De doodskop op het etiket van de floppy is veelzeggend. De inhoud van de verder normaal ogende diskette markeert de start van een criminele miljoenenbusiness.
Het ruim twintig jaar oude schijfje bevat Brain, algemeen beschouwd als het eerste pc-virus ooit. In 1986 reisde Brain per floppydisk van computer naar computer. Het deed niet veel meer dan het veranderen van de naam van het schijfje. Maar het computervirus was geboren.
Met enig respect stopt Mikko Hyppönen de floppy terug in een zwart doosje. In wezen heeft hij zijn carrière te danken aan Brain, of beter: aan de golf van steeds vernuftiger en kwaadaardiger virussen die op Brain volgde. Volgend jaar is Hyppönen, hoofdonderzoeker van de Finse computerbeveiliger F-Secure, twintig jaar virusjager.
Oorlog
In zijn 'lab', een soort commandocentrum in Helsinki, spreekt Hyppönen over de "oorlog" tegen virusmiljonairs en cybercriminelen. Achter hem een groot scherm waarop in real time virusaanvallen op een wereldkaart worden weergegeven. Hij gebruikt woorden als "strijd" en "de vijand". Zijn legerkistjes en blauwe legerbroek maken de oorlogsmetafoor compleet.
Spielerei
Ooit was de virusjacht nog een vrolijke aangelegenheid. Mikko Hyppönen (nu 40 jaar) kwam in 1990 terecht bij F-Secure, destijds niet meer dan een studentenclubje dat wat programmeerde en trainingen gaf in pc-veiligheid. Virussen waren nog grotendeels spielerei. In eerste instantie verspreidden computernerds de virussen in hun vrije tijd via floppy's. De geïnfecteerde diskettes speelden ongewenst het (weliswaar irritante) liedje Yankee Doodle af.
Maar de virussen werden kwaadaardiger en wisten zich steeds makkelijker te verspreiden naarmate computers meer en meer met elkaar in contact stonden. Eerst vanaf de floppy een lokaal netwerk op. Daarna volgde verspreiding per e-mail. En toen brak het alom aanwezige internet door, dat Chinese virusschrijvers en Russische cyberbendes een oneindig groot werkterrein verschafte.
Hyppönen: "Criminelen hoeven niet meer bij je in de buurt te komen. Door het internet is het alsof alle criminelen gratis vliegtickets hebben gekregen."
De onbekende vijand
Deze internetcriminelen zijn via internet overal actief, maar nergens te vinden. Een individuele cyberboef opsporen is meestal onbegonnen werk. Online zijn ze alleen te vinden onder hun bijnaam. Ze werken met gehackte computers overal ter wereld: via de computers van onwetende eigenaren sturen zij spam of virussen en vallen zij websites aan.
In de krochten van het web onderhandelen zij op forums en verkopen zij creditcardgegevens op obscure websites. Als een veiligheidsbedrijf als F-Secure de eigenaar van zo'n site probeert te achterhalen, blijkt ene 'Donald Duck' de beheerder te zijn. "In verreweg de meeste gevallen weten wij niet wie de vijand is", zegt Finse virusjager Hyppönen. "Zelfs het continent waar zij zich op bevinden kennen wij meestal niet."
De bulk van de cybercriminelen komt naar alle waarschijnlijkheid uit Rusland, andere ex-Sovjetrepublieken en China. En uit Brazilië, waar virusmakers gespecialiseerd zijn in het aanvallen van bankenwebsites.
Het zijn allemaal landen met hoge IT-kennis, lage lonen en een niet altijd even strenge internetwetgeving.
Tienduizend virussen per dag
F-Secure krijgt dagelijks tussen de 150 duizend en 200 duizend meldingen van verdachte bestanden binnen. Ongeveer 10 duizend daarvan blijken nieuwe virussen, of nieuwe versies van virussen. 10 Duizend virussen per dag...
Op een scherm in het lab lopen de meldingen binnen. Het zijn er al lang te veel om handmatig te controleren en F-Secure scant ze dan ook automatisch. Maar altijd moeten er mensen aanwezig zijn, mocht er ineens een grote dreiging zijn. Zodra de werkdag in Helsinki erop zit, neemt een tweede lab in Kuala Lumpur het stokje over. Bij groot alarm, "ongeveer één keer per maand", trekt Hyppönen alle verloven in. Iedereen moet zich dan melden in het commandocentrum en er wordt niet geluncht.
Altijd één stap achter
Zeker wanneer een virus zich opvallend snel verspreidt, maar eigenlijk altijd, lopen de virusjagers achter de feiten aan.
Hyppönen: "De vijand heeft een first move advantage." Pas als de hackers, spammers of virusbouwers een stap hebben gezet, kunnen de virusjagers reageren met beveiligingsupdates. "Bovendien", zegt Hyppönen, "kunnen criminelen gewoon onze beveiligingssoftware kopen en die volledig ontleden."
Hyppönen is echter niet alleen. Niet alleen F-Secure, maar alle anti-virusbedrijven jagen op digitale bedreigingen. En het wereldje is klein, Hyppönen kent alle virusjagers bij concurrenten als McAfee, Symantec en Kaspersky. "Natuurlijk wil je de eerste zijn die een virus ontdekt. Maar we werken veel samen. Het gekke is dat in deze sector je concurrentie niet de vijand is. De criminelen, zij zijn de vijand."
Ook overheden en bijvoorbeeld de FBI werken samen met de virusjagers. Toch is het een gevecht tegen een overmacht. Volgens Hyppönen zijn er zo'n tweehonderd topvirusjagers wereldwijd. Tegenover hen "duizenden, zeg maar tienduizenden" virusmakers, spammers en cyberbendes.
Maandag 21 december deel 2: Zo lopen cybercriminelen binnen
Lees meer:
Zo lopen cybercriminelen binnen
Cyberboeven duiken op Twitter en Facebook
Kameroense websites zijn het gevaarlijkst
