Four years ago, a security researcher, or, as most people would call it, a hacker, found a way to literally make ATMs throw money at him. His name was Barnaby Jack, and this technique was later called "jackpotting" in his honor.
Quattro anni fa, un ricercatore sulla sicurezza, o come viene chiamato di solito, un hacker, trovò letteralmente il modo di farse buttare addosso soldi da un Bancomat. Si chiamava Barnaby Jack, e questa tecnica è stata poi chiamata "jackpotting" in suo onore.
I'm here today because I think we actually need hackers. Barnaby Jack could have easily turned into a career criminal or James Bond villain with his knowledge, but he chose to show the world his research instead. He believed that sometimes you have to demo a threat to spark a solution. And I feel the same way. That's why I'm here today.
Sono qui oggi perché penso che abbiamo bisogno degli hacker. Barnaby Jack avrebbe potuto facilmente diventare un criminale o un cattivo alla James Bond con le sue conoscenze, ma scelse invece di mostrare al mondo la sua ricerca. Credeva che talvolta devi mostrare una minaccia per far balenare una soluzione. E condivido lo stesso sentimento. Ecco perché sono qui oggi.
We are often terrified and fascinated by the power hackers now have. They scare us. But the choices they make have dramatic outcomes that influence us all. So I am here today because I think we need hackers, and in fact, they just might be the immune system for the information age. Sometimes they make us sick, but they also find those hidden threats in our world, and they make us fix it.
Siamo spesso terrorizzati e affascinati dal potere che hanno oggi gli hacker. Ci spaventano. Ma le scelte che fanno hanno risultati incredibili che ci influenzano tutti. Sono qui oggi perché credo che abbiamo bisogno degli hacker, e di fatto, potrebbero essere il sistema immunitario dell'era dell'informazione. Qualche volta ci fanno ammalare, ma trovano anche quelle minacce nascoste nel nostro mondo, e ci permettono di aggiustarle.
I knew that I might get hacked for giving this talk, so let me save you the effort. In true TED fashion, here is my most embarrassing picture. But it would be difficult for you to find me in it, because I'm the one who looks like a boy standing to the side. I was such a nerd back then that even the boys on the Dungeons and Dragons team wouldn't let me join. This is who I was, but this is who I wanted to be: Angelina Jolie. She portrayed Acid Burn in the '95 film "Hackers." She was pretty and she could rollerblade, but being a hacker, that made her powerful. And I wanted to be just like her, so I started spending a lot of time on hacker chat rooms and online forums. I remember one late night I found a bit of PHP code. I didn't really know what it did, but I copy-pasted it and used it anyway to get into a password-protected site like that. Open Sesame. It was a simple trick, and I was just a script kiddie back then, but to me, that trick, it felt like this, like I had discovered limitless potential at my fingertips. This is the rush of power that hackers feel. It's geeks just like me discovering they have access to superpower, one that requires the skill and tenacity of their intellect, but thankfully no radioactive spiders.
Sapevo che avrei potuto essere attaccata a causa di questo intervento, quindi vi risparmio lo sforzo. In vero stile TED, ecco la mia foto più imbarazzante. Ma vi risulterà difficile trovarmi nella foto, perché sono quella che assomiglia a un bambino in piedi all'estremità. All'epoca era un tale nerd che anche i maschi del team Dungeon and Dragons non mi facevano entrare. Ecco chi ero, ma questa è quella che volevo essere: Angelina Jolie. Interpretava Acid Burn nel film "Hackers" del '95. Era carina e sapeva andare con i rollerblade, ma essere un hacker, quello la rendeva forte. Volevo essere proprio come lei, quindi cominciai a passare tanto tempo nelle chat room degli hacker e nei forum online. Ricordo che una notte tardi trovai un pezzo di codice PHP. Non sapevo cosa facesse, ma lo copiai e incollai e lo usai comunque per entrare in un sito protetto da password come questo. Apriti Sesamo. Fu un scherzo e all'epoca ero solo una principiante, ma ai miei occhi quel trucco, mi faceva sentire come se avessi un potenziale illimitato a portata di mano. Questo è l'impeto che sentono gli hacker. Sono i geek come me che scoprono di avere accesso a superpoteri, che richiedono capacità e tenacia dell'intelletto, ma per fortuna non ragni radioattivi.
