Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen.
Tội phạm trên mạng đã vượt ngoài tầm kiểm soát. Chúng tồn tại khắp mọi nơi. Chúng ta nghe về chúng mỗi ngày. Năm nay, hơn 2 tỷ hồ sơ bị mất hoặc bị lấy cắp. Vào năm ngoái, 100 triệu người, hầu hết là người Mỹ, bao gồm cả tôi, đã bị mất dữ liệu bảo hiểm y tế vào tay những kẻ trộm. Điều đặc biệt đáng lo ngại ở đây là trong hầu hết các trường hợp, đã mất hàng tháng trước khi có ai đó trình báo việc dữ liệu bị đánh cắp.
So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice. But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time.
Vậy, nếu bạn xem các bản tin buổi tối, chắc bạn sẽ nghĩ, hầu hết việc đó là hoạt động gián điệp hay quốc gia. Và, đúng, một số vụ thì đúng là như vậy. Hoạt động gián điệp, bạn thấy đấy, là một hoạt động được quốc tế chấp nhận. Nhưng trong trường hợp này, nó chỉ là một phần nhỏ trong vấn đề mà chúng ta đang đối mặt. Bạn có hay nghe thấy một vụ xâm nhập bị quy kết là: "kết quả của cuộc tấn công tinh vi tầm cỡ quốc gia?" Thông thường đó là các công ty không sẵn sàng thừa nhận những thiếu sót của họ trong vấn đề bảo mật thông tin. Cũng có nhiều người tin rằng bằng cách quy chụp vụ tấn công cho một quốc gia-dân tộc, bạn đang bắt các nhà chức trách phải có trách nhiệm -- ít nhất là trong một khoảng thời gian.
So where is all of this coming from? The United Nations estimates that 80 percent of it is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few.
Vậy tất cả các vụ tấn công bắt nguồn từ đâu? Liên Hợp Quốc ước tính rằng 80% các vụ tấn công xuất phát từ các nhóm tội phạm siêu tinh vi và có tổ chức. Đến nay, nó đại diện cho một trong những nền kinh tế bất hợp pháp lớn nhất thế giới, lên tới, giờ hãy nghe điều này, 445 tỷ đô la. Để tôi các bạn hình dung con số đó: 445 tỷ đô la lớn hơn GDP của 160 quốc gia, trong đó có Ireland, Phần Lan, Đan Mạch và Bồ Đào Nha, đó là một số ví dụ.
So how does this work? How do these criminals operate? Well, let me tell you a little story. About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry, this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers.
Vậy tổ chức này vận hành ra sao? Những tên tội phạm này hoạt động như thế nào? Tôi sẽ kể cho các bạn nghe một câu chuyện. Khoảng 1 năm về trước, các nhà nghiên cứu về bảo mật của chúng tôi đang theo dõi một Trojan thông thường nhưng rất tinh vi nhằm vào các ngân hàng gọi là Dyre Wolf. Dyre Wolf sẽ xâm nhập vào máy tính của bạn khi bạn nhấn vào một đường link trong một email lừa đảo mà lẽ ra bạn không nên làm thế. Sau đó nó sẽ ở đó và chờ đợi. Nó sẽ chờ đến khi bạn đăng nhập vào tài khoản ngân hàng. Và khi đó, những kẻ xấu sẽ tiếp cận, đánh cắp các thông tin đăng nhập, và sử dụng chúng để lấy cắp tiền của bạn. Điều này nghe có vẻ khủng khiếp, nhưng sự thật là, trong ngành công nghiệp bảo mật, dạng tấn công này khá là phổ biến. Tuy nhiên, Dyre Wolf có hai cơ chế tấn công hoàn toàn khác biệt -- một là đối với các giao dịch nhỏ lẻ, nhưng nó sẽ hành động theo cách hoàn toàn khác khi bạn thường xuyên làm việc với các giao dịch lớn qua mạng.
Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call. And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
Đây là những gì sẽ xảy ra. Bạn bắt đầu quá trình giao dịch qua mạng, và trên trình duyệt của bạn sẽ hiện ra một màn hình từ ngân hàng, thông báo rằng đã có vấn đề với tài khoản của bạn, và bạn cần phải gọi điện cho ngân hàng ngay lập tức, kèm theo số điện thoại đến phòng chống lừa đảo của ngân hàng. Vậy là bạn sẽ nhấc máy và thực hiện cuộc gọi. Sau khi nghe xong lời chào tự động thông thường, bạn được gặp nhân viên tổng đài nói tiếng Anh. "Xin chào, Ngân hàng Altoro Mutual. Tôi có thể giúp gì cho bạn?" Và bạn sẽ trải qua một trình tự như mọi lần bạn gọi tới ngân hàng, Cung cấp thông tin về tên và số tài khoản, Và trả lời các câu hỏi bảo mật để xác nhận danh tính đúng như bạn đã báo. Phần lớn chúng ta chắc không biết là, rất nhiều giao dịch quy mô lớn, yêu cầu có hai người ký xác nhận cho giao dịch đó, Cho nên nhân viên tổng đài yêu cầu bạn chuyển máy cho người thứ hai, để trải qua trình tự xác nhận và kiểm chứng y hệt.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers.
Nghe bình thường, phải không? Chỉ có một vấn đề: Bạn đang không nói chuyện với ngân hàng. Mà là với những tên tội phạm. Chúng dàn dựng một dịch vụ trợ giúp bằng tiếng Anh, giả mạo giao diện trang mạng của ngân hàng. Điều này được thực hiện hoàn hảo đến mức, chúng trung chuyển từ nửa triệu đến một triệu rưỡi đô la trong mỗi vụ xâm phạm thẳng vào túi bọn chúng.
These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday. They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went.
Những tổ chức tội phạm này vận hành như những doanh nghiệp cực kỳ quy củ và hợp pháp. Nhân viên của chúng làm việc từ thứ Hai đến thứ Sáu Họ nghỉ làm cuối tuần. Làm sao ta biết được điều này? Bởi vì các nhà nghiên cứu bảo mật của chúng tôi nhận thấy mức tăng đột biến và lặp lại của phần mềm độc hại vào chiều thứ Sáu Những kẻ xấu, sau cuối tuần nghỉ dài hơi với vợ con, quay lại để xem mọi việc tiến hành ra sao.
The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques. You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee --
Chúng dành thời gian truy cập "Mạng Đen". Đó là thuật ngữ mô tả góc khuất ẩn danh của mạng Internet, nơi kẻ trộm có thể hoạt động ẩn danh và không bị phát hiện. Ở đây, chúng rao bán các phần mềm xâm nhập và chia sẻ thông tin về các ngón nghề tấn công mới. Các bạn có thể mua mọi thứ ở đó, từ một phần mềm tấn công cơ bản cho đến phiên bản cao cấp hơn. Thực ra, trong nhiều trường hợp, bạn còn thấy dịch vụ cấp độ vàng, bạc và đồng. Bạn có thể kiểm tra lý lịch. Thậm chí bạn có thể mua các vụ tấn công kèm theo cam đoan hoàn lại tiền --
(Laughter)
(tiếng cười)
if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack, you're going to buy from a reputable criminal with good ratings, right?
nếu như bạn không thành công. Giờ đâu, những môi trường và khu mua bán này -- Chúng trông giống như Amazon hay eBay. Bạn thấy có sản phẩm, giá cả, xếp hạng và nhận xét. Khi bạn định mua một vụ tấn công, dĩ nhiên là, bạn sẽ mua của một tên tội phạm tiếng tăm với thứ hạng cao chứ?
(Laughter)
(tiếng cười)
This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity. They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them?
