I want you to travel back in time with me, to the before time, to 2017. I don't know if you can remember it, dinosaurs were roaming the earth. I was a security researcher, I had spent about five or six years doing research on the ways in which APTs, which is short for advanced persistent threats, which stands for nation-state actors, spy on journalists and activists and lawyers and scientists and just generally people who speak truth to power.
از شما میخواهم با من به گذشته سفر کنید، به زمان قبل، به ۲۰۱۷. نمیدانم میتوانید به یاد بیاورید، که دایناسورها در زمین پرسه میزدند. من یک محقق امنیتی بودم و پنج یا شش سال را صرف انجام تحقیقات در مورد راههای ایتیپیها، کردم که مخفف شده تهدیدات پیشرفته مداوم است، که برای حمله سایبری در سطح کشوری است، جاسوسی خبرنگاران و فعالان و وکلا و دانشمندان و درکل کسانیکه حقیقت را با صراحت بیان میکنند.
And I'd been doing this for a while when I discovered that one of my fellow researchers, with whom I had been doing this all this time, was allegedly a serial rapist. So the first thing that I did was I read a bunch of articles about this. And in January of 2018, I read an article with some of his alleged victims. And one of the things that really struck me about this article is how scared they were. They were really frightened, they had, you know, tape over the cameras on their phones and on their laptops, and what they were worried about was that he was a hacker and he was going to hack into their stuff and he was going to ruin their lives. And this had kept them silent for a really long time.
و زمانی درحال انجام این کار بودم و زمانی متوجه شدم که یکی از همکاران محققم، کسی که در تمام این مدت باهم کار انجام میدادیم ظاهرا یک متجاوز سریالی است. بنابراین اولین کاری که کردم این بود که یک سری مقاله دراینباره خواندم. و در ژانویه ۲۰۱۸، مقالهای راجب یکی از قربانیان او خواندم و یکی از چیزهایی که من را بهشدت به خودش مشغول کرد این بود که آنها چهقدر ترسیدهاند. آنها واقعا وحشت کرده بودند، میدانید، آنها چیزهایی با دوربین موبایلهایشان ضبط کرده بودند و یا در لپتاپهایشان، و چیزی که آنها را می ترساند هکر بودن او بود و او میخواست برای هک به داخل دستگاهشان نفوذ کند و زندگی آنها را نابود کند. و این موضوع آنها را برای مدت طولانی ساکت نگه میداشت.
So, I was furious. And I didn't want anyone to ever feel that way again. So I did what I usually do when I'm angry: I tweeted.
پس من خشمگین شدم. و نمیخواستم کسی این موضوع را دوباره تجربه کند. پس کاری را که معمولا موقع عصبانیت انجام میدهم، انجام دادم: توییت کردم.
(Laughter)
(خنده حضار)
And the thing that I tweeted was that if you are a woman who has been sexually abused by a hacker and that hacker has threatened to break into your devices, that you could contact me and I would try to make sure that your device got a full, sort of, forensic look over. And then I went to lunch.
و چیزی که توییت کردم این بود که اگر شما زنی هستید که توسط یک هکر مورد آزار جنسی قرار گرفتهاید و آن هکر شما را به نفوذ به داخل سیستمتان تهدید کرده است، میتوانید با من در ارتباط باشید و من تلاش میکنم تا شما را مطمئن کنم که دستگاه شما به نوعی کالبدسنجی شود. و بعد برای ناهار رفتم.
(Laughter)
(خنده)
Ten thousand retweets later,
و دههزار بار باز نشر شد
(Laughter)
(خنده)
I had accidentally started a project.
من تصادفی یک پروژه را شروع کرده بودم.
So every morning, I woke up and my mailbox was full. It was full of the stories of men and women telling me the worst thing that had ever happened to them. I was contacted by women who were being spied on by men, by men who were being spied on by men, by women who were being spied on by women, but the vast majority of the people contacting me were women who had been sexually abused by men who were now spying on them. The one particularly interesting case involved a man who came to me, because his boyfriend had outed him as gay to his extremely conservative Korean family. So this is not just men-spying-on-women issue.
