Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
Il cybercrimine è fuori controllo. È ovunque. Ne sentiamo parlare ogni singolo giorno. Quest'anno, oltre due miliardi di documenti sono stati persi o rubati. Lo scorso anno, 100 milioni di persone, soprattutto americani, hanno visto sottratti i dati della propria assicurazione sanitaria, me compreso. L'aspetto decisamente preoccupante è che, in molti casi, passano mesi prima che qualcuno segnali il furto dei documenti.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
Se guardate il telegiornale la sera, penserete che gran parte di queste siano attività di spionaggio o di qualche stato-nazione. In parte è così. Vedete, lo spionaggio è una pratica accettata a livello internazionale. Ma, in questo caso, è solo una piccola parte del problema con cui abbiamo a che fare. Quanto spesso sentite parlare di una violazione di sicurezza, seguita da "è stato il risultato di un sofisticato attacco di uno stato-nazione?" Spesso si tratta di aziende che non vogliono assumersi responsabilità delle loro insufficienti pratiche di sicurezza. Secondo un'opinione molto diffusa, dare la colpa di un attacco ad uno stato-nazione permette di tenere le autorità alla larga, almeno per un po'.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
Allora a chi è da attribuire il fenomeno? Le Nazioni Unite stimano che l'80 percento dei cybercrimini siano da attribuire a organizzazioni criminali altamente organizzate e sofisticate. Ad oggi, il fenomeno rappresenta una delle economie illegali più grandi al mondo, con un fatturato di, aprite bene le orecchie, 445 miliardi di dollari. Fatemi mettere il numero in prospettiva: 445 miliardi di dollari è una cifra superiore al PIL di 160 nazioni, tra cui Irlanda, Finlandia, Danimarca e Portogallo, giusto per fare qualche nome.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
Quindi come funziona? Come operano questi criminali? Fatemi raccontare una storiella. Circa un anno fa, i nostri esperti di sicurezza erano sulle tracce di un trojan bancario abbastanza comune ma sofisticato, chiamato Dyre Wolf. Il Dyre Wolf si insedia nel vostro computer dopo che avete cliccato su un link di un'email civetta su cui probabilmente non avreste dovuto cliccare. Poi si siede e aspetta. Aspetta finché non entrate nel vostro conto corrente. Quando lo fate, i cattivi si intrufolano, rubano le vostre credenziali, e le usano per rubare i vostri soldi. Sembra terribile, ma la realtà è che nell'industria della sicurezza, questo tipo di attacco è quasi all'ordine del giorno. Tuttavia, il Dyre Wolf esibiva due personalità molto diverse: una per le piccole transazioni, un'altra, completamente diversa, in caso muoveste grandi quantità di denaro tramite bonifici bancari.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
Ecco cosa sarebbe successo: iniziavate il processo di emissione di un bonifico bancario, e sul vostro browser appariva una schermata della banca, che vi informava di un problema con il vostro conto e vi invitava a chiamare la banca immediatamente, indicandovi il numero del reparto frodi della banca. Quindi prendevate il telefono e chiamavate. Dopo essere passati oltre le solite indicazioni vocali, vi rispondeva un operatore in inglese. "Buongiorno, Altoro Mutual Bank, come posso esserle utile?" Così seguivate il solito processo di quando chiamate la vostra banca, fornendo il vostro nome e numero di conto, superando i controlli di sicurezza per verificare che siete chi dite di essere. Molti di noi potrebbero non saperlo, ma per molti bonifici di importi elevati, ci vogliono due persone per approvare il trasferimento, quindi l'operatore vi chiedeva di parlare con la seconda persona, che era sottoposta alle stesse verifiche e controlli.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
Sembra normale, no? C'è solo un problema: non stavate parlando con la banca. Stavate parlando con i criminali. Avevano costruito un centralino in lingua inglese, pagine false sovrapposte al sito della banca. Era tutto eseguito in maniera così perfetta che, per ogni tentativo, muovevano da mezzo milione a un milione e mezzo di dollari nelle loro casse criminali.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
Queste organizzazioni operano come vere aziende, sono sottoposte a rigida disciplina. I loro dipendenti lavorano dal lunedì al venerdì. Sono liberi il fine settimana. Come facciamo a saperlo? Lo sappiamo perché i nostri esperti di sicurezza rilevano picchi ripetuti di malware il venerdì pomeriggio. I cattivi, dopo un lungo weekend con moglie e figli, tornano per vedere come sono andate le cose.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
Passano del tempo sul Dark Web. È un termine utilizzato per descrivere il lato oscuro e senza volto di Internet, dove i ladri possono operare in anonimato senza essere scoperti. Qui smerciano i loro software di attacco e condividono informazioni su nuove tecniche di intrusione. Lì potete comprare di tutto, da software di livello base a versioni molto più avanzate. In molti casi, potete persino scegliere tra diversi livelli di servizio, oro, argento e bronzo. Potete verificare le referenze. Potete persino comprare software in garanzia "soddisfatti o rimborsati",
(Laughter)
(Risate)
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
per cautelarvi in caso di insuccesso. Questi luoghi, questi mercati, somigliano ad Amazon o eBay. Espongono prodotti, prezzi, valutazioni e recensioni. Ovviamente, se state per comprare un attacco, lo farete da un criminale rispettabile con ottime recensioni, no?
(Laughter)
(Risate)
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
Non è per niente diverso dal controllare Yelp o TripAdvisor prima di andare in un nuovo ristorante. Ecco un esempio. Questo è uno screenshot reale di un venditore di malware. Notate come sia un venditore di quarta fascia, con un livello di fiducia di sei. Lo scorso anno, ha ricevuto oltre 400 recensioni positive, solo due sono negative nello scorso mese. Ci sono addirittura dei termini di licenza. Ecco un esempio di sito che potete visitare se volete cambiare la vostra identità. Vi venderanno carte di identità e passaporti falsi. Notate i termini legalmente vincolanti per l'acquisto di documenti falsi. Non prendiamoci in giro. Cosa potrebbero fare, denunciarvi se li violate?
