I love the Internet. It's true. Think about everything it has brought us. Think about all the services we use, all the connectivity, all the entertainment, all the business, all the commerce. And it's happening during our lifetimes. I'm pretty sure that one day we'll be writing history books hundreds of years from now. This time our generation will be remembered as the generation that got online, the generation that built something really and truly global. But yes, it's also true that the Internet has problems, very serious problems, problems with security and problems with privacy. I've spent my career fighting these problems.
Amo Internet. En serio. Piensen en todo lo que nos ha brindado. Piensen en todos los servicios que utilizamos, en la conectividad, en todo el entretenimiento, los negocios y el comercio. Y todo eso está sucediendo durante nuestra existencia. Estoy bastante seguro de que algún día, cuando escriban libros de historia de aquí a cientos de años... esta época, nuestra generación, será recordada como la que se conectó en línea, la generación que construyó algo genuinamente global. Pero claro, también es cierto que Internet tiene problemas, problemas muy graves: Problemas de seguridad y problemas de privacidad. He pasado toda mi carrera luchando contra estos problemas.
So let me show you something. This here is Brain. This is a floppy disk -- five and a quarter-inch floppy disk infected by Brain.A. It's the first virus we ever found for PC computers. And we actually know where Brain came from. We know because it says so inside the code. Let's take a look. All right. That's the boot sector of an infected floppy, and if we take a closer look inside, we'll see that right there, it says, "Welcome to the dungeon." And then it continues, saying, 1986, Basit and Amjad. And Basit and Amjad are first names, Pakistani first names. In fact, there's a phone number and an address in Pakistan.
Voy a mostrarles algo. Esto es Brain. Esto es un disquete de 5¼ pulgadas infectado con Brain.A. Este el primer virus que descubrimos para computadoras PC. Y de hecho sabemos de dónde salió Brain. Lo sabemos porque lo dice dentro de su código. Veámoslo juntos. Muy bien. Ese es el sector de arranque de un disquete infectado Si miramos de cerca, justo aquí vemos que dice "Bienvenidos al calabozo". Y continúa diciendo, 1986, Basit y Amjad. Basit y Amjad son nombres propios, pakistaníes. Es más, hay un número telefónico y una dirección en Pakistán.
(Laughter)
(Risas)
Now, 1986. Now it's 2011. That's 25 years ago. The PC virus problem is 25 years old now. So half a year ago, I decided to go to Pakistan myself. So let's see, here's a couple of photos I took while I was in Pakistan. This is from the city of Lahore, which is around 300 kilometers south from Abbottabad, where Bin Laden was caught. Here's a typical street view. And here's the street or road leading to this building, which is 730 Nizam block at Allama Iqbal Town. And I knocked on the door. (Laughter) You want to guess who opened the door? Basit and Amjad; they are still there. (Laughter) (Applause) So here standing up is Basit. Sitting down is his brother Amjad. These are the guys who wrote the first PC virus. Now of course, we had a very interesting discussion. I asked them why. I asked them how they feel about what they started. And I got some sort of satisfaction from learning that both Basit and Amjad had had their computers infected dozens of times by completely unrelated other viruses over these years. So there is some sort of justice in the world after all.
De 1986 al 2011 pasaron 25 años. El problema de los virus de PC tiene ya 25 años. Entonces, hace medio año, decidí ir yo mismo a Pakistán. Veamos, aquí tienen algunas fotografías que tomé mientras estaba allí. Esta es de la ciudad de Lahora, a unos 300 km al sur de Abbottabad, donde capturaron a Bin Laden. Esta es una calle típica de la ciudad. Y esta es la calle o carretera que lleva a este edificio, el 730 Nizam Block de la ciudad de Allama Iqbal. Llamé a la puerta. (Risas) ¿Quieren adivinar quiénes me abrieron? Basit y Amjad. Aún están ahí. (Risas) (Aplausos) El que está parado aquí es Basit. Y el que está sentado es su hermano Amjad. Ellos fueron quienes escribieron el primer virus para PC. Por supuesto, tuvimos una charla muy interesante. Les pregunté por qué. Les pregunté como se sienten acerca de lo que iniciaron. Y sentí algo de satisfacción al enterarme que las computadoras de Basit y Amjad habían sido infectadas docenas de veces por otros virus completamente distintos a lo largo de los años. Así que existe alguna especie de justicia en este mundo, después de todo.
