Four years ago, a security researcher, or, as most people would call it, a hacker, found a way to literally make ATMs throw money at him. His name was Barnaby Jack, and this technique was later called "jackpotting" in his honor.
Quatro anos atrás, um pesquisador de segurança, ou, como diria a maioria das pessoas, um hacker, encontrou um jeito de, literalmente, fazer os caixas eletrônicos cuspirem dinheiro nele. O nome dele era Barnaby Jack, e esta técnica foi posteriormente chamada de "jackpotting" em homenagem a ele.
I'm here today because I think we actually need hackers. Barnaby Jack could have easily turned into a career criminal or James Bond villain with his knowledge, but he chose to show the world his research instead. He believed that sometimes you have to demo a threat to spark a solution. And I feel the same way. That's why I'm here today.
Eu estou aqui hoje, porque acho que realmente precisamos de hackers. Barnaby Jack poderia facilmente ter se transformado em um criminoso profissional ou um James Bond do mal, com o conhecimento que possuía, mas, em vez disso, ele preferiu revelar ao mundo, suas pesquisas. Ele acreditava que, às vezes, você tem de mostrar uma ameaça para provocar uma solução. E eu também tenho esse sentimento. É por isso que estou aqui hoje.
We are often terrified and fascinated by the power hackers now have. They scare us. But the choices they make have dramatic outcomes that influence us all. So I am here today because I think we need hackers, and in fact, they just might be the immune system for the information age. Sometimes they make us sick, but they also find those hidden threats in our world, and they make us fix it.
Muitas vezes ficamos aterrorizados e fascinados pelo poder que os hackers agora têm. Eles nos assustam. Mas as escolhas que eles fazem têm resultados dramáticos que influenciam a todos nós. Então, eu estou aqui hoje, porque eu acho que precisamos de hackers, e, na verdade, eles bem que poderiam ser o sistema imunológico dessa era da informação. Às vezes, eles nos fazem mal, mas eles também encontram aquelas ameaças ocultas no nosso mundo, e fazem com que as consertemos.
I knew that I might get hacked for giving this talk, so let me save you the effort. In true TED fashion, here is my most embarrassing picture. But it would be difficult for you to find me in it, because I'm the one who looks like a boy standing to the side. I was such a nerd back then that even the boys on the Dungeons and Dragons team wouldn't let me join. This is who I was, but this is who I wanted to be: Angelina Jolie. She portrayed Acid Burn in the '95 film "Hackers." She was pretty and she could rollerblade, but being a hacker, that made her powerful. And I wanted to be just like her, so I started spending a lot of time on hacker chat rooms and online forums. I remember one late night I found a bit of PHP code. I didn't really know what it did, but I copy-pasted it and used it anyway to get into a password-protected site like that. Open Sesame. It was a simple trick, and I was just a script kiddie back then, but to me, that trick, it felt like this, like I had discovered limitless potential at my fingertips. This is the rush of power that hackers feel. It's geeks just like me discovering they have access to superpower, one that requires the skill and tenacity of their intellect, but thankfully no radioactive spiders.
Eu sabia que poderia ser "hackeada" por dar essa palestra, então deixe-me poupar-lhes o esforço. Seguindo o formato das palestras TED, eis minha foto mais embaraçosa. Seria difícil para você me encontrar nela, porque sou aquela que parece um menino de pé, na lateral. Naquele tempo, eu era tão <i>nerd</i> que nem os garotos do jogo "Dungeons and Dragons" me aceitavam no grupo deles. Essa era eu, mas esta é que eu queria ser: Angelina Jolie. Ela interpretou a personagem "Acid Burn" no filme "Hackers", de 1995. Ela era bonita e conseguia patinar, mas ser uma hacker, isso a tornou poderosa. E eu queria ser como ela, então eu comecei a passar um bom tempo em salas de chat e fóruns de hackers. Lembro-me que uma noite, já tarde, eu encontrei um trecho de um código PHP. Eu não sabia direito o que ele fazia, mas eu o copiei para mim e utilizei-o de alguma forma para descobrir a senha de um site protegido como esse. "Abre-te Sésamo". Era um truque simples, e naquela época, eu era apenas uma 'garota dos <i>scripts</i>', mas para mim, aquele truque, eu me senti assim, como se eu tivesse descoberto um potencial ilimitado na ponta dos meus dedos. Este é o ímpeto de poder que os hackers sentem. São <i>geeks</i> como eu, descobrindo que eles têm acesso a um superpoder, que requer a habilidade e tenacidade de seu intelecto, mas felizmente sem aranhas radioativas.