پس هر روز صبح که بیدار میشدم لیست ایمیلهایم پر بود. پر از داستان درباره مردها و زنهایی که که بدترین داستان زندگیشان را که برایشان اتفاق افتاده بود، برایم تعریف میکردند. با زنهایی ارتباط داشتم که یک مرد جاسوسیشان را میکرد، با مردهایی که توسط مردهای دیگر جاسوسی میشدند زنهایی که توسط زنهای دیگر جاسوسی میشدند، ولی اکثریت افرادی که با من درارتباط بودند زنهایی بودند که مورد سوءاستفاده جنسی قرار میگرفتند توسط مردانی که در حال حاضر جاسوسی آنها را میکردند. یکی ازموارد خیلی هیجانانگیز درباره یک مرد بود که پیش من آمد، چون دوست پسرش راز او را به خانواده بهشدت محافظه کار کرهایاش در مورد همجنسگرا بودنش لو داده بود. بنابراین این موضوع فقط برای جاسوسی زنها توسط مردها نیست.
And I'm here to share what I learned from this experience. What I learned is that data leaks. It's like water. It gets in places you don't want it. Human leaks. Your friends give away information about you. Your family gives away information about you. You go to a party, somebody tags you as having been there. And this is one of the ways in which abusers pick up information about you that you don't otherwise want them to know. It is not uncommon for abusers to go to friends and family and ask for information about their victims under the guise of being concerned about their "mental health."
و من اینجا هستم برای اشتراک گذاری چیزی که از این تجربه یاد گرفتهام. من یاد گرفتهام که دادهها نشت میکند. و مثل آب میماند. و به جایی میرود که شما نمیخواستید. نشتهای انسانی. دوستان شما اطلاعاتی درباره شما دارند. خانواده شما اطلاعاتی درباره شما دارند. شما به یک مهمانی میروید، شخصی شما را بهعنوان کسی که آنجا بودید برچسب میزند. و این یکی از راههایی است که سوءاستفادهكنندگان اطلاعاتتان را برخلاف خواسته شما برمیدارند. این غیرعادی نیست که سوءاستفادهكنندگان به سراغ دوستان و خانوادهتان بروند. و اطلاعاتی درباره قربانیانشان تحت پوشش افراد نگران درباره «سلامت روان» آنها بخواهند.
A form of leak that I saw was actually what we call account compromise. So your Gmail account, your Twitter account, your Instagram account, your iCloud, your Apple ID, your Netflix, your TikTok -- I had to figure out what a TikTok was. If it had a login, I saw it compromised.
یکی از راههای نشت اطلاعات که من دیدم این چیزی است که ما به خطر افتادن حساب کاربری مینامیم. حساب جیمیلتان، حساب توییترتان، حساب اینستاگرامتان، آیکلودتان، شناسه اپلتان، نتفیلیکستان، تیکتاکتان... من باید میفهمیدم که تیکتاک چیست. اگر ورود به سیستم داشت، آن را در معرض خطر میدیدم.
And the reason for that is because your abuser is not always your abuser. It is really common for people in relationships to share passwords. Furthermore, people who are intimate, who know a lot about each other, can guess each other's security questions. Or they can look over each other's shoulders to see what code they're using in order to lock their phones. They frequently have physical access to the phone, or they have physical access to the laptop. And this gives them a lot of opportunity to do things to people's accounts, which is very dangerous.
و دلیل من این است که سواستفاده کنندگان شما همیشه فقط سواستفاده کنندگان شما نیستند. مردم در روابطشان هم رمزها را به اشتراک میگذارند. علاوه بر این، افراد صمیمی، که درباره هم اطلاعات زیادی دارند، میتوانند سوالات امنیتی هم را حدس بزنند. یا میتوانند مخفیانه نگاه کنند تا ببینند چه رمزی برای ورود به داخل موبایلشان وارد میکنند. آنها غالبا دسترسی فیزیکی به تلفن همراه دارند، یا دسترسی فیزیکی به لپتاپ دارند. و این به آنها فرصتهای بسیاری میدهد تا کارهایی با حساب کاربری مردم انجام دهند، که خطرناک است.
The good news is that we have advice for people to lock down their accounts. This advice already exists, and it comes down to this: Use strong, unique passwords for all of your accounts. Use more strong, unique passwords as the answers to your security questions, so that somebody who knows the name of your childhood pet can't reset your password. And finally, turn on the highest level of two-factor authentication that you're comfortable using. So that even if an abuser manages to steal your password, because they don't have the second factor, they will not be able to log into your account.
