Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
جرایم رایانهای واقعا از کنترل خارج شدهاند. همه جا هستند. و روزی نیست از آنها چیزی نشنویم. امسال، بیش از دو میلیارد پرونده اطلاعاتی دزدیده شده است. و سال پیش، ۱۰۰ میلیون نفر از ما، بیشتر آمریکایی، اطلاعات بیمههای درمانشان دزدیده شده -- من هم جزوشان هستم. چیزی که مشخصا در این مورد بیشتر تامل برانگیز است، این که اکثرا، ماهها طول میکشد تا کسی گزارش دهد که این پروندهها دزدیده شدهاند.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
پس اگر اخبار عصرگاهی را گوش میکنید، احتمالا فکر میکنید که بیشتر اینها جاسوسی یا فعالیتهای حکومتهای دیگر است. خوب، بعضیهایشان هست. جاسوسی، میدانید، از دید بینالمللی پذیرفته شده است. اما این در این مورد، تنها بخش کوچکی از مشکلی است که با آن مواجهیم. چقدر درباره نفوذ می شنویم که بعدا میگویند،« ... نتیجه حملات پیچیده یک حکومت خارجی بوده؟» خوب، اینها اغلب شرکتهایی هستند که تمایلی ندارند مسئولیت ضعف خود در کارهای امنیتی شان را بعهده بگیرند. همچنین یک باور گسترده عمومی وجود دارد که دادن مسئولیت یک حمله(جاسوسی) به حکومتی خارجی، باعث دور شدن قانون گذارها میشود -- حداقل برای مدتی.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
منشا این چیزها کجاست؟ سازمان ملل برآورد میکند که ۸۰ درصد آن مربوط به باندهای تبهکاری سازمان یافته و فوق پیچیده است. تا کنون. این نشان دهنده یکی از بزرگترین فعالیتهای اقتصادی غیر قانونی است. که تا سقف، توجه کنید، ۴۴۵ میلیارد دلار میرسد. بگذاربد تا این را برای همه شما روشنتر کنم: ۴۴۵ میلیارد دلار بزرگتر از تولید ناخالص ملی ۱۶۰ کشور است. شامل ایرلند، فنلاند، دانمارک و پرتغال ، برای مثال.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
چطور این اتفاق میافتد؟ این تبهکاران چگونه فعالیت میکنند؟ خوب، بگذاربد تا داستانی کوتاه برایتان بگویم. حدود یک سال پیش، پژوهشگران امنیتی ما بدنبال یک بدافزار تقریبا معمولی ولی پیچیده به نام «دایر وولف» بودند. آلوده شدن رایانه با دایر وولف از راه کلیک کردن روی یک لینک ایمیلهای جعلی ایجاد میشود که احتمالا نباید دریافت میکردید. پس از آلودگی، منتظر میماند. منتظر میماند تا وارد حساب بانکی خود شوید. و وقتی این کار را کردید، آدم بدها به آن وصل میشوند، و اطلاعات ورود شما را میدزدند، و از آن برای دزدیدن پولتان استفاده میکنند. وحشتناک است، اما در واقع، در صنایع امنیتی، این شیوه از تهاجم خیلی معمولی است. با این حال، دایر وولف دو شخصیت کاملا متفاوت داشت -- یکی برای معماملات مالی کوچک، اما شخصیت کاملا متفاوتی را هم پیدا کرد اگر کار شما حواله پول، در اندازههای بزرگ بود.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
اتفاقی که میافتاد این بود. شما عملیات صدور حواله بانکی را شروع میکردید، روی مرورگر شما پنجرهای از بانک باز میشد، که نشان میداد اشکالی در حسابتان ایجاد شده، و باید سریعا با بانک تماس بگیرید، شماره قسمت رسیدگی به جرایم بانکیهم اعلام شده بود. پس شما تلفن را بر میداشتید و زنگ میزدید. و بعد از آنکه از پیامهای معمول صوتی عبور میکردید، به یک اپراتور انگلیسی زبان وصل میشدید. « سلام، بانک آلتورو میوتچال. میتونم کمکتون کنم؟» و همان مراحلی که همیشه در تماس با بانک انجام میدادید تکرار میشد، دادن اسم و شماره حساب، بررسیهای امنیتی تا مشخص شود همانی که میگویید هستید. خیلی از ما این را نمیدانیم، اما در بسیاری از حوالههای بزرگ، دو نفر باید اجازه انجام حواله را بدهند، پس اپراتور از شما میخواست که گوشی را به نفر دوم بدهید، و همان مراحل ارزیابی انجام میشد.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
به نظر عادی میآید، نه؟ تنها یک مشکل: شما با بانک صحبت نمیکنید. شما با تبهکاران صحبت میکنید. آنها یک مرکز ارتباط انگلیسی زبان ساختهاند، تا به شکلی کاذب روی سایت بانکی قرار گیرد. و کاملا بدون عیب کار میکرد و هر بار بین نیم میلیون تا یک و نیم میلیون دلار به حساب تبهکاران میریخت.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
