadistamiseks on eraldi inimene, kes ei ole kontoris. Muidugi on võimalik ta üles leida, kaasa võtta ja relva ähvardusele ümberseadistama sundida. Kõik on võimalik.

Kuidas võitlete piraatidega?

Me ei võitle aktiivselt piraatidega, kes meie programmi varastavad. Antiviirus pole toode, vaid teenus, seda aga varastada ei saa.

Kas te ei karda konkurentsi Microsoftilt, kes ostis hiljuti ühe antiviirusfirma?

Microsoft ei ole antiviirusfirma, konkurentsi sealtpoolt ma ei karda. Las ostavad kasvõi kõik antiviirusfirmad. Antiviirus jääb neil ikka 15. või 115. järgu küsimuseks. Mis siis, kui Microsoft teeb oma antiviiruse tasuta kättesaadavaks. Võrdleme autoga - kui sisseehitatud signalisatsioon ei tööta, võtate selle maha ja ostate uue.

Meie end neile müüa ei kavatse.

Kas Linux on turvaline?

Linux on Windowsist isegi ohtlikum, sest see on avatud koodiga, mida kirjutavad erinevad programmeerijad vabatahtlikult. Koodi sisse pahatahtlik skript või turvaauk peita pole mingi probleem. Operatsioonisüsteemid on nii keerulised, et sealt midagi tahtlikult peidetut üles leida on väga raske. Linuxile kirjutatud viiruste arv kasvab praegu hüppeliselt.

Kas antiviiruste tootjate ja häkkerite vahel käib sõda?

Sõda antiviiruste tootjate ja häkkerite vahel on täiesti olemas. On olemas viiruseid, mis katsuvad viirusetõrjeprogramme arvutist eemaldada. Tegu on võidurelvastumisega – niipea, kui häkker teeb viiruse, teeme meie vastumürgi, niipea kui see on olemas, teeb häkker uue viiruse või parandab eelmist, et meie programm seda ei leiaks.

Kas on võimalik ennetav viirusetõrje, et ei peaks iga viiruse puhul viirusetõrje andmebaasi täiendama?

Ennetavat viirusetõrjet pole mõtetki teha. Kunagi oli nii, et IBM tegi Symantecile ennetava viirusetõrje. Ent arvutimaailmas muutub kõik nii kiiresti, et sellise tohutu mahuga töö ei tasu end ära. IBMi tõrjuja püüdis edukalt DOSi viiruseid. Kui palju DOSi viiruseid te tänapäeval näete? Need on ammu kadunud ja IBMi mitme aasta pingeline töö oli asjatu. Sellise tõrjesüsteemi väljatöötamine võtab nii palju aega, et ajaks, kui ta valmis saab, on valdavad hoopis teist tüüpi viirused.

Kas antiviirusfirmad kirjutavad ise viiruseid, et turgu kasvatada?

See on täiesti mõttetu küsimus. Millega tegelevad eriolukordade ministeeriumid teie arvates – loodusõnnetuste tekitamisega või? Või millega tegelevad suguhaiguste arstid?

Usun, et peale kõige muu on meie eriala inimestel olemas eetika. Me ei hakka kunagi viiruseid kirjutama.

Ja isegi kui tahaksime, pole meil selleks aega. Me näeme niikuinii 24 tundi ööpäevas vaeva, et viirustega võidelda.

Millised on kõige hullemad viirused teie praktikas?

Tooksin välja sellise kolmiku nagu Lovesan, Mydoom.A ja Sasser. Lovesan oli üks esimesi, mis levis hetkega üle maailma. Mydoom.A oli nagu vesinikupomm, firmad lülitasid oma meilisüsteemid lihtsalt välja. Sasseriga hävisid serverid. Skandinaavias pidi üks pank oma tegevuse katkestama, Austraalias seiskus rongiliiklus, kuna seda ei saanud enam juhtida. Kanadas jäi ühe lennufirma tegevus seisma.

