Θέλω να ταξιδέψετε μαζί μου πίσω στον χρόνο, πολύ παλιά, στο έτος 2017. Δεν ξέρω αν το θυμάστε, αλλά οι δεινόσαυροι περιπλανιόταν πάνω στη Γη. Ήμουν ερευνήτρια σε θέματα ασφαλείας. Είχα ξοδέψει περίπου πέντε ή έξι χρόνια κάνοντας έρευνα στους τρόπους με τους οποίους τα APTs - συντομογραφία που σημαίνει «εξελιγμένες επίμονες απειλές» - δηλαδή με άλλα λόγια παράγοντες εθνοκράτους, κατασκοπεύουν δημοσιογράφους, ακτιβιστές δικηγόρους, επιστήμονες και γενικά ανθρώπους που στηλιτεύουν την εξουσία.
I want you to travel back in time with me, to the before time, to 2017. I don't know if you can remember it, dinosaurs were roaming the earth. I was a security researcher, I had spent about five or six years doing research on the ways in which APTs, which is short for advanced persistent threats, which stands for nation-state actors, spy on journalists and activists and lawyers and scientists and just generally people who speak truth to power.
Και το έκανα αυτό για κάμποσο καιρό όταν ανακάλυψα ότι ένας από τους συναδέλφους ερευνητές, με τον οποίο έκανα αυτές τις έρευνες συνέχεια, ήταν ένας φερόμενος βιαστής κατά συρροήν. Έτσι το πρώτο πράγμα που έκανα ήταν να διαβάσω μερικά άρθρα για αυτό. Και τον Ιανουάριο του 2018, διάβασα ένα άρθρο σχετικά με κάποια από τα υποτιθέμενα θύματά του. Και ένα από τα πράγματα που πραγματικά με εντυπωσίασαν στο άρθρο αυτό ήταν το πόσο τρομαγμένα ήταν. Ήταν πραγματικά φοβισμένα είχαν, ξέρετε, καλύψει τις κάμερες των κινητών τους με ταινία καθώς και στα λάπτοπ τους, και αυτό που τους ανησυχούσε ήταν ότι ήταν χάκερ και ότι θα χάκαρε τα πράγματά τους και να καταστρέψει τις ζωές τους. Και αυτό τους είχε κρατήσει σιωπηλούς για πάρα πολύ καιρό.
And I'd been doing this for a while when I discovered that one of my fellow researchers, with whom I had been doing this all this time, was allegedly a serial rapist. So the first thing that I did was I read a bunch of articles about this. And in January of 2018, I read an article with some of his alleged victims. And one of the things that really struck me about this article is how scared they were. They were really frightened, they had, you know, tape over the cameras on their phones and on their laptops, and what they were worried about was that he was a hacker and he was going to hack into their stuff and he was going to ruin their lives. And this had kept them silent for a really long time.
Έτσι, ήμουν έξαλλη. Και δεν ήθελα ποτέ ξανά κάποιος να νιώσει έτσι. Έτσι έκανα αυτό που συνήθως κάνω όταν θυμώνω: Έγραψα στο Twitter.
So, I was furious. And I didn't want anyone to ever feel that way again. So I did what I usually do when I'm angry: I tweeted.
(Γέλια)
(Laughter)
Και αυτό που έγραψα ήταν ότι αν είσαι γυναίκα που έχει κακοποιηθεί σεξουαλικά από έναν χάκερ και αυτός ο χάκερ έχει απειλήσει να κάνει έφοδο στις συσκευές σας, να επικοινωνήσετε μαζί μου και θα προσπαθούσα να εξασφαλίσω ότι η συσκευή σας επιθεωρήθηκε πλήρως από «ιατροδικαστικής σκοπιάς». Και μετά έφυγα για μεσημεριανό.
And the thing that I tweeted was that if you are a woman who has been sexually abused by a hacker and that hacker has threatened to break into your devices, that you could contact me and I would try to make sure that your device got a full, sort of, forensic look over. And then I went to lunch.
(Γέλια)
(Laughter)
Δέκα χιλιάδες επανατιτιβίσματα αργότερα,
Ten thousand retweets later,
(Γέλια)
(Laughter)
είχα κατά τύχη ξεκινήσει ένα πρότζεκτ.