But with great power comes great responsibility, and you all like to think that if we had such powers, we would only use them for good. But what if you could read your ex's emails, or add a couple zeros to your bank account. What would you do then? Indeed, many hackers do not resist those temptations, and so they are responsible in one way or another to billions of dollars lost each year to fraud, malware or plain old identity theft, which is a serious issue. But there are other hackers, hackers who just like to break things, and it is precisely those hackers that can find the weaker elements in our world and make us fix it.
Ma da grandi poteri derivano grandi responsabilità, e a tutti piace pensare che se avessimo tali poteri, li useremmo solo a fin di bene. Se poteste leggere le mail del vostro ex, o aggiungere un paio di zeri al vostro conto in banca. Cosa fareste? Certo, molti hacker non resistono a queste tentazioni, quindi sono responsabili in un modo o nell'altro di miliardi di dollari persi ogni anno per frodi, malware o veri e propri furti di identità, che sono un problema serio. Ma ci sono altri hacker, hacker a cui piacere rompere le cose, e sono precisamente questi hacker che riescono a trovare i punti deboli del nostro mondo e ci permettono di sistemarli.
This is what happened last year when another security researcher called Kyle Lovett discovered a gaping hole in the design of certain wireless routers like you might have in your home or office. He learned that anyone could remotely connect to these devices over the Internet and download documents from hard drives attached to those routers, no password needed. He reported it to the company, of course, but they ignored his report. Perhaps they thought universal access was a feature, not a bug, until two months ago when a group of hackers used it to get into people's files. But they didn't steal anything. They left a note: Your router and your documents can be accessed by anyone in the world. Here's what you should do to fix it. We hope we helped. By getting into people's files like that, yeah, they broke the law, but they also forced that company to fix their product.
È quello che è successo l'anno scorso quando un altro ricercatore sulla sicurezza di nome Kyle Lovett ha scoperto una falla nella progettazione di alcuni router wireless, come quelli che potreste avere a casa o in ufficio. Ha scoperto che chiunque poteva collegarsi in remoto a questi dispositivi su Internet e scaricare documenti da dischi rigidi collegati a quei router, senza bisogno di password. Lo ha riferito all'azienda, ovviamente, ma hanno ignorato il suo rapporto. Forse pensavano che l'accesso universale fosse una funzionalità, non un bug, fino a quando due mesi fa un gruppo di hacker lo ha usato per entrare nei file della gente. Non hanno rubato niente. Hanno lasciato un appunto: il tuo router e i tuoi documenti sono accessibili a chiunque nel mondo. Ecco cosa devi fare per sistemarlo. Speriamo di essere stati di aiuto. Certo, entrando nei file in questo modo hanno infranto la legge, ma hanno anche obbligato l'azienda a sistemare i suoi prodotti.
Making vulnerabilities known to the public is a practice called full disclosure in the hacker community, and it is controversial, but it does make me think of how hackers have an evolving effect on technologies we use every day. This is what Khalil did. Khalil is a Palestinian hacker from the West Bank, and he found a serious privacy flaw on Facebook which he attempted to report through the company's bug bounty program. These are usually great arrangements for companies to reward hackers disclosing vulnerabilities they find in their code. Unfortunately, due to some miscommunications, his report was not acknowledged. Frustrated with the exchange, he took to use his own discovery to post on Mark Zuckerberg's wall. This got their attention, all right, and they fixed the bug, but because he hadn't reported it properly, he was denied the bounty usually paid out for such discoveries. Thankfully for Khalil, a group of hackers were watching out for him. In fact, they raised more than 13,000 dollars to reward him for this discovery, raising a vital discussion in the technology industry about how we come up with incentives for hackers to do the right thing. But I think there's a greater story here still. Even companies founded by hackers, like Facebook was, still have a complicated relationship when it comes to hackers. And so for more conservative organizations, it is going to take time and adapting in order to embrace hacker culture and the creative chaos that it brings with it. But I think it's worth the effort, because the alternative, to blindly fight all hackers, is to go against the power you cannot control at the cost of stifling innovation and regulating knowledge. These are things that will come back and bite you.
