Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
Cybercriminaliteit loopt de spuigaten uit. Het is overal. Elke dag horen we erover. Dit jaar werden er meer dan twee miljard persoonsgegevens verloren of gestolen. En vorig jaar werden van meer dan 100 miljoen mensen, voornamelijk Amerikanen, de zorgverzekeringsgegevens gestolen door dieven - waaronder de mijne. Wat in het bijzonder verontrustend is, is dat in de meeste gevallen het maanden duurde voordat iemand überhaupt aangifte deed van deze diefstal.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
Dus als je naar het avondnieuws kijkt, zou je denken dat veel hiervan spionage of overheidsactiviteit is. Dat is het deels. Spionage is een praktijk die internationaal geaccepteerd is. Maar in dit geval is dat maar een klein deel van het probleem waar we mee te maken hebben. Hoe vaak horen we niet over een beveiligingsinbreuk, gevolgd door "het was het resultaat van een uitgekiende natie-staat aanval." Dat is vaak het excuus van bedrijven die niet willen toegeven gebrekkige beveiliging te hebben. Ook wordt alom geloofd dat als een aanval aan een ander land wordt toegeschreven, je de regelgevers op afstand houdt, althans tijdelijk.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
Dus waar komt dit allemaal vandaan? De Verenigde Staten schatten dat 80 procent van de aanvallen bij zeer georganiseerde en verfijnde criminele bendes vandaan komt. Tot op heden is dit een van de grootste illegale economieën in de wereld, waar niet minder dan 445 miljard dollar in omgaat. Laat me dat in perspectief plaatsen: 445 miljard dollar is groter dan het BBP van 160 landen, waaronder Ierland, Finland, Denemarken en Portugal, om er enkele te noemen.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
Dus hoe werkt dit? Hoe gaan deze criminelen te werk? Laat me jullie een verhaal vertellen. Ongeveer een jaar geleden volgden onze veiligheidsonderzoekers een vrij normaal maar verfijnd Trojaans Paard genaamd de 'Dyre Wolf'. De Dyre Wolf kwam op je computer terecht als je op een link in een phishing e-mail klikte, iets wat je beter niet had kunnen doen. Hij zou dan wachten totdat je inlogde bij je bank. En zodra je dat deed, keken de boeven mee, stalen ze je gegevens, en gebruikten ze dat om je je geld afhandig te maken. Het klinkt verschrikkelijk, maar in werkelijkheid is een dergelijke aanval in de veiligheidsindustrie redelijk aan de orde van de dag. De Dyre Wolf had echter twee zeer verschillende personaliteiten -- een voor de kleine transacties, maar hij nam een compleet ander karakter aan als je grote bedragen geld overmaakte.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
Dat zag er meestal zo uit. Je begint een bedrag over te maken en krijgt je in je browser een melding van je bank dat er een probleem is met je rekening en je onmiddellijk de bank moet bellen, met daarbij het nummer van de fraudeafdeling van de bank. Dus je belt de bank. Na de normale stembandjes krijg je een Engelstalige medewerker aan de lijn: "Hallo, Altoro Mutual Bank. Hoe kan ik u van dienst zijn?" En je doorloopt het proces zoals altijd wanneer je je bank belt, waarbij je je naam en rekeningnummer geeft, de veiligheidschecks doorloopt om te verifiëren dat je bent wie je zegt. De meesten van ons weten dit niet, maar in overboekingen van grote bedragen dienen twee personen de overboeking te bevestigen, dus vraagt de medewerker die tweede persoon aan de lijn te krijgen, en doorloopt hij met die persoon dezelfde verificaties en controles.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
