INTERVIU – Partea a II-a – Costin Raiu, omul care se luptă cu viruşii: „Nu există şcoli bune care să te facă expert pe securitate. Majoritatea nici n-a terminat o facultate“
0
“Adevărul” prezintă partea a doua a interviului cu Costin Raiu, Director de Analiză şi Cercetare în cadrul Kaspersky. Raiu povesteşte despre începuturile careierei sale şi despre primul antivirus programat de el. Expertul în securitate dezbate şi problema copiilor care devin hackeri.
Vorbiţi-mi despre începuturile carierei dumneavoastră.
Cariera mea a început prin anul 1994. Eram la liceu şi reţeaua noastră fusese infectată cu un virus care se chema “Bad Sectors 3428” şi care nu era văzut de niciun antivirus din străinătate la vremea aia. Erau antiviruşi foarte populari, ca ThunderByte, care nu mai există acum, McAfee, F-Prot, dar aceştia nu vedeau virusul. Infecţia era atât de mare încât începuse să se extindă şi la elevi.
Pe vremea aceea aveam un calculator şi mă descurcam destul de bine la capitolul assembler, dar nu făcusem antiviruşi. Mi-a venit ideea să iau virusul respectiv, să-l analizez şi să scriu un antivirus micuţ ca să curăţ reţeaua licelui. Aşa am făcut primul meu antivirus, care se chema MScan.
Am lucrat toată noaptea ca să vin cu o soluţie. După aceea au început să vină la mine din ce în ce mai mulţi oameni care îmi ziceau că au viruşi care nu puteau fi descoperiţi. Apoi, după ce am făcut vreo 20-30 de antiviruşi am avut ideea de a face un singur program care să-I include pe toţi.
Cum arătau viruşii de acum 10-15 ani comparativ cu cei din prezent?
Un exemplu foarte bun este virusul “Bad Sectors 3428”, pe care l-am analizat într-o noapte. Dacă printai sursa unui virus din 1994, aceasta încăpea pe 2-3 pagini. Putea fi analizat într-un timp decent. Pe măsură ce am analizat mai mulţi viruşi mi-a crescut şi viteza. În loc de o noapte îmi lua o oră, apoi 15 minute, apoi 5 minute.
În zilele noastre s-a schimbat enorm situaţia. Este foarte dificil ca un om să poată analiza singur un virus din 2012-2013. E nevoie de o echipă de oameni. Dacă ar fi să printăm sursa unui astfel de virus ar fi nevoie de câteva sute de mii de pagini. Complexitatea a crescut enorm, la fel şi numărul viruşilor. Dacă în 1996 apărea câte un virus nou pe săptămână sau pe lună, în ziua de azi avem 200.000 de viruşi noi pe zi.
Cât îi ia unui hacker să programeze un virus?
Pe vremuri se folosea foarte mult Assembler-ul, acum se foloseşte foarte mult C, Delphi, limbaje mai avansate. Două-trei linii de sursă C se compilează în 300 de pagini de Assembler. În medie, aş zice că programarea unui virus durează câteva săptămâni sau o lună.
Ce calităţi trebuie să aibă un specialist în securitate, faţă de un programator obişnuit?
E important să ai un fel de atitudine inchizitivă, să-ţi doreşti să înţelegi ce se întâmplă şi să ai răbdarea să despici firul în patru, atenţie la detalii şi calităţi tehnice – să ştii Assembler şi Reverse Engineering.
Din păcate nu sunt şcoli bune care să te înveţe astfel de lucruri, deci majoritatea experţilor în securitate nici nu au terminat o facultate sau dacă au terminat o facultate nu are direct legătură cu ceea ce fac.
Acum două săptămâni, presa a scris despre un copil de 11 ani care a dezvoltat o aplicaţie malware care îi permitea să obţină datele de autentificare ale utilizatorilor unui joc online. Există informaţii că astfel de comportamente reprezină o problemă în creştere. Este nevoie de un program de responsabilizare privind folosirea Internetului?
Da, desigur. Problema e că la vârsta de 10 – 11 – 12 ani, astfel de lucruri sunt foarte atractive. Atracţia faţă de “Dark Side” este foarte mare deoarece e mult mai interesant, din punctul de vedere al copiilor, să-şi spioneze prietenii, să le fure obiecte virtuale din jocuri, decât să-şi petreacă timpul analizând viruşi sau făcând alte tipuri de software.