خبر خوب این است که ما پیشنهادی برای مردم برای قفل کردن حسابهای کاربریشان داریم این توصیه موجود بوده است، و به شرح زیر است: استفاده از رمزهای یکتا، قوی برای تمام حسابهای کاربریتان. استفاده از رمزهای قویتر، و یکتاتر مانند جوابهایتان به سوالات امنیتی، پس کسانیکه شما را میشناسند اسم حیوان خانگی دوران کودکیتان را میدانند نمیتوانند رمز شما را از نوبسازند. و در نهایت، فعال کردن یک احراز هویت دو عاملی که شما در استفاده کردن از آن راحت هستید. بنابراین اگر یک سواستفادهگر رمز شما را دزدید، چون عامل دوم را ندارند، نمیتوانند به حساب کاربریتان وارد شوند.
The other thing that you should do is you should take a look at the security and privacy tabs for most of your accounts. Most accounts have a security or privacy tab that tells you what devices are logging in, and it tells you where they're logging in from. For example, here I am, logging in to Facebook from the La Quinta, where we are having this meeting, and if for example, I took a look at my Facebook logins and I saw somebody logging in from Dubai, I would find that suspicious, because I have not been to Dubai in some time.
کار دیگری که باید انجام دهید باید نگاهی به صفحات امنیتی و خصوصی بیاندازید برای بیشتر حسابهایتان. بیشتر حسابها دارای صفحه امنیتی و خصوصی هستند که به شما میگویند چه دستگاههایی وارد شدهاند، و میگویند از کجا وارد شدهاند. برای مثال، من اینجا هستم، از لاکوینتا وارد فیسبوک شدهام، جایی که ما هم را ملاقات کردهایم، و به طور مثال اگر، من نگاهی به ورودیهای فیسبوکم داشته باشم و کسی از دبی وارد شده باشد، میفهمم که مشکوک است، چون من هیچ وقت در دبی نبودهام.
But sometimes, it really is a RAT. If by RAT you mean remote access tool. And remote access tool is essentially what we mean when we say stalkerware. So one of the reasons why getting full access to your device is really tempting for governments is the same reason why getting full access to your device is tempting for abusive partners and former partners.
ولی بعضی از مواقع، واقعا یک «رت» است. اگر منظور شما از رت یک کنترل از راه دور است. و ابزار کنترل از راه دور اساسا چیزی است که وقتی در مورد نرم افزار استالکر حرف میزنیم. یکی از دلایلی که چرا دسترسی کامل به دستگاه شما واقعا برای دولتها وسوسهانگیز است به همان دلیل است که دسترسی کامل به دستگاه شما برای شرکای سواستفادهگر و سابق شما وسوسه کننده است.
We carry tracking devices around in our pockets all day long. We carry devices that contain all of our passwords, all of our communications, including our end-to-end encrypted communications. All of our emails, all of our contacts, all of our selfies are all in one place, often our financial information is also in this place. And so, full access to a person’s phone is the next best thing to full access to a person's mind.
ما دستگاههای ردیابی را برای کل روز در جیبمان حمل میکنیم. وسیلهای که تمام رمزهایمان را دارد با خودمان حمل میکنیم، همه ارتباطات ما، که شامل تمام ارتباطات رمزنگاری شده ما میشود. همهی ایمیلهای ما، همه مخاطبان ما، همه سلفیهای ما همه در یک مکان هستند، معمولا اطلاعات مالی ما نیز در این مکان است. و بنابراین، دسترسی کامل به موبایل شخصی بهترین گام بعدی برای دسترسی کامل به ذهن شخص است.
And what stalkerware does is it gives you this access. So, you may ask, how does it work? The way stalkerware works is that it's a commercially available program, which an abuser purchases, installs on the device that they want to spy on, usually because they have physical access or they can trick their target into installing it themselves, by saying, you know, "This is a very important program you should install on your device." And then they pay the stalkerware company for access to a portal, which gives them all of the information from that device. And you're usually paying something like 40 bucks a month. So this kind of spying is remarkably cheap.
