I want you to travel back in time with me, to the before time, to 2017. I don't know if you can remember it, dinosaurs were roaming the earth. I was a security researcher, I had spent about five or six years doing research on the ways in which APTs, which is short for advanced persistent threats, which stands for nation-state actors, spy on journalists and activists and lawyers and scientists and just generally people who speak truth to power.
Quero que recuem no tempo comigo, para o passado, para 2017. Não sei se vocês se lembram, os dinossauros vagueavam pela terra. Eu era uma investigadora de segurança, Passara cinco ou seis anos a fazer pesquisa sobre as maneiras pelas quais as APT — a sigla para "ameaças persistentes avançadas" que defendem atores dos estados-nações, espiam jornalistas e ativistas, advogados e cientistas e pessoas normais que falam a verdade ao poder.
And I'd been doing this for a while when I discovered that one of my fellow researchers, with whom I had been doing this all this time, was allegedly a serial rapist. So the first thing that I did was I read a bunch of articles about this. And in January of 2018, I read an article with some of his alleged victims. And one of the things that really struck me about this article is how scared they were. They were really frightened, they had, you know, tape over the cameras on their phones and on their laptops, and what they were worried about was that he was a hacker and he was going to hack into their stuff and he was going to ruin their lives. And this had kept them silent for a really long time.
Eu fazia isso há uns tempos quando descobri que um dos meus colegas investigadores, com quem eu estava a fazer isso durante todo esse tempo, era supostamente um violador em série. Então, a primeira coisa que fiz foi ler um monte de artigos sobre isso. E em janeiro de 2018, li um artigo com algumas das suas supostas vítimas. Uma das coisas que me chocou nesse artigo é como elas estavam assustadas. Estavam realmente assustadas, tinham fitas a tapar a câmara dos telemóveis e dos computadores. Estavam com medo de que ele fosse um "hacker" e que fosse piratear tudo e arruinasse a vida delas. E isso mantivera-as em silêncio durante muito tempo.
So, I was furious. And I didn't want anyone to ever feel that way again. So I did what I usually do when I'm angry: I tweeted.
Então, eu fiquei furiosa. Eu não queria que ninguém voltasse a sentir-se daquela forma. Assim, fiz o que geralmente faço quando estou furiosa: Publiquei no Twitter.
(Laughter)
(Risos)
And the thing that I tweeted was that if you are a woman who has been sexually abused by a hacker and that hacker has threatened to break into your devices, that you could contact me and I would try to make sure that your device got a full, sort of, forensic look over. And then I went to lunch.
E o que eu publiquei foi que, se uma mulher fosse abusada sexualmente por um "hacker" e esse "hacker" ameaçasse invadir os dispositivos dela, essa mulher podia entrar em contacto comigo e eu iria tentar garantir que o seu aparelho tivesse um tipo completo de "vigilância forense". Depois fui almoçar.
(Laughter)
(Risos)
Ten thousand retweets later,
Dez mil respostas ao meu "tweet" depois...
(Laughter)
(Risos)
I had accidentally started a project.
acidentalmente comecei um projeto.
So every morning, I woke up and my mailbox was full. It was full of the stories of men and women telling me the worst thing that had ever happened to them. I was contacted by women who were being spied on by men, by men who were being spied on by men, by women who were being spied on by women, but the vast majority of the people contacting me were women who had been sexually abused by men who were now spying on them. The one particularly interesting case involved a man who came to me, because his boyfriend had outed him as gay to his extremely conservative Korean family. So this is not just men-spying-on-women issue.
Todas as manhãs, eu acordava e a minha caixa de "e-mail" estava cheia. Estava cheia de histórias de homens e de mulheres a contar-me a pior coisa que já lhes tinha acontecido. Fui contactada por mulheres que tinham sido espiadas por homens, por homens que tinham sido espiados por homens, por mulheres que tinham sido espiadas por mulheres. Mas a grande maioria das pessoas que me contactavam eram mulheres que já tinham sido abusadas sexualmente por homens que agora as estavam a espiar. Um caso interessante em particular envolveu um homem que veio ter comigo, porque o namorado dele o denunciara como "gay" à sua família coreana extremamente conservadora. Isto já não é um problema de homens a espiar mulheres.