But with great power comes great responsibility, and you all like to think that if we had such powers, we would only use them for good. But what if you could read your ex's emails, or add a couple zeros to your bank account. What would you do then? Indeed, many hackers do not resist those temptations, and so they are responsible in one way or another to billions of dollars lost each year to fraud, malware or plain old identity theft, which is a serious issue. But there are other hackers, hackers who just like to break things, and it is precisely those hackers that can find the weaker elements in our world and make us fix it.
Mas com um grande poder vem uma grande responsabilidade, e todos gostam de pensar que, se tivéssemos tais poderes, só iríamos usá-los para o bem. Mas e se você pudesse ler os e-mails do seu ex-namorado, ou adicionar uns zeros ao saldo da sua conta bancária? O que você faria? De fato, muitos hackers não resistem a essas tentações, e por isso eles são responsáveis, de uma forma ou de outra, pelos bilhões de dólares perdidos a cada ano em fraudes, softwares maliciosos, ou o velho roubo de identidade, que é um problema sério. Mas existem outros hackers que apenas gostam de quebrar coisas, e são exatamente esses hackers que podem encontrar os elementos mais fracos no nosso mundo e fazer com que os consertemos.
This is what happened last year when another security researcher called Kyle Lovett discovered a gaping hole in the design of certain wireless routers like you might have in your home or office. He learned that anyone could remotely connect to these devices over the Internet and download documents from hard drives attached to those routers, no password needed. He reported it to the company, of course, but they ignored his report. Perhaps they thought universal access was a feature, not a bug, until two months ago when a group of hackers used it to get into people's files. But they didn't steal anything. They left a note: Your router and your documents can be accessed by anyone in the world. Here's what you should do to fix it. We hope we helped. By getting into people's files like that, yeah, they broke the law, but they also forced that company to fix their product.
Foi o que aconteceu no ano passado, quando outro pesquisador de segurança, chamado Kyle Lovett, descobriu uma brecha no projeto de alguns roteadores sem fio, como os que você deve ter em sua casa ou escritório. Ele descobriu que qualquer um poderia se conectar remotamente a estes dispositivos, através da Internet, e baixar documentos dos discos rígidos da rede desses roteadores, sem precisar de senha. Ele informou isso à empresa, é claro, mas eles ignoraram o relatório dele. Talvez eles pensaram que acesso universal fosse uma característica, não uma falha. Até que, dois meses atrás, um grupo de hackers usou isso para acessar os arquivos das pessoas. Mas eles não roubaram nada. Eles deixaram um recado: Seu roteador e seus documentos podem ser acessados por qualquer pessoa no mundo. Eis o que você deve fazer para corrigir. Esperamos ter ajudado. Ao acessar os arquivos das pessoas dessa forma, é claro, eles quebraram a lei, mas eles também obrigaram a empresa a corrigir o produto.