و چیزی که استالکرها انجام میدهند این است که این امکان را به شما میدهند. پس، ممکن است بپرسید، چگونه کار میکند؟ طرز کار استالکر این است که یک برنامه تجاری در دسترس است، که خرابکاران آن را میخرند، و روی دستگاهی که میخواهند جاسوسیاش را بکنند نصب میکنند، بیشتربه دلیل اینکه دسترسی فیزیکی دارند یا میتوانند هدفشان را فریب دهند تا خودشان برنامه را نصب کنند، با بیان اینکه، میدانید، «این یک برنامه بسیار مهم است شما بهتر است آن را روی دستگاهتان نصب کنید.» سپس به شرکت استالکر پولی پرداخت میکنند برای دسترسی به یک پورتال، تا تمام اطلاعات سیستم را به آنها بدهد. و شما معمولا حدود ۴۰ دلار در ماه پرداخت میکنید. بنابراین این نوع از جاسوسی بهطور قابل توجهی ارزان است.
Do these companies know that their tools are being used as tools of abuse? Absolutely. If you take a look at the marketing copy for Cocospy, which is one of these products, it says right there on the website that Cocospy allows you to spy on your wife with ease, "You do not have to worry about where she goes, who she talks to or what websites she visits." So that's creepy.
آیا این شرکتها میدانند که ابزارهایشان به عنوان ابزاری برای جاسوسی استفاده میشود؟ بدون شک. اگر نگاهی به نسخه بازاریابی Cocospy بیاندازید، که یکی از این محصولات است، درست در همان وب سایت میگوید که Cocospy به شما اجازه جاسوسی از همسرتان را بهراحتی میدهد، «لازم نیست نگران اینکه کجا میرود باشید، با چه کسی حرف میزند یا چه سایتی را چک میکند.» بنابراین عجیب وغریب است.
HelloSpy, which is another such product, had a marketing page in which they spent most of their copy talking about the prevalence of cheating and how important it is to catch your partner cheating, including this fine picture of a man who has clearly just caught his partner cheating and has beaten her. She has a black eye, there is blood on her face. And I don't think that there is really a lot of question about whose side HelloSpy is on in this particular case. And who they're trying to sell their product to.
HelloSpy، یکی دیگر از این محصولات است، یک صفحه بازاریابی دارد که بیشتر نسخه خود را صرف صحبت درباره رواج خیانت کردهاند و اینکه چهقدرمهم است که مچ شریک خیانتکار خود را بگیرید از جمله یک تصویر زیبا از یک مرد که به وضوح مچ شریک خیانتکارش را گرفته است و او را کتک زده است. آن زن چشماش کبود است، و خون روی صورتش است. و فکر نمیکنم سوالات زیادی وجود داشته باشد که چه کسانی در این مورد خاص از HelloSpy استفاده میکنند. و کسانی که تلاش میکنند محصولشان را بفروشند.
It turns out that if you have stalkerware on your computer or on your phone, it can be really difficult to know whether or not it's there. And one of the reasons for that is because antivirus companies often don't recognize stalkerware as malicious. They don't recognize it as a Trojan or as any of the other stuff that you would normally find that they would warn you about. These are some results from earlier this year from VirusTotal. I think that for one sample that I looked at I had something like a result of seven out of 60 of the platforms recognized the stalkerware that I was testing. And here is another one where I managed to get 10, 10 out of 61. So this is still some very bad results.
از قضا اگر استالکر بروی کامپیوتر یا تلفن همراهتان دارید، خیلی سخت است که بفهمید وجود دارد یا نه. و یکی از دلایلش این است که به خاطر شرکتهای ضد ویروس است اغلب نمیتوانند استالکر را بهعنوان مخرب تشخیص دهند. آنها این را یک بدافزار تروجان نمیشناسند یا مانند هر مورد دیگری که شما به طور معمول پیدا میکنید و آنها به شما هشدار میدهند. اینها برخی از نتایج اوایل سال جاری از VirusTotal است. و من به عنوان یکی از نمونههایی که مشاهده کردم چیزی شبیه به نتیجه هفت از ۶۰ سیستم عامل که استالکر را تشخیص دادند، تست کردم. و این جای دیگری است که من موفق به گرفتن ۱۰ شدم، ۱۰ تا از ۶۱ تا. پس، هنوز این نتیجه بسیار بدی است.
