Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
Киберпреступность вышла из-под контроля. Она повсюду. Мы слышим о ней каждый день. В этом году более двух миллиардов записей данных были потеряны или украдены. А в прошлом году у 100 миллионов из нас, в большинстве своём американцев, были украдены данные о медицинском страховании, у меня в том числе. Самое тревожное в этой ситуации — то, что в большинстве случаев о похищении данных сообщали спустя месяцы после их кражи.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
Если вы смотрите вечерние новости, вы можете подумать, что это в основном шпионаж или деятельность правительств. И отчасти это верно. Шпионаж — это принятая международная практика. Но в данном случае это лишь небольшая часть проблемы, с которой мы столкнулись. Как часто мы слышим о преступлении, о котором говорят: «Это результат изощрённой атаки правительства»? Часто причиной являются компании, которые не хотят признать, что обладают слабыми системами защиты. Также существует распространённое мнение, что, обвиняя в атаках правительство, вы держите контролирующие органы на расстоянии, по крайней мере, на какое-то время.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
Так откуда же всё это берётся? По оценкам ООН, 80% атак совершаются сложно организованными и очень изощрёнными преступными группами. На данный момент они представляют собой одну из крупнейших нелегальных сфер бизнеса в мире, с оборотом, доходящим, только вдумайтесь, до 445 миллиардов долларов. Разрешите мне показать так, чтобы все вы поняли: 445 миллиардов долларов — это больше, чем ВВП 160 стран, включая Ирландию, Финляндию, Данию и Португалию, например.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
Так как это работает? Как действуют эти преступники? Я хочу рассказать небольшую историю. Около года назад наши исследователи безопасности наблюдали за обычной, но очень сложной банковской троянской программой Dyre Wolf. Dyre Wolf попадает в ваш компьютер, когда вы нажимаете на ссылку в письме-приманке, которого, вероятно, у вас не должно быть. Затем вирус сидит и ждёт. Он ждёт, пока вы зайдёте в свой банковский аккаунт. Как только вы это сделали, плохие парни проникают в него, крадут ваши учётные данные и затем используют их для кражи ваших денег. Это звучит ужасно, но на самом деле в сфере безопасности такая форма атаки — обычное дело. Однако у Dyre Wolf были две абсолютно разных личности: одна — для таких небольших операций, но затем она становилась совсем другой личностью, если вы занимаетесь банковским переводом больших сумм денег.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
Вот что может произойти. Вы начинаете процесс запуска банковского перевода, и в вашем браузере появляется экран от вашего банка, указывающий на то, что есть проблема с вашим аккаунтом и что вам нужно немедленно позвонить по определённому номеру в отдел банка по мошенничеству. Вы берёте телефон и звоните. И после прохождения обычных голосовых подсказок вы попадаете на англоговорящего оператора. «Здравствуйте, Кооперативный банк "Алторо". Чем я вам могу помочь?» И вы проходите через обычный процесс, как и всякий раз, когда звоните в банк: называете своё имя и номер счёта, проходите через проверки безопасности, чтобы подтвердить вашу личность. Многие из нас могут не знать, что многие банковские переводы больших сумм требуют присутствия двух человек для завершения процедуры перевода, поэтому оператор просит вас позвонить второму человеку и совершает такую же процедуру проверок и контроля.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
Звучит хорошо, верно? Но есть проблема: вы говорите не с банком. Вы говорите с преступниками. Они создали англоязычный справочный центр, поддельный банковский сайт. И это было сделано настолько безупречно, что за один раз они переводили от полумиллиона до полутора миллионов долларов за одну операцию в свои преступные сундуки.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
Эти криминальные организации работают словно упорядоченный законный бизнес. Их сотрудники работают с понедельника по пятницу и не работают по выходным. Откуда мы это знаем? Мы знаем это, потому что исследователи безопасности замечают повторяющиеся скачки в работе вредоносных программ в пятницу вечером. Плохие парни, после долгих выходных с жёнами и детьми, возвращаются, чтобы посмотреть на свои успехи.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
Больше всего времени они проводят в Тёмной Сети. Этот термин используется для описания безымянного подполья Интернета, где воры могут работать анонимно и не быть обнаруженными. Здесь они торгуют своими атакующими программами и делятся информацией о новых техниках атаки. Вы можете там купить всё: от атаки базового уровня до гораздо более продвинутой версии. На самом деле во многих случаях вы даже видите золотой, серебряный и бронзовый уровни обслуживания. Вы можете проверить рекомендации. Вы даже можете купить атаки с гарантией возврата денег...
(Laughter)
(Смех)
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
если атака была неудачной. Эти пространства, эти рынки, выглядят как платформы Amazon или eBay. Вы видите товары, цены, рейтинги и отзывы. Конечно, если вы собираетесь купить атаку, вы собираетесь купить её у солидного преступника с хорошим рейтингом, да?
(Laughter)
(Смех)
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
Это ничем не отличается от чтения отзывов на Yelp или TripAdvisor перед посещением нового ресторана. Вот один пример. Это реальный скриншот торговца вредоносными программами. Заметьте, это торговец уровня четыре, с уровнем доверия шесть. У него было 400 позитивных отзывов в прошлом году и лишь два негативных отзыва в прошлом месяце. Мы видим даже условия лицензирования. Вот пример сайта, который можно посетить, если хотите поменять свою личность. Они продадут вам фальшивый ID, фальшивые паспорта. Но взгляните на юридически обязывающие условия покупки фальшивого ID. Я вас умоляю! А что они сделают, если вы нарушите условия? Подадут в суд?
