I want you to travel back in time with me, to the before time, to 2017. I don't know if you can remember it, dinosaurs were roaming the earth. I was a security researcher, I had spent about five or six years doing research on the ways in which APTs, which is short for advanced persistent threats, which stands for nation-state actors, spy on journalists and activists and lawyers and scientists and just generally people who speak truth to power.
Vorrei portarvi con me indietro nel tempo, al tempo di prima, al 2017. Non so se vi ricordate, i dinosauri vagavano sulla Terra. Ero una ricercatrice di sicurezza, avevo passato cinque o sei anni a studiare come gli attacchi ATP, che sta per "minacce persistenti avanzate", vale a dire chi lavora per lo Stato, spiano giornalisti e attivisti, avvocati e scienziati e in generale chiunque parli con franchezza in faccia ai potenti.
And I'd been doing this for a while when I discovered that one of my fellow researchers, with whom I had been doing this all this time, was allegedly a serial rapist. So the first thing that I did was I read a bunch of articles about this. And in January of 2018, I read an article with some of his alleged victims. And one of the things that really struck me about this article is how scared they were. They were really frightened, they had, you know, tape over the cameras on their phones and on their laptops, and what they were worried about was that he was a hacker and he was going to hack into their stuff and he was going to ruin their lives. And this had kept them silent for a really long time.
Ci stavo lavorando da un po' quando scoprii che un mio collega ricercatore, con cui avevo lavorato per tutto quel tempo, era un presunto stupratore seriale. Per prima cosa lessi un sacco di articoli al riguardo. Poi a gennaio 2018, lessi un articolo riguardante alcune sue presunte vittime. E una delle cose che mi colpì di più di quell'articolo era quanto fossero spaventate. Erano davvero terrorizzate, avevano coperto col nastro adesivo la fotocamera del telefono e del portatile, e ciò che le preoccupava era che lui era un hacker e avrebbe hackerato le loro cose rovinandogli la vita. Per questo avevano taciuto a lungo.
So, I was furious. And I didn't want anyone to ever feel that way again. So I did what I usually do when I'm angry: I tweeted.
Ero su tutte le furie. Non volevo che nessuno si sentisse mai più in quel modo. Così feci quello che faccio di solito quando mi arrabbio: scrissi un tweet.
(Laughter)
(Risate)
And the thing that I tweeted was that if you are a woman who has been sexually abused by a hacker and that hacker has threatened to break into your devices, that you could contact me and I would try to make sure that your device got a full, sort of, forensic look over. And then I went to lunch.
E nel tweet scrissi: "Se sei stata abusata sessualmente da un hacker che ha minacciato di intrufolarsi nei tuoi dispositivi, contattami pure e cercherò di fare in modo che il tuo dispositivo riceva un controllo completo, una perizia". E poi andai a pranzo.
(Laughter)
(Risate)
Ten thousand retweets later,
Diecimila retweet dopo,
(Laughter)
(Risate)
I had accidentally started a project.
avevo inavvertitamente avviato un progetto.
So every morning, I woke up and my mailbox was full. It was full of the stories of men and women telling me the worst thing that had ever happened to them. I was contacted by women who were being spied on by men, by men who were being spied on by men, by women who were being spied on by women, but the vast majority of the people contacting me were women who had been sexually abused by men who were now spying on them. The one particularly interesting case involved a man who came to me, because his boyfriend had outed him as gay to his extremely conservative Korean family. So this is not just men-spying-on-women issue.
Così ogni mattina mi alzavo e trovavo la casella di posta piena. Piena di storie di uomini e donne che mi raccontavano la cosa peggiore che gli fosse mai capitata. Mi contattavano donne spiate da uomini, uomini spiati da uomini, donne spiate da donne, ma nella maggioranza dei casi erano donne che erano state abusate sessualmente da uomini i quali ora le stavano spiando. Un caso particolarmente interessante riguardava un uomo rivoltosi a me perché il suo ragazzo aveva rivelato che era gay alla sua famiglia coreana ultraconservatrice. Quindi non è solo una questione di uomini che spiano le donne.
And I'm here to share what I learned from this experience. What I learned is that data leaks. It's like water. It gets in places you don't want it. Human leaks. Your friends give away information about you. Your family gives away information about you. You go to a party, somebody tags you as having been there. And this is one of the ways in which abusers pick up information about you that you don't otherwise want them to know. It is not uncommon for abusers to go to friends and family and ask for information about their victims under the guise of being concerned about their "mental health."
