Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
O crime cibernético está fora de controle. Está em todo canto. Ouvimos falar dele todos os dias. Este ano, mais de 2 milhões de registros foram perdidos ou roubados. E no ano passado, 100 milhões de nós, principalmente americanos, perdemos nossos dados de seguro de saúde para os ladrões, inclusive eu. O que é particularmente preocupante nisso é que, na maioria dos casos, levou meses até que alguém relatasse que esses registros tinham sido roubados.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
Então, se você assistisse ao noticiário da noite, acharia que muito disso é espionagem ou atividade do estado-nação. E, bem, parte disso é. Espionagem é uma prática internacional aceita. Mas neste caso, é apenas uma pequena parte do problema com o qual estamos lidando. Com que frequência ouvimos falar de uma violação seguida de: "... foi o resultado de um ataque sofisticado do estado-nação?" Bem, muitas vezes isso vem de companhias não dispostas a assumir suas próprias práticas de segurança deficientes. Há também uma forte crença de que ao culpar um estado-nação de um ataque, você afasta os reguladores, pelo menos por algum tempo.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
Então, de onde vem tudo isto? As Nações Unidas estimam que 80% disto vem de bandos criminosos altamente organizados e ultrassofisticados. Até a presente data, isso representa uma das maiores economias ilegais do mundo, chegando a alcançar, vejam só, US$ 445 bilhões. Deixem-me colocar isso em perspectiva para vocês: US$ 445 bilhões é maior do que o PIB de 160 nações, incluindo Irlanda, Finlândia, Dinamarca e Portugal, para citar algumas.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
Então, como isso funciona? Como esses criminosos operam? Bem, deixem-me contar uma breve história. Há cerca de um ano, nossos pesquisadores de segurança estavam rastreando um vírus bancário um tanto comum, mas sofisticado, chamado Dyre Wolf. O Dyre Wolf entrava no seu computador quando você clicava num link de um e-mail de phishing que você, provavelmente, não deveria ter aceitado. Ele então se instalaria e esperaria; esperaria até você entrar em sua conta bancária. E quando você entrasse, os bandidos chegariam, roubando seus dados, e depois os usariam para roubar seu dinheiro. Isso parece terrível, mas a realidade é que, no setor de segurança, esta forma de ataque é bem comum. No entanto, o Dyre Wolf tinha duas personalidades diferentes: uma para essas transações menores, mas ele assumia um caráter inteiramente diferente se o seu negócio fosse o de fazer transferências em grande escala.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
Aqui está o que aconteceria: você inicia o processo de emissão de uma transferência bancária, e no seu navegador aparece uma tela de seu banco, indicando um problema em sua conta, e que você precisa contatar o banco imediatamente, juntamente com o telefone do departamento de fraude do banco. Então você pega o telefone e liga. E depois de passar pelas orientações de voz costumeiras, você é transferido para um operador que fala inglês. "Olá, Banco Mutual Altoro. Como posso ajudá-lo?" E você passa pelo mesmo processo que passaria se ligasse para o seu banco, dando a eles o seu nome e seu número de conta, passando pelas verificações de segurança para confirmar se você é quem diz ser. Muitos podem não saber disso, mas muitas transferências bancárias em larga escala exigem que duas pessoas aprovem a transferência bancária, então o operador pede que você coloque a segunda pessoa na linha, e ela passa pela mesma série de verificações e confirmações.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
Parece normal, certo? Apenas um problema: você não está falando com o banco, está falando com os criminosos. Construíram uma central de atendimento em inglês, e falsas páginas iguais ao site do banco. E executaram isso com tanta perfeição que eles estavam movendo entre US$ 500 milhões a US$ 1,5 milhão por tentativa para seus cofres criminosos.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
Essas organizações criminosas operam como negócios altamente regimentados e legítimos. Seus empregados trabalham de segunda a sexta. Eles folgam nos fins de semana. Como sabemos disso? Sabemos porque nossos pesquisadores de segurança veem picos repetidos de "malware" numa tarde de sexta-feira. Os bandidos, após um longo fim de semana com a família, voltam para ver se as coisas foram bem.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
Eles passam seu tempo na Dark Web. Esse é um termo usado para descrever o submundo anônimo da internet, no qual os ladrões podem operar com anonimato e sem detecção. Aqui eles vendem seu software de ataque e compartilham informações sobre novas técnicas de ataque. Você pode comprar tudo lá, de um ataque de nível básico a uma versão muito mais avançada. Na verdade, em muitos casos, você até vê níveis de serviço ouro, prata e bronze. Você pode verificar referências, pode até comprar ataques que vêm com uma garantia de devolução do dinheiro,
(Laughter)
(Risos)
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
se você não for bem-sucedido. Esses mercados, se parecem com um Amazon ou um eBay. Você vê produtos, preços, classificações e avaliações. Claro, se você for comprar um ataque, que seja de um criminoso respeitável com boa classificação, certo?
(Laughter)
(Risos)
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
Isso não é diferente de pesquisar no Yelp ou TripAdvisor antes de ir a um novo restaurante. Então, aqui está um exemplo. Esta é uma imagem real de um fornecedor vendendo malware. Observem que é um fornecedor de nível quatro, com um nível de confiança de seis. Ele teve 400 comentários positivos no ano passado, e apenas dois negativos no último mês. Vemos até termos de licenciamento. Aqui está o exemplo de um site que pode visitar se quiser alterar sua identidade. Eles venderão a você uma identidade falsa, passaportes falsos... Vejam os termos juridicamente vinculativos de compra de sua identidade falsa. Tenha a santa paciência! O que eles vão fazer, processar você se violá-los?