Now, the viruses that we used to see in the 1980s and 1990s obviously are not a problem any more. So let me just show you a couple of examples of what they used to look like. What I'm running here is a system that enables me to run age-old programs on a modern computer. So let me just mount some drives. Go over there. What we have here is a list of old viruses. So let me just run some viruses on my computer.
Por supuesto, que los virus que solíamos ver en los 80 y los 90 obviamente ya no son un problema. Así que déjenme mostrarles algunos ejemplos de cómo eran. Aquí estoy iniciando un sistema que me permite ejecutar programas antiguos en una computadora moderna. Entonces necesito montar algunas unidades ópticas... Bien. Aquí tenemos una lista de virus antiguos. Voy a ejecutar algunos virus en mi computadora.
For example, let's go with the Centipede virus first. And you can see at the top of the screen, there's a centipede scrolling across your computer when you get infected by this one. You know that you're infected because it actually shows up. Here's another one. This is the virus called Crash, invented in Russia in 1992. Let me show you one which actually makes some sound. (Siren noise) And the last example, guess what the Walker virus does? Yes, there's a guy walking across your screen once you get infected. So it used to be fairly easy to know that you're infected by a virus, when the viruses were written by hobbyists and teenagers.
Por ejemplo, veamos el virus Ciempiés. Como pueden ver en la parte superior de la pantalla aparece un ciempiés desplazándose cuando se nos infecta con este virus. Nos damos cuenta de que estamos infectados, porque de hecho se ve. Aquí hay otro. Este se llama "Crash" fue creado en Rusia en 1992 Voy a mostrarles uno que emite un sonido (Sonido de sirena) Y como último ejemplo, adivinen qué hace el virus "Walker" (caminante) Sí, aparece un hombrecito caminando por la pantalla una vez que hemos sido infectados. Entonces era bastante fácil darse cuenta que nos afectaba un virus, cuando eran creados por aficionados y adolescentes.
Today, they are no longer being written by hobbyists and teenagers. Today, viruses are a global problem. What we have here in the background is an example of our systems that we run in our labs, where we track virus infections worldwide. So we can actually see in real time that we've just blocked viruses in Sweden and Taiwan and Russia and elsewhere. In fact, if I just connect back to our lab systems through the Web, we can see in real time just some kind of idea of how many viruses, how many new examples of malware we find every single day. Here's the latest virus we've found, in a file called Server.exe. And we found it right over here three seconds ago -- the previous one, six seconds ago. And if we just scroll around, it's just massive. We find tens of thousands, even hundreds of thousands. And that's the last 20 minutes of malware every single day.
Hoy, ya no los crean aficionados o adolescentes. Actualmente, los virus son un problema global. Lo que tenemos aquí en la pantalla es un ejemplo de los sistemas que utilizamos en nuestros laboratorios donde rastreamos infecciones de virus a nivel mundial. Entonces podemos ver en tiempo real que acabamos de bloquear virus en Suecia, en Taiwan, en Rusia y en otros lugares. De hecho, si tan solo me conecto a nuestro sistema de laboratorio a través de la web, podemos ver en tiempo real más o menos una idea de cuántos virus, cuántos nuevos ejemplos de software malicioso (malware) encontramos cada día Este es el más reciente en un archivo llamado Server.exe Y lo encontramos por aquí hace unos 3 segundos -- el anterior, hace 6 segundos. Y si nos desplazamos, esto es enorme. Encontramos decenas de miles y hasta cientos de miles. Y esos son solo los últimos 20 minutos de malware de un día típico.
So where are all these coming from then? Well today, it's the organized criminal gangs writing these viruses because they make money with their viruses. It's gangs like -- let's go to GangstaBucks.com. This is a website operating in Moscow where these guys are buying infected computers. So if you are a virus writer and you're capable of infecting Windows computers, but you don't know what to do with them, you can sell those infected computers -- somebody else's computers -- to these guys. And they'll actually pay you money for those computers. So how do these guys then monetize those infected computers? Well there's multiple different ways, such as banking trojans, which will steal money from your online banking accounts when you do online banking, or keyloggers. Keyloggers silently sit on your computer, hidden from view, and they record everything you type. So you're sitting on your computer and you're doing Google searches. Every single Google search you type is saved and sent to the criminals. Every single email you write is saved and sent to the criminals. Same thing with every single password and so on.