E io sono qui per condividere quello che ho imparato da quest'esperienza. Ovvero che c'è una fuga di dati. Come con l'acqua. Arriva dove non vorresti. Fughe umane. Gli amici rivelano informazioni su di noi. La famiglia rivela informazioni su di noi. Andate a una festa, qualcuno tra i presenti vi tagga. Ecco uno dei modi in cui i molestatori raccolgono informazioni private che non vorremmo sapessero. Capita che un molestatore vada da amici e parenti a chiedere informazioni sulle vittime con la scusa di interessarsi alla loro "salute mentale".
A form of leak that I saw was actually what we call account compromise. So your Gmail account, your Twitter account, your Instagram account, your iCloud, your Apple ID, your Netflix, your TikTok -- I had to figure out what a TikTok was. If it had a login, I saw it compromised.
Tra le falle che ho visto c'era quella che di fatto chiamiamo compromissione dell'account. Il vostro account Gmail, l'account Twitter, l'account Instagram, l'iCloud, l'ID Apple, Netflix, TikTok, ho dovuto scoprire cosa fosse TikTok. Dove c'era un login, ho visto una compromissione.
And the reason for that is because your abuser is not always your abuser. It is really common for people in relationships to share passwords. Furthermore, people who are intimate, who know a lot about each other, can guess each other's security questions. Or they can look over each other's shoulders to see what code they're using in order to lock their phones. They frequently have physical access to the phone, or they have physical access to the laptop. And this gives them a lot of opportunity to do things to people's accounts, which is very dangerous.
La ragione è che non sempre ad approfittare del vostro account è un molestatore. È molto comune che in una relazione si condividano le password. Inoltre, le persone molto intime, che sanno molto l'una dell'altra, possono indovinare le domande di sicurezza. O possono sbirciare da dietro per vedere il codice usato per bloccare il telefono. Spesso hanno accesso fisico al telefono o hanno accesso fisico al portatile. E questo dà loro un sacco di opportunità per compiere azioni negli account altrui, il che è molto pericoloso.
The good news is that we have advice for people to lock down their accounts. This advice already exists, and it comes down to this: Use strong, unique passwords for all of your accounts. Use more strong, unique passwords as the answers to your security questions, so that somebody who knows the name of your childhood pet can't reset your password. And finally, turn on the highest level of two-factor authentication that you're comfortable using. So that even if an abuser manages to steal your password, because they don't have the second factor, they will not be able to log into your account.
Per fortuna esiste un consiglio su come bloccare l'account in sicurezza. Il consiglio esiste già e si riduce a questo: usate password sicure e uniche per ciascun account. Usate altre password sicure e uniche come risposte alle domande di sicurezza, così che chi conosce il nome dell'animale che avevate da bambini non possa reimpostare la password. E infine, attivate il più alto livello di autenticazione a due fattori che vi risulti comodo usare. Così che anche se un molestatore riuscisse a rubarvi la password, non avendo il secondo fattore, non sarà in grado di accedere al vostro account.
The other thing that you should do is you should take a look at the security and privacy tabs for most of your accounts. Most accounts have a security or privacy tab that tells you what devices are logging in, and it tells you where they're logging in from. For example, here I am, logging in to Facebook from the La Quinta, where we are having this meeting, and if for example, I took a look at my Facebook logins and I saw somebody logging in from Dubai, I would find that suspicious, because I have not been to Dubai in some time.
Un'altra cosa che dovreste fare è controllare la scheda "Sicurezza e privacy" dei vostri account. La maggior parte degli account ha questa scheda che vi mostra i dispositivi connessi, e vi dice da dove si stanno connettendo. Per esempio, eccomi qui, collegata a Facebook da La Quinta, dove si sta svolgendo quest'incontro, e, se per esempio, dessi un'occhiata ai miei accessi a Facebook e ne vedessi uno da Dubai, la cosa sarebbe sospetta, perché non ci vado da un po'.
But sometimes, it really is a RAT. If by RAT you mean remote access tool. And remote access tool is essentially what we mean when we say stalkerware. So one of the reasons why getting full access to your device is really tempting for governments is the same reason why getting full access to your device is tempting for abusive partners and former partners.
