Kyberzločin se vymknul kontrole. Je všude. Slyšíme o něm každý den. Tento rok, přes dvě miliardy záznamů ztraceny nebo ukradeny. Minulý rok 100 milionům z nás, většinou Američanů, včetně mně samému, zloději ukradli data o zdravotním pojištění. Znepokojivé je, že ve většině případů byla krádež ohlášena měsíce po tom, co se udála.
Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
Když sledujete večerní zprávy máte pocit, že většina je špionáž nebo aktivita států. Část z toho je. Špionáž je mezinárodně akceptovaná praxe. Ale v tomto případě je to pouze malá část problému, kterému čelíme. Často slyšíme o události a následuje "...byl to výsledek sofistikovaného útoku národního státu?" Často jsou to firmy, které nechtějí uznat vlastní šedivé bezpečnostní praktiky. Existuje také zakořeněná představa, že když obviníte z útoku stát, držíte regulátory na uzdě -- aspoň na čas.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
Takže odkud to všechno pochází? OSN odhaduje, že 80 % tvoří vysoce organizované a ultrasofistikované kriminální gangy. K dnešnímu dni toto představuje největší ilegální ekonomiku na světě dosahující objemu, a teď si to přestavte, 445 miliard dolarů. Dejme si to do souvislostí: 445 miliard dolarů je více než HDP 160 národů, včetně Irska, Finska, Dánska a Portugalska, pár na ukázku.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
Jak to tedy funguje? Jak tito kriminálníci fungují? Povím vám příběh. Zhruba před rokem sledovali naši bezpečnostní výzkumníci běžného, leč chytrého trojského koně, zvaného Dyre Wolf. Dyre Wolf se mohl dostat do vašeho počítače kliknutím na link v phishingovém e-mailu, na který jste neměli klikat. Pak by nic nedělal a čekal. Čekal by na vaše přihlášení do bankovního účtu. A když jste tak učinili, ti zlí hoši na něj dosáhli, ukradli vaše ověření a pak je použili ke krádeži vašich peněz. Zní to příšerně, ve skutečnosti, v bezpečnostním průmyslu, je tato forma útoku celkem běžná. Nicméně Dyre Wolf měl dvě odlišné osobnosti - jednu pro malé transakce, ale zcela jinou personu, pokud jste měli obchod s velkými bankovními převody.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
Zde je, co by se stalo. Začnete proces zadání bankovního příkazu a nahoře v prohlížeči vám vyskočí obrazovka z vaší banky, upozorňující na problém s vaším účtem a že musíte ihned zavolat do banky, na číslo bankovního oddělení pro podvody. Takže jste zvedli telefon a zavolali. Poté, co jste prošli běžnými hlasovými pokyny, jste se setkali s anglicky hovořícím operátorem. "Ahoj, Altoro Mutual Bank. Jak vám mohu pomoci?" A prošli jste si stejným procesem jako pokaždé, když voláte do své banky, poskytnutí vašeho jména a čísla vašeho účtu, přes bezpečnostní otázky k ověření, že jste opravdu ten, kdo říkáte, že jste. Většina z nás to možná neví, ale u mnoha velkých bankovních převodů, je zapotřebí dvou osob k potvrzení převodu, takže vás pak operátor požádá o předání telefonu druhé osobě a projde stejnou sadou ověření a kontrol.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
To zní normálně, že? Je zde jen jeden problém: nehovoříte s bankou. Hovoříte s kriminálníky. Vytvořili anglicky hovořící helpdesk, falešnou vrstvu na bankovní stránce. Bylo to tak bezchybně provedeno, že přesouvali do svých kriminálních sejfů mezi půl milionem a milionem a půl dolarů při každém pokusu.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
Tyto kriminální organizace působí jako vysoce organizovaný, legitimní business. Jejich zaměstnanci pracují od pondělí do pátku. Mají volné víkendy. Jak to víme? Víme to proto, že naši bezpečnostní specialisté viděli opakující se špičky malwaru v páteční odpoledne. Ti zlí hoši, po dlouhém víkendu s ženami a dětmi, se vrátili, aby zkontrolovali, jak to jde.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
Většinu svého času tráví na darknetu. Což je termín užívaný pro popsání anonymního internetového podsvětí, kde zloději mohou působit v anonymitě a bez detekce. Zde provozují svůj útočný software a sdílejí informace o nových útočných technikách. Můžete zde koupit cokoli, od základního útoku po mnohem pokročilejší verze. V mnoha případech i vidíte zlaté, stříbrné a bronzové stupně služby. Můžete si ověřit reference. Můžete si koupit útoky, které jsou se zárukou vrácení peněz.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
(smích)
(Laughter)
Když nejste úspěšní. Tyto prostředí, tato tržiště -- vypadají jako Amazon nebo eBay. Vidíte produkty, ceny, hodnocení a recenze. Samozřejmě, když si chcete koupit útok, nakoupíte u renomovaného kriminálníka s dobrým hodnocení, ne?
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
(smích)
(Laughter)
To se neliší od kouknutí se na Yelp nebo TripAdvisor před návštěvou nové restaurace. Zde je příklad. To je skutečný screenshot obchodníka prodávajícího malware. Všimněte si, obchodník čtvrté úrovně, mají šestou úroveň důvěry. Za poslední rok má 400 pozitivních recenzí a za poslední měsíc pouze dvě negativní. Dokonce vidíme něco jako licenční podmínky. Zde je ukázka stránky, kam můžete jít, když chcete změnit svou identitu. Prodají vám falešné ID, falešný pas. Všimněte si ale právních závazků při koupit svého falešného ID. Dejte mi pokoj. Co uděláte -- budete se soudit, když je poruším?