Making vulnerabilities known to the public is a practice called full disclosure in the hacker community, and it is controversial, but it does make me think of how hackers have an evolving effect on technologies we use every day. This is what Khalil did. Khalil is a Palestinian hacker from the West Bank, and he found a serious privacy flaw on Facebook which he attempted to report through the company's bug bounty program. These are usually great arrangements for companies to reward hackers disclosing vulnerabilities they find in their code. Unfortunately, due to some miscommunications, his report was not acknowledged. Frustrated with the exchange, he took to use his own discovery to post on Mark Zuckerberg's wall. This got their attention, all right, and they fixed the bug, but because he hadn't reported it properly, he was denied the bounty usually paid out for such discoveries. Thankfully for Khalil, a group of hackers were watching out for him. In fact, they raised more than 13,000 dollars to reward him for this discovery, raising a vital discussion in the technology industry about how we come up with incentives for hackers to do the right thing. But I think there's a greater story here still. Even companies founded by hackers, like Facebook was, still have a complicated relationship when it comes to hackers. And so for more conservative organizations, it is going to take time and adapting in order to embrace hacker culture and the creative chaos that it brings with it. But I think it's worth the effort, because the alternative, to blindly fight all hackers, is to go against the power you cannot control at the cost of stifling innovation and regulating knowledge. These are things that will come back and bite you.
Tornar as vulnerabilidades conhecidas ao público é uma prática chamada, "Acesso Integral", na comunidade hacker, e isso é controverso, mas faz-me pensar em como os hackers têm um efeito evolutivo nas tecnologias que utilizamos hoje em dia. Foi isso que o Khalil fez. Khalil é um hacker palestino, da Cisjordânia, e ele encontrou uma grave falha de privacidade no Facebook, a qual ele tentou denunciar através do programa de recompensas de bug da empresa. Geralmente isto é um ótimo negócio para empresas que premiam hackers que revelam as vulnerabilidades que eles encontraram no código. Infelizmente, devido a alguma falha de comunicação, o relatório dele não foi aceito. Frustrado com a situação, ele usou sua própria descoberta para postar no mural do Mark Zuckerberg. Isso chamou a atenção deles, é claro, e eles consertaram a falha, mas porque ele não relatou o problema apropriadamente, ele não ganhou a recompensa que geralmente é paga por tais descobertas. Felizmente para Khalil, um grupo de hackers estava do lado dele. De fato, eles levantaram mais de 13 mil dólares para recompensá-lo por esta descoberta, levantando uma discussão vital na indústria de tecnologia sobre como criar incentivos para que os hackers façam a coisa certa. Mas eu acho que ainda há uma grande história aqui. Mesmo as empresas fundadas por hackers, como o Facebook, ainda têm uma relação complicada quando se trata de hackers. E então, para as organizações mais conservadoras, serão necessários tempo e adaptação para abraçar a cultura hacker e o caos criativo que ela traz consigo. Mas eu acho que o esforço vale a pena, porque a alternativa de lutar cegamente contra todos os hackers é ir contra um poder que não se pode controlar, ao custo de sufocar a inovação e controlar o conhecimento. Estas são coisas que vão voltar e morder você.
It is even more true if we go after hackers that are willing to risk their own freedom for ideals like the freedom of the web, especially in times like this, like today even, as governments and corporates fight to control the Internet. I find it astounding that someone from the shadowy corners of cyberspace can become its voice of opposition, its last line of defense even, perhaps someone like Anonymous, the leading brand of global hacktivism. This universal hacker movement needs no introduction today, but six years ago they were not much more than an Internet subculture dedicated to sharing silly pictures of funny cats and Internet trolling campaigns. Their moment of transformation was in early 2008 when the Church of Scientology attempted to remove certain leaked videos from appearing on certain websites. This is when Anonymous was forged out of the seemingly random collection of Internet dwellers. It turns out, the Internet doesn't like it when you try to remove things from it, and it will react with cyberattacks and elaborate pranks and with a series of organized protests all around the world, from my hometown of Tel Aviv to Adelaide, Australia. This proved that Anonymous and this idea can rally the masses from the keyboards to the streets, and it laid the foundations for dozens of future operations against perceived injustices to their online and offline world. Since then, they've gone after many targets. They've uncovered corruption, abuse. They've hacked popes and politicians, and I think their effect is larger than simple denial of service attacks that take down websites or even leak sensitive documents. I think that, like Robin Hood, they are in the business of redistribution, but what they are after isn't your money. It's not your documents. It's your attention. They grab the spotlight for causes they support, forcing us to take note, acting as a global magnifying glass for issues that we are not as aware of but perhaps we should be. They have been called many names from criminals to terrorists, and I cannot justify their illegal means, but the ideas they fight for are ones that matter to us all. The reality is, hackers can do a lot more than break things. They can bring people together.