Chuyện này chẳng khác nào kiểm tra trên Yelp hay TripAdvisor trước khi thử một nhà hàng mới. Đây là một ví dụ. Ảnh chụp màn hình thực tế của một tên chuyên cung cấp phần mềm độc hại. Để ý thấy chúng là người bán cấp độ 4, với mức độ tín nhiệm là 6. Năm ngoái chúng có 400 nhận xét tích cực, và duy nhất hai nhận xét tiêu cực trong tháng trước. Chúng tôi thậm chí còn thấy những thứ như điều khoản sử dụng. Đây là ví dụ về 1 trang web bạn có thể vào nếu bạn muốn thay đổi danh tính. Họ sẽ bán cho bạn chứng minh thư giả, hộ chiếu giả. Nhưng hãy xem những điều khoản luật lệ ràng buộc khi mua chứng minh thư giả kìa. Cho tôi xin đi. Họ định làm gì cơ chứ? Kiện bạn nếu bạn vi phạm điều lệ đó à?
(Laughter)
(Tiếng cười)
This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot that was commonplace in the criminal underground.
Chuyện này xảy ra vào vài tháng trước. Một trong các chuyên gia bảo mật của chúng tôi đang tìm hiểu một ứng dụng phần mềm độc hại trên Android mà chúng tôi mới phát hiện. Nó được gọi là Bilal Bot. Trong một bài đăng blog, cô ấy nhận định Bilal Bot là một bản beta thay thế mới giá rẻ cho GM Bot, một phần mềm tinh vi hơn và rất phổ biến trong giới tội phạm ngầm.
This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition.
Bài viết đánh giá này không được lòng những kẻ viết ra Bilal Bot. Thế là chúng viết email này cho cô ấy, Biện hộ và tranh luận cho phần mềm của mình Rằng chúng cảm thấy cô ấy đã đánh giá một phiên bản cũ. Chúng yêu cầu cô ấy hãy cập nhật bài blog với những thông tin chính xác hơn thậm chí còn đề nghị một cuộc phỏng vấn để mô tả chi tiết cho cô ấy phần mềm tấn công của chúng giờ đã vượt xa đối thủ như thế nào.
So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature of their endeavors.
Nghe này, Bạn không cần phải đồng ý với hành vi của chúng, nhưng bạn cần tôn trọng bản tính kinh doanh trong những nỗ lực như thế.
(Laughter)
(Tiếng cười)
So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys.
Vậy chúng ta sẽ ngăn chặn việc này như thế nào? Có vẽ như chúng ta sẽ không thể tìm ra kẻ kẻ phạm tội -- nhớ rằng, chúng hoạt động ẩn danh bên ngoài vòng pháp luật. Chắc chắn chúng ta cũng không thể truy tố bọn chúng. Tôi đề nghị chúng ta nên tiếp cận theo hướng hoàn toàn mới. Và phương hướng này cần phải xoay quanh một tư tưởng rằng chúng ta phải thay đổi động cơ kinh tế của kẻ tội phạm
And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic: SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves.
Và để minh họa cách thức làm việc của nó, hãy nghĩ tới phản ứng thường thấy đối với đại dịch y tế: SARS, Ebola, cúm gà, Zika. Ưu tiên hàng đầu là gì? Chính là nắm được thông tin người nhiễm bệnh và cách dịch bệnh lan truyền. Vậy, chính phủ, tổ chức tư nhân, bệnh viện, y bác sỹ -- Tất cả đều phản hồi một cách cởi mở và nhanh chóng. Đây là một nỗ lực tập thể và xuất phát từ lòng vị tha Để ngăn chặn quá trình lan truyền bệnh và cảnh báo bất cứ ai chưa nhiễm bệnh biện pháp tự phòng tránh và tiêm ngừa.
Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves. Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening.
Thật không may, phản ứng với một cuộc tấn công mạng chẳng giống thế chút nào. Các tổ chức đa phần sẽ giữ kín thông tin về vụ tấn công trong nội bộ của họ. Tại sao như vậy? Bởi lẽ họ lo lắng về lợi thế cạnh tranh các vụ kiện tụng hay các quy định luật pháp. Chúng ta cần dân chủ hóa một cách hiệu quả dữ liệu tình báo về các nguy cơ. Chúng ta phải vận động các tổ chức này cởi mở ra và chia sẻ những thông tin cất giấu trong kho lưu trữ nội bộ của họ. Những kẻ xấu đang hành động nhanh chóng; chúng ta càng phải nhanh hơn bọn chúng. Và biện pháp tốt nhất là cần cởi mở và chia sẻ thông tin về vụ việc đã xảy ra.
Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets. We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques.
Hãy nghĩ về điều này trong bối cảnh đào tạo các chuyên viên bảo mật Nhớ rằng, họ được lập trình từ trong gien để giữ bí mật Chúng ta cần phải thay đổi quan niệm đó ngay từ gốc rễ của nó. Chúng ta phải vận động chính phủ, các tổ chức tư nhân và công ty bảo mật tự nguyện chia sẻ thông tin mau chóng. Và đây là lý do: bởi lẽ nếu bạn chia sẻ thông tin, điều đó tương đồng với việc tiêm ngừa. Và nếu bạn không chia sẻ, bạn thực chất là một phần của vấn đề, bởi vì bạn đang nâng cao khả năng người khác sẽ bị ảnh hưởng bởi cùng một mánh khóe tấn công.
But there's an even bigger benefit. By destroying criminals' devices closer to real time, we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall.
Nhưng còn có một lợi ích to lớn hơn thế. Bằng cách phá hủy các thiết bị của bọn tội phạm gần hơn với thời gian thực Chúng ta phá vỡ kế hoạch của chúng. Chúng ta cảnh báo những người chúng định tổn hại sớm hơn những gì chúng có thể phỏng đoán được Chúng ta hủy hoại tiếng tăm của chúng, Đạp đổ những bản xếp hạng và đánh giá. Chúng ta khiến cho tội phạm mạng chẳng đáng một xu. Chúng ta phá bỏ động cơ kinh tế của bọn người xấu Nhưng để làm được điều này, cần có một người tiên phong Ai đó để thay đổi quan niệm trong ngành công nghiệp bảo mật nói chung.
About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world -- and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy.
Khoảng một năm trước đây, Tôi và các đồng nghiệp có một ý tưởng táo bạo. Chuyện gì sẽ xảy ra nếu IBM đem các dữ liệu của chúng tôi một trong những cơ sở lưu trữ dữ liệu về các nguy cơ lớn nhất thế giới và công bố nó? Không chỉ là các thông tin về những vụ việc xảy ra trong quá khứ, mà còn là những gì đang diễn ra ngay gần đây. Nếu như chúng tôi công bố tất cả thông tin công khai trên mạng thì sao? Các bạn có thể tưởng tượng các phản hồi thế nào rồi Đầu tiên là các luật sư: Việc đó có tác động pháp lý thế nào? Rồi đến các doanh nghiệp: Chuyện này có tác động kinh doanh ra sao? Và còn kha khá những người khác đơn giản hỏi chúng tôi có phải bị điên rồi không.
But there was one conversation that kept floating to the surface in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight, and do the same thing and share their information on when and how they're being attacked as well.
Nhưng có một cuộc tranh luận luôn nổi bật lên trong các cuộc đàm thoại của chúng tôi: Sự tự ý thức rằng nếu chúng ta không làm việc này, thì chúng ta là một phần của vấn nạn. Nên chúng tôi đã làm một việc chưa từng thấy trong ngành bảo mật. Chúng tôi đã bắt đầu công bố. Hơn 700 terabytes dữ liệu hữu dụng về các nguy cơ, bao gồm thông tin về các vụ tấn công thời gian thực mà có thể sử dụng để ngăn chặn quá trình phạm tội công nghệ. Và tới nay, hơn 4000 tổ chức đang tận dụng dữ liệu này bao gồm nửa số trong danh sách Fortune 100. Và chúng tôi hy vọng bước tiếp theo sẽ là vận động toàn bộ các tổ chức cùng góp sức trong cuộc chiến này, làm điều tương tự là chia sẻ thông tin của họ cả về thời gian và cách thức của vụ tấn công.
We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative.
Chúng ta đều có cơ hội để ngăn chặn nó, và chúng ta đã biết phải làm thế nào. Tất cả những gì phải làm là nhìn vào biện pháp đổi phó trong ngành y tế, cách họ đối phó với một đại dịch. Nói đơn giản, chúng ta cần phải cởi mở và hợp tác.
Thank you.
Cám ơn.
(Applause)
(Vỗ tay)