Rivelare al pubblico le vulnerabilità è una pratica chiamata 'full disclosure' nella comunità degli hacker ed è controversa, ma mi fa pensare a come gli hacker abbiano un effetto evolutivo sulle tecnologie che usiamo ogni giorno. Questo è quello che ha fatto Khalid. Khalil è un hacker palestinese della Striscia di Gaza, ha scoperto una grave falla nella privacy di Facebook che ha tentato di riferire attraverso il programma di ricompense di Facebook. Di solito sono ottime soluzioni per le aziende che ricompensano hacker che scoprono brecce che trovano nel codice. Sfortunatamente, a causa di errori di comunicazione, il suo rapporto non è stato compreso. Frustrato dallo scambio, ha deciso di usare la sua scoperta e di pubblicarla sulla bacheca di Mark Zuckerberg. Ha attirato la loro attenzione e hanno sistemato la falla, ma dato che non l'aveva riferita propriamente, gli è stata negata la ricompensa di solito destinata a queste scoperte. Per fortuna, un gruppo di hacker lo stava tenendo d'occhio. Hanno raccolto più di 13 000 dollari per ricompensarlo della sua scoperta, sollevando un'importante discussione nel settore tecnologico su come concepire incentivi affinché gli hacker facciano la cosa giusta. Credo che ci siano storie ancora più meravigliose. Persino le aziende fondate da hacker, come lo è stata Facebook, hanno ancora una relazione complicata quando si tratta di hacker. Quindi per le organizzazioni più conservative, ci vorrà tempo e adattamento per accogliere la cultura degli hacker e il caos creativo che ne consegue. Ma credo che valga lo sforzo, perché l'alternativa, cioè combattere a occhi chiusi gli hacker, è andare contro un potere che non si può controllare al costo di un'innovazione opprimente e una conoscenza regolamentata. Sono cose che tornano indietro come un boomerang.
It is even more true if we go after hackers that are willing to risk their own freedom for ideals like the freedom of the web, especially in times like this, like today even, as governments and corporates fight to control the Internet. I find it astounding that someone from the shadowy corners of cyberspace can become its voice of opposition, its last line of defense even, perhaps someone like Anonymous, the leading brand of global hacktivism. This universal hacker movement needs no introduction today, but six years ago they were not much more than an Internet subculture dedicated to sharing silly pictures of funny cats and Internet trolling campaigns. Their moment of transformation was in early 2008 when the Church of Scientology attempted to remove certain leaked videos from appearing on certain websites. This is when Anonymous was forged out of the seemingly random collection of Internet dwellers. It turns out, the Internet doesn't like it when you try to remove things from it, and it will react with cyberattacks and elaborate pranks and with a series of organized protests all around the world, from my hometown of Tel Aviv to Adelaide, Australia. This proved that Anonymous and this idea can rally the masses from the keyboards to the streets, and it laid the foundations for dozens of future operations against perceived injustices to their online and offline world. Since then, they've gone after many targets. They've uncovered corruption, abuse. They've hacked popes and politicians, and I think their effect is larger than simple denial of service attacks that take down websites or even leak sensitive documents. I think that, like Robin Hood, they are in the business of redistribution, but what they are after isn't your money. It's not your documents. It's your attention. They grab the spotlight for causes they support, forcing us to take note, acting as a global magnifying glass for issues that we are not as aware of but perhaps we should be. They have been called many names from criminals to terrorists, and I cannot justify their illegal means, but the ideas they fight for are ones that matter to us all. The reality is, hackers can do a lot more than break things. They can bring people together.