این سازمانهای تبهکار همانند شرکتهای بسیار سازمان یافته و قانونی کار میکنند. کارمندانشان دوشنبه تا جمعه سر کار میروند. آخر هفتهها را تعطیل میکنند. از کجا میدانیم؟ چون پژوهشگران امنیتی ما جمعه عصرها جهشی تکراری از بدافزارها میبینند. آدم بدها، بعد ازیک آخر هفته طولانی با همسر و فرزندان، بر میگردند تا ببینند، اوضاع چقدر خوب است.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
اینترنت تاریک، جایی است که بیشتر وقتشان را میگذرانند. این اصطلاحی در باره قسمتی از اینترنت است که مخفی و ناشناس است. جایی که دزدان بدون هویت و بدون شناسایی فعالیت میکند. جایی است که نرم افزارهای حمله را میفروشند و روشهای جدید تهاجم را به هم یاد میدهند. هر چیزی را میتوانی آنجا بخری، از یک تهاجم ابتدایی تا روشهایی بسیار پیشرفته تر. در حقیقت، در خیلی از موارد، حتی میتوانی خدمات طلایی، نقرهای و یا برنزی داشته باشی. میتوانی سوابقشان را بررسی کنی، و حتی حملههایی را بخری که تضمین برگشت پول هم داشته باشد --
(Laughter)
( خنده حضار )
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
اگر موفقیت آمیز نبود. اکنون، این محیطها، این بازارها -- مثل سایت آمازون یا ای بی هستند. محصولات، قیمتها، رتبه بندیها و گزارشات را میبینی. البته، اگر بخواهی حملهای را بخری، حتما آن را از یک تبهکار معروف با رتبه بندی خوب میخری، نه؟
(Laughter)
( خنده حضار )
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
اصلا تفاوتی با اینکه قبل از رفتن به یک رستوران جدید سایت یِلپ یا تریپ ادوایزر را بررسی کنی ندارد. برای مثال، این تصویر واقعی از صفحه یک فروشنده است که بدافزار میفروشد. توجه کنید که فروشنده رتبه چهار هستند، رتبه اطمینانشان شش است. ۴۰۰ نظر مثبت در سال پیش داشتهاند، و تنها دو نظر منفی در ماه قبل. حتی چیزهایی مثل مقررات اعطای مجوز میبینیم، این نمونهای از یکی از سایتهایی است برای تغییر هویت به آن میروید. آنها به شما هویت جعلی میفروشند، پاسپورتهای جعلی. اما به مقررات اِلزام آور قانونی برای خرید هویت جعلی توجه کنید. باورتان می شود. آنها چه کار خواهند کرد -- اگر خلاف(مقرراتشان) عمل کنید، از شما شکایت میکنند؟
(Laughter)
( خنده حضار)
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
این چند ماه پیش اتفاق افتاد. یکی از محققین امنیتی ما بدنبال یک بدافزار اندرویدی که پیدا کردیم بود. اسمش «بلال بات» بود. در پستی در یک بلاگ، بلال بات را به عنوان جایگزین ارزان و نسخه بتا (آزمایشی) برای «جیام بات» که پیشرفته تر بود ارزیابی کرد در محل عمومی تبهکاران زیر زمینی.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
نویسندگان بلال بات خیلی از این گزارش خوششان نیامد. پس این ایمیل را برایش فرستادند، از (جاسوس افزارشان) دفاع کردند و عنوان کردند که احساس میکنند که او نسخه قدیمی و (بتای آن) را ارزیابی کرده است. و از او خواستند تا اطلاعات بلاگ را با دقت بیشتری تصحیح کند حتی پیشنهاد یک مصاحبه را دادند تا جزئیات را برایش شرح بدهند که چطور نرمافزار تهاجمی (نسخه جدید) آنها از رقیبشان خیلی بهتر است.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
پس ببینید، نیازی نیست که از کارشان خوشتان بیاید، اما باید برای ذات تجاری تلاش آنها احترام قائل شوید.
(Laughter)
( خنده حضار )
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
چطور میشود جلوی اینها را گرفت؟ امکان ندارد که بشود مسئولینش را شناسایی کرد -- بیاد داشته باشید که، به شکلی ناشناس فعالیت میکنند دور از دسترس قانون. مطمئنا نمیتوانیم مجرمین را محاکمه کنیم. پیشنهاد من راهکاری کاملا جدید است. و این راهکار بر مبنای این نظر است که باید ساختار اقتصادی آدمهای بد را عوض کنیم.
