Jak lovci virů stopují svou kořist?

2. 9. 2003

Vysledovat epicentrum nákazy se expertům podaří jen vzácně

Mikko Hypponen a jeho skupina finských lovců počítačových virů si jsou vědomi, že na divokém webovém západě bojují bez velkých nadějí na úspěch. Ke dnešnímu dni bylo polapeno pouhých deset tvůrců virů vážně poškozujících počítač, přičemž takto zákeřných virů je zhruba na dvě stě. Dokonce i vyšetřování tak známých škůdců, jako jsou Blaster, Welchia a SoBig, které se objevily v posledních týdnech, málokdy končí úspěchem. “Vysledovat vznik viru se podaří jen vzácně,” stěžuje si Vincent Gullotto, viceprezident pro antivirový výzkum u softwarové firmy Network Associates. „A ještě vzácnější je, když policie chytí pachatele.“ Omluvte proto rozrušení pana Hypponena, který je šéfem antivirového výzkumu v helsinské softwarové firmě F-Secure – jeho týmu se totiž podařilo rozluštit tajemství viru SoBig dříve, než stihl zcela splnit své poslání. Díky F-Secure, která zaměstnává tři sta lidí a je považována za specialistu na nejtvrdší oříšky ze světa počítačů, stihli odborníci a vyšetřovatelé v několika zemích vypnout počítačové sítě napadené tímto virem o pár minut dříve, než SoBig 22. srpna zahájil další fázi útoku. „Šlo doslova o vteřiny”, potvrzuje Hypponen. „A autoři virů si příště dají záležet, aby bylo ještě hůř!“
Dobro tentokrát zvítězilo, byť jen částečně. Nestává se to však často. První linii obrany v zuřivé válce proti virům tvoří hrstka asi pěti set lovců po celém světě. Mají přetěžký úkol: uhlídat přes deset tisíc tvůrců virů ve všech koutech planety. A aby ta přesila nebyla málo, autoři virů používají čím dál vyspělejší šifrování. „Nevím, kdo SoBig vytvořil, ale každopádně za sebou velmi dobře zametl všechny stopy,“ prohlašuje ředitel konzultační firmy BearingPoint a bývalý vyšetřovatel FBI J. Michael Gibbons.
Po pachateli dnes pátrá pestrá směsice počítačových expertů z různých firem, vědců a policistů. A protože jim přímo nevelí žádný státní orgán, pracují jako lovci lumpů za vypsanou odměnu v oboru, kde software a poradenství firmám typu Symantec a Network Associates ročně vydělává přes dvě miliardy dolarů. Detektivové jsou různí – od zázračného dítěte z Moosejaw v kanadské provincii Saskatchewan, které rovnou ze střední školy nastoupilo k Network Associates, až po padesátiletého Petera Tippetta s tituly M.D. a PhD, šéfa technologií v konzultační firmě TruSecure sídlící ve virginském Herndonu.
Koordinátorem protiútoku jsou americké federální úřady. Ministerstvo pro národní bezpečnost založilo předminulý měsíc oddělení pro národní kybernetickou bezpečnost (National Cyber Security Division). Jeho šedesát zaměstnanců, pocházejících z různých federálních struktur zaměřených na počítačově bezpečnostní otázky, má na starosti zasílání varovných e-mailů. Jednu vlnu rozeslali také 14. července, kdy udeřil virus Blaster. „Naším cílem je… zajišťovat kybernetickou i fyzickou bezpečnost,“ vysvětluje náměstek ministra pro národní bezpečnost Robert L. Liscouski.
Jak lovci virů stopují svou vysoce plachou kořist? Používají kombinaci odborných počítačových znalostí a staromódních detektivních metod. Nejprve musí vědci izolovat a rozlousknout kód viru. Tak mohou vyvinout „antivirus“ a často se leccos dozvědí o autorovi. Za druhé hledají informace na internetových fórech, jež autoři virů často navštěvují. Pokud odborníci některého výrobce antivirových programů vyřeší problém s virem, zvýší tím svou prestiž a často i odbyt svého produktu. A vyšší renomé může pro malé firmy typu F-Secure znamenat i tučné poradenské kontrakty s velkými klienty jako jsou banky. Pro lovce virů – a ostatně i pro jejich tvůrce – je ovšem největší odměnou vědomí, že převezli „ty druhé“.
I když strážci zákona uspějí, mnohdy mají smůlu – stopa vede do zahraničí. Před čtyřmi lety se FBI podařilo vystopovat virus známý jako LoveLetter ke studentovi jedné střední školy v Manile. Protože však na Filipínách neexistují zákony, které by jeho počínání zakazovaly, pachatel nebyl nikdy stíhán.
Neznamená to, že by tvůrce virů nebylo možné chytit. Virus Melissa napáchal v březnu 1999 neméně škod než dnes SoBig. Jeho autor se ale rád chlubil. Lovci virů z TruSecure pročesali kvanta zpráv na serverech diskusí on-line (chat) a přišli na jakéhosi tvůrce virů s krycím jménem VicodinES, který o sobě tvrdil, že napsal Melissu. Měl také ve zvyku zmínit se na závěr zprávy o svých domácích kočkách. O stejných kočkách ale opakovaně hovořil muž s údajným jménem Doug Winterspoon v jiném chatu. „Prošli jsme si informace o provozu na chatových serverech a odvodili si, přes jakého poskytovatele se připojoval k internetu, jaký používal internetový prohlížeč a poštovní program, a dokonce jaké navštěvoval bary,“ vzpomíná doktor Tippett z TruSecure.
Z Douga Winterspoona se nakonec vyklubal David L. Smith. FBI jej vypátrala na základě informací od TruSecure a internetového účtu v New Jersey. A Melissa? Jak se ukázalo, byla to Smithova oblíbená striptérka. O osm měsíců později byl Smith shledán vinným za škody na počítačích ve výši 80 milionů dolarů a odsouzen ke dvaceti měsícům vězení. Po tomto případu se podle odborníků chytřejší autoři virů stáhli do ústraní a chatům se vyhýbají. Lovci virů mohou jen doufat, že s rostoucím účtem za škody způsobené virem SoBig nabobtná i ego jeho autora.

TRIKY PROFESIONÁLNÍCH PÁTRAČŮ Detektivní práce na internetu a výkonné policejní vyšetřování jsou hlavními zbraněmi proti „virotvůrcům“

NASTRAŽENÉ UŠI
Experti monitorují on-line diskuse autorů virů a hackerů, kde se tito lidé rádi chlubí svými úspěchy
VÝMĚNA INFORMACÍ
Odborníci na viry po celém světě úzce spolupracují a porovnávají zjištěné údaje s databázemi, jež obsahují data o více než šedesáti tisících virech
POMOCI JIM MLUVIT
Stejně jako mafiánům, i polapeným tvůrcům virů policie nabízí nižší trest, pokud ji budou informovat o svých komplicích