Singura soluţie ar fi să-I inveţi ce e bine şi ce e rău în domeniul ăsta şi că, odată ce ai intrat pe calea asta, este foarte greu să mai scapi. În general cei care o iau în direcţia respectivă sunt racolaţi, mai devreme sau mai târziu, de infractori din viaţa reală şi puşi să fure bani.
Există programe care să-i “scoată la lumină” pe aceşti copii?
Din păcate nu prea. Noi avem nişte programe – se cheamă Kaspersky Academy. Am încercat şi în România, împreună cu Sigur.info şi asociaţia Salvaţi Copii, să-I îndrumăm pe tineri şi să le explicăm că e mult mai interesant să faci lucruri bune şi să lucrezi pentru apărare, chiar dacă ofensiva e uneori mai atractivă. La firmele de securitate, o persoană care a scris malware nu va fi angajată niciodată.
Cum rămâne cu hackerii care sunt angajaţi în firme tocmai din cauză că au reuşit să le spargă sistemele de securitate?
Este un exemplu foarte negativ, dar la firmele cu reputaţie din domeniul securităţii, nu va fi niciodată angajat un hacker deoarece există riscuri uriaşe. Poate dăuna imaginii unei companii şi mai este şi o chestiune de încredere.
Aţi luat vreodată viruşi pe calculatoarele proprii? Cum acţionaţi?
S-a întâmplat să îmi virusez calculatorul din greşeală. Prin 1999 analizam un virus care se chema Michelangelo şi care se activa pe 6 martie. Odată activat, acesta ştergea primul sector de pe hard-disk şi nu se mai putea aprinde calculatorul.
Voiam să analizez procedeul prin care lucrează. Mi-am scos hard-disk-ul din computer, am băgat un hard-disk de probe şi am băgat discheta cu Michelangelo să fac testele. M-a sunat cineva şi m-a rugat să fac ceva pe calculator. Am scos hard-disk-ul de teste şi l-am băgat înapoi pe al meu.
A doua zi am încercat să aprind calculatorul şi am văzut că nu se întâmplă nimic. Apoi mi-am amintit de dischetă şi mi-am dat seama că e 6 martie.
Nu a fost dificil să scap de el, dar se mai întâmplă accidente. Odată la 10-20 de ani se mai întâmplă să iau un virus. Este important ca problemele să nu fie grave şi să fie remediate uşor,.
Calculatoarele de acasă se pot virusa. Cât de sigure sunt serviciile de cloud?
Dacă calculatorul este virusat, hackerii pot fura parolele la contul serviciului de cloud şi să aibă acces la documente. Mai există şi altă problemă – se scapă parole de la diverse servicii şi atunci hackerii pot să încerce să le spargă şi să-ţi intre în cont. În momentul în care ai nevoie doar de o parolă pentru a-ţi obţine informaţiile, lucrurile devin extreme de simple.
Cum decurge studierea viruşilor la Kaspersky? Sunteţi contactaţi când este descoperit un virus sau vă bazaţi numai pe informaţiile primite de la utilizatori?
Avem protocoale de colaborare cu foarte multe instituţii, inclusiv din România. De exemplu, colaborăm cu echipa CERT, cu care am lucrat şi pe cazuri cum ar fi Octombrie Roşu. Sunt 30 de astfel de parteneriate în toată lumea şi facem schimb de informaţii. E un fel de pădure uriaşă în care avem informaţii din multe surse. Se face schimb de mostre de viruşi între firmele de securitate, avem utilizatorii care ne trimit astfel de mostre şi avem parteneriate cu organizaţii care ne trimit atacuri.
Care este procedura la Kaspersky odată ce a fost descoperit un virus?
Avem două entităţi care se ocupă de viruşi. E aproape ca într-un stat – avem armata şi trupele speciale. Avem un grup care se numeşte Anti Malware Research care se ocupă de update-urile de zi cu zi şi cu cei 200.000 de viruşi noi şi echipa Global Research Analysis Team care se ocupă cu cazurile speciale.
Care a fost cel mai complicat virus depistat, până acum, de Kaspersky?
E greu să aleg unul singur. Au fost câţiva foarte dificili; Duku, TDSS – un rootkit foarte complicat, Stuxnet, Flame, Red October. Sunt cazuri foarte complicate.
Se încarcă comentariile...
