Four years ago, a security researcher, or, as most people would call it, a hacker, found a way to literally make ATMs throw money at him. His name was Barnaby Jack, and this technique was later called "jackpotting" in his honor.
Cztery lata temu analityk zabezpieczeń lub, jak powiedziałaby większość, haker znalazł sposób, żeby bankomaty dosłownie zasypywały go gotówką. Nazywał się Barnaby Jack, a technikę nazwano "jackpottingiem" na jego cześć.
I'm here today because I think we actually need hackers. Barnaby Jack could have easily turned into a career criminal or James Bond villain with his knowledge, but he chose to show the world his research instead. He believed that sometimes you have to demo a threat to spark a solution. And I feel the same way. That's why I'm here today.
Jestem tutaj, bo uważam, że tak naprawdę potrzebujemy hakerów. Barnaby Jack mógł po prostu zostać zawodowym przestępcą albo złoczyńcą jak u Jamesa Bonda ze swoim zasobem wiedzy. Zamiast tego wolał przedstawić światu wyniki swoich badań. Wierzył, że trzeba poskazać zagrożenie, żeby pojawiło się rozwiązanie. Ja też tak myślę. Dlatego tu jestem.
We are often terrified and fascinated by the power hackers now have. They scare us. But the choices they make have dramatic outcomes that influence us all. So I am here today because I think we need hackers, and in fact, they just might be the immune system for the information age. Sometimes they make us sick, but they also find those hidden threats in our world, and they make us fix it.
Władza, jaką mają dziś hakerzy, często nas przeraża i zarazem fascynuje. Przerażają nas. Decyzje przez nich podejmowane mają poważne skutki, mające wpływ na wszystkich. Jestem tu, bo sądzę, że potrzebujemy hakerów. W dobie informatyzacji mogą stanowić swoisty układ odpornościowy. Czasami przez nich chorujemy, ale wynajdują też ukryte zagrożenia w naszym świecie, zmuszając nas do ich naprawy.
I knew that I might get hacked for giving this talk, so let me save you the effort. In true TED fashion, here is my most embarrassing picture. But it would be difficult for you to find me in it, because I'm the one who looks like a boy standing to the side. I was such a nerd back then that even the boys on the Dungeons and Dragons team wouldn't let me join. This is who I was, but this is who I wanted to be: Angelina Jolie. She portrayed Acid Burn in the '95 film "Hackers." She was pretty and she could rollerblade, but being a hacker, that made her powerful. And I wanted to be just like her, so I started spending a lot of time on hacker chat rooms and online forums. I remember one late night I found a bit of PHP code. I didn't really know what it did, but I copy-pasted it and used it anyway to get into a password-protected site like that. Open Sesame. It was a simple trick, and I was just a script kiddie back then, but to me, that trick, it felt like this, like I had discovered limitless potential at my fingertips. This is the rush of power that hackers feel. It's geeks just like me discovering they have access to superpower, one that requires the skill and tenacity of their intellect, but thankfully no radioactive spiders.
Wiedziałam, że mogę zostać zhakowana za wygłoszenie tej prelekcji, więc oszczędzę wam wysiłku. W prawdziwym stylu TED, oto moje najbardziej żenujące zdjęcie. Trudno mnie na nim znaleźć, bo wyglądam jak chłopak i trzymam się z boku. Byłam wtedy takim kujonem, że nawet gracze w "Lochy i Smoki" trzymali mnie na dystans. Taka byłam, a oto kim chciałam być: Angeliną Jolie. Grała rolę Dopalacza w filmie "Hakerzy" z 1995 roku. Była ładna i umiała jeździć na rolkach, ale to hakerstwo dawało jej moc. Chciałam być jak ona, zaczęłam spędzać mnóstwo czasu na czatach i forach hakerskich. Pamiętam pewną noc, kiedy znalazłam fragment kodu PHP. Nie wiedziałam, co robi, ale skopiowałam go i użyłam, żeby dostać się na zabezpieczoną stronę właśnie tak. Sezamie, otwórz się. To był prosty trik, a ja byłam skryptowym żółtodziobem, ale ten trik dał mi poczucie, że nieograniczony potencjał jest na wyciągnięcie ręki. Właśnie takiego poczucia siły doświadczają hakerzy. Maniacy komputerowi, jak ja, odkrywają dostęp do supermocy, która wymaga umiejętności i wytrwałości umysłu, nie jadu radioaktywnych pająków.
