I want you to travel back in time with me, to the before time, to 2017. I don't know if you can remember it, dinosaurs were roaming the earth. I was a security researcher, I had spent about five or six years doing research on the ways in which APTs, which is short for advanced persistent threats, which stands for nation-state actors, spy on journalists and activists and lawyers and scientists and just generally people who speak truth to power.
Laten we eens terugreizen in de tijd, naar lang geleden, namelijk 2017. Misschien weet je het nog; er liepen nog dinosaurussen rond. Ik was een beveiligingsonderzoeker en had vijf tot zes jaar onderzoek gevoerd naar de manieren waarop APT's, kort voor 'Advanced Persistent Threats' of cyberaanvallen op het niveau van landen en staten, naar de manieren waarop zij journalisten en activisten bespioneren maar ook advocaten en wetenschappers en meer algemeen mensen die hun mond opendoen tegen machthebbers.
And I'd been doing this for a while when I discovered that one of my fellow researchers, with whom I had been doing this all this time, was allegedly a serial rapist. So the first thing that I did was I read a bunch of articles about this. And in January of 2018, I read an article with some of his alleged victims. And one of the things that really struck me about this article is how scared they were. They were really frightened, they had, you know, tape over the cameras on their phones and on their laptops, and what they were worried about was that he was a hacker and he was going to hack into their stuff and he was going to ruin their lives. And this had kept them silent for a really long time.
En ik deed dit werk al een tijdje toen ik ontdekte dat één van mijn collega-onderzoekers met wie ik al die tijd had samengewerkt, naar verluidt een serieverkrachter was. Dus het eerste wat ik deed, was hierover een reeks artikels lezen. En in januari 2018 las ik een artikel met enkele van zijn vermeende slachtoffers. En één van de dingen die mij sterk opviel in dit artikel was hoe bang ze allemaal waren. Ze waren doodsbang. Ze hadden de camera's van hun smartphones afgeplakt en die van hun laptops. Waar ze het meest bang voor waren, was dat hij een hacker was en hun toestellen zou hacken en hun leven zou verwoesten. En daarom hadden ze zo lang gezwegen.
So, I was furious. And I didn't want anyone to ever feel that way again. So I did what I usually do when I'm angry: I tweeted.
Ik was razend. Ik wou dat niemand zich ooit nog zo zou moeten voelen. Dus ik deed wat ik meestal doe als ik boos ben: ik begon te tweeten.
(Laughter)
(Gelach)
And the thing that I tweeted was that if you are a woman who has been sexually abused by a hacker and that hacker has threatened to break into your devices, that you could contact me and I would try to make sure that your device got a full, sort of, forensic look over. And then I went to lunch.
En wat ik tweette, was dat vrouwen die seksueel misbruikt zijn door een hacker die hen vervolgens bedreigt om hun toestellen te hacken, mij kunnen contacteren en dat ik ervoor zal proberen te zorgen dat hun toestel een volledige 'forensische' screening krijgt. En toen ging ik lunchen.
(Laughter)
(Gelach)
Ten thousand retweets later,
Tienduizend retweets later
(Laughter)
(Gelach)
I had accidentally started a project.
had ik per ongeluk een project opgestart.
So every morning, I woke up and my mailbox was full. It was full of the stories of men and women telling me the worst thing that had ever happened to them. I was contacted by women who were being spied on by men, by men who were being spied on by men, by women who were being spied on by women, but the vast majority of the people contacting me were women who had been sexually abused by men who were now spying on them. The one particularly interesting case involved a man who came to me, because his boyfriend had outed him as gay to his extremely conservative Korean family. So this is not just men-spying-on-women issue.
Dus elke morgen werd ik wakker en mijn mailbox zat vol. Vol met verhalen van mannen en vrouwen die mij vertelden over het ergste wat ze ooit hadden meegemaakt. Ik werd gecontacteerd door vrouwen die bespioneerd werden door mannen, mannen die bespioneerd werden door mannen, en vrouwen door andere vrouwen. Maar het merendeel van de mensen die mij contacteerden waren vrouwen die seksueel waren misbruikt door een man die hen nu bespioneerde. Eén van de interessantste gevallen betrof een man die mij contacteerde omdat zijn vriendje hem had geout als homo bij zijn extreem conservatieve Koreaanse familie. Het gaat dus niet enkel om mannen die vrouwen bespioneren.