(Laughter)
(Risos)
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
Isso ocorreu há alguns meses. Uma das nossas pesquisadoras investigava um novo aplicativo de malware do Android que tínhamos descoberto. Chamava-se Bilal Bot. Na postagem de um blog, ela posicionou o Bilal Bot como uma alternativa beta nova e barata comparada ao muito mais avançado GM Bot, que era comum no submundo criminoso.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
Este comentário não caiu bem com os criadores de Bilal Bot. Então, eles enviaram a ela este e-mail, defendendo o caso deles e argumentando que eles achavam que ela tinha avaliado uma versão mais antiga. Pediram a ela que atualizasse seu blog com informações mais precisas e até se ofereceram para dar uma entrevista para descrever em detalhes como o software de ataque deles era agora muito melhor do que a concorrência.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
Então, vejam, vocês não têm que gostar do que eles fazem, mas precisam respeitar a natureza empreendedora do trabalho deles.
(Laughter)
(Risos)
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
Então, como vamos impedir isso? Não é como se pudéssemos identificar o responsável; lembrem-se de que eles operam em anonimato e fora do alcance da lei. Com certeza não poderemos processar os infratores. Gostaria de sugerir que precisamos de uma abordagem completamente nova, e essa abordagem precisa estar centrada na ideia de que precisamos mudar a economia para os bandidos.
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
E para dar a vocês uma perspectiva sobre como isso pode funcionar, vamos pensar na resposta que vemos para uma pandemia na saúde: SARS, Ebola, gripe aviária, Zika. Qual é a prioridade máxima? É saber quem está infectado e como a doença se espalha. Governos, instituições privadas, hospitais, médicos, todos respondem aberta e rapidamente. Esse é um esforço coletivo e altruísta para impedir a propagação no seu início e informar qualquer pessoa não-infectada como se proteger ou se vacinar.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
Infelizmente, não é isso que vemos como resposta a um ataque cibernético. É bem mais provável que as organizações retenham informações sobre esse ataque para si mesmas. Por quê? Porque elas se preocupam com a vantagem competitiva, litígio ou regulamento. Temos que, efetivamente, democratizar dados sobre informações de ameaças. Precisamos que todas essas organizações se abram e compartilhem o que está em seu arsenal privado de informação. Os bandidos estão se movendo rapidamente; temos que nos mover mais rápido. E a melhor maneira de fazer isso é se abrir e compartilhar informações sobre o que está acontecendo.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
Consideremos isso da perspectiva dos profissionais de segurança. Lembrem-se, eles têm o DNA programado para manter segredos. Temos que reverter esse pensamento. Temos que fazer com que governos, instituições privadas, e empresas de segurança disponham-se a compartilhar informações com rapidez. E aqui está o porquê: se você compartilha as informações, isso equivale a uma vacina. E se você não está compartilhando, você é, na verdade, parte do problema, porque está aumentando as chances de outras pessoas serem afetadas pelas mesmas técnicas de ataque.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
Mas há um benefício ainda maior. Ao destruir dispositivos criminosos mais próximos do tempo real, destruímos os planos deles. Informamos as pessoas que eles pretendem prejudicar muito mais cedo do que eles tinham previsto. Nós arruinamos a reputação deles, esmagamos as classificações e avaliações. Fazemos com que o crime cibernético não compense. Mudamos a economia para os bandidos. Mas para isso, um primeiro passo foi necessário, alguém para mudar o pensamento geral na indústria de segurança.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
Cerca de um ano atrás, meus colegas e eu tivemos uma ideia radical. E se a IBM pegasse nossos dados, tínhamos um dos maiores bancos de dados de ameaças do mundo, e os divulgassem? Havia informações não apenas sobre o que tinha acontecido no passado, mas o que estava acontecendo quase em tempo real. E se publicássemos tudo abertamente na internet? Como podem imaginar, isso causou uma reação e tanto. Primeiro vieram os advogados: "Quais são as implicações de fazer isto?" Depois vieram as empresas: "Quais são as implicações para os negócios ao fazer isso?" E também houve uma boa dose de pessoas perguntando se estávamos completamente loucos.
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
Mas havia uma questão que vinha à tona em todas as conversas que tínhamos: a percepção de que se não fizéssemos isso, seríamos parte do problema. Então fizemos algo inédito no setor de segurança. Começamos a publicar. Mais de 700 terabytes de dados de informações de ameaça, incluindo informações sobre ataques em tempo real que podem ser usados para deter o crime cibernético no início. E até o momento, mais de 4 mil organizações estão usando esses dados, incluindo metade da Fortune 100. Nossa esperança para a próximo etapa é que todas essas organizações se juntem a nós na luta, e façam a mesma coisa, compartilhando suas informações sobre quando e como eles também estão sendo atacados.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
Temos a oportunidade de impedir isso, e todos nós já sabemos como. Tudo o que temos a fazer é observar as respostas que vemos no universo da saúde, e como elas respondem a uma pandemia. Simplificando, precisamos ser abertos e colaboradores.
Thank you.
Obrigado.
(Applause)
(Aplausos)