Ich möchte Sie mitnehmen auf eine Reise durch die Zeit, in die Vergangenheit, ins Jahr 2017. Ich weiß nicht, ob Sie sich erinnern aber Dinosaurier bewohnten die Erde. Ich war in der Sicherheitsforschung, und hatte ungefähr fünf oder sechs Jahre damit verbracht, zu erforschen, wie APTs, das ist die Abkürzung für "advanced persistent threats", das sind staatliche Akteure, Spionage betreiben, gegen Journalisten und Aktivisten, Juristen und Wissenschaftler und allgemein gegen Menschen, die sich gegen Macht aussprechen.
I want you to travel back in time with me, to the before time, to 2017. I don't know if you can remember it, dinosaurs were roaming the earth. I was a security researcher, I had spent about five or six years doing research on the ways in which APTs, which is short for advanced persistent threats, which stands for nation-state actors, spy on journalists and activists and lawyers and scientists and just generally people who speak truth to power.
Ich war schon eine ganze Weile dabei, als ich herausfand, dass einer meiner Kollegen, mit dem ich die ganze Zeit zusammen gearbeitet hatte, angeblich ein Serienvergewaltiger ist. Das Erste, was ich tat, war jede Menge Artikel darüber zu lesen. Und im Januar 2018 las ich einen Artikel über einige seiner vermeintlichen Opfer. Was mich am meisten betroffen machte, war, wie verängstigt sie waren. Sie hatten richtig Angst, sie hatten Klebeband über ihre Handykameras geklebt und über ihre Laptops, und sie waren besorgt, dass er ein Hacker war und er sich bei ihnen einhacken und ihre Leben zerstören würde. Deshalb hatten sie für eine sehr lange Zeit geschwiegen.
And I'd been doing this for a while when I discovered that one of my fellow researchers, with whom I had been doing this all this time, was allegedly a serial rapist. So the first thing that I did was I read a bunch of articles about this. And in January of 2018, I read an article with some of his alleged victims. And one of the things that really struck me about this article is how scared they were. They were really frightened, they had, you know, tape over the cameras on their phones and on their laptops, and what they were worried about was that he was a hacker and he was going to hack into their stuff and he was going to ruin their lives. And this had kept them silent for a really long time.
Also war ich wütend. Und ich wollte nicht, dass sich irgendwer jemals wieder so fühlt. Also tat ich, was ich normalerweise tue, wenn ich wütend bin: Ich tweetete.
So, I was furious. And I didn't want anyone to ever feel that way again. So I did what I usually do when I'm angry: I tweeted.
(Lachen)
(Laughter)
Und zwar tweetete ich, dass, wenn du eine Frau bist, die von einem Hacker sexuell missbraucht wurde, und wenn dieser Hacker angedroht hat, sich in deine Geräte einzuhacken, dann kannst du mich kontaktieren und ich würde sicherstellen, dass deine Geräte eine komplette, kriminaltechnische Überprüfung erhalten. Danach ging ich in die Mittagspause.
And the thing that I tweeted was that if you are a woman who has been sexually abused by a hacker and that hacker has threatened to break into your devices, that you could contact me and I would try to make sure that your device got a full, sort of, forensic look over. And then I went to lunch.
(Lachen)
(Laughter)
Zehntausende Retweets später,
Ten thousand retweets later,
(Lachen)
(Laughter)
hatte ich unbeabsichtigt ein Projekt ins Rollen gebracht.
I had accidentally started a project.
Jeden Morgen wachte ich auf und meine Inbox war voll. Voll mit Geschichten von Männern und Frauen, die mir das Schlimmste erzählten, was ihnen jemals zugestoßen war. Ich wurde von Frauen kontaktiert, die von Männern ausspioniert wurden, von Männern, die von Männern bespitzelt wurden von Frauen, die von Frauen bespitzelt wurden aber die breite Mehrheit, die mich kontaktierte, waren Frauen, die von Männern sexuell missbraucht worden waren, und welche ihnen nun nachspionierten. In einem besonders interessanten Fall ging es um einen Mann, der mich ansprach, weil sein Freund ihn als schwul geoutet hatte, und das vor seiner extrem konservativen koreanischen Familie. Somit liegt das Problem nicht nur bei Männern, die Frauen ausspionieren.