I had accidentally started a project.
Οπότε κάθε πρωί ξυπνούσα και τα εισερχόμενά μου ήταν γεμάτα μηνύματα. Ήταν γεμάτο από ιστορίες ανδρών και γυναικών που μου έλεγαν το χειρότερο πράγμα που τους είχε συμβεί. Ήρθαν σε επαφή μαζί μου γυναίκες που τις κατασκόπευαν άντρες, με άντρες που τους κατασκόπευαν άντρες, με γυναίκες που τις κατασκόπευαν γυναίκες, αλλά η συντριπτική πλειοψηφία τους ήταν γυναίκες που είχαν κακοποιηθεί σεξουαλικά από άντρες και που τώρα τις κατασκόπευαν. Μια συγκεκριμένη ενδιαφέρουσα περίπτωση ήταν ένας άντρας που ήρθε σε εμένα, επειδή ο σύντροφός του τον είχε εκθέσει ως γκέι στην υπερβολικά συντηρητική Κορεατική του οικογένεια. Επομένως αυτό δεν είναι απλώς ένα θέμα κατασκόπευσης αντρών σε γυναίκες.
So every morning, I woke up and my mailbox was full. It was full of the stories of men and women telling me the worst thing that had ever happened to them. I was contacted by women who were being spied on by men, by men who were being spied on by men, by women who were being spied on by women, but the vast majority of the people contacting me were women who had been sexually abused by men who were now spying on them. The one particularly interesting case involved a man who came to me, because his boyfriend had outed him as gay to his extremely conservative Korean family. So this is not just men-spying-on-women issue.
Και είμαι εδώ για να μοιραστώ αυτά που έμαθα από αυτή την εμπειρία. Αυτό που έμαθα είναι ότι τα δεδομένα διαρρέουν. Είναι σαν το νερό. Πηγαίνει σε μέρη που δεν το θέλουμε. Οι άνθρωποι έχουν διαρροή. Οι φίλοι σας δίνουν πληροφορίες για εσάς. Η οικογένειά σας δίνει πληροφορίες για εσάς. Πηγαίνετε σε ένα πάρτι, και κάποιος σας κάνει tag ότι εμφανιστήκατε εκεί. Και κατ' αυτόν τον τρόπο κακόβουλοι χρήστες συγκεντρώνουν πληροφορίες για εσάς τις οποίες κατά τα άλλα δεν θέλετε να γνωρίζουν. Δεν είναι σπάνιο οι δράστες να πηγαίνουν σε φίλους και οικογένεια και να ζητάνε πληροφορίες για τα θύματά τους προσποιούμενοι ότι ανησυχούν για την «ψυχική υγεία» τους.
And I'm here to share what I learned from this experience. What I learned is that data leaks. It's like water. It gets in places you don't want it. Human leaks. Your friends give away information about you. Your family gives away information about you. You go to a party, somebody tags you as having been there. And this is one of the ways in which abusers pick up information about you that you don't otherwise want them to know. It is not uncommon for abusers to go to friends and family and ask for information about their victims under the guise of being concerned about their "mental health."
Μια μορφή διαρροής που είδα ήταν ουσιαστικά αυτό που καλούμε παραβίαση λογαριασμού. Δηλαδή ο λογαριασμός σας στο Gmail, ο λογαριασμός σας στο Twitter, ο λογιαριασμός σας στο Instagram, το iCloud σας, το Apple ID σας, το Netflix σας, το TikTok σας - έπρεπε να ψάξω τι ήταν το TikTok -. Εάν λοιπόν είχε μια διαδικασία εισόδου, είχε παραβιαστεί.
A form of leak that I saw was actually what we call account compromise. So your Gmail account, your Twitter account, your Instagram account, your iCloud, your Apple ID, your Netflix, your TikTok -- I had to figure out what a TikTok was. If it had a login, I saw it compromised.