Klinkt normaal, nietwaar? Er is één probleem: je belt helemaal niet met de bank. Je belt met de criminelen. Zij hadden een Engelstalige helpdesk en nepoverlays van de bankwebsite gemaakt. En dit werd zo vlekkeloos uitgevoerd dat ze per poging tussen een half miljoen en anderhalf miljoen dollar binnenharkten.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
Deze criminele organisaties opereren als zeer geordende, legitieme bedrijven. Hun medewerkers werken van maandag tot vrijdag. 's Weekends zijn ze vrij. Hoe weten we dit? We weten dit omdat onze veiligheidsonderzoekers herhaalde uitschieters van malware zien op een vrijdagmiddag. De zware jongens komen, na een lang weekend met vrouw en kinders, terug om te kijken hoe de zaken zijn gegaan.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
Het Dark Web is waar ze hun tijd doorbrengen. Die term refereert aan de anonieme achterkamers van het internet, waar dieven anoniem te werk kunnen gaan zonder opgespoord te worden. Hier venten zij hun aanvalssoftware en delen ze informatie over nieuwe aanvalstechnieken. Je kan hier alles kopen, van een basistype aanval tot een veel geavanceerdere soort. In vele gevallen zie je zelfs gouden, zilveren en bronzen serviceniveaus. Je kan referenties bekijken. Je kan zelfs aanvallen kopen met 'niet goed, geld terug'-garantie,
(Laughter)
(Gelach)
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
voor als het je niet lukt. Deze omgevingen, deze marktplaatsen zien er gewoon uit als Amazon of eBay. Je vindt er producten, prijzen, beoordelingen en reviews. Natuurlijk, als je een aanval koopt, koop je die van een betrouwbare crimineel met goede beoordelingen, niet?
(Laughter)
(Gelach)
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
Dit is niet anders dan Yelp of Tripadvisor raadplegen voordat je een nieuw restaurant bezoekt. Dus, hier is een voorbeeld. Dit is een screenshot van een verkoper die malware verkoopt. Dit is een niveau vier verkoper, met betrouwbaarheidsniveau zes. Afgelopen jaar hebben ze 400 positieve reviews ontvangen en slechts twee negatieve in de afgelopen maand. We zien zelfs dingen als licentieovereenkomsten. Hier is een voorbeeld van een site die identiteitsveranderingen aanbiedt. Ze verkopen namaakidentiteitskaarten en -paspoorten. Maar let op de wettelijk bindende termen voor aankoop van een nep-identiteitskaart. Schei toch uit. Wat willen ze doen? Je aanklagen als je ze schendt?
(Laughter)
(Gelach)
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
Dit gebeurde enkele maanden geleden. Een van onze onderzoekers onderzocht een Android malware app die we hadden ontdekt. Hij heette Bilal Bot. In een blogpost werd de Bilal Bot neergezet als nieuw, goodkoop en een bèta-alternatief voor de meer geavanceerde GM Bot die gebruikelijker was in de criminele onderwereld.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
Deze review werd door de makers van Bilal Bot niet bepaald gewaardeerd. Dus ze schreven haar deze email, waarin ze hun zaak bepleitten en aanvoerden dat de reviewer een oudere versie had getest. Ze vroegen haar om haar blog te updaten met meer accurate info en boden zelfs aan een interview te doen om haar in geuren en kleuren te vertellen op welke manier hun aanvalssoftware nu veel beter dan de concurrentie was.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
Dus kijk, je hoeft het niet leuk te vinden wat ze doen, maar je moet de ondernemende natuur van hun inspanningen wel respecteren.
(Laughter)
(Gelach)
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
Dus hoe gaan we dit tegen? We kunnen natuurlijk niet identificeren wie hiervoor verantwoordelijk is -- ze opereren immers anoniem en buiten het bereik van de wet. We zijn ook niet in staat de overtreders te veroordelen. Ik zou een compleet andere aanpak willen voorstellen. En die aanpak moet op het idee gefocust zijn dat we die hele zwarte economie moeten gaan veranderen.