Entonces ¿De dónde provienen? Actualmente, son las bandas de crimen informático organizado quienes programan estos virus, porque con ellos ganan dinero. Son bandas como... vayamos a GangstaBucks.com. Esta es una página web que opera en Moscú donde estos muchachos compran computadoras infectadas. Entonces, si eres un programador de virus y eres capaz de infectar computadoras con Windows, pero no sabes qué hacer con ellas, puedes venderlas infectadas, las computadoras de otras personas, a estos muchachos. Y van a pagarte dinero por ellas. ¿Pero como es que ellos convierten en dinero estas computadoras infectadas? Hay varias formas, como troyanos bancarios, que roban dinero de sus cuentas bancarias cuando las operan por Internet. o registradores de teclas (keyloggers). Los keyloggers, esperan silenciosos en sus computadoras, escondidos de la vista y graban absolutamente todo lo que escriben en su teclado. Supongamos que alguien está en su computadora buscando en Google. Cada vez que escribe algo en Google lo guarda y lo envía los criminales. Cada e-mail que escribe, lo guarda y lo envía. Lo mismo pasa con las contraseñas y lo demás.
But the thing that they're actually looking for most are sessions where you go online and do online purchases in any online store. Because when you do purchases in online stores, you will be typing in your name, the delivery address, your credit card number and the credit card security codes. And here's an example of a file we found from a server a couple of weeks ago. That's the credit card number, that's the expiration date, that's the security code, and that's the name of the owner of the card. Once you gain access to other people's credit card information, you can just go online and buy whatever you want with this information. And that, obviously, is a problem. We now have a whole underground marketplace and business ecosystem built around online crime.
Pero lo que más buscan realidad son las sesiones en las que nos conectamos a Internet y hacemos compras en una tienda en línea. Porque cuando hacemos compras por Internet escribimos en el teclado el nombre, la dirección de envío, el número de tarjeta de crédito y el código de seguridad de la tarjeta. Este es un ejemplo de un archivo que encontramos en un servidor hace algunas semanas. Ese es el número de la tarjeta de crédito, esa es la fecha de vencimiento, este es el código de seguridad y ese, el nombre del titular de la tarjeta. Una vez que se obtiene acceso a la información de la tarjeta de crédito de otro, por Internet, simplemente se puede comprar cualquier cosa con esos datos. Esto es, obviamente, un problema. Ahora tenemos todo un mercado subterráneo y un ecosistema empresarial creado con base en el crimen informático.
One example of how these guys actually are capable of monetizing their operations: we go and have a look at the pages of INTERPOL and search for wanted persons. We find guys like Bjorn Sundin, originally from Sweden, and his partner in crime, also listed on the INTERPOL wanted pages, Mr. Shaileshkumar Jain, a U.S. citizen. These guys were running an operation called I.M.U., a cybercrime operation through which they netted millions. They are both right now on the run. Nobody knows where they are. U.S. officials, just a couple of weeks ago, froze a Swiss bank account belonging to Mr. Jain, and that bank account had 14.9 million U.S. dollars on it.
Veamos un ejemplo de cómo estos muchachos son capaces de monetizar sus operaciones. Podemos conectarnos a las páginas web de la Interpol y revisar la lista de los más buscados. Encontramos personas como Bjorn Sundin, originario de Suecia y su cómplice, que también figura entre los más buscados de Interpol, el señor Shaileshkumar Jain, un ciudadano estadounidense. Estos tipos llevan adelante una operación llamada I.M.U., un crimen cibernético con el que produjeron millones. Ambos están ahora prófugos. Nadie sabe dónde están. El gobierno estadounidense, hace algunas semanas, congeló una cuenta bancaria suiza perteneciente al señor Jain. Había 14.9 millones de dólares en esa cuenta.
So the amount of money online crime generates is significant. And that means that the online criminals can actually afford to invest into their attacks. We know that online criminals are hiring programmers, hiring testing people, testing their code, having back-end systems with SQL databases. And they can afford to watch how we work -- like how security people work -- and try to work their way around any security precautions we can build. They also use the global nature of Internet to their advantage. I mean, the Internet is international. That's why we call it the Internet.