And I'm here to share what I learned from this experience. What I learned is that data leaks. It's like water. It gets in places you don't want it. Human leaks. Your friends give away information about you. Your family gives away information about you. You go to a party, somebody tags you as having been there. And this is one of the ways in which abusers pick up information about you that you don't otherwise want them to know. It is not uncommon for abusers to go to friends and family and ask for information about their victims under the guise of being concerned about their "mental health."
Ik ben hier omdat ik met jullie wil delen wat ik uit deze ervaring heb geleerd. Wat ik heb geleerd is dat informatie lekt. Net als water. Het gaat naar ongewilde plaatsen. Menselijke lekken. Je vrienden delen informatie over jou. Je familie deelt informatie over jou. Je gaat naar een feestje, iemand tagt jou als aanwezige. En dit is één van de manieren waarop misbruikers info over jou verzamelen die je eigenlijk niet met hen wil delen. Het is niet ongewoon dat misbruikers vrienden en familie contacteren om hen informatie te vragen over hun slachtoffers onder het mom van bezorgdheid over hun 'mentale gezondheid'.
A form of leak that I saw was actually what we call account compromise. So your Gmail account, your Twitter account, your Instagram account, your iCloud, your Apple ID, your Netflix, your TikTok -- I had to figure out what a TikTok was. If it had a login, I saw it compromised.
Een bepaalde vorm van lekken die ik zag, dat waren gecompromitteerde gebruikersaccounts. Dus je Gmail-account, je Twitter-account je Instagram-account, je iCloud, je Apple-ID, je Netflix en TikTok -- Ik heb moeten uitzoeken wat TikTok was. Als het een login had, kon het worden gecompromitteerd.
And the reason for that is because your abuser is not always your abuser. It is really common for people in relationships to share passwords. Furthermore, people who are intimate, who know a lot about each other, can guess each other's security questions. Or they can look over each other's shoulders to see what code they're using in order to lock their phones. They frequently have physical access to the phone, or they have physical access to the laptop. And this gives them a lot of opportunity to do things to people's accounts, which is very dangerous.
En de reden is dat je misbruiker niet altijd je misbruiker is. Het is heel gewoon om in een relatie wachtwoorden met elkaar te delen. Mensen die een intieme band hebben en veel over elkaar weten, kunnen elkaars veiligheidsvragen raden. Of ze kunnen meekijken over je schouder om te zien welke code je gebruikt om je gsm te vergrendelen. Ze hebben vaak fysieke toegang tot je telefoon of tot je laptop. En op die manier kunnen ze gemakkelijk dingen doen met de account van iemand anders, wat heel gevaarlijk is.
The good news is that we have advice for people to lock down their accounts. This advice already exists, and it comes down to this: Use strong, unique passwords for all of your accounts. Use more strong, unique passwords as the answers to your security questions, so that somebody who knows the name of your childhood pet can't reset your password. And finally, turn on the highest level of two-factor authentication that you're comfortable using. So that even if an abuser manages to steal your password, because they don't have the second factor, they will not be able to log into your account.
Het goede nieuws is dat we advies hebben voor mensen om hun accounts te vergrendelen. Het advies is niet nieuw en komt hierop neer: gebruik sterke, unieke wachtwoorden voor al je accounts. Gebruik sterkere, unieke wachtwoorden als antwoord op de veiligheidsvragen, zodat iemand die de naam van je huisdier kent, je wachtwoord niet kan veranderen. En ten slotte: gebruik het hoogste niveau van tweevoudige authenticatie waar je je goed bij voelt. Zo zal een misbruiker, zelfs als hij erin slaagt je wachtwoord te stelen, doordat hij de tweede factor niet bezit niet in staat zijn om in te loggen op je account.
The other thing that you should do is you should take a look at the security and privacy tabs for most of your accounts. Most accounts have a security or privacy tab that tells you what devices are logging in, and it tells you where they're logging in from. For example, here I am, logging in to Facebook from the La Quinta, where we are having this meeting, and if for example, I took a look at my Facebook logins and I saw somebody logging in from Dubai, I would find that suspicious, because I have not been to Dubai in some time.
Nog iets dat je zou moeten doen is een kijkje nemen in de veiligheids- en privacytabs van je meeste accounts. De meeste accounts hebben namelijk een tab waarin je kan zien welke toestellen inloggen en vanwaar ze inloggen. Bijvoorbeeld: hier sta ik, ik log in op Facebook vanuit La Quinta, waar deze meeting plaatsvindt, en als ik bijvoorbeeld zou kijken naar mijn Facebook logins en ik zie dat er iemand inlogt vanuit Dubai, dan zou ik dat verdacht vinden, want ik ben al een hele tijd niet meer in Dubai geweest.