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
و برای اینکه دیدگاهی به شما بدهم که چگونه است، بگذارید تا به شیوه پاسخ به یک بیماری واگیر توجه کنیم: سارز، ابولا، آنفولانزای مرغی زیکا. اولویت اول چیست؟ دانستن اینکه چه کسی مبتلاست و اینکه بیماری چطور پخش میشود. دولتها، سازمانهای خصوصی، بیمارستانها، پزشکان -- همه بصورتی کاملا باز و سریع پاسخ میدهند. یک تلاش نوع دوستانه و جمعی برای متوقف کردن آن در مسیرش و اطلاع به همه انهایی که مبتلا نشدهاند تا چطور از خود محافظت و خود را واکسینه کنند.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
متاسفانه، این چیزی که در پاسخ به حملات سایبری میبینیم نیست. بیشتر مواقع سازمانها اطلاعات این حملات را پیش خود نگه میدارند. چرا؟ چون از سو استفاده رقبا نگرانند، دعویهای حقوقی یا قوانین. باید به شکلی موثر گزارشات امنیتی این حملات را آزاد کنیم. باید همه این سازمانها را وادار کنیم تا باز شوند و زرادخانههای طلاعاتیشان را به اشتراک گذارند. آدمهای بد سریع حرکت میکنند؛ ما هم باید سریع عمل کنیم. و بهترین راه انجامش باز بودن و به اشتراک گذاشتن اطلاعات اتفاقاتی است که میافتد.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
بگذارید این را مانند یک ساختار از متخصصین امنیت بدانیم. بیاد داشته باشید که حفظ اسرار در ژن آنها برنامه ریزی شده است. باید بیاد داشته باشیم تا این تفکر را در اولویت قرار دهیم. باید دولتها، سازمانهای خصوصی و شرکتهای امنیتی را وادار به اشتراک گذاشتن سریع اطلاعات کنیم. و دلیل آن: چون اگر این اطلاعات را به اشتراک گذارید، مثل واکسیناسیون است. و اگر نگذارید، به همان میزان خودتان هم بخشی از مشکل خواهید بود، چون احتمال مبتلا شدن دیگران را از طریق روش های همان تهاجم افزایش میدهید.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
ولی این کار حتی فایده بیشتری هم دارد. با ازبین بردن ابزار جنایتکاران در همان زمان، ما نقشههایشان را متوقف کردیم. به مردم خبر میدهیم که آنها مورد هدف برای آسیب هستند خیلی زودتر از وقتی که انتظارش را دارند. اعتبارشان را خراب میکنیم، رتبه بندیها و نظرات (مثبتشان) را خرد میکنیم. مانع از پول گرفتنشان میشویم. اقتصاد آدمهای بد را تغییر میدهیم. اما برای این کار، کسی باید قدم اول را بردارد -- کسی باید طرز فکر کلی صنعت امنیت را کلا تغییر دهد.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
حدود یک سال پیش، من و همکارانم، ایدهای انقلابی داشتیم. چه میشد اگر آی بی ام کسی بود که اطلاعات را دریافت میکرد -- یکی از بزرگترین پایگاههای داده اطلاعات تهدیدات را در جهان داشتیم -- و آن را آزادانه در اختیار بگذارد؟ اطلاعات آن نه تنها شامل تهدیدات گذشته بود، بلکه شامل اتفاقاتی که در زمان تقریبا واقعی هم انجام میشد بود. چه میشد اگر همه اینها را آزادانه روی اینترنت منتشر میکردیم؟ همانطور که میتوانید تصور کنید، کلی عکس العمل ایجاد میکرد. اول از طرف وکلا: نتایج حقوقی این کار چیست؟ در مرحله بعد کسب و کار است: نتایج تجاری این کار چیست؟ البته حتما خیلی ها هم از ما میپرسیدند که آیا کاملا دیوانه شدهاید.
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
اما تنها یک موضوع در صحبت همچنان شناور باقی میماند هر بار که این مسئله را بازگو کنیم: درک اینکه اگر این کار را نکنیم، خودمان هم بخشی از مشکل خواهیم بود. پس کاری کردیم که در صنعت امنیت شنیده نشده است. شروع به انتشار کردیم. بیش از ۷۰۰ ترابایت از اطلاعات امنیتی قابل استفاده. شامل اطلاعات حملات در زمان واقعی که میتواند برای متوقف کردن جرایم سایبری و حملاتش استفاده شود. و امروز، بیش از ۴۰۰۰ سازمان این اطلاعات را مورد استفاده قرار میدهند. شامل نیمی از ۱۰۰ شرکت برتر جهان. و امید ما در قدم بعد این است که تمام این سازمانها را در این نبرد همراه خود کنیم، و همین کار را انجام دهیم و اطلاعات را به اشتراک گذاریم از اینکه کی و چگونه به آنها حمله شده است.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
همه ما امکان متوقف کردن آن را داریم، و میدانیم که چگونه این کار را انجام دهیم. تنها کاری که باید انجام دهیم توجه به نتیجهای است که در دنیای سلامت و بهداشت میبینیم. که آنها در مواجهه با یک بیماری واگیرچه میکنند. ساده بگویم، باید باز باشیم و همکاری کنیم.
Thank you.
متشکرم.
(Applause)
( تشویق حضار )