Και ο λόγος γι' αυτό είναι ότι ο δράστης δεν είναι πάντα ο δράστης σας. Είναι αρκετά σύνηθες για ανθρώπους σε μια σχέση να μοιράζονται συνθηματικά. Επιπλέον, άνθρωποι που έχουν έρθει πολύ κοντά, που ξέρουν πολλά ο ένας για τον άλλον, μπορούν να μαντέψουν ο ένας τις ερωτήσεις ασφαλείας του άλλου. Ή μπορεί να κοιτάξουν πάνω από τον άλλον για να δουν με ποιον κωδικό κλειδώνει το τηλέφωνό του. Συχνά έχουν φυσική πρόσβαση στο τηλέφωνο, ή έχουν φυσική πρόσβαση στον φορητό υπολογιστή. Και αυτό τους δίνει πολλές ευκαιρίες για να κάνουν πράγματα στους λογαριασμούς των ανθρώπων, κάτι που είναι πολύ επικίνδυνο.
And the reason for that is because your abuser is not always your abuser. It is really common for people in relationships to share passwords. Furthermore, people who are intimate, who know a lot about each other, can guess each other's security questions. Or they can look over each other's shoulders to see what code they're using in order to lock their phones. They frequently have physical access to the phone, or they have physical access to the laptop. And this gives them a lot of opportunity to do things to people's accounts, which is very dangerous.
Τα καλά νέα είναι ότι έχουμε συμβουλές προς τους ανθρώπους για να κλειδώσουν τους λογαριασμούς τους. Αυτή η συμβουλή ήδη υπάρχει, και είναι απλά αυτή: Χρησιμοποιείστε ισχυρά, μοναδικά συνθηματικά σε κάθε λογαριασμό σας. Χρησιμοποιείστε πιο ισχυρά και μοναδικά συνθηματικά ως απαντήσεις στις ερωτήσεις ασφαλείας σας έτσι ώστε κάποιος που γνωρίζει το όνομα του κατοικιδίου που είχατε μικροί να μην μπορεί να αλλάξει το συνθηματικό. Τέλος, ενεργοποιήστε το πιο υψηλό επίπεδο της αυθεντικοποίησης δύο παραγόντων που μπορείτε να χρησιμοποιήσετε άνετα. Έτσι ώστε ακόμη και αν ένας κακόβουλος χρήστης καταφέρει να κλέψει το συνθηματικό επειδή δεν θα έχει τον δεύτερο παράγοντα, δεν θα μπορέσει να εισέλθει στον λογαριασμό σας.
The good news is that we have advice for people to lock down their accounts. This advice already exists, and it comes down to this: Use strong, unique passwords for all of your accounts. Use more strong, unique passwords as the answers to your security questions, so that somebody who knows the name of your childhood pet can't reset your password. And finally, turn on the highest level of two-factor authentication that you're comfortable using. So that even if an abuser manages to steal your password, because they don't have the second factor, they will not be able to log into your account.
Το άλλο που θα έπρεπε να κάνετε είναι να ρίξετε μiα ματιά στις καρτέλες ασφάλειας και ιδιωτικότητας των περισσοτέρων λογαριασμών σας. Οι περισσότεροι λογαριασμοί έχουν μια καρτέλα ασφαλείας ή ιδιωτικότητας που σας λέει ποιες συσκευές συνδέονται, και σας λέει από πού συνδέονται. Για παράδειγμα, είμαι εδώ, συνδέομαι στο Facebook από την La Quinta, όπου διεξάγουμε αυτή τη συνάντηση και αν για παράδειγμα, έριχνα μια ματιά στις συνδέσεις μου στο Facebook και έβλεπα κάποιον να μπαίνει από το Ντουμπάι, θα το θεωρούσα ύποπτο, διότι δεν έχω πάει στο Ντουμπάι εδώ και κάμποσο καιρό.
The other thing that you should do is you should take a look at the security and privacy tabs for most of your accounts. Most accounts have a security or privacy tab that tells you what devices are logging in, and it tells you where they're logging in from. For example, here I am, logging in to Facebook from the La Quinta, where we are having this meeting, and if for example, I took a look at my Facebook logins and I saw somebody logging in from Dubai, I would find that suspicious, because I have not been to Dubai in some time.