Así que la cantidad de dinero que genera el crimen informático es muy significativa. Y esto quiere decir que esos criminales informáticos tienen medios para costear sus ataques. Sabemos que estos criminales contratan programadores, testers, para poner a pruebas sus códigos, con sistemas de respaldo con bases de datos SQL. Y pueden pagar para ver cómo trabajamos nosotros... los que trabajamos en seguridad informática... y tratan de esquivar las medidas de seguridad que podamos crear. También utilizan la naturaleza global de Internet a su favor. Internet es internacional, por supuesto. Por eso se llama Internet.
And if you just go and take a look at what's happening in the online world, here's a video built by Clarified Networks, which illustrates how one single malware family is able to move around the world. This operation, believed to be originally from Estonia, moves around from one country to another as soon as the website is tried to shut down. So you just can't shut these guys down. They will switch from one country to another, from one jurisdiction to another -- moving around the world, using the fact that we don't have the capability to globally police operations like this. So the Internet is as if someone would have given free plane tickets to all the online criminals of the world. Now, criminals who weren't capable of reaching us before can reach us.
Miremos qué está pasando en el mundo de Internet. Aquí hay un video creado por Clarified Networks, que muestra cómo una familia de malware en particular, se mueve por el mundo. Se cree que esta operación comenzó en Estonia y se mueve de un país a otro tan pronto como tratan de clausurar la página web. Así que simplemente no pueden clausurarlos. Se cambian de un país a otro, de una jurisdicción a otra, por todo el mundo, abusando de que no tenemos los medios para combatir operaciones como ésas a nivel mundial. Internet funciona como si les hubiesen dado pasajes aéreos gratuitos a todos los delincuentes informáticos del mundo. Los criminales que antes no podían llegar a nosotros, ahora sí pueden.
So how do you actually go around finding online criminals? How do you actually track them down? Let me give you an example. What we have here is one exploit file. Here, I'm looking at the Hex dump of an image file, which contains an exploit. And that basically means, if you're trying to view this image file on your Windows computer, it actually takes over your computer and runs code.
Entonces ¿Cómo se hace para encontrar a estos criminales? ¿Cómo se pueden rastrear? Les muestro un ejemplo. Este es un archivo exploit. Aquí estamos viendo el código hexadecimal de un archivo de imagen, que contiene un exploit. Significa que si abre este archivo de imagen en su computadora con Windows, éste toma el control de la máquina y ejecuta el código.
Now, if you'll take a look at this image file -- well there's the image header, and there the actual code of the attack starts. And that code has been encrypted, so let's decrypt it. It has been encrypted with XOR function 97. You just have to believe me, it is, it is. And we can go here and actually start decrypting it. Well the yellow part of the code is now decrypted. And I know, it doesn't really look much different from the original. But just keep staring at it. You'll actually see that down here you can see a Web address: unionseek.com/d/ioo.exe And when you view this image on your computer it actually is going to download and run that program. And that's a backdoor which will take over your computer.
Entonces, si miramos este archivo de imagen aquí... este es el encabezado, y allí mismo se inicia el código de ataque. Este código está encriptado así que vamos a descifrarlo. Está cifrado con función 97 en XOR. Van a tener que creerme, pues así es. Podemos acceder aquí y comenzar a descifrarlo. Ahora, la porción en amarillo está desencriptada. Acepto que en realidad no se ve muy diferente de la original. Pero sigan observando y notarán aquí abajo una dirección Web: unionseek.com/d/ioo.exe Entonces si ven esta imagen en su computadora es porque se está ejecutando ese programa. Y esa va a ser la puerta trasera por la que se tomen el control de su información.
But even more interestingly, if we continue decrypting, we'll find this mysterious string, which says O600KO78RUS. That code is there underneath the encryption as some sort of a signature. It's not used for anything. And I was looking at that, trying to figure out what it means. So obviously I Googled for it. I got zero hits; wasn't there. So I spoke with the guys at the lab. And we have a couple of Russian guys in our labs, and one of them mentioned, well, it ends in RUS like Russia. And 78 is the city code for the city of St. Petersburg. For example, you can find it from some phone numbers and car license plates and stuff like that. So I went looking for contacts in St. Petersburg, and through a long road, we eventually found this one particular website.
