200302724 - Taloussanomat - Ilta-Sanomat

VirusmiesHyppönenaina valmiina

Julkaistu: 7.11.2003 13:47

Ulkomaisen median ylistyksen mukaan Mikko Hyppönen on pelastanut maailman jo pariin kertaan. Virustorjuja suhtautuu rooliinsa ironisesti. Verkottunutmaailma on hänen mukaansa yhä vaarojen karikko.

F-Securen virustentuhoajia johtava Mikko Hyppönen, 33, aloitti tietokonemiehen uransa jo koulussa. Hänen ensimmäinen tietokoneensa oli legendaarinen Commodore 64. Siinä oli yhden megahertzin prosessori, jolla hän ohjelmoi pelejä ja myi niitä kavereilleen.

– Minulla on Commodoreni vieläkin tallessa. Loistava vekotin, hän sanoo.

Poninhäntää pitävä ja epämuodollisesti pukeutunut Hyppönen on olemusta myöten tietokoneguru, eikä häntä voi erehtyä pitämään esimerkiksi myyntimiehenä. Hyppösellä on varaa poninhäntäänsä, sillä hän on kohonnut maailman virustorjujien huippuporukkaan.

Internetin terveydestä vastaa noin sadan huippuammattilaisen joukko. Useimmat ovat tunteneet toisensa jo vuosia pelkällä etunimellä. Kun Blaster, SoBig tai Slammer riehuu verkossa, he ovat minuutti minuutilta yhteydessä toisiinsa ja jakavat teknistä tietoa toisilleen sähköposteilla.

Normaalioloissa heidän työnantajansa, kuten Symantec, McAfee, Networks Associates ja Trend Micro sekä F-Secure, käyvät keskenään ankaraa kilpailua viruksentorjuntaohjelmilla ja muilla tietoturvatuotteilla.

– Kaupallisella puolella on eri säännöt kuin meillä, Hyppönen sanoo.

Myyntiväki väistyy, kun virustaistelu alkaa.

Virusten torjujat perustivat jo vuonna 1990 oman organisaationsa, jonka lyhenne on CARO (Computer Antivirus Research Organization). Hyppönen on saanut joukosta henkilökohtaisia ystäviäkin.

– Meillä on aika paljon kokouksia ja tapaamisia eri kokoisilla porukoilla. Järjestämme myös tiukasti suljettuja painajaissessioita, joissa mietitään erilaisia kauhuskenaarioita ja kuinka niiden toteutuessa on toimittava, Hyppönen kertoo.

Hän tunnustaa, että tällaisten kokousten jälkeen maailma tuntuu entistäkin epävarmemmalta paikalta.

– Uudet virukset eivät tule täytenä yllätyksenä, koska niiden kaltaisia osataan odottaa rajan toiselta puolelta, jossa hakkerit pitävät samanlaisia istuntoja, kertoo Hyppönen.

Onko maailma oikeasti haavoittuva?

– On. Koko internetin pystyy kyllä kaatamaan, eikä se ole edes vaikeaa.

Hyppönen uskoo, että alkusyksyn New Yorkin suurta sähkökatkosta ei olisi tullut, ellei W32.Blaster-matovirus olisi riehunut samalla hetkellä voimakkaimmillaan amerikkalaisissa tietokoneissa. Varsinainen alkusyy oli inhimillisestä virheestä aiheutunut Niagara Mohawk -voimaverkon kaatuminen.

Voimalaitosten prosesseja valvovissa tietokoneissa on omat ohjelmansa eivätkä ne saastuneet, mutta Blaster pääsi voimalaitosten välistä yhteyttä ylläpitävään suljettuun verkkoon. Muutaman saastuneen koneen aiheuttama verkkokuorma tukki sensoriliikenteen, vaikka sensorikoneet itse eivät virusta saanetkaan.

– Todennäköisesti joku toi Blasterin kannettavassa koneessa kotoaan ja pani koneen kiinni sisäiseen verkkoon. Muuta ei tarvittukaan.

Asia kiinnosti Hyppöstä niin paljon, että hän imuroi USA:n hallituksen tutkijaryhmän raporteista muun muassa 600-sivuisen puhelinlokin ja luki sen eräänä viikonloppuna.

– Samaan aikaan, kun Blaster nousi verkossa, voimaloiden valvojat soittelivat toisilleen ja ihmettelivät, mikä tietokoneverkkoa vaivaa. Koneet hidastuivat, eikä sensoreista tullut tarvittavaa tietoa, vaan verkkoon syötettiin liikaa virtaa. Sitten joku sanoi, että nyt näyttäisi siltä, että New York meni pimeäksi.

– Langan toisessa päässä toinen kysyi epäuskoisesti, että tarkoittaako hän sitä New Yorkia, menikö juuri se… se New York pimeäksi?

Osa virustehtailijoista on vain ajattelemattomia, toiset haluavat aidosti aiheuttaa niin paljon tuhoa ja kaaosta kuin mahdollista. Myös poliittisia motiiveja ja rahanhimoa löytyy.

Hyppönen näyttää koneeltaan esimerkin: venäläinen hakkeriporukka sai Lontoossa olevan yrityksen asiakastiedot murtautumalla yhtiön tietokoneisiin. Hakkerit uhkasivat toimittaa asiakastiedot kilpailijoille. He kertoivat tehneensä yritykseen "ei-auktorisoidun auditoinnin" ja kysyivät, mitä firma maksaisi tästä palvelusta.