So every morning, I woke up and my mailbox was full. It was full of the stories of men and women telling me the worst thing that had ever happened to them. I was contacted by women who were being spied on by men, by men who were being spied on by men, by women who were being spied on by women, but the vast majority of the people contacting me were women who had been sexually abused by men who were now spying on them. The one particularly interesting case involved a man who came to me, because his boyfriend had outed him as gay to his extremely conservative Korean family. So this is not just men-spying-on-women issue.
Ich bin hier um zu erzählen, was ich aus diesem Erlebnis gelernt habe. Was ich gelernt habe ist, dass Information durchsickert. So wie Wasser. Es gelangt an unerwünschte Orte. Der Mensch ist das Leck. Ihre Freunde geben Auskünfte über Sie. Ihre Familien geben Auskünfte über Sie. Sie gehen auf eine Party, jemand markiert Sie als 'anwesend'. Und das ist eine Art und Weise, wie Täter Informationen über Sie erhalten, die Sie ihnen vorenthalten würden. Es ist nicht ungewöhnlich, dass Täter Freunde und Familie aufsuchen, um Auskunft über ihre Opfer zu erhalten, unter dem Vorwand um deren 'mentale Gesundheit' besorgt zu sein.
And I'm here to share what I learned from this experience. What I learned is that data leaks. It's like water. It gets in places you don't want it. Human leaks. Your friends give away information about you. Your family gives away information about you. You go to a party, somebody tags you as having been there. And this is one of the ways in which abusers pick up information about you that you don't otherwise want them to know. It is not uncommon for abusers to go to friends and family and ask for information about their victims under the guise of being concerned about their "mental health."
Ich begegnete einer Art von Durchsickern, die Kompromittierung von Konten genannt wird. Ihr Gmail-Konto, Ihr Twitter-Konto, Ihr Instagram-Konto, Ihr iCloud, Ihre Apple ID, Ihr Netflix, Ihr TikTok -- Ich musste herausfinden, was TikTok ist. Hat es einen Benutzernamen, dann war es kompromittiert.
A form of leak that I saw was actually what we call account compromise. So your Gmail account, your Twitter account, your Instagram account, your iCloud, your Apple ID, your Netflix, your TikTok -- I had to figure out what a TikTok was. If it had a login, I saw it compromised.
Der Grund hierfür ist, das dein Täter nicht immer dein Täter ist. Häufig teilen Menschen in Beziehungen ihre Passwörter miteinander. Außerdem können Leute, die sehr vertraut miteinander sind, die sehr viel von einander wissen, Sicherheitsfragen des Partners erraten. Oder sie schauen sich gegenseitig über die Schulter, um die Handy-Passwörter zu sehen. Sie haben regelmäßigen Zugang zum Handy, oder auch Zugriff zum Laptop. Und das bereitet jede Menge Möglichkeiten um Kontos zu bearbeiten, was unglaublich gefährlich ist.
And the reason for that is because your abuser is not always your abuser. It is really common for people in relationships to share passwords. Furthermore, people who are intimate, who know a lot about each other, can guess each other's security questions. Or they can look over each other's shoulders to see what code they're using in order to lock their phones. They frequently have physical access to the phone, or they have physical access to the laptop. And this gives them a lot of opportunity to do things to people's accounts, which is very dangerous.