(Laughter)
(Смех)
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
Этот случай произошёл пару месяцев назад. Одна из наших специалистов по защите данных изучала новое вредоносное приложение для Android, которое мы обнаружили. Оно называлось Bilal Bot. В своём блоге она описала Bilal Bot как новый, недорогой и тестовый заменитель гораздо более продвинутому GM Bot, который был привычным в криминальном подполье.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
Этот отзыв не понравился авторам Bilal Bot. Поэтому они написали ей письмо, защищая своё дело и приводя аргументы о том, что, по их мнению, она оценила более старую версию. Они вежливо попросили её обновить свой блог более точной информацией и даже предложили провести интервью, чтобы описать ей в деталях, почему их программа атаки теперь намного лучше, чем у конкурентов.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
Смотрите, вам не должно нравиться, что они делают, но вы должны уважать предпринимательскую натуру разработчиков программ.
(Laughter)
(Смех)
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
Так как мы собираемся это остановить? Мы вряд ли узнаем, кто за это в ответе, — помните, они работают анонимно и за рамками закона. Мы, определённо, не сможем наказать виновных. Я считаю, что нам нужен совершенно новый подход. И этот подход должен быть сконцентрирован на идее о том, что нам нужно поменять экономику для плохих парней.
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
И, чтобы дать вам представление о том, как это может работать, давайте задумаемся о том, как мы останавливаем эпидемии болезней: ТОРС, Эбола, птичий грипп, вирус Зика. Что является главным приоритетом? Знание того, кто заражён и как распространяется болезнь. Правительства, частные организации, больницы, врачи — все отвечают открыто и быстро. Это коллективные и бескорыстые усилия для остановки распространения болезни на месте и информирования всех незаражённых о том, как защититься или сделать прививку.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
К сожалению, это совсем не то, что мы видим в ответе на кибератаку. Организации имеют тенденцию не раскрывать информацию о таких атаках. Почему? Потому что они обеспокоены конкурентным преимуществом, судебными процессами или правовыми нормами. Нам нужно эффективно демократизировать данные о разведке угрозы. Нам нужно заставить все эти организации открыться и поделиться тем, что есть в их частном арсенале информации. Плохие парни действуют быстро, мы должны действовать быстрее. И лучший способ сделать это — открыться и поделиться данными о том, что происходит.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
Подумайте о специалистах по безопасности. Помните, хранение секретов у них в крови. Нам нужно перевернуть это мышление с ног на голову. Нам нужно, чтобы правительства, частные организации и компании по безопасности захотели быстро делиться информацией. И вот почему: если вы делитесь информацией, это действует как прививка. А если не делитесь, вы на самом деле — часть проблемы, потому что вы повышаете шансы, что на других людях могут использоваться те же методы атак.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
Но здесь есть даже бо́льшая выгода. Разрушая устройства преступников ближе к текущему моменту, мы разрушаем их планы. Мы информируем людей, которым они хотят навредить, намного раньше, чем они запланировали. Мы разрушаем их репутацию, мы обрушиваем их рейтинги и отзывы. Мы делаем киберпреступления невыгодными. Мы меняем экономику для плохих парней. Но чтобы сделать это, был необходим первопроходец — тот, кто поменяет мышление во всей индустрии безопасности.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
Около года назад у меня и моих коллег появилась радикальная идея. Что, если IBM могло бы взять наши данные — у нас была одна из крупнейших баз данных по разведке угроз в мире — и сделать её доступной для всех? В ней содержалась информация не только о том, что происходило в прошлом, но и что происходило почти в реальном времени. Что, если бы мы могли опубликовать это всё открыто в Интернете? Как вы можете себе представить, это вызвало широкий отклик. Сначала спросили юристы: каковы правовые последствия? Затем спросили бизнесмены: каковы последствия для бизнеса? И это также нашло отклик у многих людей, просто спрашивавших, не сошли ли мы вообще с ума?
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
Но была одна тема, всплывавшая на поверхность в каждом диалоге: осознание того, что если бы мы этого не сделали, мы бы стали тогда частью проблемы. И мы сделали нечто неслыханное в индустрии безопасности. Мы начали публикацию. Свыше 700 терабайт актуальных баз данных об угрозах, включая информацию об атаках в реальном времени, которые могут быть использованы для остановки киберпреступлений на месте. И к настоящему моменту свыше 4 000 организаций предоставляют эти данные, включая половину списка Fortune 100. И наша надежда на следующем этапе — привлечь все эти организации присоединиться к нам в этой борьбе и делать то же самое, делиться информацией о том, когда и как их атаковали.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
У нас у всех есть возможность остановить это, и мы все уже знаем как. Всё, что нужно сделать, — посмотреть на ответ, который мы видим в мире здравоохранения, и на то, как они отвечают на эпидемии. Проще говоря, нам надо быть открытыми и сотрудничать.
Thank you.
Спасибо.
(Applause)
(Аплодисменты)