But with great power comes great responsibility, and you all like to think that if we had such powers, we would only use them for good. But what if you could read your ex's emails, or add a couple zeros to your bank account. What would you do then? Indeed, many hackers do not resist those temptations, and so they are responsible in one way or another to billions of dollars lost each year to fraud, malware or plain old identity theft, which is a serious issue. But there are other hackers, hackers who just like to break things, and it is precisely those hackers that can find the weaker elements in our world and make us fix it.
Z wielką władzą idzie w parze wielka odpowiedzialność. Każdy chce wierzyć, że posiadając te moce, używałby ich tylko w dobrych celach. Ale gdyby pozwalały na czytanie cudzych maili lub dodanie kilku zer na koncie bankowym? Co byście zrobili? Wielu hakerów nie potrafi oprzeć się tym pokusom. Powodują co roku bilionowe straty przez oszustwa, złośliwe skrypty lub zwykłą kradzież tożsamości, co jest sprawą bardzo poważną. Są też inni hakerzy, hakerzy, którzy lubią po prostu psuć i to właśnie oni znajdują najsłabsze elementy w naszym świecie i wymuszają naprawy. Oto, co stało się w zeszłym roku,
This is what happened last year when another security researcher called Kyle Lovett discovered a gaping hole in the design of certain wireless routers like you might have in your home or office. He learned that anyone could remotely connect to these devices over the Internet and download documents from hard drives attached to those routers, no password needed. He reported it to the company, of course, but they ignored his report. Perhaps they thought universal access was a feature, not a bug, until two months ago when a group of hackers used it to get into people's files. But they didn't steal anything. They left a note: Your router and your documents can be accessed by anyone in the world. Here's what you should do to fix it. We hope we helped. By getting into people's files like that, yeah, they broke the law, but they also forced that company to fix their product.
kiedy analityk zabezpieczeń Kyle Lovett odkrył wielką lukę w budowie niektórych routerów spotykanych w domach lub biurach. Stwierdził. że każdy może połączyć się zdalnie do tego urządzenia przez Internet i ściągnąć dokumenty z twardych dysków podłączonych do tego routera bez potrzeby wpisywania hasła. Oczywiście zgłosił to firmie, która zignorowała ten raport. Może uznali dostęp bez ograniczeń za funkcję, a nie błąd. Tylko że dwa miesiące temu grupa hakerów użyła tego do wglądu w akta pracowników. Niczego nie ukradli, ale zostawili informację: "Twój router i dokumenty są dostępne dla każdego na świecie. Oto, jak to naprawić. Mamy nadzieję, że pomogliśmy". Włamując się do akt w ten sposób, owszem, złamali prawo, lecz także zmusili tę firmę do naprawy produktu.