And I'm here to share what I learned from this experience. What I learned is that data leaks. It's like water. It gets in places you don't want it. Human leaks. Your friends give away information about you. Your family gives away information about you. You go to a party, somebody tags you as having been there. And this is one of the ways in which abusers pick up information about you that you don't otherwise want them to know. It is not uncommon for abusers to go to friends and family and ask for information about their victims under the guise of being concerned about their "mental health."
E eu estou aqui para partilhar o que eu aprendi com esta experiência. O que eu aprendi é que os dados escapam-se, tal como a água. Vão para lugares que não queremos que vão. As pessoas dão à língua. Os nossos amigos dão informações sobre nós. A nossa família dá informações sobre nós. Vamos a uma festa, e alguém repara que estivemos lá. Esta é uma das formas que os abusadores usam para obter informações sobre nós, que não queremos que eles saibam. Não é invulgar os agressores contactarem os amigos e a família e pedirem informações sobre as suas vítimas, com a desculpa de estarem preocupados com a nossa "saúde mental".
A form of leak that I saw was actually what we call account compromise. So your Gmail account, your Twitter account, your Instagram account, your iCloud, your Apple ID, your Netflix, your TikTok -- I had to figure out what a TikTok was. If it had a login, I saw it compromised.
Uma forma de fuga de informações que eu vi foi aquilo a que chamamos uma conta comprometida. A nossa conta do Gmail, a nossa conta do Twitter, a nossa conta do Instagram, a nossa iCloud, o nosso ID da Apple, o nosso Netflix, TikTok — eu tive de descobrir o que era o TikTok. E se eu tinha um login eu via isso comprometido,
And the reason for that is because your abuser is not always your abuser. It is really common for people in relationships to share passwords. Furthermore, people who are intimate, who know a lot about each other, can guess each other's security questions. Or they can look over each other's shoulders to see what code they're using in order to lock their phones. They frequently have physical access to the phone, or they have physical access to the laptop. And this gives them a lot of opportunity to do things to people's accounts, which is very dangerous.
porque o abusador nem sempre é o abusador. É muito comum que as pessoas numa relação partilhem as "passwords". Além disso, as pessoas que são íntimas, sabem muitas coisas uma da outra, e podem adivinhar a pergunta de segurança da outra. Podem espreitar por cima do nosso ombro para ver qual o código que estamos a usar para bloquearem o telemóvel. Frequentemente têm acesso físico ao telemóvel, ou têm acesso físico ao computador portátil. Isso dá-lhes muitas oportunidades de fazer coisas na conta dos outros, o que é muito perigoso.
The good news is that we have advice for people to lock down their accounts. This advice already exists, and it comes down to this: Use strong, unique passwords for all of your accounts. Use more strong, unique passwords as the answers to your security questions, so that somebody who knows the name of your childhood pet can't reset your password. And finally, turn on the highest level of two-factor authentication that you're comfortable using. So that even if an abuser manages to steal your password, because they don't have the second factor, they will not be able to log into your account.
Felizmente, aconselham-nos a trancar as nossas contas. Este conselho já existe, e resume-se a isto: Usem "passwords" únicas e fortes em todas as vossas contas. Usem "passwords" únicas e fortes como resposta às vossas perguntas sobre segurança, para que alguém que saiba o nome do vosso cachorro de infância não possa adivinhar a vossa "password". E finalmente, liguem o nível mais alto de autenticação de dois fatores que vos seja mais prático. Assim, mesmo que um abusador consiga roubar a vossa "password", como ele não tem o segundo fator, não vai conseguir entrar na vossa conta.
The other thing that you should do is you should take a look at the security and privacy tabs for most of your accounts. Most accounts have a security or privacy tab that tells you what devices are logging in, and it tells you where they're logging in from. For example, here I am, logging in to Facebook from the La Quinta, where we are having this meeting, and if for example, I took a look at my Facebook logins and I saw somebody logging in from Dubai, I would find that suspicious, because I have not been to Dubai in some time.
A outra coisa que devem fazer é olhar para os parâmetros de segurança e privacidade da maioria das vossas contas. A maioria das contas tem esse parâmetro de privacidade ou segurança que mostra quais os aparelhos em que vocês entraram, e mostra qual a origem dessas entradas. Por exemplo, eu estou aqui, a entrar no Facebook de La Quinta, onde estamos a ter este encontro. Se, por exemplo, eu olhar para as minhas entradas no Facebook e vir que alguém entrou a partir do Dubai, consideraria isso suspeito, porque eu há muito tempo que não vou a Dubai.