Ja siis Tšernobõli viirus - paljud sellega nakatunud sülearvutid tuli lihtsalt ära visata.

Terroristid pöörduvad interneti poole

Internet pakub Kasperkski sõnul kurjategijatele avaraid võimalusi, mida on lihte kasutada. „Mis juhtuks Eestiga, kui terroristid paneks korraga 10 miljonit trooja hobuse kahjurprogrammiga nakatatud arvutit valima pidevalt juhuslikke Eesti telefoninumbreid? Teie võrk läheks umbe, teie riik jääks seisma,” ütles Kasperski.

Häkkerid pole Kasperski sõnul enam poisikesed, kes oma võimeid katsetavad, vaid professionaalsed kurjategijad. „10 aastat tagasi tegid ilma noorukid. Nüüd on 90% internetiussidest ja trooja hobustest tehtud raha teenimise eesmärgil ning nende treimisega ei tegele vinnilised noorukid, vaid tõsised kurjategijad,” ütles Kasperski.

Internetihuligaane on tema hinnangul vaid kuni 10%, kurjategijaid 90%.

10 aasta pärast pole Kasperski ennustuse kohaselt tegemist enam üksikute kurjategijate jõukudega, vaid ühinenud maffiastruktuuridega ning terroristlike organisatsioonidega.

Ta tõi näiteks statistika - hiljaaegu peeti Saraatovis kinni rohkem kui 10st inimesest koosnev internetikurjategijate grupeering, kes pressisid netirünnakute ähvardades briti firmadelt raha välja. Oktoobri lõpus arreteeriti 30 brasiillasest koosnev grupeering, kes olid teeninud spämmi saatmisega vähemalt 30 miljonit dollarit aastas. Ka soovimatud e-kirjad ehk spämm on paljudes riikides seadusega keelatud.

„Minu andmetel sponsoreerib bin Laden Pakistani IT-kolledžit. Kardan, et terroristid pöörduvad infotehnoloogia poole,” märkis Kasperski.

Mullu augustis USA ja Kanada idaranniku piirkonnas kümneid miljoneid inimesi puudutanud elektrikatkestuste põhjuseks peab ta viiruseid. „Nende riikide valitsused ei tunnista seda kunagi, aga pean seda ülimalt tõenäoliseks,” nentis Kasperski.

End selliste rünnakute vastu kaitsta on internetiviiruste tippspetsialist hinnangul ülimalt keeruline. Ent tihti on asi ka lihtsalt inimliku rumaluse taga.

Eelmisel aastal nakatus tema andmeil viirusega Iisraeli maa-õhk tüüpi raketi kontrollsüsteem. „Iisraeli valitsus tellis selle juhtimise programmi firmalt, kes kasutas alltöövõtu korras teist firmat, selle programmeerijad olid aga eri riikides laiali. Nagu hiljem selgus, oli üks neist Egiptusest ja kodeeris viiruse sisse,” märkis Kasperski.

Viirustest tulenev oht kasvab tulevikus üha suuremaks. Juba tehakse viiruseid „nutikatele” mobiiltelefonidele ja pihuarvutitele, ent internetti ühendatakse ju ka külmkappe ja tolmuimejaid . „Tulevikus võib olla teeb keegi viiruse, et tolmuimeja hakkab külmkappi puhastama,” muigas Kasperkski.

Seda, et netikurjategijad tulevad antiviiruste firmadele kallale, Kasperski ei usu. „Bandiidid võitlevad tavaliselt politseiga. Ka neile on ju kuuliveste vaja,” ütles ta.

Pahaaimamatud kasutajat varitsevad Trooja hobused

Internet reostub üha rohkem - spämm-kirjad moodustavad Kasperski hinnangul juba vähemalt 90% kogu netis liikuvast kirjavahetusest. Spämmisaatjad ja häkkerid teevad omavahel koostööd - häkkerid nakatavad arvuti trooja hobuse tüüpi programmiga ja müüvad selle „kasutusõiguse” spämmisaatjatele. „Nägin ise internetis oksjonit, kus müüdi 5000 nakatatud arvutist koosnevat võrku ning teisigi, see oli nagu tavaline netioksjon,” kinnitas ta.