Ma qualche volta si tratta davvero di un RAT. Se per RAT intendete "strumento di accesso remoto". E tale strumento è essenzialmente quello che intendiamo dicendo stalkerware. Così, una delle ragioni per cui l'accesso completo a un dispositivo è davvero allettante per i governi è la stessa per cui il pieno accesso al vostro dispositivo è allettante per partner violenti ed ex.
We carry tracking devices around in our pockets all day long. We carry devices that contain all of our passwords, all of our communications, including our end-to-end encrypted communications. All of our emails, all of our contacts, all of our selfies are all in one place, often our financial information is also in this place. And so, full access to a person’s phone is the next best thing to full access to a person's mind.
Andiamo in giro con dei localizzatori in tasca. Ci portiamo dietro dispositivi che contengono tutte le nostre password, le nostre comunicazioni, inclusi i messaggi privati criptati. Tutte le email, tutti i contatti, tutti i selfie, è tutto nello stesso posto, spesso perfino le informazioni economiche. E così, il pieno accesso al telefono di qualcuno diventa l'alternativa migliore al pieno accesso della sua mente.
And what stalkerware does is it gives you this access. So, you may ask, how does it work? The way stalkerware works is that it's a commercially available program, which an abuser purchases, installs on the device that they want to spy on, usually because they have physical access or they can trick their target into installing it themselves, by saying, you know, "This is a very important program you should install on your device." And then they pay the stalkerware company for access to a portal, which gives them all of the information from that device. And you're usually paying something like 40 bucks a month. So this kind of spying is remarkably cheap.
E quello che fa uno stalkerware è darvi quest'accesso. Vi chiederete come funzioni. Beh, uno stalkerware è un programma disponibile in commercio, che un molestatore compra, installa sul dispositivo che vuole spiare, di solito perché ne ha accesso fisico o può raggirare la vittima perché lo installi lei stessa, dicendo, magari: "È un programma davvero importante, dovresti installarlo sul tuo dispositivo". E poi paga la società dello stalkerware per accedere a un portale che raccoglie tutte le informazioni contenute nel dispositivo. Di solito costa qualcosa tipo 40 dollari al mese. Quindi questo tipo di spionaggio è davvero a buon mercato.
Do these companies know that their tools are being used as tools of abuse? Absolutely. If you take a look at the marketing copy for Cocospy, which is one of these products, it says right there on the website that Cocospy allows you to spy on your wife with ease, "You do not have to worry about where she goes, who she talks to or what websites she visits." So that's creepy.
Ma queste società lo sanno che i loro strumenti vengono usati impropriamente? Certo. Se date un'occhiata al copy pubblicitario di Cocospy, uno di questi prodotti, proprio nel sito dice che Cocospy ti consente di spiare tua moglie facilmente; "Non devi preoccuparti di dove va, con chi parla o quali siti visita". Mette i brividi.
HelloSpy, which is another such product, had a marketing page in which they spent most of their copy talking about the prevalence of cheating and how important it is to catch your partner cheating, including this fine picture of a man who has clearly just caught his partner cheating and has beaten her. She has a black eye, there is blood on her face. And I don't think that there is really a lot of question about whose side HelloSpy is on in this particular case. And who they're trying to sell their product to.
HelloSpy, un altro di questi prodotti, aveva un sito in cui la maggior parte del copy era dedicata a parlare del tasso di tradimenti e di quanto sia importante beccare chi tradisce, mostrando questa bell'immagine di un uomo che ha chiaramente appena beccato la partner a tradirlo e l'ha picchiata. Ha un occhio nero e la faccia insanguinata. E non penso ci siano davvero molti dubbi su da che parte stia HelloSpy in questo caso specifico. E a chi stiano cercando di vendere il proprio prodotto.
It turns out that if you have stalkerware on your computer or on your phone, it can be really difficult to know whether or not it's there. And one of the reasons for that is because antivirus companies often don't recognize stalkerware as malicious. They don't recognize it as a Trojan or as any of the other stuff that you would normally find that they would warn you about. These are some results from earlier this year from VirusTotal. I think that for one sample that I looked at I had something like a result of seven out of 60 of the platforms recognized the stalkerware that I was testing. And here is another one where I managed to get 10, 10 out of 61. So this is still some very bad results.