Making vulnerabilities known to the public is a practice called full disclosure in the hacker community, and it is controversial, but it does make me think of how hackers have an evolving effect on technologies we use every day. This is what Khalil did. Khalil is a Palestinian hacker from the West Bank, and he found a serious privacy flaw on Facebook which he attempted to report through the company's bug bounty program. These are usually great arrangements for companies to reward hackers disclosing vulnerabilities they find in their code. Unfortunately, due to some miscommunications, his report was not acknowledged. Frustrated with the exchange, he took to use his own discovery to post on Mark Zuckerberg's wall. This got their attention, all right, and they fixed the bug, but because he hadn't reported it properly, he was denied the bounty usually paid out for such discoveries. Thankfully for Khalil, a group of hackers were watching out for him. In fact, they raised more than 13,000 dollars to reward him for this discovery, raising a vital discussion in the technology industry about how we come up with incentives for hackers to do the right thing. But I think there's a greater story here still. Even companies founded by hackers, like Facebook was, still have a complicated relationship when it comes to hackers. And so for more conservative organizations, it is going to take time and adapting in order to embrace hacker culture and the creative chaos that it brings with it. But I think it's worth the effort, because the alternative, to blindly fight all hackers, is to go against the power you cannot control at the cost of stifling innovation and regulating knowledge. These are things that will come back and bite you.
Podawanie luk do wiadomości publicznej, czyli praktyka zwana pełnym ujawnieniem w społeczności hakerskiej, jest kontrowersyjna, ale zastanawia mnie wpływ hakerów na rozwój technologii używanej na co dzień. Oto, co zrobił Khalil. Khalil to haker z Palestyny z Zachodniego Brzegu Jordanu. Znalazł poważną lukę w prywatności na Facebooku, którą próbował zgłosić przez program typu bug bounty. To świetne rozwiązanie dla firm. Wynagradzają hakerów wskazujących błędy w skryptach. Niestety Khalil został źle zrozumiany i jego raportu nie zatwierdzono. Sfrustrowany taką reakcją, swoje odkrycie umieścił na stronie Marka Zuckerberga. Dopiero to zwróciło uwagę FB i błąd naprawiono. Jednak uznano, że nie zgłosił tego odpowiednio, i odmówiono mu wypłaty nagrody za odkrycie. Na szczęście dla Khalila na jego sytuację zwróciła uwagę grupa hakerów. Zebrali ponad 13 tysięcy dolarów, by go wynagrodzić, wywołując dyskusję w przemyśle technologicznym odnośnie zachęcania hakerów do słusznego postępowania. Myślę, że chodzi tu o coś więcej. Nawet firmy zakładane przez hakerów, jak na przykład Facebook, nadal mają skomplikowane relacje z hakerami. Wiele konserwatywnych organizacji potrzebuje jeszcze czasu i przemian, żeby docenić kulturę hakerską oraz twórczy chaos, który ze sobą przynosi. Myślę, że jest to warte wysiłku, ponieważ alternatywą jest walka na oślep przeciwko wszystkim hakerom, a to walka z wiatrakami kosztem hamowania innowacji i regulacji wiedzy. A to się zemści w przyszłości,
It is even more true if we go after hackers that are willing to risk their own freedom for ideals like the freedom of the web, especially in times like this, like today even, as governments and corporates fight to control the Internet. I find it astounding that someone from the shadowy corners of cyberspace can become its voice of opposition, its last line of defense even, perhaps someone like Anonymous, the leading brand of global hacktivism. This universal hacker movement needs no introduction today, but six years ago they were not much more than an Internet subculture dedicated to sharing silly pictures of funny cats and Internet trolling campaigns. Their moment of transformation was in early 2008 when the Church of Scientology attempted to remove certain leaked videos from appearing on certain websites. This is when Anonymous was forged out of the seemingly random collection of Internet dwellers. It turns out, the Internet doesn't like it when you try to remove things from it, and it will react with cyberattacks and elaborate pranks and with a series of organized protests all around the world, from my hometown of Tel Aviv to Adelaide, Australia. This proved that Anonymous and this idea can rally the masses from the keyboards to the streets, and it laid the foundations for dozens of future operations against perceived injustices to their online and offline world. Since then, they've gone after many targets. They've uncovered corruption, abuse. They've hacked popes and politicians, and I think their effect is larger than simple denial of service attacks that take down websites or even leak sensitive documents. I think that, like Robin Hood, they are in the business of redistribution, but what they are after isn't your money. It's not your documents. It's your attention. They grab the spotlight for causes they support, forcing us to take note, acting as a global magnifying glass for issues that we are not as aware of but perhaps we should be. They have been called many names from criminals to terrorists, and I cannot justify their illegal means, but the ideas they fight for are ones that matter to us all. The reality is, hackers can do a lot more than break things. They can bring people together.
