Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
O crime cibernético está fora de controlo. Está por toda a parte. Ouvimos falar nele todos os dias. Este ano perderam-se ou foram roubados mais de dois mil milhões de registos. No ano passado, 100 milhões de pessoas, na maior parte norte-americanos, perderam os dados do seguro de saúde para ladrões, eu inclusive. O que é preocupante nisto, é que, na maior parte dos casos, passaram-se meses antes que alguém informasse que esses registos tinham sido roubados.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
Por isso, se assistirmos aos noticiários da noite, pensamos que, na maior parte, se trata de espionagem ou da atividade de um estado-nação. Claro, há uma parte que assim é. A espionagem é uma prática aceite internacionalmente. Mas, neste caso, é apenas uma pequena porção do problema que enfrentamos. Quantas vezes ouvimos dizer a seguir a uma interrupção: "... foi resultado de um sofisticado ataque de um estado-nação"? Bem, muitas vezes são empresas que não estão dispostas a denunciar as suas práticas de segurança deficientes. Há também uma crença bastante disseminada de que culpando um estado-nação por um ataque, estamos a manter à distância as entidades reguladoras, pelo menos, durante algum tempo.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
Mas então, de onde vem tudo isto? As Nações Unidas calculam que uns 80% provêm de grupos criminosos ultrassofisticados e fortemente organizados. Até hoje, isso representa uma das maiores economias ilegais do mundo, que atinge, reparem bem, 445 mil milhões de dólares Vou pôr isso em perspetiva: 445 mil milhões de dólares é um valor mais elevado do que o PIB de 160 nações, incluindo a Irlanda, a Finlândia, a Dinamarca e Portugal, para referir só alguns.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
Como é que isto funciona? Como é que esses criminosos manobram? Vou contar-vos uma história. Há cerca de um ano, os nossos investigadores de segurança andavam na pista de um cavalo de Troia bancário, vulgar mas sofisticado, chamado Dyre Wolf. O Dyre Wolf entrava no nosso computador, quando clicávamos numa ligação num email "phishing" em que provavelmente não devíamos clicar. Ele entrava e ficava à espera. Esperava até nos ligarmos à nossa conta bancária. Quando o fizéssemos, os mauzões entravam lá, roubavam as nossas credenciais, e depois usavam-nas para roubar o nosso dinheiro. Isto é terrível, mas a realidade é que, na indústria da segurança, esta forma de ataque é um lugar comum. No entanto, o Dyre Wolf tinha duas personalidades totalmente distintas, uma para estas pequenas transações, mas assumia uma pessoa totalmente diferente se tivéssemos por costume transferir grandes somas de dinheiro.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
Eis o que pode acontecer: Começamos o processo de emitir uma transferência e no cimo do ecrã aparece um quadro do nosso banco indicando que há um problema com a nossa conta e é necessário ligar para o banco imediatamente, indicando o número para o departamento de fraudes do banco. Nós agarramos no telefone e ligamos. Depois de passar pelas perguntas automáticas da praxe, somos atendidos por um operador de língua inglesa. "Altoro Mutual Bank, em que posso ajudá-lo?" E passamos por todo o processo igual ao que passamos sempre que ligamos para o banco. Damos o nome e o número da conta, passamos pelos controlos de segurança, para verificarem se somos quem dizemos que somos. Muitos de nós conhecemos tudo isso mas, na maior parte das transferências de grande escala são necessárias duas pessoas para aprovarem a transferência, por isso, o operador pede para passar à segunda pessoa, e volta a fazer o mesmo conjunto de verificações e controlos.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
Parece tudo normal, não é? Só há um problema: não estamos a falar com o banco. Estamos a falar com os criminosos. Montaram um gabinete de assistência em língua inglesa, imitações do "website" bancário. Isso foi executado de modo tão perfeito que estão a movimentar entre meio milhão e um milhão e meio de dólares por tentativa para os seus cofres criminosos.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
Estas organizações criminosas funcionam como as empresas legítimas, altamente regradas. Os seus empregados trabalham de segunda a sexta-feira. Gozam os fins de semana. Como é que sabemos isso? Sabemos porque os investigadores de segurança veem repetidos picos de vírus nas sextas à tarde. Os vigaristas, depois de um longo fim de semana com a mulher e os filhos, voltam para ver como correram as coisas.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
Passam o tempo na Internet Obscura. Este é um termo usado para descrever o ponto fraco anónimo da Internet, onde os ladrões podem manobrar anonimamente sem serem detetados. É aí que eles vendem o seu "software" de ataque e partilham informações sobre novas técnicas de ataque. Ali podemos comprar tudo, desde um ataque a nível básico até uma versão muito mais avançada. Com efeito, em muitos casos, até vemos níveis de serviço ouro, prata e bronze. Podemos verificar as referências. Podemos comprar ataques que são acompanhados de garantia de devolução do dinheiro...
(Laughter)
(Risos)
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
... se não forem bem-sucedidos. Estes ambientes, estes mercados parecem-se com um Amazon ou um eBay. Vemos os produtos, os preços, classificações e críticas. Claro que, se vamos comprar um ataque, vamos comprá-lo a um criminoso fiável com boas avaliações, não é?
(Laughter)
(Risos)
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
Isto não é muito diferente de ir consultar o Yelp ou o Tripdvisor antes de ir a um restaurante novo. Este é um exemplo. É a imagem de um ecrã de um fornecedor que vende vírus. Reparem que é um fornecedor de nível quatro, — o nível de confiança é seis. Tiveram 400 críticas positivas no ano passado, e só duas críticas negativas no mês passado. Até vemos coisas como condições de licenciamento. Este é um exemplo de um "site" onde podemos ir se quisermos mudar de identidade. Eles enviam-nos um BI falso, passaportes falsos. Mas reparem nas condições legais para comprar o BI falso. Por amor de Deus! O que é que eles vão fazer? Processam-nos se as violarmos?