Si è scoperto che avere o no uno stalkerware sul telefono o sul pc, non è affatto semplice da capire. E uno dei motivi è che le società di antivirus spesso non riconoscono lo stalkerware come malevolo. Non lo riconoscono come un trojan o come le altre cose per le quali normalmente trovereste degli avvisi da parte loro. Ecco alcuni risultati di inizio anno forniti da VirusTotal. Credo che per un campione che ho analizzato ho trovato tipo 7 piattaforme su 60 che hanno identificato lo stalkerware che stavo testando. E qui ce n'è un altro in cui sono riuscita a ottenere 10, 10 su 61. Si tratta di risultati ancora davvero pessimi.
I have managed to convince a couple of antivirus companies to start marking stalkerware as malicious. So that all you have to do if you're worried about having this stuff on your computer is you download the program, you run a scan and it tells you "Hey, there's some potentially unwanted program on your device." It gives you the option of removing it, but it does not remove it automatically. And one of the reasons for that is because of the way that abuse works. Frequently, victims of abuse aren't sure whether or not they want to tip off their abuser by cutting off their access. Or they're worried that their abuser is going to escalate to violence or perhaps even greater violence than they've already been engaging in.
Sono riuscita a convincere un paio di società di antivirus a iniziare a segnalare gli stalkerware come malevoli. Così tutto ciò che dovete fare se temete di averne uno sul computer è scaricare il programma, eseguire una scansione che avverte: "Ehi, sul tuo dispositivo c'è un programma potenzialmente indesiderato". Ti fornisce l'opzione di eliminarlo, ma non lo fa automaticamente. E una delle ragioni di questa scelta è il modo in cui funziona la molestia. Spesso le vittime di abuso non sono sicure di voler allertare o meno il loro molestatore bloccandogli l'accesso. O sono preoccupate che le molestie degenerino in violenza o forse anche in una violenza maggiore di quella in cui sono già coinvolte.
Kaspersky was one of the very first companies that said that they were going to start taking this seriously. And in November of this year, they issued a report in which they said that since they started tracking stalkerware among their users that they had seen an increase of 35 percent. Likewise, Lookout came out with a statement saying that they were going to take this much more seriously. And finally, a company called Malwarebytes also put out such a statement and said that they had found 2,500 programs in the time that they had been looking, which could be classified as stalkerware.
Kaspersky è stata una delle prime società a dire che avrebbero iniziato a prendere la cosa sul serio. E a novembre di quest'anno hanno pubblicato un rapporto che diceva che dall'inizio delle rilevazioni sugli stalkerware tra i loro utenti hanno visto un aumento del 35%. Parimenti, Lookout se n'è uscito con una dichiarazione dicendo che avrebbero preso la questione molto più seriamente. E infine, pure la società Malwarebytes ha dichiarato di aver trovato 2.500 programmi, durante la fase di ricerca, che potevano essere classificati come stalkerware.
Finally, in November I helped to launch a coalition called the Coalition Against Stalkerware, made up of academics, people who are doing this sort of thing on the ground -- the practitioners of helping people to escape from intimate partner violence -- and antivirus companies. And our goal is both to educate people about these programs, but also to convince the antivirus companies to change the norm in how they act around this very scary software, so that soon, if I get up in front of you and I talk to you about this next year, I could tell you that the problem has been solved, and all you have to do is download any antivirus and it is considered normal for it to detect stalkerware. That is my hope.
Infine, a novembre ho contribuito al lancio di una coalizione, la Coalition Against Stalkerware, formata da accademici, gente che sta lavorando a questo genere di cose sul campo, specialisti che aiutano le persone a fuggire dalla violenza domestica, e società di antivirus. E il nostro obiettivo è sia quello di educare le persone su questi programmi, sia quello di convincere le società di antivirus a cambiare la prassi con cui agiscono nei confronti di questi software davvero spaventosi, così che presto, se vi avrò davanti per riparlarne il prossimo anno, potrei dirvi che il problema è stato risolto, che tutto quello che dovete fare è scaricare un antivirus qualsiasi e che è normale che questo rilevi lo stalkerware. È il mio auspicio.
Thank you very much.
Grazie infinite.
(Applause)
(Applausi)