zwłaszcza jeśli zaatakujemy hakerów, którzy ryzykują własną wolność dla ideałów, jak wolność Internetu. Szczególnie teraz, kiedy rządy i korporacje walczą o kontrolę nad Internetem. Zdumiewa mnie, że ktoś z zakamarków cyberprzestrzeni może stać się głosem sprzeciwu, a nawet ostatnią linią obrony, ktoś jak Anonymous, wiodąca marka globalnego haktywizmu. Ten powszechny ruch hakerski nie wymaga dzisiaj przedstawienia, lecz sześć lat temu byli jedynie internetową subkulturą, dzielącą się śmiesznymi zdjęciami kotów i zaangażowaną w trollowanie. Transformację przeszli na początku 2008 roku, kiedy Kościół Scjentologiczny próbował usunąć filmy, które pojawiły się w internecie. Wtedy powstał Anonymous z pozornie przypadkowej zbieraniny internatów. Okazało się, że Internet nie lubi, żeby coś z niego usuwać, i reaguje cyberatakami, wymyślnymi kawałami oraz serią zorganizowanych protestów na całym świecie, od mojego miasta, Tel Avivu, aż po Adelajdę w Australii. To dowodzi, że Anonymous i ta idea mogą oderwać masy od klawiatur i popchnąć do wyjścia na ulice. Dało to również początek wielu innym działaniom przeciw niesprawiedliwości w świecie wirtualnym i realnym. Od tego czasu obrali wiele celów. Ujawniali korupcję, nadużycia. Hakowali papieży i polityków. Uważam, że ich wpływ jest większy, niż proste blokowanie stron czy udostępnianie poufnych dokumentów. Myślę, że tak jak Robin Hood, zajmują się redystrybucją dóbr. Nie chodzi im jednak o pieniądze. Nie są to też dokumenty. Chodzi o uwagę. Zwracają ją na sprawy, które według nich są istotne, wymuszają zainteresowanie, działają jak globalna soczewka dla spraw, o których nie mamy pojęcia, a powinniśmy mieć. Obrzucano ich różnymi inwektywami, od kryminalistów po terrorystów. Nie staram się usprawiedliwiać ich nielegalnych środków, lecz idee, o które walczą, są istotne dla nas wszystkich. W rzeczywistości hakerzy mogą więcej niż tylko niszczyć. Mogą jednoczyć ludzi.
And if the Internet doesn't like it when you try to remove things from it, just watch what happens when you try to shut the Internet down. This took place in Egypt in January 2011, and as President Hosni Mubarak attempted a desperate move to quash the rising revolution on the streets of Cairo, he sent his personal troops down to Egypt's Internet service providers and had them physically kill the switch on the country's connection to the world overnight. For a government to do a thing like that was unprecedented, and for hackers, it made it personal. Hackers like the Telecomix group were already active on the ground, helping Egyptians bypass censorship using clever workarounds like Morse code and ham radio. It was high season for low tech, which the government couldn't block, but when the Net went completely down, Telecomix brought in the big guns. They found European service providers that still had 20-year-old analog dial-up access infrastructure. They opened up 300 of those lines for Egyptians to use, serving slow but sweet Internet connection for Egyptians. This worked. It worked so well, in fact, one guy even used it to download an episode of "How I Met Your Mother." But while Egypt's future is still uncertain, when the same thing happened in Syria just one year later, Telecomix were prepared with those Internet lines, and Anonymous, they were perhaps the first international group to officially denounce the actions of the Syrian military by defacing their website.