(Laughter)
(Risos)
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
Isto aconteceu há uns meses. Uma das nossas investigadoras de segurança estava a observar uma aplicação de um novo vírus Android que tínhamos descoberto. Chamava-se Bilal Bot. Na publicação de um "post", ela situou o Bilal Bot como uma alternativa beta nova e sem custos ao GM Bot muito mais avançado que era lugar comum no mundo criminoso clandestino.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
Esta opinião não caiu bem nos autores do Bilal Bot. Portanto, escreveram-lhe este email, defendendo o seu caso e argumentando que achavam que ela tinha avaliado uma versão mais antiga. Pediam-lhe para fazer o favor de atualizar o blogue com informações mais rigorosas e até se ofereceram para fazer uma entrevista para explicarem em pormenor como o seu "software" de ataque era muito melhor do que o da concorrência.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
Vejam, não temos que gostar daquilo que eles fazem, mas temos que respeitar a natureza empresarial dos seus esforços.
(Laughter)
(Risos)
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
Como havemos de fazer parar isto? Não será possível identificar quem é responsável, eles funcionam a coberto do anonimato e fora do alcance da lei. Certamente não conseguiremos processar os prevaricadores. Sugiro que precisamos de uma abordagem totalmente nova. Essa abordagem precisa de estar centrada na ideia de que precisamos de mudar a economia para os vigaristas.
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
Para vos dar uma perspetiva de como isso pode funcionar, pensemos na resposta que vemos a uma pandemia de problemas de saúde, a SARS, o Ébola, a gripe das aves, o Zika. Qual é a prioridade das prioridades? É saber quem está infetado e como se está a espalhar a doença. Os governos, as instituições privadas, os hospitais, os médicos, todos reagem aberta e rapidamente. É um esforço coletivo e altruísta para deter a disseminação no seu início e informar todos os que não estão infetados como se protegerem ou se vacinarem.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
Infelizmente, não é isto que vemos em resposta a um ataque cibernético. As organizações estão mais dispostas a guardarem para si mesmas as informações sobre esses ataques. Porquê? Porque têm receio de desvantagens competitivas, de litígios, ou de regulamentações. Precisamos de democratizar os dados sobre informações de ameaças. Precisamos que todas essas organizações se abram e partilhem o que contêm no seu arsenal privado de informações. Os vigaristas movem-se depressa, nós temos que nos mover mais depressa ainda. A melhor forma de o fazer é abrirmo-nos e partilhar os dados sobre o que está a acontecer.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
Pensemos nisto na formação dos profissionais de segurança. Lembrem-se, são programados no seu ADN para guardarem segredos. Temos que dar a volta a essa mentalidade. Temos que levar os governos, as instituições privadas, e as empresas de segurança, a estarem dispostos a partilhar as informações com rapidez. Isto porque, se partilharmos as informações, isso é equivalente a uma vacina. Se não as partilharmos, estamos a contribuir para o problema, porque estamos a aumentar a possibilidade de outras pessoas sofrerem o impacto das mesmas técnicas de ataque.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
Mas há um benefício ainda maior. Destruindo os aparelhos criminosos em tempo real, damos cabo dos planos deles. Informamos as pessoas que eles desejam atingir muito mais depressa do que eles previram. Arruinamos a reputação deles, desmontamos as avaliações e as críticas. Fazemos com que o crime cibernético não compense. Transformamos a economia dos vigaristas. Para fazer isso, era necessário um primeiro passo, alguém que alterasse a mentalidade em toda a indústria de segurança.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
Há cerca de um ano, os meus colegas e eu tivemos uma ideia radical. E se a IBM agarrasse nos nossos dados — nós tínhamos uma dos maiores bases de dados de informações de ameaças do mundo — e a divulgasse? Tinha informações não apenas sobre o que acontecera no passado mas sobre o que estava a acontecer em tempo quase real. E se publicássemos tudo isso na Internet? Como podem imaginar, isto provocou uma enorme reação. Primeiro, vieram os advogados: Quais eram as implicações legais de fazer isso? Depois vieram as empresas: Quais eram as implicações disso para as empresas? E também houve uma boa dose de pessoas a perguntar se estávamos malucos de todo.
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
Mas houve uma conversa que ficou a flutuar à superfície em todos os diálogos que tivemos: a compreensão de que, se não o fizéssemos, contribuíamos para o problema. Então, fizemos uma coisa inaudita na indústria da segurança. Começámos a publicar. Mais de 700 terabytes de dados úteis sobre informações de ameaças incluindo informações sobre ataques em tempo real que podem ser usadas para deter o crime cibernético no seu início. Até hoje, mais de 4000 organizações estão a impulsionar estes dados, incluindo metade da Fortune 100. A nossa esperança, para o próximo passo, é conseguir que todas essas organizações se juntem a nós na mesma luta, e façam a mesma coisa e partilhem as suas informações sobre quando e como estão também a ser atacadas.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
Todos temos a oportunidade de fazer parar isto, e todos já sabemos como fazê-lo. Basta olharmos para a resposta que vemos no mundo dos cuidados de saúde e como eles respondem a uma pandemia. Em poucas palavras, precisamos de ser abertos e colaboradores.
Thank you.
Obrigado.
(Applause)
(Aplausos)