(Laughter)
(Risate)
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
Questo è successo un paio di mesi fa: uno dei nostri esperti di sicurezza stava esaminando un nuovo malware Android che avevamo scoperto. Si chiamava Bilal Bot. In un post sul nostro blog, descrisse Bilal Bot come un'alternativa nuova, economica e in versione beta di un GM Bot molto più avanzato, diffuso nel movimento criminale.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
Questa recensione non piacque agli autori di Bilal Bot. Quindi le scrissero questa email, a difesa del loro operato, argomentando che la nostra esperta aveva valutato una versione antiquata. Le chiesero per favore di aggiornare il suo blog con informazioni più accurate e offrirono persino un'intervista per spiegarle nel dettaglio come il loro software di attacco fosse di gran lunga migliore della concorrenza.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
Attenzione, non dovete farvi piacere quello che fanno, ma non potete non rispettare la natura imprenditoriale dei loro sforzi.
(Laughter)
(Risate)
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
Come facciamo a fermare questo fenomeno? Non potremmo essere in grado di identificare i responsabili. Ricordate, operano sotto anonimato e fuori dalla portata della legge. Sicuramente non riusciremmo a perseguire i criminali. Suggerirei che abbiamo bisogno di un approccio completamente nuovo. Questo approccio deve essere basato sull'idea che dobbiamo cambiare l'economia dei cattivi.
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
Per darvi un'idea di come può funzionare, pensiamo alla reazione di fronte a una pandemia sanitaria: SARS, Ebola, influenza aviaria, Zika. Qual è la priorità assoluta? Localizzare chi è infetto e capire come si diffonde l'epidemia. Governi, istituzioni private, ospedali, ricercatori, rispondono tutti apertamente e rapidamente. Si tratta di uno sforzo collettivo e altruistico per fermare sul nascere la diffusione dell'epidemia e per informare ogni persona sana su come proteggersi o vaccinarsi.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
Sfortunatamente, niente di questo accade di fronte a un attacco informatico. È molto più probabile che le società tengano segrete le informazioni sull'attacco. Perché? Perché hanno paura di avvantaggiare la concorrenza, di controversie legali, di regolamentazioni. Dobbiamo democratizzare in modo efficace l'intelligence sulle minacce informatiche. Bisogna che tutte le organizzazioni si aprano e condividano il contenuto del loro arsenale privato di informazioni. I cattivi si muovono rapidamente, noi dobbiamo essere più veloci di loro. Il miglior modo per farlo è quello di aprirsi e condividere dati su quello che sta succedendo.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
Inculchiamo questa idea nei professionisti della sicurezza. Ricordate, il loro DNA è programmato per mantenere segreti. Dobbiamo capovolgere questa linea di pensiero. Dobbiamo fare in modo che governi, istituzioni private e aziende di sicurezza condividano informazioni velocemente. Ed ecco perché: perché se condividiamo le informazioni, è come se ci vaccinassimo. Se non condividiamo, siamo effettivamente parte del problema, perché aumentiamo le possibilità che altre persone possano essere colpite dalle stesse tecniche di attacco.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
Esiste un vantaggio ancora più grande. Distruggendo quasi in tempo reale i dispositivi dei criminali, mandiamo i loro piani in frantumi. Informiamo le persone della loro volontà di attaccare molto prima di quanto si aspettino. Roviniamo la loro reputazione, facciamo a pezzi le loro valutazioni e recensioni. Facciamo in modo che il cybercrimine non paghi. Cambiamo l'economia dei cattivi. Ma per fare questo, era necessaria una prima mossa: qualcuno che cambiasse il modo di pensare in tutta l'industria della sicurezza.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
Circa un anno fa, a me e ai miei colleghi è venuta un'idea drastica. E se IBM avesse preso i nostri dati, e il nostro era uno dei più grandi database di intelligence sulle minacce, e li avesse resi pubblici? Non conteneva informazioni solo su quello che era accaduto in passato, ma anche su cosa stava succedendo quasi in tempo reale. E se avessimo pubblicato tutto apertamente su Internet? Come potete immaginare, c'è stata una forte reazione. Prima gli avvocati: quali sono le implicazioni legali? Poi il business: quali sono le implicazioni commerciali? Abbiamo anche incontrato tante persone che ci chiedevano solo se eravamo usciti di senno.
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
Tuttavia, una convinzione continuava a venire a galla in ogni dialogo: la realizzazione che, se non l'avessimo fatto, saremmo stati parte del problema. Abbiamo fatto qualcosa di mai visto nel settore della sicurezza. Abbiamo iniziato a pubblicare. Oltre 700 terabyte di dati operativi sulle minacce informatiche, incluse informazioni su attacchi in tempo reale, utilizzabili per fermare il cybercrimine sul nascere. Ad oggi, oltre 4000 organizzazioni fanno leva su questi dati, tra cui metà delle aziende nella classifica Fortune 100. Come prossimo passo, la nostra speranza è di convincere tutte queste società ad unirsi a noi, fare la stessa cosa e condividere le loro informazioni su quando e come vengono attaccate.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
Abbiamo tutti la possibilità di fermare il cybercrimine e sappiamo già come. Dobbiamo solo dare un'occhiata a quello che succede nel mondo della sanità, il modo in cui si affronta una pandemia. Semplicemente, dobbiamo essere aperti e collaborativi.
Thank you.
Grazie.
(Applause)
(Applausi)