But sometimes, it really is a RAT. If by RAT you mean remote access tool. And remote access tool is essentially what we mean when we say stalkerware. So one of the reasons why getting full access to your device is really tempting for governments is the same reason why getting full access to your device is tempting for abusive partners and former partners.
Maar soms is het wel degelijk een RAT, als je daarmee bedoelt een Remote Access Tool. Zo'n Remote Access Tool is wat we bedoelen als het over stalkerware gaat. Eén van de redenen waarom een volledige toegang tot je toestel zo aanlokkelijk is voor overheden, is dezelfde reden waarom een volledige toegang tot je toestel aanlokkelijk is voor partners en exen met slechte bedoelingen.
We carry tracking devices around in our pockets all day long. We carry devices that contain all of our passwords, all of our communications, including our end-to-end encrypted communications. All of our emails, all of our contacts, all of our selfies are all in one place, often our financial information is also in this place. And so, full access to a person’s phone is the next best thing to full access to a person's mind.
We lopen de hele dag rond met een trackingtoestel op zak. We dragen toestellen die al onze wachtwoorden bevatten, al onze berichten, samen met onze end-to-end versleutelde berichten. Al onze e-mails, al onze contacten, en al onze selfies zitten samen op één plaats. Vaak zit onze financiële informatie ook op die plaats. Daarom is een volledige toegang tot iemands telefoon bijna hetzelfde als een volledige toegang tot iemands gedachten.
And what stalkerware does is it gives you this access. So, you may ask, how does it work? The way stalkerware works is that it's a commercially available program, which an abuser purchases, installs on the device that they want to spy on, usually because they have physical access or they can trick their target into installing it themselves, by saying, you know, "This is a very important program you should install on your device." And then they pay the stalkerware company for access to a portal, which gives them all of the information from that device. And you're usually paying something like 40 bucks a month. So this kind of spying is remarkably cheap.
En wat stalkerware doet, is jou die toegang geven. Je vraagt je waarschijnlijk af: hoe werkt dit? Dat gaat zo: stalkerware is een commercieel toegankelijk programma, dat wordt gekocht door een misbruiker, die het installeert op het toestel dat hij wil bespioneren, vaak omdat hij fysiek toegang heeft, of zijn slachtoffer kan overtuigen om het programma zelf te installeren door te zeggen "Dit is een heel belangrijk programma dat je op je toestel moet installeren." En dan betalen ze het stalkerware-bedrijf voor toegang tot een portaal dat hen alle informatie van dat toestel geeft. Daarvoor betaal je meestal iets van 40 dollar per maand. Dit soort spionage is dus opvallend goedkoop.
Do these companies know that their tools are being used as tools of abuse? Absolutely. If you take a look at the marketing copy for Cocospy, which is one of these products, it says right there on the website that Cocospy allows you to spy on your wife with ease, "You do not have to worry about where she goes, who she talks to or what websites she visits." So that's creepy.
Weten deze bedrijven dat hun programma's worden gebruikt voor misbruik? Absoluut. Als je kijkt naar de marketing van Cocospy, één van deze producten, dan staat er letterlijk op hun site dat je met Cocospy je vrouw gemakkelijk kan bespioneren. "Geen zorgen meer over waar ze heengaat, met wie ze praat of welke websites ze bezoekt." Dat is beangstigend.
HelloSpy, which is another such product, had a marketing page in which they spent most of their copy talking about the prevalence of cheating and how important it is to catch your partner cheating, including this fine picture of a man who has clearly just caught his partner cheating and has beaten her. She has a black eye, there is blood on her face. And I don't think that there is really a lot of question about whose side HelloSpy is on in this particular case. And who they're trying to sell their product to.
HelloSpy, nog zo'n product, had een marketing-pagina waarop bijna al hun teksten gingen over overspel en hoe belangrijk het is om je partner te betrappen. Daarop stond deze foto van een man die net zijn partner heeft betrapt op overspel en haar heeft geslagen. Ze heeft een blauw oog en bloed op haar gezicht. Dus ik denk niet dat er veel twijfel kan bestaan over wiens kant HelloSpy kiest in dit geval. En aan wie ze hun product proberen te verkopen.
It turns out that if you have stalkerware on your computer or on your phone, it can be really difficult to know whether or not it's there. And one of the reasons for that is because antivirus companies often don't recognize stalkerware as malicious. They don't recognize it as a Trojan or as any of the other stuff that you would normally find that they would warn you about. These are some results from earlier this year from VirusTotal. I think that for one sample that I looked at I had something like a result of seven out of 60 of the platforms recognized the stalkerware that I was testing. And here is another one where I managed to get 10, 10 out of 61. So this is still some very bad results.
