Wannacry-viikko Mikko Hyppönen Wannacry-haittaohjelma keväällä 2017 oli poikkeuksellinen koko tietoturvakentällä. Sattumalta olin luvannut kirjoittaa Skrolli-lehteen päiväkirjaa työviikostani – ja Wannacry osui juuri tuolla viikolle. Päiväkirjani Wannacry-viikosta: TIISTAI 9.5.2017 Ajelen aamulla F-Securen pääkonttorille Helsingin Ruoholahteen. Ohjelmassa on muutama tapaaminen ja sähköpostin purkamista. Päivällä käyn pitämässä puheenvuoron pilvipalveluihin keskittyvässä seminaarissa hotellissa Helsingin keskustassa. Seminaarin jälkeen palaan konttorille isännöimään asiakasryhmän vierailua laboratoriossamme. Siellä olevaa RF-labraa eli Faradayn häkkiä on aina hauska esitellä. KESKIVIIKKO 10.5.2017 Lähden aikaisin aamulla Helsingin Messukeskukseen, missä pidän vuoden 2017 Prosessipäivien aloituspuheenvuoron. Puheenvuoro loppuu klo 10.00 ja heti sen jälkeen olen taksissa matkalla lentokentälle, koska SAS:n lento Osloon lähtee klo 11.05. Oslossa alkaa samana päivinä yksi pohjoismaiden kovatasoisimmista hakkerikonferensseista, Paranoia. Keskiviikon keynoten vetää Charlie Miller, maailman tunnetuin autohakkeri. Tunnen Charlien jo vuosien takaa ja rupattelimme iltapäivällä pitkään. Charlie mainitsi ohimennen, että hänen ja Chris Valasekin löytämät turvareiät aiheuttivat lehtitietojen mukaan Chryslerille 14 miljardin dollarin kustannukset. "Jos Chrysler olisi maksanut meille 10 miljardia niin me ei oltaisi kerrottu kellekään siitä mitä löysimme, ja Chrysler olisi säästänyt 4 miljardia!". Konferenssin jälkeen puhujat kokoontuvat läheiseen ravintolaan päivälliselle. Pöytäkunnassani istuu ainakin kaksi kaveria jotka ovat olleet tiedustelupalvelu NSA:lla töissä. Päivällisen jälkeen istun vielä puolisen tuntia paikallisen kryptoyrittäjän kanssa hotellin aulassa. TORSTAI 11.5.2017 Olen edelleen Oslossa ja vedän aamun ensimmäisen keynoten Paranoiassa. Kyseessä on kymmenes vuosittainen Paranoia, ja puhun pitkään siitä, miten paljon näin lyhyessä ajassa on muuttunut. Totean yleisölle, että 10 vuotta sitten meillä kaikilla oli suomalainen puhelin taskussa, ja nyt kellään meistä ei ole suomalaista puhelinta taskussa. Aika siis lentää, varsinkin netissä. Session jälkeen siirryn Twitterin ääreen, koska tiedän, että F-Secure on aamulla julkaissut pörssitiedotteen: Ostamme englantilaisen tietoturvayhtiö MWR:n. Twiittaan aiheesta ja toivotan uudet työntekijät tervetulleeksi taloon. Hoitelen Twitteriä taksista, koska puolilta päivin lennän Oslosta Tukholmaan. Tukholmassa on IDG:n vuotuinen IoT-tapahtuma. Siellä minua ennen puhuu nainen, joka on suunnittelut Volvon nettiyhteydet ja mies, joka kytkee poroja internettiin. Minä puhun IoT:n tulevaisuudesta ja IoT:n hyvistä ja huonoista puolista. Puheeni jälkeen otan Arlanda Expressin takaisin kentälle ja lähden iltakoneella Madridiin. PERJANTAI 12.5.2017 Puhun Madridissa aamulla n. 150 hengen asiakasryhmälle suuryritysten tietoturvaratkaisuista. Puheen ja paluulennon välillä on muutama tunti aikaa, mutta totean että on järkevintä palata lentokentälle ja tehdä töitä