Die gute Nachricht ist: Wir haben einen Rat für Leute, um ihre Konten vor Übergriffen zu schützen. Wie schon bekannt besteht der Rat aus folgendem: Benutzen Sie starke, einzigartige Passwörter für alle Ihre Konten! Benutzen Sie stärkere und einmalige Passwörter als Antworten für Ihre Sicherheitsfragen, damit jemand, der den Namen Ihres Haustieres aus Ihrer Kindheit kennt, Ihr Passwort nicht zurücksetzen kann. Zuletzt, nutzen Sie die höchste Stufe an Zwei-Faktor-Authentifizierung, die Sie nutzen können. Selbst wenn der Täter an Ihr Kennwort kommt, kann er, ohne den zweiten Faktor, nicht auf Ihr Konto zugreifen.
The good news is that we have advice for people to lock down their accounts. This advice already exists, and it comes down to this: Use strong, unique passwords for all of your accounts. Use more strong, unique passwords as the answers to your security questions, so that somebody who knows the name of your childhood pet can't reset your password. And finally, turn on the highest level of two-factor authentication that you're comfortable using. So that even if an abuser manages to steal your password, because they don't have the second factor, they will not be able to log into your account.
Eine weitere Empfehlung: Sehen Sie sich die Sicherheits- und Datenschutztabs für die meisten Ihrer Konten an. Viele Konten haben ein Sicherheits- oder Datenschutztab, welches Ihnen sagt, welche Ihrer Geräte eingeloggt sind und von wo. Zum Beispiel bin ich jetzt hier und logge mich in mein Facebook aus La Quinta ein, wo dieses Treffen stattfindet. Und wenn ich mir beispielsweise meine Facebook-Anmeldungen ansehen würde, und sehen würde, dass sich jemand in Dubai einloggt, wäre es verdächtig, denn ich war seit langer Zeit nicht mehr in Dubai.
The other thing that you should do is you should take a look at the security and privacy tabs for most of your accounts. Most accounts have a security or privacy tab that tells you what devices are logging in, and it tells you where they're logging in from. For example, here I am, logging in to Facebook from the La Quinta, where we are having this meeting, and if for example, I took a look at my Facebook logins and I saw somebody logging in from Dubai, I would find that suspicious, because I have not been to Dubai in some time.
Aber manchmal ist es wirklich ein RAT. Wenn man mit RAT "Remote Access Trojaner" meint. Und wenn wir RAT sagen, meinen wir meistens Stalkerware. Einer der Gründe, wieso kompletten Zugang zu Ihrem Gerät zu bekommen für Regierungen verlockend ist, ist der gleiche Grund, wieso dies auch für ehemalige oder gewalttätige Partner verlockend ist.
But sometimes, it really is a RAT. If by RAT you mean remote access tool. And remote access tool is essentially what we mean when we say stalkerware. So one of the reasons why getting full access to your device is really tempting for governments is the same reason why getting full access to your device is tempting for abusive partners and former partners.
Wir tragen Ortungsgeräte den ganzen Tag in unserer Tasche herum. Wir tragen Geräte mit uns, die alle unsere Kennwörter, alle unsere Kommunikationen beinhalten, unsere end-to-end verschlüsselten Kommunikationen eingeschlossen. Alle unsere Emails, alle unsere Kontakte, alle unsere Selfies sind an einem Ort, an dem auch oft unsere finanziellen Informationen sind. So ist der komplette Zugriff auf das Mobiltelefon einer Person vergleichbar mit komplettem Zugang zu den Gedanken einer Person.
We carry tracking devices around in our pockets all day long. We carry devices that contain all of our passwords, all of our communications, including our end-to-end encrypted communications. All of our emails, all of our contacts, all of our selfies are all in one place, often our financial information is also in this place. And so, full access to a person’s phone is the next best thing to full access to a person's mind.
Stalkerware ermöglicht uns diesen Zugang. Also fragen Sie vielleicht, wie das geht? Stalkerware funktioniert so, dass es ein handelsübliches Programm ist, welches ein Täter kauft und auf dem Gerät installiert, welches er ausspionieren will, meistens weil sie direkten Zugang haben oder ihr Opfer dazu bringen können, es selbst zu installieren, indem sie etwa sagen: "Das hier ist ein sehr wichtiges Programm, dass du auf deinem Gerät installieren solltest." Dann bezahlen sie die Stalkerware-Firma für den Zugang zu einem Portal, welches ihnen alle Informationen von diesem Gerät gibt. Man bezahlt dafür etwa 40 Mäuse im Monat. So ist diese Art der Spionage auffallend billig.