Pero lo más interesante es que si continuamos desencriptando vamos a encontrar esta extraña cadena que dice O600KO78RUS. Este codigo está cifrado como una especia de firma. No sirve de nada. Estuve examinándolo, tratando de entender qué significa. Así que obviamente lo busqué en Google y no encontré ningún resultado; no existía. Así que lo conversé con algunos compañeros del laboratorio. Tenemos 2 compañeros rusos en nuestro laboratorio. Uno de ellos dijo, "Termina en RUS, como Rusia". Y 78 es el código de área de la ciudad de San Petersburgo Por ejemplo, figura en algunos números telefónicos, en matrículas de automóviles y en cosas así. Así que busqué algunos contactos en San Petersburgo y luego de un largo camino, llegamos a encontrar una página web en particular.
Here's this Russian guy who's been operating online for a number of years who runs his own website, and he runs a blog under the popular Live Journal. And on this blog, he blogs about his life, about his life in St. Petersburg -- he's in his early 20s -- about his cat, about his girlfriend. And he drives a very nice car. In fact, this guy drives a Mercedes-Benz S600 V12 with a six-liter engine with more than 400 horsepower. Now that's a nice car for a 20-something year-old kid in St. Petersburg.
Este tipo de Rusia, ha estado operando en Internet hace varios años, dirige su propia página web y también tiene un blog bajo el popular Live Journal. En este blog escribe sobre su vida, sobre su vida en San Petersburgo, tiene poco más de 20 años. Escribe acerca de su gato, y acerca de su novia. Y que tiene un auto muy lindo. De hecho, este muchacho conduce un Mercedes-Benz S600 motor V12 de 6 litros con más de 400 caballos de fuerza. Ese es un auto muy bueno para un chico de 20 años en San Petersburgo.
How do I know about this car? Because he blogged about the car. He actually had a car accident. In downtown St. Petersburg, he actually crashed his car into another car. And he put blogged images about the car accident -- that's his Mercedes -- right here is the Lada Samara he crashed into. And you can actually see that the license plate of the Samara ends in 78RUS. And if you actually take a look at the scene picture, you can see that the plate of the Mercedes is O600KO78RUS. Now I'm not a lawyer, but if I would be, this is where I would say, "I rest my case."
¿Cómo es que sé acerca de su auto? Porque lo escribió en su blog. Tuvo un accidente automovilístico en el centro de San Petersburgo, chocó contra otro auto. Y subió imágenes del accidente a su blog -- este es su Mercedes. Justo aquí está el Lada Samara contra el que chocó. Se puede ver que la matrícula del Samara termina en 78RUS. Y si miramos la escena de la fotografía, se puede observar que la matrícula del Mercedes es O600KO78RUS. Yo no soy abogado, pero si lo fuese, aquí es cuando diría, "No tengo más para agregar"
(Laughter)
(Risas)
So what happens when online criminals are caught? Well in most cases it never gets this far. The vast majority of the online crime cases, we don't even know which continent the attacks are coming from. And even if we are able to find online criminals, quite often there is no outcome. The local police don't act, or if they do, there's not enough evidence, or for some reason we can't take them down. I wish it would be easier; unfortunately it isn't.
Entonces ¿Qué sucede cuando los criminales informáticos son capturados? En la mayoría de los casos no llega tan lejos. La gran mayoría de los crímenes informáticos, ni siquiera sabemos de qué continente provienen. Y aún si somos capaces de encontrar a los delincuentes informáticos, casi nunca hay un resultado concreto. La policía local no interviene y, si lo hace, nunca hay suficiente evidencia, o por alguna razón nunca pueden encarcelarlos. Desearía que esto fuese más sencillo; lamentablemente no lo es.
But things are also changing at a very rapid pace. You've all heard about things like Stuxnet. So if you look at what Stuxnet did is that it infected these. That's a Siemens S7-400 PLC, programmable logic [controller]. And this is what runs our infrastructure. This is what runs everything around us. PLC's, these small boxes which have no display, no keyboard, which are programmed, are put in place, and they do their job. For example, the elevators in this building most likely are controlled by one of these. And when Stuxnet infects one of these, that's a massive revolution on the kinds of risks we have to worry about. Because everything around us is being run by these. I mean, we have critical infrastructure. You go to any factory, any power plant, any chemical plant, any food processing plant, you look around -- everything is being run by computers.