Isso é ainda mais verdadeiro, se formos atrás dos hackers que estão dispostos a arriscarem sua própria liberdade por ideais como a liberdade na Internet, especialmente em tempos como este, como hoje mesmo, em que governos e empresas lutam para controlar a Internet. Eu acho surpreendente que alguém dos cantos sombrios do ciberespaço possa tornar-se a voz de oposição, ou mesmo, a última linha de defesa, talvez alguém como o "Anonymous", a marca líder do "hack-tivismo" global. Hoje em dia, este movimento universal dos hackers dispensa apresentação, mas, há seis anos, eles não eram muito mais do que uma subcultura da Internet, dedicada ao compartilhamento de fotos bobas de gatos engraçados e campanhas controversas na Internet. Seu momento de transformação foi no início de 2008, quando a Igreja da Cientologia tentou remover alguns vídeos que vazaram, tirá-los de determinados sites. Foi então que o "Anonymous" surgiu, além da coleção aparentemente aleatória de usuários da Internet. Acontece que, a Internet não gosta quando você tenta remover coisas dela, e ela vai reagir com ataques cibernéticos, e fazer traquinagens, e uma série de protestos organizados ao redor do mundo, desde a minha cidade, Tel Aviv, até Adelaide, na Austrália. Isso provou que o "Anonymous" e esta ideia podem mobilizar as massas a partir dos teclados até as ruas, e lançou as bases para dezenas de operações futuras contra as injustiças percebidas contra o seu mundo, online e offline. Desde então, eles foram atrás de vários alvos. Eles revelaram corrupção, abuso. Eles "hackearam" papas e políticos, e eu acho que o efeito deles é maior do que um simples ataque de negação de serviço, que derruba sites, ou mesmo vaza documentos confidenciais. Eu acho que, como o Robin Hood, eles estão no negócio da redistribuição, mas eles não querem o seu dinheiro. Nem seus documentos. Eles querem sua atenção. Eles atraem os holofotes para as causas em que acreditam, forçando-nos a darmos atenção a elas, agindo como uma lente de aumento global, para questões das quais não estamos tão conscientes, mas talvez devêssemos estar. Eles já foram chamados de muitos nomes, de criminosos a terroristas, e eu não posso justificar seus meios ilícitos, mas as ideias pelas quais eles lutam são aquelas que interessam a todos nós. A realidade é que os hackers podem fazer muito mais do que quebrar coisas. Eles podem unir as pessoas.
And if the Internet doesn't like it when you try to remove things from it, just watch what happens when you try to shut the Internet down. This took place in Egypt in January 2011, and as President Hosni Mubarak attempted a desperate move to quash the rising revolution on the streets of Cairo, he sent his personal troops down to Egypt's Internet service providers and had them physically kill the switch on the country's connection to the world overnight. For a government to do a thing like that was unprecedented, and for hackers, it made it personal. Hackers like the Telecomix group were already active on the ground, helping Egyptians bypass censorship using clever workarounds like Morse code and ham radio. It was high season for low tech, which the government couldn't block, but when the Net went completely down, Telecomix brought in the big guns. They found European service providers that still had 20-year-old analog dial-up access infrastructure. They opened up 300 of those lines for Egyptians to use, serving slow but sweet Internet connection for Egyptians. This worked. It worked so well, in fact, one guy even used it to download an episode of "How I Met Your Mother." But while Egypt's future is still uncertain, when the same thing happened in Syria just one year later, Telecomix were prepared with those Internet lines, and Anonymous, they were perhaps the first international group to officially denounce the actions of the Syrian military by defacing their website.