Jeżeli internet nie lubi, żeby coś z niego usuwać, zobaczcie, co się stanie, kiedy ktoś spróbuje go zamknąć. Tak stało się w styczniu 2011 roku w Egipcie, kiedy prezydent Hosni Mubarak podjął rozpaczliwy krok zduszenia rewolucji na ulicach Kairu. Wysłał swoje osobiste oddziały do egipskich dostawców usług internetowych, żeby wyłączyli pstryczek krajowego połączenia internetowego. Była to bezprecedensowa reakcja rządu, a hakerzy odebrali to jako osobisty atak. Hakerzy, jak grupa Telecomix, już działali już wcześniej, pomagając Egipcjanom omijać cenzurę, używając sprytnych rozwiązań jak alfabet Morse'a czy krótkofalówki. Był to wielki powrót prostych technologii, będących poza możliwościami rządu. Lecz kiedy sieć całkowicie padła, Telecomix wytoczył ciężkie działa. Odnaleźli europejskich operatorów, którzy wciąż posiadali 20-letnią analogową wersję dial-up Access. Udostępniono Egipcjanom 300 takich linii, umożliwiając powolne połączenie z internetem. To zadziałało. Zadziałało tak dobrze, że ktoś zdołał nawet pobrać odcinek "Jak poznałem waszą matkę". (Śmiech) Przyszłość Egiptu wciąż jest niepewna, a po roku to samo przytrafiło się Syrii. Telecomix miał już gotowe połączenia. Anonymous było pewnie pierwszą międzynarodową grupą, która oficjalnie potępiła działania syryjskich wojsk rządowych, podmieniając ich stronę internetową.
But with this sort of power, it really depends on where you stand, because one man's hero can be another's villain, and so the Syrian Electronic Army is a pro-Assad group of hackers who support his contentious regime. They've taken down multiple high-profile targets in the past few years, including the Associated Press's Twitter account, in which they posted a message about an attack on the White House injuring President Obama. This tweet was fake, of course, but the resulting drop in the Dow Jones index that day was most certainly not, and a lot of people lost a lot of money.
W przypadku takiej mocy liczy się, po czyjej stronie stoisz. Dla jednych bohater, dla innych złoczyńca. Syrian Electronic Army jest pro-rządową grupą hakerów, wspierającą kontrowersyjny reżim. Zdjęli wiele kluczowych celów przez ostatnie kilka lat, łącznie z kontem twitterowym Associated Press, na którym opublikowali wiadomość o rzekomym ataku na Biały Dom i zranieniu prezydenta Obamy. Tweet był oczywiście fałszywy, ale wynikły spadek indeksu Dow Jones tego dnia z pewnością fałszywy nie był, wielu ludzi straciło sporo pieniędzy.
This sort of thing is happening all over the world right now. In conflicts from the Crimean Peninsula to Latin America, from Europe to the United States, hackers are a force for social, political and military influence. As individuals or in groups, volunteers or military conflicts, there are hackers everywhere. They come from all walks of life, ethnicities, ideologies and genders, I might add. They are now shaping the world's stage. Hackers represent an exceptional force for change in the 21st century. This is because access to information is a critical currency of power, one which governments would like to control, a thing they attempt to do by setting up all-you-can-eat surveillance programs, a thing they need hackers for, by the way. And so the establishment has long had a love-hate relationship when it comes to hackers, because the same people who demonize hacking also utilize it at large.
Takie rzeczy dzieją się teraz na całym świecie. Od konfliktu na Krymie po Amerykę Łacińską, od Europy po Stany Zjednoczone, hakerzy są siłą o wpływie społecznym, politycznym i militarnym. Jako jednostki czy grupy, ochotniczo czy w konfliktach zbrojnych, hakerzy są po prostu wszędzie. Reprezentują różne szczeble drabiny społecznej grupy etniczne, ideologie i płcie. To oni kształtują scenę światową. Hakerzy reprezentują wyjątkową siłę zmian w XXI wieku. Ponieważ dostęp do informacji to nowa "waluta władzy", którą rządy chciałyby kontrolować. Próbują to robić za pomocą rozmaitych programów szpiegowskich, do których potrzebują zresztą hakerów. Elity rządzące od dłuższego czasu mają trudne relacje hakerami, demonizują hakowanie, jednocześnie z niego korzystając.