Usein firmoissa palomuurien ja turvapäivitysten päivitykset ovat unohtuneet. Hakkerit yrittävät päästä juuri yrityksien sisälle, koska sieltä löytyy runsaasti sähköpostiosoitteita ja muuta haluttua tavaraa. Kotikäyttäjän kone ei ole yhtä mielenkiintoinen.

Vaikka tietoturvan kannalta firman asiat olisivat mallikelpoisesti, uusi virus voi silti tulla läpi, koska palomuuriin on pakko jättää reikiä normaaleille käyttöyhteyksille. Ellei niitä olisi, yritys ei voisi olla internetissä.

F-Securen yhdeksän hengen virustiimissä on viisi eri kansallisuutta ja vain yksi nainen, bulgarialaissyntyinen Katrin Tocheva.

– Naiset ovat todella harvinaisia sekä virustorjunta-alalla että viruskirjoittajina – tai sitten he ovat niin taitavia, että heitä ei saada kiinni, Hyppönen sanoo.

Katrin Tochevan nimi on ollut kansainvälisessä lehdistössä esillä siksi, että SoBig virus tarttui ensimmäisenä juuri hänen "honeypot"- viruspyydyskoneeseensa. Pääasiassa virukset tulevat kuitenkin asiakkaiden lähettämistä näytteistä.

Virushälytyksen tullessa on kiire. Jos on yö, ei virusmiehellä ole aikaa mennä raapimaan jäätä auton laseista. Hyppösen ryhmän jäsenillä on kotonaan tarvittavat laitteet. He pääsevät käsiksi virukseen heti, kun ovat saaneet aamutakin päälleen.

Virusten leviämisnopeus on kasvanut. Hyppönen kertoo esimerkin Slammer-viruksesta, joka löydettiin tammikuussa. Jokainen Slammerin saastuttama kone lähetti muille koneille 30 000 viruspakettia sekunnissa ja jokainen saastunut kone alkoi lähettää viruksia eteenpäin. Leviämisestä syntyi puurakenne, jossa jokainen oksa haarautui yhä uusiin uskomattoman nopeasti.

– Siinä ei ehdi kissaa sanoa.

Slammer kävi kaikki internetin ip-osoitteet läpi 13 minuutissa ja tarttui sellaisiin Windows-koneisiin, joiden internet-yhteys oli auki ilman palomuuria. Ip-osoitteita on teoriassa 4,2 miljardia, mutta vain osa niistä on käytössä.

Pahiten Slammer iski Etelä-Koreassa ja Sloveniassa. Yhdysvaltain Seattlessa se häiritsi esimerkiksi lennonjohtojärjestelmiä.

Hyppösen mukaan Slammer oli erittäin pieni: vain 376 tavun mittainen. Tietokoneen ruudulle aukaistuna siinä on vajaa ruudullinen ohjelmointimerkkejä.

Hyppönen kertoo amerikkalaisesta kollegastaan, joka alkoi vastailla roskaposteihin katsoakseen, mitä tapahtuu. Ennen pitkää hän sai kunniallisilta pankeilta soittoja, joissa tarjottiin lainaa. Pankit kertoivat ostaneensa tiedot "lead generatoreilta" eli vihjepalveluilta. Ne ovat yrityksiä, jotka myyvät vihjeitä esimerkiksi pankeille, lentoyhtiöille ja vakuutusfirmoille henkilöistä, jotka olisivat sopivia myyntikohteita.

Vihjepalvelujen avulla roskapostien lähettäjät yrittävät kohdistaa postiryöppyjä oikeaan suuntaan. Roskapostit eivät tule suoraan miltään koneelta, vaan lähetysketjuissa on välissä proxy-välityspalvelimia. Näin on vaikea ellei mahdotonta saada selville, missä sylttytehdas sijaitsee.

SoBig-viruksen tehtävänä oli koota mahdollisimman paljon sähköpostiosoitteita. Sen tarkoitus ei ollut vahingoittaa internetiä eikä sen käyttäjiä, koska roskapostittajat elävät niistä.

SoBigin kaltainen virus asettuu tavallisen käyttäjän kotikoneeseen huomaamattomasti ja tekee siitä roskapostia lähettävän serverin.

Kun virus saa kaapatuksi kymmeniätuhansia tietokoneita haltuunsa, ne pystyvät lähettämään miljoonia ja taas miljoonia sähköposteja päivässä, eikä se maksa mitään. Tätä tapahtuu, koska aina joku tarttuu pyydykseen.

– SoBigin tekijöillä oli tehokas motiivi – raha, Hyppönen sanoo.

SoBig oli ehkä ensimmäinen, jolla on voitu tehdä suuret rahat. Hyppönen uskoo, että tällaisia viruksia on tulossa lisää.

Hyppönen tuli F-Secureen eli silloiseen Data Fellowsiin ohjelmoijaksi 22-vuotiaana vuonna 1991. Virusmieheksi hän joutui tavallaan sattumalta.

Ensimmäinen virusnäyte – nimeltään Omega – tuli vuoden kuluttua. Siihen aikaan virukset olivat vielä harvinaisia. Virus oli suuri tapaus.

Firmassa mietittiin, että kukas tämän nyt tutkii ja päädyttiin Commodore-Hyppöseen.

– Siitä tuli suuri voitontunne, kun sain viruksen purettua, hän kertoo.

Sama työnilo jatkuu.

– En ole viettänyt yhtään tylsää päivää töissä.

Tuoreimmat osastosta