È ancor più vero se si perseguono gli hacker disponibili a rischiare la propria libertà per ideali come la libertà della rete, in particolare in tempi come questi, come oggi, in cui i governi e le aziende lottano per controllare Internet. Trovo sorprendente che qualcuno da un remoto angolo del cyberspazio possa diventare la voce di opposizione, la sua ultima linea di difesa, forse qualcosa come Anonymous, il marchio dominante dell'hacktivismo globale. Il movimento universale degli hacker oggi non ha bisogno di presentazioni, ma sei anni fa erano poco più di una subcultura di Internet impegnata a condividere stupide foto di gatti e a fare campagne di trolling su Internet. L'inizio del 2008 è stato il loro anno di trasformazione quando la Chiesa di Scientology tentò di rimuovere alcuni video trapelati in alcuni siti. In quel momento è stata fondata Anonymous a partire dall'apparentemente raccolta casuale di utenti Internet. A quanto pare, a Internet non piace che si tenti di rimuovere qualcosa, e reagisce con attacchi informatici, concepisce scherzi, con una serie di proteste organizzate in tutto il mondo, dalla mia città natale Tel Aviv fino ad Adelaide, Australia. Questo dimostra che Anonymous e questa idea porta le masse dalle tastiere alle strade, e ha posato le fondamenta per dozzine di future operazioni contro ciò che è percepito come ingiustizia del mondo online e offline. Da allora, hanno perseguito molti obiettivi. Hanno svelato corruzione, abusi. Hanno attaccato papi e politici, e credo che il loro effetto sia più ampio dei semplici attacchi dns che fanno crollare siti o fanno trapelare documenti riservati. Credo che, come Robin Hood, siano nel settore della redistribuzione, ma non sono in cerca di soldi. Non sono i vostri documenti. È la vostra attenzione. Afferrano i riflettori per cause che sostengono, obbligandoci a prendere nota, agendo da lente di ingrandimento globale di problemi di cui non siamo a conoscenza ma che forse dovremmo conoscere. Sono stati chiamati in diversi modi, da criminali a terroristi, non posso giustificare i loro mezzi illegali, ma le idee per cui combattano sono importanti per tutti noi. La realtà è che, gli hacker possono fare molto di più che rompere le cose. Possono riunire le persone.
And if the Internet doesn't like it when you try to remove things from it, just watch what happens when you try to shut the Internet down. This took place in Egypt in January 2011, and as President Hosni Mubarak attempted a desperate move to quash the rising revolution on the streets of Cairo, he sent his personal troops down to Egypt's Internet service providers and had them physically kill the switch on the country's connection to the world overnight. For a government to do a thing like that was unprecedented, and for hackers, it made it personal. Hackers like the Telecomix group were already active on the ground, helping Egyptians bypass censorship using clever workarounds like Morse code and ham radio. It was high season for low tech, which the government couldn't block, but when the Net went completely down, Telecomix brought in the big guns. They found European service providers that still had 20-year-old analog dial-up access infrastructure. They opened up 300 of those lines for Egyptians to use, serving slow but sweet Internet connection for Egyptians. This worked. It worked so well, in fact, one guy even used it to download an episode of "How I Met Your Mother." But while Egypt's future is still uncertain, when the same thing happened in Syria just one year later, Telecomix were prepared with those Internet lines, and Anonymous, they were perhaps the first international group to officially denounce the actions of the Syrian military by defacing their website.