E se a Internet não gosta quando você tenta tirar alguma coisa dela, veja só o que acontece quando você tenta desligá-la. Isto aconteceu no Egito, em janeiro de 2011, e quando o Presidente Hosni Mubarak tentou um movimento desesperado de reprimir a revolução crescente nas ruas do Cairo. Ele enviou suas tropas pessoais direto para os provedores de Internet no Egito e mandou que desligassem fisicamente o interruptor que fazia a conexão do país com o mundo, de um dia para o outro. Um governo fazer uma coisa dessas foi algo sem precedentes, e os hackers tomaram isso como pessoal. Hackers como o grupo Telecomix já estavam em atividade furtiva, ajudando os egípcios contra a censura, usando soluções como o código Morse e o rádio amador. Era a alta temporada da baixa tecnologia, que o governo não conseguiu bloquear, mas quando a rede foi desligada, a Telecomix reagiu com armamento pesado. Eles descobriram provedores de serviços europeus que ainda possuíam uma infraestrutura analógica de acesso discado, de mais de 20 anos. Eles abriram mais de 300 daquelas linhas para que os Egípcios utilizassem, fornecendo uma conexão de Internet lenta, porém deliciosa, aos Egípcios. Isso funcionou. De fato, funcionou tão bem que um rapaz até utilizou-a para baixar um episódio de "Como Eu Conheci Sua Mãe." Mas embora o futuro do Egito ainda seja incerto, quando a mesma coisa aconteceu na Síria apenas um ano depois, a Telecomix estava preparada com essas linhas de Internet, e quanto ao "Anonymous", foi, talvez, o primeiro grupo internacional a denunciar oficialmente as ações dos militares sírios, através da desconfiguração de seu próprio site.
But with this sort of power, it really depends on where you stand, because one man's hero can be another's villain, and so the Syrian Electronic Army is a pro-Assad group of hackers who support his contentious regime. They've taken down multiple high-profile targets in the past few years, including the Associated Press's Twitter account, in which they posted a message about an attack on the White House injuring President Obama. This tweet was fake, of course, but the resulting drop in the Dow Jones index that day was most certainly not, and a lot of people lost a lot of money.
Mas com esse tipo de poder, isso realmente depende de quem você apoia, porque o herói de um homem pode ser o vilão de outro, e o Exército eletrônico da síria é um grupo de hackers pró-Assad, que apoiam o seu regime controverso. Eles derrubaram vários alvos de alto nível nos últimos anos, incluindo a conta da Associated Press no Twitter, em que eles postaram uma mensagem sobre um ataque contra a Casa Branca, que teria ferido o presidente Obama. Esta mensagem era falsa, é claro, mas a queda resultante do índice Dow Jones naquele dia, com certeza não foi, muita gente perdeu muito dinheiro.
This sort of thing is happening all over the world right now. In conflicts from the Crimean Peninsula to Latin America, from Europe to the United States, hackers are a force for social, political and military influence. As individuals or in groups, volunteers or military conflicts, there are hackers everywhere. They come from all walks of life, ethnicities, ideologies and genders, I might add. They are now shaping the world's stage. Hackers represent an exceptional force for change in the 21st century. This is because access to information is a critical currency of power, one which governments would like to control, a thing they attempt to do by setting up all-you-can-eat surveillance programs, a thing they need hackers for, by the way. And so the establishment has long had a love-hate relationship when it comes to hackers, because the same people who demonize hacking also utilize it at large.