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
(smích)
(Laughter)
Událo se to před pár měsíci. Jeden z našich bezpečnostních specialistů se díval na nově objevenou malwarovou aplikaci pro Android. Jmenovala se Bilal Bot. V blogovém příspěvku, umístila Bilal Bot jako novou, levnou beta alternativu k mnohem pokročilejšímu GM Botu, který je rozšířený v kriminálním podsvětí.
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
Tato recenze moc neseděla autorům Bilal Botu. Tak jí napsali e-mail, ve kterém obhajovali svůj produkt a argumentovali, že hodnotila starší verzi. Požádali ji, aby doplnila na svůj blog přesnější informace a nabídli jí interview, aby jí podrobně popsali, jak je jejich útočný software mnohem lepší než konkurenční.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
Podívejte, nemusí se vám líbit, co dělají, ale musíte obdivovat podnikatelský naturel jejich úsilí.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
(smích)
(Laughter)
Takže jak to zastavíme? Není to tak, že bychom mohli říci, kdo je zodpovědný - pamatujte, fungují v anonymitě a mimo dosah zákona. Určitě nebudeme schopni obžalovat pachatele. Myslím, že potřebujeme zcela nový přístup. A ten přístup se musí soustředit okolo myšlenky nutnosti změnit ekonomiku pro tyto zlé hochy.
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
Abych vám přiblížil, jak to funguje, uvažujme o reakci, kterou sledujeme v případě zdravotní pandemie: SARS, Ebola, ptačí chřipka, Zika. Co má nejvyšší prioritu? Zjistit, kdo je infikován a vědět, jak se nemoc šíří. Vlády, soukromé instituce, nemocnice, lékaři -- každý reaguje otevřeně a rychle. Je to společná a altruistická snaha zabránit dalšímu šíření a informovat neinfikované, jak se mají chránit a očkovat.
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
Naneštěstí toto není reakce, kterou vidíme v případě kyber útoku. Organizace spíše drží informaci o tom, že byly napadeny. Proč? Protože se obávají o konkurenční výhodu, sporu nebo regulace. Potřebujeme efektivně demokratizovat sběr dat. Potřebujeme, aby se všechny organizace otevřely a sdílely, co je v jejich soukromých arsenálech informací. Zločinci postupují rychle; my se musíme pohybovat rychleji. Nejlepší způsob, jak to udělat, je otevřít a sdílet data o tom, co se děje.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
Uvažujme o nich jako o bezpečnostních profesionálech. Pamatujte si, v jejich DNA je přímo naprogramováno držet tajemství. Potřebujeme převrátit toto myšlení. Potřebujeme přimět vlády, soukromé instituce a bezpečnostní společnosti, aby sdílely rychle informace. A zde je proč: protože pokud sdílíte informace, je to ekvivalent očkování. Pokud nesdílíte informace, jste součástí problému, protože zvyšujete pravděpodobnost, že na ostatní bude působit stejná útočná technika.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
Je zde dokonce ještě větší přínos. Ničením nástrojů zločinců dříve, v reálném čase, narušujeme jejich plány. Informujeme, že jejich cílem je ublížit, a to dříve než předpokládali. Ničíme jejich reputace, jejich hodnocení a recenze. Nenutíme kyberzločin platit. Měníme ekonomiku pro ty špatné. Abychom toho dosáhli, je potřeba prvního hybatele -- někoho, kdo změní všeobecné uvažování bezpečnostního průmyslu.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
Asi před rokem jsme měli, mí kolegové a já, radikální myšlenku. Co kdyby IBM vzala svá data -- máme jednu z největších databází informací o hrozbách na světě -- a otevřeli ji? Obsahuje informace nejen o tom, co se stalo v minulosti, ale co se děje skoro v reálném čase. Co kdybychom ji publikovali otevřeně na internetu. Asi si dokážete představit tu celkem silnou reakci. Nejprve přišli právníci. Jaké jsou právní implikace tohoto jednání? Pak přišel obchod: Jako jsou obchodní implikace? a setkal jsem se s celkem dost lidmi, kteří si mysleli, že jsme se zbláznili.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
Ale jedna z konverzací se stále objevovala v každém dialogu, který jsme měli: zjištění, že pokud to neuděláme, jsme součástí problému. Takže jsme udělali neslýchanou věc v bezpečnostním průmyslu. Začali jsme publikovat. Více než 700 terabytů žalovatelných dat o bezpečnostních hrozbách, včetně informací o útocích v reálném čase, které mohou být využity k zastavení kyberzločinu. Ke dnešnímu dni je využívá více než 4 tisíce organizací, včetně poloviny stovky nejbohatších. Doufáme, že dalším krokem je přimět tyto organizace, aby se k nám přidaly v boji a udělaly to stejné a sdílely své informace o tom, kdy a jak jsou napadeny.
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
Všichni máme příležitost to zastavit a již víme, jak. Jediné, co musíme udělat, je podívat se na svět zdravotnictví a to, jak reagují na pandemii. Jednoduše řečeno, potřebujeme být otevření a spolupracovat.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
Děkuji.
Thank you.
(potlesk)
(Applause)