And what stalkerware does is it gives you this access. So, you may ask, how does it work? The way stalkerware works is that it's a commercially available program, which an abuser purchases, installs on the device that they want to spy on, usually because they have physical access or they can trick their target into installing it themselves, by saying, you know, "This is a very important program you should install on your device." And then they pay the stalkerware company for access to a portal, which gives them all of the information from that device. And you're usually paying something like 40 bucks a month. So this kind of spying is remarkably cheap.
Wissen diese Firmen, dass ihre Mittel als Mittel des Missbrauchs genutzt werden? Absolut. Wenn man sich einmal die Marketing-Unterlagen für Cocospy, ein solches Produkt, ansieht, steht auf der Webseite, dass Cocospy Ihnen ermöglicht, ihre Frau mit Leichtigkeit zu bespitzeln, "Sie müssen sich keine Sorgen darüber machen, wo sie hingeht, mit wem sie redet und welche Webseiten sie besucht." Das ist ziemlich verstörend.
Do these companies know that their tools are being used as tools of abuse? Absolutely. If you take a look at the marketing copy for Cocospy, which is one of these products, it says right there on the website that Cocospy allows you to spy on your wife with ease, "You do not have to worry about where she goes, who she talks to or what websites she visits." So that's creepy.
HelloSpy, ein weiteres solches Produkt, hatte eine Marketing-Seite, auf der im Marketingtext überwiegend über die Häufigkeit des Betrügens berichtet wurde und wie wichtig es ist, Ihren Partner beim Betrügen zu erwischen, mit einem Bild eines Mannes, der offensichtlich seine Partnerin gerade beim Betrügen erwischt hat, und sie geschlagen hat. Sie hat ein blaues Auge und Blut im Gesicht. Ich glaube nicht, dass es noch infrage steht, auf wessen Seite sich HelloSpy in diesem Fall stellt und wem sie ihr Produkt verkaufen wollen.
HelloSpy, which is another such product, had a marketing page in which they spent most of their copy talking about the prevalence of cheating and how important it is to catch your partner cheating, including this fine picture of a man who has clearly just caught his partner cheating and has beaten her. She has a black eye, there is blood on her face. And I don't think that there is really a lot of question about whose side HelloSpy is on in this particular case. And who they're trying to sell their product to.
Wenn man Stalkerware auf dem Computer oder auf dem Handy hat, kann es ziemlich schwer werden, zu wissen, ob es da ist oder nicht. Und einer der Gründe dafür, ist wegen der Antiviren-Firmen, die Stalkerware oft nicht als schädlich anerkennen. Sie erkennen es nicht als Trojaner oder als etwas Anderes wovor man normalerweise gewarnt werden würde. Es gibt einige Ergebnisse vom Anfang dieses Jahres von VirusTotal. Ich glaube, dass ein Beispiel, welches ich mir anschaute, das Ergebnis erzielte, dass 7 von 60 der Plattformen die Stalkerware, die ich testete, erkannten. Hier ist eine weitere Probe, bei der es mir gelang, 10 -- 10 von 61 zu bekommen. Das sind immer noch sehr schlechte Ergebnisse.
It turns out that if you have stalkerware on your computer or on your phone, it can be really difficult to know whether or not it's there. And one of the reasons for that is because antivirus companies often don't recognize stalkerware as malicious. They don't recognize it as a Trojan or as any of the other stuff that you would normally find that they would warn you about. These are some results from earlier this year from VirusTotal. I think that for one sample that I looked at I had something like a result of seven out of 60 of the platforms recognized the stalkerware that I was testing. And here is another one where I managed to get 10, 10 out of 61. So this is still some very bad results.