Trooja hobuse tüüpi programmiga nakatatud arvuteid saab kasutada teiste internetisaitide pommitamiseks nende mahavõtmise eesmärgil, kasutaja surfamisharjumuste ja eelistuste uurimiseks suunatud reklaami saatmiseks, iga klaviatuurivajutuste fikseerimiseks ja pangaparoolide varguseks. Programmi abil saab spämmija näidata kasutajale tema enda arvutis täpselt seda, mida ise tahab. Kui teil on netilehitseja kinni, kuid ekraanile hüppavad ei-tea-kust tulnud aknad mingi reklaamiga, on teil arvutis tõenäoliselt trooja hobuse kahjurprogramm.

Trooja hobuse võib arvutisse saada üsna kerge vaevaga, sest maailma kasutatavaim internetilehitseja Internet Explorer on Kasperski hinnangul auklik nagu Šveitsi juust. Spetsialist soovitab kasutada teisi lehitsejaid, sest internetis veidi otsides võib leida saite, kus kirjeldatakse veel ametlikult välja kuulutamata turvaaukude tööpõhimõtteid. Kuni Microsoft jõuab augu ära lappida, jõuavad häkkerid ammuilma seda ära kasutama hakata. Nii võib pahavara endale arvutisse saada ka lihtsalt netis surfates ja valele lingile vajutades. Näiteks arvab kasutaja, et laadib endale alla screensaveri, tegelikult saab aga trooja hobuse.

Internet ja opsüsteemid on ebaturvalised

Kasperski rõhutas, et tõhusaks arvuti kaitseks on vaja lisaks viirusprogrammile ka tulemüüri, spämmifiltrit ja nuhkvaratõrjujat. Kõike seda pakuvad või valmistuvad pakkuma kõik suuremad viirusetõrjeprogramme valmistavad firmad.

Netikuritegevust võimaldab tema hinnangul opsüsteemide arhitektuur, nii Windows kui Linux baseeruvad Unixil, see aga polnud arvestatud turvalisust tagama. Linuxi viiruste arv kasvab tema sõnul üha kiiremini sõltuvalt sellest, kuidas kasvab Linuxi kasutajate arv.

Samuti on internet juba loomisest saati ebaturvaline, sest see tehti sõjaväe ja teadlaste ringi sisekasutuseks, välisohu võimalusega polnud arvestatud.

Ainsaks lahenduseks peab ta anonüümse interneti ärakaotamist.

„Kujutage ette, et ühel päeval poleks autoga sõitmiseks juhilube vaja, autodel puuduks registreerimistunnistused ja numbrimärgid, ning liiklusmärke ei oleks. Mis meil siis oleks?” küsis Kasperski. Ning vastas ise: „Internet.”

Praegu saavad häkkerid internetis suhteliselt vabalt tegutseda oma äranägemise järgi, jäädes seejuures peaaegu tabamatuks ja anonüümseks. Iga kasutaja ja arvuti identifitseerimist peab Kasperski kaose ja terrorismiohu vastases võitluses hädavajalikuks ning loodab, et praegu välja töötatavas interneti järgmises põlvkonnas see lahendatakse.

„Anonüümses internetist kaob, muidu tuleb bardakk,” hoiatas Kasperski.

Kasperski tõusis omaette nokitsejast maailma tippu

• 1989. aastal leidis Jevgeni Kasperski uue viiruse nimega Kaskad, mille vastu tollased viirusetõrjujad rohtu ei pakkunud. Kasperski arvas, et on põnev leida ise viirusele vastumürk ning saigi sellega hakkama. Siit saigi alguse Kasperski viirusetõrjeprogramm.

• 1994. aastal osales Kasperski Antivirus esmakordselt rahvusvahelises viirusetõrjeprogrammide testis ning võitis kõigile suurfirmadele üllatuseks esikoha.