lentokenttäloungessa. Tuskin ehdin istahtaa loungessa alas kun puhelin soi. Pääkonttoriltamme Suomesta soitetaan ja kehotetaan olemaan yhteydessä erääseen suurimmista asiakkaistamme Espanjassa. Soitan heidän johtoryhmän jäsenelleen, ja selviää että heidän verkossaan on tuhansia tartuntoja täysin uudesta haittaohjelmasta. Mikä vielä pahempaa, tartunta leviää edelleen. Ja mikä vielä pahempaa, kyseessä on tiedostoja salaava lunnastroijalainen. Kyseessä on WannaCry. WannaCry leviää kuin kulovalkea, ja muuttuu päivän mittaan historian suurimmaksi lunnastroijalaisepidemiaksi. Uhreina on lähes pelkästään suuryrityksiä, ja saastuneita koneita on iltaan mennessä melkein 200 000. Puhelimeni soi jatkuvasti kunnes on aika astua koneeseen. Vielä koneessakin ehdin puhua monta puhelua, koska jostain syystä lähtö kestää. Lopulta selviää, että välipysähdyskentällä Frankfurtissa on ukkosmyrsky. Saavumme lopulta Frankfurtiin kaksi tuntia myöhässä. Ehdin kuitenkin Helsingin lennolle, koska sekin on kaksi tuntia myöhässä. Laskeudun lopulta Helsinkiin kolmen aikaan lauantai-aamuna. LAUANTAI 13.5.2017 Ehdin nukkua vajaat kuusi tuntia ennen kuin ruljanssi jatkuu. Aamuun mennessä tiimimme on purkanut WannaCryn koodin kokonaan. Samalla selvisi, että WannaCryn leviäminen on pysähtynyt, koska tuttu brittitutkija löysi koodista toiminnon jonka avulla hän sai epidemian globaalisti pysäytettyä. Mitalin arvoinen temppu. Teen Skype-linkin kautta kotoani kaksi TV-haastattelua maailmalle. Toinen niistä menee BBC Worldille, jolloin katsojia on kymmeniä miljoonia. Keskustelemme siitä, miten tartunnan saaneita yrityksiä on kaikkialla maailmassa: sairaaloita, autotehtaita, voimalaitoksia, junayhtiöitä… SUNNUNTAI 14.5.2017 Äitienpäivä menee WannaCryn kanssa painiessa. MAANANTAI 15.5.2017 Maanantaina selviää, että WannaCryn tuhot Aasiassa ovat paljon luultua suuremmat. Haittaohjelman tartuntoja yritysverkoissa ei vain oltu ehditty huomata ennen viikonloppua. Puhelimeni soi ja soi. Asiakkaat ja media soittelevat. Nauhoitan puhelimellani parin minuutin yhteenvedon tilanteesta ja vastaan radio-asemien haastattelupyyntöihin mailaamalle heille valmiin äänitiedoston. Ainakin Etelä-Afrikkalainen ja Itävaltalainen radioasema soittavat tiedostoni kuulijoilleen sellaisenaan. CNN soittaa ja haluaa tehdä videohaastattelun Skypen kautta. Se menee livenä maailmanlaajuiseen jakeluun. Haastattelijana on CNN:n naistoimittaja Hong Kongista. Olen tavannut hänet vuosien varrella moneen kertaan ja muistelemme ennen suoran lähetyksen alkua kuinka olimme aiemmin tehneet yhdessä haastattelua mm. Sony Rootkitista vuonna 2005 ja Confickerista vuonna 2008. CNN-haastattelun jälkeen hyppään taksiin ja ajelen Helsinki-Vantaalle. Nyt tätä kirjoittaessa istun Finnairin koneessa matkalla Barcelonaan. Siellä alkaa huomenna F-Securen tärkein vuosittainen asiakastilaisuus, jonne keräämme operaattoriasiakkaitamme kaikkialta maailmasta. Ei ole vaikeaa arvata että puheenaihe numero yksi tulee olemaan WannaCry. Leipä todella on pieninä palasina maailmalla. Myös tietoturva-alalla.