Pero las cosas están cambiando a un ritmo vertiginoso. Habrán oído acerca de cosas como Stuxnet. Lo que hace Stuxnet es que infecta éstos. Este es un Siemens S7-400 PLC, un controlador lógico programable. Y esto es lo que sostiene nuestra infraestructura; ejecuta todo lo que nos rodea. estos PLC que son cajitas sin pantallas, ni teclados, que se programan, se instalan y hacen su trabajo. Por ejemplo, los ascensores en este edificio muy probablemente son controlados por uno de estos. Y cuando Stuxnet infecta uno de estos controladores, se arma una revolución masiva con riesgos de los que hay que preocuparse. Porque todo a nuestro alrededor es controlado por éstos. Quiero decir que tenemos una infraestructura vulnerable. Si van a cualquier fábrica, a cualquier planta de energía, a una plata química o procesadora de alimentos y miran a su alrededor, todo se ejecuta a través estas computadoras.
Everything is being run by computers. Everything is reliant on these computers working. We have become very reliant on Internet, on basic things like electricity, obviously, on computers working. And this really is something which creates completely new problems for us. We must have some way of continuing to work even if computers fail.
Todo se hace por computadora. Todo depende del funcionamiento de estas máquinas. Nos hemos vuelto muy dependientes de Internet, de cosas básicas como la electricidad, obviamente, y del funcionamiento de las computadoras. Y esto nos crea problemas completamente nuevos. Deberíamos tener alguna forma de continuar funcionando aún si las máquinas fallan.
(Laughter)
(Risas)
(Applause)
(Aplausos)
So preparedness means that we can do stuff even when the things we take for granted aren't there. It's actually very basic stuff -- thinking about continuity, thinking about backups, thinking about the things that actually matter.
Estar preparados significa poder hacer cosas aunque lo que damos por hecho no esté más allí. Es algo en realidad muy básico; pensar en la continuación, pensar en el respaldo, pensar en lo que realmente importa.
Now I told you -- (Laughter) I love the Internet. I do. Think about all the services we have online. Think about if they are taken away from you, if one day you don't actually have them for some reason or another. I see beauty in the future of the Internet, but I'm worried that we might not see that. I'm worried that we are running into problems because of online crime. Online crime is the one thing that might take these things away from us.
Ya lo dije; (Risas) Amo Internet. En serio. Piensen en todos los servicios que tenemos en línea. Piensen qué sucedería si se los quitaran, si algún día ya no los tienen, por cualquier motivo. Vislumbro belleza en el futuro de Internet, pero me preocupa que no lleguemos a verlo. Me preocupa que encontremos problemas por causa del crimen informático. El crimen informático es lo que podría quitarnos estas cosas.
(Laughter)
(Risas)
I've spent my life defending the Net, and I do feel that if we don't fight online crime, we are running a risk of losing it all. We have to do this globally, and we have to do it right now. What we need is more global, international law enforcement work to find online criminal gangs -- these organized gangs that are making millions out of their attacks. That's much more important than running anti-viruses or running firewalls. What actually matters is actually finding the people behind these attacks, and even more importantly, we have to find the people who are about to become part of this online world of crime, but haven't yet done it. We have to find the people with the skills, but without the opportunities and give them the opportunities to use their skills for good.
He pasado mi vida defendiendo la red. Y creo profundamente que si no luchamos contra el crimen informático corremos el riesgo de perderlo todo. Debemos hacer esto de manera global, y debemos hacerlo ahora. Lo que necesitamos son operaciones globales para la exigencia de la ley, para localizar estas bandas criminales, estas bandas organizadas que ganan millones con sus ataques. Esto es mucho más importante que ejecutar anti-virus o cortafuegos (firewalls). Lo que importa en realidad es encontrar a los culpables detrás de estos ataques. Y más urgente aún, es que debemos buscar a las personas que están a punto de formar parte de ese mundo criminal informático, pero aún no lo hemos hecho. Hay que encontrar a las personas que tienen la capacidad, pero no la oportunidad y darles la oportunidad de utilizar sus capacidades para el bien.
Thank you very much.
Muchas gracias.
(Applause)
(Aplausos)