• 1998. aastal oli firma reorganiseeritud tänapäevasele kujule ning murdis rahvusvahelisele turule. 1999. aastal avati kontor Suurbritannias.

• 2002. aastal lisas Kasperski tootevalikule viirusetõrjujale ka tulemüüri ja spämmitõrjeprogrammi.

• 2004. aastal töötab firmas 350 inimest, neist 100 on programmeerijad. Firma turuosa Venemaal on 60-80% ning see kuulub ka maailma 10 suurima viirusetõrjeprogramme loova firma hulka.

• Firmal on kontorid seitsmes riigis ja partnerid rohkem kui 50 riigis. Klientide hulka kuuluvad näiteks BBC, Airbus, France Telecom, Itaalia välisministeerium jpt.

• Firma kuulub neljale eraisikule, neist üks on Kasperski ise. Firma ei avalikusta ei oma käivet ega kasumit. Selle aasta käibekasv oli Kasperski kinnitusel 60-70%.

Netirünnakute tüübid: E-räkit, finantspettused ja spämm

Jevgeni Kasperski sõnul on internetikuritegevus jagatav kolme peamisesse kategooriasse: e-räkit, finantspettused ja spämm.

Elektrooniline räkit

E-räkiti puhul valivad kurjategijad välja firma, kelle töö sõltub olulisel määral interneti toimimisest, näiteks internetipoe. Firma veebisaidi vastu, kus on e-poe keskkond, korraldatakse ddos-rünnak, mis tähendab, et seda pommitatakse mingi aja jooksul tuhandetest trooja hobusega nakatatud arvutitest infomüraga. Sait ei pea sellele vastu ja „kukub maha”. Seejärel saab firma juhtkond kirja, et kui nad ei soovi millegi taolise kordumist, tuleb kindlale arvele kanda teatud summa raha. Kui eelmisel aastal toimus vaid üksikuid selliseid rünnakuid, siis nüüd toimuvad nad Kasperski sõnul kogu aeg. Neist vaid üksikud jõuavad avalikkuse ette, sest firmad varjavad seda oma reputatsiooni säilitamise huvides.

Finantspettused

Finantspettuse puhul manatakse pahaaimamatu kasutaja brauserisse mõne internetipanga keskkond, mis sarnaneb üks-ühele originaalile. Kasutaja satub sinna näiteks mõnele lingile vajutades.

Kui kasutaja sisestab oma kasutajanime ja paroolid, saavad kurjategijad sellest teada ja kasutavad neid juba tõelises netipangas tühjendamaks ohvri arvet. Teise variandina saadetakse kasutajale „panga poolt” e-kiri, kus teatakse, et mingil põhjusel, näiteks uuendamise tõttu, on vajalik, et kasutaja sisestaks uuesti oma kasutajanime ja parooli. Lihtsameelseid, kes triki õnge lähevad, polegi nii vähe. Võimalik on ka trooja hobuse tüüpi programmi paigaldamine näiteks Interneti Exploreri turvaaukude kaudu kasutaja arvutisse ja kõige klaviatuuril kirjutatava saatmine häkkeritele.

Spämm

Spämmi puhul püütakse kasutaja midagi ostma sundida ning saadetakse talle e-kirju, mida ta tegelikult ei soovi. Selleks püüavad spämmerid nakatada internetikasutajate arvuteid trooja hobuse tüüpi programmiga, mis saadavad neile infot selle kohta, mis saitidel kasutaja käib. Selle järgi määratakse kasutaja eelistused, mistõttu on võimalik suunatud reklaami saatmine.

Spämm-kirju soovitab spetsialist mitte avada, vaid koheselt kustutada. „Kui kirja all on link, et vajutage siia, kui te selliseid e-kirju enam saada ei taha, ärge vajutage sinna. See annab spämmerile vaid signaali, et teie e-postiaadress on aktiivne ning te hakkate veel rohkem spämmi saama,” ütles Kasperski.