Als je stalkerware op je pc of telefoon hebt staan, kan het heel moeilijk zijn om dat te weten te komen. En één van de redenen is dat antivirusbedrijven deze stalkerware vaak niet herkennen als kwaadaardig. Ze herkennen het niet als een Trojan of eender welke andere programma's waarvoor men je doorgaans waarschuwt. Hier zie je enkele resultaten van eerder dit jaar van VirusTotal. In één van de gevallen die ik heb bekeken waren er ongeveer 7 op 60 platformen die de stalkerware die ik heb uitgetest herkenden. En bij een ander geval kwam ik aan een resultaat van 10. 10 op 61. Dus dit zijn nog steeds hele slechte resultaten.
I have managed to convince a couple of antivirus companies to start marking stalkerware as malicious. So that all you have to do if you're worried about having this stuff on your computer is you download the program, you run a scan and it tells you "Hey, there's some potentially unwanted program on your device." It gives you the option of removing it, but it does not remove it automatically. And one of the reasons for that is because of the way that abuse works. Frequently, victims of abuse aren't sure whether or not they want to tip off their abuser by cutting off their access. Or they're worried that their abuser is going to escalate to violence or perhaps even greater violence than they've already been engaging in.
Ik heb een aantal antivirusbedrijven kunnen overtuigen om stalkerware als kwaadaardig te beschouwen. Dus al wat je moet doen als je vermoedt dat je stalkerware op je pc hebt staan, is dat je het programma downloadt, een scan uitvoert en dan vertelt het je: "Hé, er staat mogelijks een ongewild programma op je toestel." Vervolgens kan je het verwijderen, maar het doet dit niet automatisch. En één van de redenen heeft te maken met hoe misbruik werkt. Vaak zijn slachtoffers niet zeker of ze hun misbruiker wel willen alarmeren door hem de toegang te ontnemen. Of ze zijn bang dat hun misbruiker gewelddadig zal worden of nóg meer geweld zal gebruiken dan in het verleden.
Kaspersky was one of the very first companies that said that they were going to start taking this seriously. And in November of this year, they issued a report in which they said that since they started tracking stalkerware among their users that they had seen an increase of 35 percent. Likewise, Lookout came out with a statement saying that they were going to take this much more seriously. And finally, a company called Malwarebytes also put out such a statement and said that they had found 2,500 programs in the time that they had been looking, which could be classified as stalkerware.
Kaspersky was een van de eerste bedrijven die zeiden dat ze dit ernstig zouden nemen. En in november dit jaar publiceerden ze een rapport waarin stond dat sinds ze stalkerware begonnen te tracken onder hun gebruikers, ze een toename van 35 procent hadden vastgesteld. Ook Lookout deed een verklaring waarbij ze zeiden dat ze dit veel ernstiger zouden nemen. Het bedrijf Malwarebytes deed een gelijkaardige verklaring en zei dat ze 2500 programma's hadden gevonden sinds hun eerste screening die ze als stalkerware konden classificeren.
Finally, in November I helped to launch a coalition called the Coalition Against Stalkerware, made up of academics, people who are doing this sort of thing on the ground -- the practitioners of helping people to escape from intimate partner violence -- and antivirus companies. And our goal is both to educate people about these programs, but also to convince the antivirus companies to change the norm in how they act around this very scary software, so that soon, if I get up in front of you and I talk to you about this next year, I could tell you that the problem has been solved, and all you have to do is download any antivirus and it is considered normal for it to detect stalkerware. That is my hope.
Ten slotte hielp ik in november een coalitie te lanceren onder de naam Coalition Against Stalkerware, waarvan de leden academici zijn, mensen die op het terrein met deze materie bezig zijn -- mensen die anderen helpen om te ontsnappen aan partnergeweld -- en antivirusbedrijven. Ons doel is om mensen te sensibiliseren over dit soort programma's, maar ook om antivirusbedrijven te overtuigen om de normen te veranderen rond hoe ze omgaan met deze zeer beangstigende software. Zodat de volgende keer dat we elkaar zien en ik het opnieuw over dit onderwerp heb, ik jullie kan vertellen dat het probleem opgelost is. Dat jullie eender welk antivirusprogramma kunnen downloaden en dat het normaal is dat het stalkerware detecteert. Dat is mijn hoop.
Thank you very much.
Hartelijk dank.
(Applause)
(Applaus)