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
En om je een idee te geven over hoe dit in zijn werk kan gaan, kijken we naar de reactie die we zien op een gezondheidspandemie: SARS, Ebola, vogelgriep, Zika. Wat is de topprioriteit? Weten wie er geïnfecteerd is en hoe de ziekte zich verspreidt. Overheden, private instellingen, ziekenhuizen, artsen -- iedereen reageert snel en open. Dit is een collectieve en onbaatzuchtige inspanning om verspreiding in de kiem te smoren en iedereen die niet geïnfecteerd is te informeren over bescherming en inenting.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
Helaas is dit totaal niet wat we zien in reactie op cyberaanvallen. Organisaties houden juist vaak de gegevens over de aanval voor zichzelf. Waarom? Omdat ze zich zorgen maken over concurrentievoordeel, rechtszaken, of wetgeving. We moeten dreigingsgegevens op effectieve wijze democratiseren. We moeten zorgen dat al deze organisaties hun privébestanden met informatie beginnen te delen. De criminelen zijn vlug. Wij moeten nog vlugger zijn. En de beste manier om dat te doen is door je open te stellen en informatie te delen over wat aan de hand is.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
Laten we dit analyseren vanuit het perspectief van veiligheidsprofessionals. Vergeet niet, zij zijn ontworpen om geheimen te bewaren. En die denkwijze moeten we omkeren. We moeten overheden, privéondernemingen en beveiligingsbedrijven ertoe zetten met snelheid hun informatie te delen. Want als je de informatie deelt, is dat hetzelfde als inenting. En als je het niet deelt, ben je eigenlijk een deel van het probleem, want je verhoogt de kans dat anderen slachtoffer worden van dezelfde aanvalstechnieken.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
Maar er is een nog groter voordeel. Als we de malware sneller weten te vernietigen, blokkeren we hun plannen. We informeren mensen die mogelijk doelwit zijn veel sneller dan ze ooit hadden verwacht. We brengen hun reputatie ten val, we vermorzelen hun beoordelingen en reviews. We zorgen dat cybercriminaliteit niet meer loont. We veranderen het klimaat voor de criminelen. Maar om dit te doen, was er een pioneer nodig -- iemand die compleet de denkwijze in de beveiligingsindustrie doet omslaan.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
Ongeveer een jaar geleden hadden mijn collega's en ik een radicaal idee. Wat als IBM onze data -- wij hadden een van de grootse inlichtingendatabases ter wereld -- publiek zou maken? Het bevatte niet alleen informatie uit het verleden, maar ook over wat er in het heden gebeurde. Wat als we al dit openlijk op het internet zouden publiceren? Je kunt je voorstellen dat dit wat consternatie opleverde. Eerst de advocaten: wat zijn daar de wettelijke implicaties van? Toen de zakelijke kant: wat zijn de zakelijke gevolgen van dat plan? Daarnaast was er nog een horde mensen die zich afvroeg of we gek waren geworden.
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
Maar er was één ding dat telkens naar boven kwam drijven in elk gesprek dat we hadden: de realisatie dat als we dit niet zouden doen, wij een deel van het probleem zouden zijn. Dus we deden iets dat ongehoord was in de beveiligingsindustrie. We begonnen te publiceren. Meer dan 700 terabyte aan nuttige dreigingsgegevens, inclusief informatie over huidige aanvallen, die gebruikt kon worden cybercriminaliteit in de kiem te smoren. En tot op heden wordt onze data door meer dan 4,000 organisaties gebruikt, waaronder de helft van de Fortune 100-bedrijven. Onze hoop voor de volgende stap is om deze organisaties te engageren in ons gevecht en te zorgen dat ze hetzelfde doen en hun informatie delen over wanneer en hoe ze aangevallen worden.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
We hebben allemaal de kans het te stoppen en we weten reeds hoe dat mogelijk is. We hoeven slechts te kijken naar de reactie die we zien in de gezondheidszorg na het uitbreken van een epidemie. Simpel gezegd: we moeten open zijn en samenwerken.
Thank you.
Bedankt.
(Applause)
(Applaus)