Αλλά κάποιες φορές, είναι όντως ένα RAT. Αν με το RAT εννοείτε εργαλείο απομακρυσμένης πρόσβασης. Και ένα εργαλείο απομακρυσμένης πρόσβασης είναι σε τελική ανάλυση αυτό που εννοούμε όταν λέμε λογισμικό παρακολούθησης. Έτσι ένας από τους λόγους για τους οποίους η πλήρης πρόσβαση στην συσκευή σας είναι πραγματικά δελεαστική για τις κυβερνήσεις είναι ο ίδιος λόγος που η πλήρης πρόσβαση στη συσκευή σας είναι δελεαστική για κακούς συντρόφους και πρώην συντρόφους.
But sometimes, it really is a RAT. If by RAT you mean remote access tool. And remote access tool is essentially what we mean when we say stalkerware. So one of the reasons why getting full access to your device is really tempting for governments is the same reason why getting full access to your device is tempting for abusive partners and former partners.
Μεταφέρουμε επάνω μας συσκευές εντοπισμού όλη την ημέρα. Μεταφέρουμε συσκευές που περιέχουν όλα μας τα συνθηματικά, όλες μας τις επικοινωνίες, συμπεριλαμβανομένων των κρυπτογραφημένων επικοινωνιών. Όλα μας τα email, όλες μας οι επαφές, όλες μας οι σέλφι είναι όλα σε ένα μέρος, συχνά οι οικονομικές μας πληροφορίες είναι επίσης σε ένα μέρος. Και κάπως έτσι, η πλήρης πρόσβαση στο τηλέφωνο κάποιου είναι ό,τι πιο κοντινό στην πλήρη πρόσβαση στο μυαλό του.
We carry tracking devices around in our pockets all day long. We carry devices that contain all of our passwords, all of our communications, including our end-to-end encrypted communications. All of our emails, all of our contacts, all of our selfies are all in one place, often our financial information is also in this place. And so, full access to a person’s phone is the next best thing to full access to a person's mind.
Και ένα λογισμικό κατασκοπείας σας δίνει αυτή την πρόσβαση. Έτσι, ίσως ρωτήσετε, πώς δουλεύει αυτό; Το λογισμικό κατασκοπείας λειτουργεί ως ένα εμπορικά διαθέσιμο πρόγραμμα, το οποίο αγοράζει ένας κακόβουλος χρήστης, εγκαθιστά στη συσκευή που θέλει να κατασκοπεύσει, συνήθως επειδή έχει φυσική πρόσβαση ή μπορεί να ξεγελάσει τον στόχο του κάνοντάς τον να την εγκαταστήσει ο ίδιος, με το να πει, ξέρετε, «Αυτό είναι ένα πολύ σημαντικό πρόγραμμα που θα έπρεπε να έχεις εγκατεστημένο». Και μετά πληρώνει την εταιρεία του λογισμικού κατασκοπείας για πρόσβαση σε μια πύλη, που του δίνει όλες τις πληροφορίες αυτής της συσκευής. Και συνήθως πληρώνετε ένα ποσό περίπου 40 δολαρίων τον μήνα. Οπότε αυτό το είδος κατασκόπευσης είναι πραγματικά φθηνό.
And what stalkerware does is it gives you this access. So, you may ask, how does it work? The way stalkerware works is that it's a commercially available program, which an abuser purchases, installs on the device that they want to spy on, usually because they have physical access or they can trick their target into installing it themselves, by saying, you know, "This is a very important program you should install on your device." And then they pay the stalkerware company for access to a portal, which gives them all of the information from that device. And you're usually paying something like 40 bucks a month. So this kind of spying is remarkably cheap.
Γνωρίζουν αυτές οι εταιρείες ότι τα εργαλεία τους χρησιμοποιούνται ως εργαλεία κατάχρησης; Απόλυτα. Αν ρίξετε μια ματιά στο διαφημιστικό του Cocospy, ένα τέτοιο προϊόν, λέει στον ίδιο τον ιστότοπό του, ότι το Cocospy σας επιτρέπει να κατασκοπεύετε τη σύζυγό σας με ευκολία, «Δεν χρειάζεται να ανησυχείτε για το πού θα πάει, με ποιον μιλάει ή ποιες ιστοσελίδες επισκέπτεται». Είναι ανατριχιαστικό.