But sometimes, it really is a RAT. If by RAT you mean remote access tool. And remote access tool is essentially what we mean when we say stalkerware. So one of the reasons why getting full access to your device is really tempting for governments is the same reason why getting full access to your device is tempting for abusive partners and former partners.
Mas às vezes isso é uma RAT — se por RAT quisermos dizer "ferramenta de acesso remoto". Uma ferramenta de acesso remoto é essencialmente o que queremos dizer quando dizemos "stalkerware". Tal como é tentador para os governos conseguir total acesso aos nossos dispositivos também os companheiros e ex-companheiros abusadores são tentados a obter total acesso aos nossos dispositivos
We carry tracking devices around in our pockets all day long. We carry devices that contain all of our passwords, all of our communications, including our end-to-end encrypted communications. All of our emails, all of our contacts, all of our selfies are all in one place, often our financial information is also in this place. And so, full access to a person’s phone is the next best thing to full access to a person's mind.
Andamos com dispositivos de deteção no bolso durante todo o dia. Andamos com dispositivos que contém todas as nossas "passwords", todas as nossas comunicações, incluindo as nossas comunicações criptografadas de ponta a ponta. Todos os nossos "e-mails", todos os nossos contactos, todas as nossas fotografias estão num só local. Frequentemente as informações das nossas finanças também estão no mesmo local. Então, o total acesso ao telemóvel de uma pessoa é a melhor coisa para ter total acesso à mente dessa pessoa.
And what stalkerware does is it gives you this access. So, you may ask, how does it work? The way stalkerware works is that it's a commercially available program, which an abuser purchases, installs on the device that they want to spy on, usually because they have physical access or they can trick their target into installing it themselves, by saying, you know, "This is a very important program you should install on your device." And then they pay the stalkerware company for access to a portal, which gives them all of the information from that device. And you're usually paying something like 40 bucks a month. So this kind of spying is remarkably cheap.
O que o "stalkerware" faz é dar-nos esse acesso. Então, podem perguntar: "Como é que isso funciona?" O "stalkerware" funciona através de um programa comercialmente disponível, que um abusador compra, instala no aparelho que quer espiar, geralmente porque lhe teve acesso físico ou pôde enganar o seu alvo levando-o a instalá-lo ele mesmo, dizendo: "Este é um programa muito importante. Devias instalá-lo no teu telemóvel." Depois, paga à empresa de "stalkerware" para ter acesso a um portal, que lhe dá todas as informações daquele telemóvel. E habitualmente, paga uns 40 dólares por mês. Este tipo de espionagem é extremamente barato.
Do these companies know that their tools are being used as tools of abuse? Absolutely. If you take a look at the marketing copy for Cocospy, which is one of these products, it says right there on the website that Cocospy allows you to spy on your wife with ease, "You do not have to worry about where she goes, who she talks to or what websites she visits." So that's creepy.
Será que essas empresas sabem que as suas ferramentas são usadas como ferramentas de abuso? Obviamente. Se derem uma olhadela à página de "marketing" para a Cocospy que é um desses produtos, diz claramente no "site": "... o Cocospy permite-lhe espiar a sua mulher com facilidade, "Não tem de se preocupar onde ela vai, "com quem ela fala ou em que 'website' ela entra." Isto é muito assustador.
HelloSpy, which is another such product, had a marketing page in which they spent most of their copy talking about the prevalence of cheating and how important it is to catch your partner cheating, including this fine picture of a man who has clearly just caught his partner cheating and has beaten her. She has a black eye, there is blood on her face. And I don't think that there is really a lot of question about whose side HelloSpy is on in this particular case. And who they're trying to sell their product to.
O HelloSpy, que é outro produto destes, tinha uma página de "marketing" em que a maior parte do texto falava do predomínio de traições e como era importante apanhar a companheira a trair-nos, incluindo a foto de um homem que claramente acabara de descobrir a traição da companheira e lhe dera uma sova. Ela tem um olho negro, tem sangue no rosto. Acho que não são precisas muitas perguntas para perceber de que lado está o HelloSpy neste caso em particular. E a quem eles estão a tentar vender o seu produto.
It turns out that if you have stalkerware on your computer or on your phone, it can be really difficult to know whether or not it's there. And one of the reasons for that is because antivirus companies often don't recognize stalkerware as malicious. They don't recognize it as a Trojan or as any of the other stuff that you would normally find that they would warn you about. These are some results from earlier this year from VirusTotal. I think that for one sample that I looked at I had something like a result of seven out of 60 of the platforms recognized the stalkerware that I was testing. And here is another one where I managed to get 10, 10 out of 61. So this is still some very bad results.