Isso está acontecendo em todo o mundo, bem agora. Dos conflitos da península da Criméia até a América Latina, da Europa aos Estados Unidos, os hackers são uma força de influência social, política e militar. Como indivíduos ou em grupos, como voluntários ou em conflitos militares, existem hackers por toda parte. Eles vêm de todos os classes sociais, etnias, ideologias e gêneros, posso acrescentar. Eles estão moldando o palco do mundo. Os hackers representam uma força excepcional para a mudança no século 21. Isto porque o acesso às informações é uma importante moeda de poder, aquela que os governos gostariam de controlar, o que eles tentam fazer através da criação de programas de vigilância que não deixam nada escapar, uma coisa para a qual eles precisam de hackers, a propósito. E assim, o Estado há muito tempo tem uma relação de amor e ódio quando se trata de hackers, porque as mesmas pessoas que os demonizam também os utilizam bastante.
Two years ago, I saw General Keith Alexander. He's the NSA director and U.S. cyber commander, but instead of his four star general uniform, he was wearing jeans and a t-shirt. This was at DEF CON, the world's largest hacker conference. Perhaps like me, General Alexander didn't see 12,000 criminals that day in Vegas. I think he saw untapped potential. In fact, he was there to give a hiring pitch. "In this room right here," he said, "is the talent our nation needs." Well, hackers in the back row replied, "Then stop arresting us." (Applause)
Dois anos atrás, eu vi o general Keith Alexander. Ele é o diretor da NSA e Comandante de Tecnologia Cibernética dos EUA, mas em vez de seu uniforme de quatro estrelas, ele estava usando jeans e camiseta. Isso foi na DEF CON, a maior conferência hacker do mundo. Talvez, como eu, o General Alexander não tenha visto 12 mil criminosos, naquele dia em Las Vegas. Eu acho que ele viu potencial inexplorado. Na verdade, ele estava lá para contratar alguém. "Bem aqui nesta sala", disse ele, "está o talento de que nossa nação precisa." Bem, hackers na fila de trás responderam: "Então parem de nos prender." (Aplausos)
Indeed, for years, hackers have been on the wrong side of the fence, but in light of what we know now, who is more watchful of our online world? The rules of the game are not that clear anymore, but hackers are perhaps the only ones still capable of challenging overreaching governments and data-hoarding corporates on their own playing field. To me, that represents hope.
Realmente, por anos, os hackers têm estado do lado errado da cerca, mas à luz do que sabemos agora, quem está mais atento ao nosso mundo online? As regras do jogo não são mais tão claras, mas os hackers talvez sejam os únicos ainda capazes de desafiar governos que abusam da autoridade e empresas que escondem informações, em seu próprio campo de atuação. Para mim, isso representa esperança.
For the past three decades, hackers have done a lot of things, but they have also impacted civil liberties, innovation and Internet freedom, so I think it's time we take a good look at how we choose to portray them, because if we keep expecting them to be the bad guys, how can they be the heroes too? My years in the hacker world have made me realize both the problem and the beauty about hackers: They just can't see something broken in the world and leave it be. They are compelled to either exploit it or try and change it, and so they find the vulnerable aspects in our rapidly changing world. They make us, they force us to fix things or demand something better, and I think we need them to do just that, because after all, it is not information that wants to be free, it's us.
Durante as últimas três décadas, os hackers fizeram muitas coisas mas eles também impactaram a liberdade civil, a inovação e a liberdade na Internet. Então, acho que é hora de darmos uma boa olhada na forma como os taxamos, porque se continuarmos os considerando como bandidos, como eles poderão ser também os heróis? Meus anos no mundo hacker fizeram-me perceber tanto o problema quanto a beleza dos hackers: Eles não conseguem ver algo quebrado no mundo, e deixar assim. Eles são compelidos ou a explorá-lo, ou a tentar mudá-lo, e assim eles encontram as vulnerabilidades em nosso mundo de rápidas mudanças. Eles nos forçam a consertar as coisas ou a exigirmos algo melhor, e eu acho que nós precisamos deles para fazer isso, porque, afinal, não é a informação que quer ser livre, somos nós.
Thank you very much.
Muito obrigada.
(Aplausos)
Thank you. (Applause)
Obrigada.
Hack the planet!
Vamos hackear o planeta!