Do these companies know that their tools are being used as tools of abuse? Absolutely. If you take a look at the marketing copy for Cocospy, which is one of these products, it says right there on the website that Cocospy allows you to spy on your wife with ease, "You do not have to worry about where she goes, who she talks to or what websites she visits." So that's creepy.
Το Hellospy, που είναι ένα άλλο παρόμοιο προϊόν είχε μια διαφημιστική σελίδα η οποία μιλούσε περισσότερο για την πανταχού παρούσα απιστία μεταξύ συντρόφων και συζύγων και για το πόσο σημαντικό είναι να πιάσετε τον/την άπιστο/η σύντροφό σας συμπεριλαμβανομένης αυτής της τέλειας εικόνας ενός άντρα που ξεκάθαρα έχει πιάσει στα πράσα την σύντροφό του να τον εξαπατά και την έχει δείρει. Αυτή έχει ένα μαυρισμένο μάτι, στο πρόσωπό της υπάρχει αίμα. Και δεν νομίζω να υπάρχει πράγματι πολλή αμφιβολία για το με ποιανού το μέρος είναι το HelloSpy σε αυτή την περίπτωση. Και σε ποιους προσπαθούν να πουλήσουν το προϊόν τους.
HelloSpy, which is another such product, had a marketing page in which they spent most of their copy talking about the prevalence of cheating and how important it is to catch your partner cheating, including this fine picture of a man who has clearly just caught his partner cheating and has beaten her. She has a black eye, there is blood on her face. And I don't think that there is really a lot of question about whose side HelloSpy is on in this particular case. And who they're trying to sell their product to.
Αποδεικνύεται ότι αν έχετε λογισμικό κατασκοπείας στη συσκευή σας, μπορεί να είναι πολύ δύσκολο να μάθετε εάν αυτό είναι εκεί ή όχι. Και ένας από τους λόγους είναι διότι οι εταιρείες αντιικών προγραμμάτων συχνά δεν αναγνωρίζουν αυτά τα λογισμικά ως κακόβουλα. Δεν τα αναγνωρίζουν ούτε ως Δούρειους Ίππους ούτε ως κάποιο άλλο είδος κακόβουλου λογισμικού για το οποίο θα σας προειδοποιούσαν. Αυτά είναι μερικά από τα αποτελέσματα του προηγούμενου έτους από το VirusTotal. Νομίζω ότι για ένα δείγμα που κοίταξα το αποτέλεσμα ήταν ότι επτά από συνολικά 60 αντιικά προγράμματα αναγνώρισαν το λογισμικό κατασκοπείας που δοκίμαζα. Και εδώ είναι ακόμη ένα όπου κατάφερα να έχω 10, 10 από συνολικά 61. Επομένως αυτά εξακολουθούν να είναι πολύ κακά αποτελέσματα.
It turns out that if you have stalkerware on your computer or on your phone, it can be really difficult to know whether or not it's there. And one of the reasons for that is because antivirus companies often don't recognize stalkerware as malicious. They don't recognize it as a Trojan or as any of the other stuff that you would normally find that they would warn you about. These are some results from earlier this year from VirusTotal. I think that for one sample that I looked at I had something like a result of seven out of 60 of the platforms recognized the stalkerware that I was testing. And here is another one where I managed to get 10, 10 out of 61. So this is still some very bad results.
Έχω καταφέρει να πείσω κάνα δυο εταιρείες αντιικών προγραμμάτων να αρχίσουν να επισημαίνουν τα λογισμικά κατασκοπείας ως κακόβουλα. Το μόνο που πρέπει να κάνετε εάν ανησυχείτε αν έχετε ένα από αυτά στον υπολογιστή σας θα είναι απλά να κατεβάσετε το αντιικό, να κάνετε ένα σκανάρισμα με αυτό και να σας πει «Γεια, υπάρχουν μερικά πιθανώς ανεπιθύμητα προγράμματα στη συσκευή». Θα σας δίνει την επιλογή να τα απεγκαταστήσετε, αλλά δεν θα τα απεγκαθιστά αυτόματα. Ένας από τους λόγους για αυτό είναι το πώς λειτουργεί η κακοποίηση. Συχνά, θύματα κακοποίησης δεν είναι σίγουρα για το εάν θέλουν ή όχι να ενημερώνουν τον δράστη κόβοντας την πρόσβασή τους. Ή επειδή ανησυχούν ότι ο δράστης θα γίνει πιο βίαιος ή ίσως πολύ πιο βίαιος απ' ό,τι είναι τώρα.