Acontece que se temos "stalkerware" no nosso computador ou no nosso telemóvel, pode ser muito difícil saber se ele está lá ou não. Uma das razões para isso é que as empresas de antivírus frequentemente não reconhecem um "stalkerware" como mal-intencionado. Não o reconhecem como um cavalo de Troia nem como qualquer outra coisa que normalmente acharíamos que eles deviam avisar-nos. Estes são alguns resultados do início deste ano do VirusTotal. Penso que, numa amostra que observei tive um resultado de 7 em 60 das plataformas que reconheceram o "stalkerware" que eu estava a testar. Neste outro, consegui obter 10 — 10 em 61! Isto continua a ser um resultado muito mau.
I have managed to convince a couple of antivirus companies to start marking stalkerware as malicious. So that all you have to do if you're worried about having this stuff on your computer is you download the program, you run a scan and it tells you "Hey, there's some potentially unwanted program on your device." It gives you the option of removing it, but it does not remove it automatically. And one of the reasons for that is because of the way that abuse works. Frequently, victims of abuse aren't sure whether or not they want to tip off their abuser by cutting off their access. Or they're worried that their abuser is going to escalate to violence or perhaps even greater violence than they've already been engaging in.
Consegui convencer algumas empresas de antivírus a começar a marcar os "stalkerware" como mal-intencionados. Assim o que vocês têm de fazer se estão preocupados por terem esta coisa no vosso computador é descarregar o programa, executar uma verificação que diga: "Há algum programa potencialmente indesejado no seu dispositivo?" Isso dá-nos a opção de removê-lo, mas não o remove automaticamente. Uma das razões para isso é a forma como o abuso funciona. Frequentemente, as vítimas de abuso não têm a certeza se querem ou não alertar o abusador de lhe ter tirado o acesso. Ou estão com medo que o abusador aumente a violência, possivelmente para uma violência maior do que já teve.
Kaspersky was one of the very first companies that said that they were going to start taking this seriously. And in November of this year, they issued a report in which they said that since they started tracking stalkerware among their users that they had seen an increase of 35 percent. Likewise, Lookout came out with a statement saying that they were going to take this much more seriously. And finally, a company called Malwarebytes also put out such a statement and said that they had found 2,500 programs in the time that they had been looking, which could be classified as stalkerware.
A Kaspersky foi uma das primeiras empresas que disse que ia começar a levar isto a sério. Em novembro deste ano, fizeram uma denúncia em que disseram que, desde que começaram a rastrear "stalkerware" entre os seus utilizadores, tinham assistido a um crescimento de 35%. Da mesma forma, a Lookout fez uma declaração dizendo que iam levar isso mais a sério. Finalmente, uma empresa chamada Malwarebytes também se pronunciou e disse que tinham encontrado 2500 programas durante o tempo em que tinham estado a observar, que podiam ser classificados como "stalkerware".
Finally, in November I helped to launch a coalition called the Coalition Against Stalkerware, made up of academics, people who are doing this sort of thing on the ground -- the practitioners of helping people to escape from intimate partner violence -- and antivirus companies. And our goal is both to educate people about these programs, but also to convince the antivirus companies to change the norm in how they act around this very scary software, so that soon, if I get up in front of you and I talk to you about this next year, I could tell you that the problem has been solved, and all you have to do is download any antivirus and it is considered normal for it to detect stalkerware. That is my hope.
Finalmente, em novembro, eu ajudei a lançar uma aliança chamada Coalition Against Stalkerware, formada por académicos, por pessoas que estavam a fazer esse tipo de coisas no terreno — clínicos que ajudam pessoas a escapar à violência de um parceiro — e empresas de antivírus. O nosso objetivo é educar as pessoas sobre esses programas, mas também convencer as empresas de antivírus a mudar a norma de ação quanto a esse "software" assustador, para que, em breve, se eu aparecer à vossa frente e falar sobre isto no ano que vem, eu puder dizer que este problema já está resolvido, e tudo o que todos temos de fazer é descarregar qualquer antivírus que considere normal detetar "stalkerware". Esta é a minha esperança.
Thank you very much.
Muito obrigada.
(Applause)
(Aplausos)