Er ist mir gelungen, einige Antiviren-Firmen zu überzeugen, Stalkerware als schädlich zu markieren. Das heißt, alles was Sie machen müssen, wenn Sie Angst haben, dass Stalkerware auf Ihrem Computer sein könnte, ist, das Programm herunterzuladen, eine Untersuchung durchzuführen, und es sagt Ihnen: "Hey, da ist ein potenziell ungewolltes Programm auf Ihrem Gerät". Es gibt Ihnen die Möglichkeit, dieses zu entfernen, aber entfernt es nicht automatisch. Und einer der Gründe dafür ist, dass so Missbrauch funktioniert. Oft sind sich die Opfer von Missbrauch nicht sicher, ob sie den Täter warnen wollen, indem sie ihren Zugriff sperren. Oder sie haben Angst, dass der Täter zur Gewalt greifen wird oder vielleicht noch gewalttätiger werden wird, als es bisher der Fall war.
I have managed to convince a couple of antivirus companies to start marking stalkerware as malicious. So that all you have to do if you're worried about having this stuff on your computer is you download the program, you run a scan and it tells you "Hey, there's some potentially unwanted program on your device." It gives you the option of removing it, but it does not remove it automatically. And one of the reasons for that is because of the way that abuse works. Frequently, victims of abuse aren't sure whether or not they want to tip off their abuser by cutting off their access. Or they're worried that their abuser is going to escalate to violence or perhaps even greater violence than they've already been engaging in.
Kaspersky war eine der ersten Firmen, die sagten, sie würden anfangen, das hier ernst zu nehmen. Und im November dieses Jahres veröffentlichten sie einen Bericht, in dem sie sagten, dass, seit sie angefangen hätten, Stalkerware bei ihren Nutzern zu erkennen, hätten sie einen Zuwachs von 35% gesehen. Ähnlich veröffentlichte Lookout die Aussage, dass sie dieses Problem viel ernster nehmen würden. Zu guter letzt veröffentlichte auch eine Firma namens Malwarebytes eine solche Aussage und sagte, sie hätte, in der Zeit, in der sie danach suchte, 2500 Programme gefunden, die als Stalkerware bezeichnet werden konnten.
Kaspersky was one of the very first companies that said that they were going to start taking this seriously. And in November of this year, they issued a report in which they said that since they started tracking stalkerware among their users that they had seen an increase of 35 percent. Likewise, Lookout came out with a statement saying that they were going to take this much more seriously. And finally, a company called Malwarebytes also put out such a statement and said that they had found 2,500 programs in the time that they had been looking, which could be classified as stalkerware.
Im November half ich endlich, eine Koalition zu starten, genannt Coalition Against Stalkerware, die sich aus Akademikern zusammensetzt, aus Menschen, die diese Arbeit in der Praxis durchführen -- die, die Menschen helfen, von ihren gewalttätigen Partnern zu entkommen -- und Antiviren-Firmen. Und unser Ziel ist es, Menschen über diese Programme zu informieren, aber auch Antiviren-Firmen dazu zu bringen, die Normen ihres Verhaltens zu dieser sehr verstörenden Software zu verändern, sodass ich bald hier vor Ihnen stehen könnte und über das hier reden könnte, und sagen könnte, dass das Problem gelöst wurde und dass alles, was Sie dafür machen müssen, ist, sich Antivirenprogramme herunterzuladen, für die es normal sein wird, Stalkerware zu identifizieren. Das ist meine Hoffnung.
Finally, in November I helped to launch a coalition called the Coalition Against Stalkerware, made up of academics, people who are doing this sort of thing on the ground -- the practitioners of helping people to escape from intimate partner violence -- and antivirus companies. And our goal is both to educate people about these programs, but also to convince the antivirus companies to change the norm in how they act around this very scary software, so that soon, if I get up in front of you and I talk to you about this next year, I could tell you that the problem has been solved, and all you have to do is download any antivirus and it is considered normal for it to detect stalkerware. That is my hope.
Dankeschön.
Thank you very much.
(Applaus)
(Applause)