I have managed to convince a couple of antivirus companies to start marking stalkerware as malicious. So that all you have to do if you're worried about having this stuff on your computer is you download the program, you run a scan and it tells you "Hey, there's some potentially unwanted program on your device." It gives you the option of removing it, but it does not remove it automatically. And one of the reasons for that is because of the way that abuse works. Frequently, victims of abuse aren't sure whether or not they want to tip off their abuser by cutting off their access. Or they're worried that their abuser is going to escalate to violence or perhaps even greater violence than they've already been engaging in.
من موفق به متقاعد دو شرکت ضد ویروس شدم تا استالکر را به عنوان مخرب ثبت کنند. تنها کاری که باید بکنید اگر نگران داشتن چنین چیزهایی بر روی رایانه خود هستید این است که برنامه را دانلود کنید، شما اسکن انجام میدهید و به شما میگوید «سلام، یک سری برنامه ناخواسته پنهان برروی دستگاهتان وجود دارد.» و به شما یک سری گزینه برای حذفشان میدهد، ولی اتوماتیک آنها را از بین نمیبرد. و یکی از دلایلش این است که به خاطر روشی است که سواستفاده عمل میکند غالبا قربانیان سواستفاده مطمئن نیستند که میخواهند به سواستفاده کننده با قطع کردن دسترسی هشدار بدهند یا نه. یا میترسند که این سواستفاده کنندگان به سمت خشونت بیشتر بروند و شاید خشونت شدیدتر و آنها را بهشدت درگیر کنند.
Kaspersky was one of the very first companies that said that they were going to start taking this seriously. And in November of this year, they issued a report in which they said that since they started tracking stalkerware among their users that they had seen an increase of 35 percent. Likewise, Lookout came out with a statement saying that they were going to take this much more seriously. And finally, a company called Malwarebytes also put out such a statement and said that they had found 2,500 programs in the time that they had been looking, which could be classified as stalkerware.
Kaspersky یکی از اولین شرکتها است که گفت میخواهد این موضوع را جدی بگیرد. و در نوامبر امسال، آنها گزارشی منتشرکردند که در آن گفتند از وقتی که شروع به ردیابی استالکر در بین کاربران خود کردند شاهد افزایش ۳۵ درصدی شدهاند. به همین ترتیب، هشداری همراه با یک توضیح منتشر کردند که میگفت میخواهند این موضوع را جدیتر بگیرند. و بالاخره، یک شرکت به نام مالویربیتز نیز بیانهای ایراد کرد و گفت که در زمانیکه آنها جستوجو میکردند نزدیک به ۲۵۰۰ برنامه پیدا کردهاند که به عنوان استالکر طبقهبندی میشدند.
Finally, in November I helped to launch a coalition called the Coalition Against Stalkerware, made up of academics, people who are doing this sort of thing on the ground -- the practitioners of helping people to escape from intimate partner violence -- and antivirus companies. And our goal is both to educate people about these programs, but also to convince the antivirus companies to change the norm in how they act around this very scary software, so that soon, if I get up in front of you and I talk to you about this next year, I could tell you that the problem has been solved, and all you have to do is download any antivirus and it is considered normal for it to detect stalkerware. That is my hope.
در نهایت، در نوامبر من به راهاندازی یک ائتلاف کمک کردم که اسمش ائتلاف علیه استالکر بود، متشکل از دانشگاهیان، افرادی که به نوعی در این زمینه کار میکنند -- افراد متخصص برای کمک به مردم برای جلوگیری از خشونت شریک صمیمیشان -- و شرکتهای ضد ویروس. و هدف ما هم آگاه کردن مردم درباره این برنامهها، و هم متقاعد کردن شرکت های ضد ویروس است تا قوانینشان را در نحوه رفتار آنها در مورد این نرم افزار بسیار ترسناک تغییر دهند، تا اگر من جلوی شما ایستادم و درباره سال پیشرو صحبت کردم، بتوانم به شما بگویم که این مشکل حل شده است، و تنها کاری که باید انجام دهید دانلود هرنوع ضد ویروس است و این کاری عادی برای پیگیری استالکرها است. این آرزوی من است.
Thank you very much.
از شما بسیار متشکرم.
(Applause)
(تشویق و تمجید)