Two years ago, I saw General Keith Alexander. He's the NSA director and U.S. cyber commander, but instead of his four star general uniform, he was wearing jeans and a t-shirt. This was at DEF CON, the world's largest hacker conference. Perhaps like me, General Alexander didn't see 12,000 criminals that day in Vegas. I think he saw untapped potential. In fact, he was there to give a hiring pitch. "In this room right here," he said, "is the talent our nation needs." Well, hackers in the back row replied, "Then stop arresting us." (Applause)
[Zachowaj spokój i kochaj / nienawidź hakerów] Dwa lata temu widziałam generała Keitha Alexandra. To dyrektor NSA i dowódca USCYBERCOM. Zamiast czterogwiazdkowego munduru miał na sobie dżinsy i koszulkę. Miało to miejsce podczas DEF CON, największej konferencji hakerskiej. Być może jak ja, generał Alexander nie widział tego dnia w Vegas 12 tysięcy przestępców. Być może widział niewykorzystany potencjał. Zjawił się tam w poszukiwaniu pracowników. "Na tej sali" - powiedział - "znajduje się talent. którego potrzebujemy". Na co hakerzy z tylnego rzędu odparli: "Więc przestańcie nas aresztować". (Brawa)
Indeed, for years, hackers have been on the wrong side of the fence, but in light of what we know now, who is more watchful of our online world? The rules of the game are not that clear anymore, but hackers are perhaps the only ones still capable of challenging overreaching governments and data-hoarding corporates on their own playing field. To me, that represents hope.
Rzeczywiście przez lata hakerzy byli po "ciemnej stronie mocy", lecz w świetle tego, co wiemy teraz, kto czuwa bardziej nad naszym światem online? Reguły gry nie są już tak jasne, lecz hakerzy być może jako jedyni wciąż potrafią postawić się podstępnym rządom i wścibskim korporacjom na ich własnym podwórku. Według mnie to napawa nadzieją.
For the past three decades, hackers have done a lot of things, but they have also impacted civil liberties, innovation and Internet freedom, so I think it's time we take a good look at how we choose to portray them, because if we keep expecting them to be the bad guys, how can they be the heroes too? My years in the hacker world have made me realize both the problem and the beauty about hackers: They just can't see something broken in the world and leave it be. They are compelled to either exploit it or try and change it, and so they find the vulnerable aspects in our rapidly changing world. They make us, they force us to fix things or demand something better, and I think we need them to do just that, because after all, it is not information that wants to be free, it's us.
Przez ostatnie trzy dekady hakerzy dokonali wielu rzeczy, ale wpłynęli również na swobody obywatelskie, innowacje i wolność Internetu. Najwyższa pora zastanowić się, w jakim świetle ich przedstawiamy. Jeśli będziemy ich mieć tylko za złoczyńców, jak mogą stać się bohaterami? Moje lata spędzone w świecie hakerów uświadomiły mi zarówno zło jak i dobro w hakerach. Nie umieją przejść obojętnie obok usterek. Czują przymus, żeby to albo wykorzystać, albo próbować to zmienić. Znajdują takie czułe punkty w naszym szybko zmieniającym się świecie. Zmuszają nas do naprawiania rzeczy, wymagania zmian na lepsze. Sądzę, że są potrzebni właśnie do tego, bo ostatecznie to nie informacja pragnie być wolna, tylko my.
Thank you very much.
Dziękuję bardzo.
Thank you. (Applause)
Dziękuję. (Brawa)
Hack the planet!
Hakujcie planetę!