I have managed to convince a couple of antivirus companies to start marking stalkerware as malicious. So that all you have to do if you're worried about having this stuff on your computer is you download the program, you run a scan and it tells you "Hey, there's some potentially unwanted program on your device." It gives you the option of removing it, but it does not remove it automatically. And one of the reasons for that is because of the way that abuse works. Frequently, victims of abuse aren't sure whether or not they want to tip off their abuser by cutting off their access. Or they're worried that their abuser is going to escalate to violence or perhaps even greater violence than they've already been engaging in.
Η Kaspersky ήταν μία από τις πρώτες εταιρείες που δήλωσε ότι επρόκειτο να λάβει σοβαρά υπόψη αυτή την κατάσταση. Και τον Νοέμβριο αυτού του έτους, εξέδωσε μία αναφορά στην οποία είπε ότι από τότε που άρχισε να καταγράφει λογισμικά κατασκοπείας των χρηστών της ότι είχε δει μία αύξηση κατά 35%. Παρομοίως, η Lookout βγήκε με μία δήλωση στην οποία έλεγε ότι θα λάβουν αυτή την κατάσταση πολύ πιο σοβαρά. Και τέλος, μια εταιρία με το όνομα Malwarebytes έκανε μια ανάλογη δήλωση και είπε ότι είχαν βρει 2.500 προγράμματα την περίοδο που έκαναν σχετική αναζήτηση, που θα μπορούσαν να κατηγοριοποιηθούν ως λογισμικά κατασκοπείας.
Kaspersky was one of the very first companies that said that they were going to start taking this seriously. And in November of this year, they issued a report in which they said that since they started tracking stalkerware among their users that they had seen an increase of 35 percent. Likewise, Lookout came out with a statement saying that they were going to take this much more seriously. And finally, a company called Malwarebytes also put out such a statement and said that they had found 2,500 programs in the time that they had been looking, which could be classified as stalkerware.
Τελικά, τον Νοέμβριο βοήθησα στην έναρξη μιας ένωσης με το όνομα Ένωση Κατά των Λογισμικών Κατασκοπείας, αποτελούμενη από ακαδημαϊκούς, από ανθρώπους που κάνουν αυτό το πράγμα ανάμεσα στο ευρύ κοινό - οι ειδικοί που βοηθούν ανθρώπους να ξεφύγουν από τη βία οικείων συντρόφων - και εταιρίες αντιικών προγραμμάτων. Και ο στόχος μας είναι διπλός: Να εκπαιδεύσουμε σχετικά τους ανθρώπους αλλά και να πείσουμε τις εταιρίες αντιικών προγραμμάτων να αλλάξουν το πλαίσιο λειτουργίας στο πώς αντιδρούν έναντι αυτού του πολύ τρομακτικού λογισμικού, έτσι ώστε, αν έρθω μπροστά σας και σας μιλήσω για αυτό την επόμενη χρονιά να μπορούσα να σας πω ότι το πρόβλημα έχει λυθεί, και ότι πρέπει μόνο να κατεβάσετε οποιοδήποτε αντιικό και ότι θα θεωρείται φυσιολογικό να ανιχνεύει τα λογισμικά κατασκοπείας. Αυτή είναι η ελπίδα μου.
Finally, in November I helped to launch a coalition called the Coalition Against Stalkerware, made up of academics, people who are doing this sort of thing on the ground -- the practitioners of helping people to escape from intimate partner violence -- and antivirus companies. And our goal is both to educate people about these programs, but also to convince the antivirus companies to change the norm in how they act around this very scary software, so that soon, if I get up in front of you and I talk to you about this next year, I could tell you that the problem has been solved, and all you have to do is download any antivirus and it is considered normal for it to detect stalkerware. That is my hope.
Σας ευχαριστώ πολύ.
Thank you very much.
(Χειροκρότημα)
(Applause)