E se a Internet non piace quando si cerca di rimuovere qualcosa, guardate cosa accade quando cercate di spegnere Internet. Questo è accaduto in Egitto nel gennaio 2011, e quando il Presidente Hosni Mubarak ha tentato, con una mossa disperata, di reprimere l'insurrezione delle vie de Il Cairo, ha mandato le sue truppe personali dai provider Internet egiziani e gli ha fatto spegnere fisicamente l'interruttore della connessione del paese con il mondo da un giorno all'altro. Per un governo, fare una cosa del genere era senza precedenti, e per gli hacker, è diventata una questione personale. Gli hacker, come il gruppo Telecomix erano già attivi sul campo, ad aiutare gli egiziani ad aggirare la censura usando scorciatoie intelligenti come il codice Morse e radio amatoriali. Era l'alta stagione della bassa tecnologia, che il governo non poteva bloccare, ma quando la rete è caduta completamente, Telecomix ha tirato fuori le armi pensati. Hanno trovato provider europei che avevano ancora infrastrutture per connessioni analogiche vecchie di 20 anni. Hanno aperto 300 di queste linee per gli Egiziani, mettendo a disposizione una connessione Internet lenta, ma funzionante per gli Egiziani. Ha funzionato. Anzi, ha funzionato talmente bene, che un tizio l'ha anche usata per scaricare un episodio di "Alla fine arriva mamma". Mentre il futuro dell'Egitto è ancora incerto, quando la stessa cosa è accaduta in Siria, appena un anno dopo, Telecomix era pronta con quelle linee Internet e Anonymous: sono stati forse il primo gruppo internazionale a denunciare ufficialmente le azioni dell'esercito siriano devastando il loro sito.
But with this sort of power, it really depends on where you stand, because one man's hero can be another's villain, and so the Syrian Electronic Army is a pro-Assad group of hackers who support his contentious regime. They've taken down multiple high-profile targets in the past few years, including the Associated Press's Twitter account, in which they posted a message about an attack on the White House injuring President Obama. This tweet was fake, of course, but the resulting drop in the Dow Jones index that day was most certainly not, and a lot of people lost a lot of money.
Con questo tipo di potere dipende da che parte si sta, perché l'eroe di qualcuno può essere il cattivo di qualcun altro, e così l'Esercito Elettronico Siriano è un gruppo di hacker a favore di Assad che sostiene il suo regime conflittuale. Sono stati eliminati diversi obiettivi di alto profilo negli ultimi anni, compreso l'account Twitter di Associated Press in cui avevano pubblicato un messaggio su un attacco alla Casa Bianca che avrebbe ferito il Presidente Obama. Questo tweet era un falso, ovviamente, ma la conseguente caduta dell'indice Dow Jones quel giorno sicuramente non lo è stata, e in molti hanno perso tanti soldi.
This sort of thing is happening all over the world right now. In conflicts from the Crimean Peninsula to Latin America, from Europe to the United States, hackers are a force for social, political and military influence. As individuals or in groups, volunteers or military conflicts, there are hackers everywhere. They come from all walks of life, ethnicities, ideologies and genders, I might add. They are now shaping the world's stage. Hackers represent an exceptional force for change in the 21st century. This is because access to information is a critical currency of power, one which governments would like to control, a thing they attempt to do by setting up all-you-can-eat surveillance programs, a thing they need hackers for, by the way. And so the establishment has long had a love-hate relationship when it comes to hackers, because the same people who demonize hacking also utilize it at large.
Questo genere di cose accadono oggi in tutto il mondo. Nei conflitti dalla Penisola di Crimea all'America Latina, dall'Europa agli Stati Uniti, gli hacker sono una forza con un'influenza sociale, politica e militare. Come individui o in gruppo, volontari o conflitti militari, ci sono hacker ovunque. Hanno origini diverse, sono di etnie, ideologie e sesso diversi, potrei aggiungere. Stanno influenzando la scena mondiale. Gli hacker rappresentano una forza di cambiamento eccezionale del 21esimo secolo. Questo perché l'accesso all'informazione è una moneta del potere fondamentale, che i governi vorrebbero controllare, una cosa che cercano di fare implementando programmi di sorveglianza ad ampio raggio, una cosa per cui hanno bisogno di hacker, tra l'altro. Quindi l'establishment ha sempre avuto una relazione di amore-odio con gli hacker, perché le stesse persone che demonizzano gli hacker li utilizzano anche ampiamente.
Two years ago, I saw General Keith Alexander. He's the NSA director and U.S. cyber commander, but instead of his four star general uniform, he was wearing jeans and a t-shirt. This was at DEF CON, the world's largest hacker conference. Perhaps like me, General Alexander didn't see 12,000 criminals that day in Vegas. I think he saw untapped potential. In fact, he was there to give a hiring pitch. "In this room right here," he said, "is the talent our nation needs." Well, hackers in the back row replied, "Then stop arresting us." (Applause)
Due anni fa, ho visto il Generale Keith Alexander. È il direttore della NSA e comandante e responsabile della sicurezza militare, ma invece della sua uniforme da generale a quattro stelle, portava jeans e maglietta. Era al DEF CON, la più grande conferenza di hacker al mondo. Forse come me, il Generale Alexander non ha visto 12 000 criminali quel giorno a Las Vegas. Credo che abbia visto un enorme potenziale. Infatti, era lì per consegnare un premio. "In questa sala proprio qui," ha detto, "c'è il talento di cui ha bisogno il paese." Gli hacker in ultima fila hanno risposto, "Allora smettetela di arrestarci." (Applausi)
Indeed, for years, hackers have been on the wrong side of the fence, but in light of what we know now, who is more watchful of our online world? The rules of the game are not that clear anymore, but hackers are perhaps the only ones still capable of challenging overreaching governments and data-hoarding corporates on their own playing field. To me, that represents hope.
Certo, per anni. gli hacker sono stati dalla parte sbagliata della barricata, ma alla luce di quello che sappiamo ora, chi è più attento al mondo online oggi? Le regole del gioco non sono più così chiare, ma gli hacker sono forse gli unici ancora capaci di sfidare governi che strafanno e aziende che fanno incetta di dati sul loro campo da gioco. Per me, questo rappresenta la speranza.
For the past three decades, hackers have done a lot of things, but they have also impacted civil liberties, innovation and Internet freedom, so I think it's time we take a good look at how we choose to portray them, because if we keep expecting them to be the bad guys, how can they be the heroes too? My years in the hacker world have made me realize both the problem and the beauty about hackers: They just can't see something broken in the world and leave it be. They are compelled to either exploit it or try and change it, and so they find the vulnerable aspects in our rapidly changing world. They make us, they force us to fix things or demand something better, and I think we need them to do just that, because after all, it is not information that wants to be free, it's us.
Negli ultimi 30 anni, gli hacker hanno fatto molte cose, hanno anche influenzato le libertà civili, l'innovazione e la libertà di Internet, quindi credo sia il momento di scegliere con cura come li raffiguriamo, perché se continuiamo ad aspettarci che facciano i cattivi, come possono essere anche eroi? I miei anni nel mondo degli hacker mi hanno fatto capire sia il problema che la bellezza degli hacker: semplicemente non riescono a vedere nel mondo qualcosa che non funziona e lasciarlo com'è. Si sentono obbligati a sfruttarlo o a cercare di cambiarlo, e quindi trovano gli aspetti vulnerabili nel nostro mondo che cambia rapidamente. Ci invitano, ci spingono a sistemare le cose o a chiedere di meglio, e credo che abbiamo bisogno di loro solo per fare questo, perché dopotutto, non è l'informazione che vuole essere libera, siamo noi.
Thank you very much.
Grazie infinite.
Thank you. (Applause)
Grazie. (Applausi)
Hack the planet!
Attacchiamo il pianeta!