I love the Internet. It's true. Think about everything it has brought us. Think about all the services we use, all the connectivity, all the entertainment, all the business, all the commerce. And it's happening during our lifetimes. I'm pretty sure that one day we'll be writing history books hundreds of years from now. This time our generation will be remembered as the generation that got online, the generation that built something really and truly global. But yes, it's also true that the Internet has problems, very serious problems, problems with security and problems with privacy. I've spent my career fighting these problems.
Я люблю Интернет. Это правда. Подумайте о всём том, что он нам дал. Подумайте обо всех сервисах, которыми мы пользуемся, о всех коммуникациях, развлечениях, о бизнесе и торговле. И всё это происходит на наших глазах. Я уверен, что однажды, сотни лет спустя, люди напишут учебник по истории. И тогда наше поколение назовут поколением, которое впервые вышло в Интернет, поколением, которое создало что-то по-настоящему глобальное. Но все мы знаем, что Интернет связан со многими, очень серьёзными проблемами, проблемами с безопасностью и проблемами с неприкосновенностью личной жизни. Я посвятил свою карьеру борьбе с этими проблемами.
So let me show you something. This here is Brain. This is a floppy disk -- five and a quarter-inch floppy disk infected by Brain.A. It's the first virus we ever found for PC computers. And we actually know where Brain came from. We know because it says so inside the code. Let's take a look. All right. That's the boot sector of an infected floppy, and if we take a closer look inside, we'll see that right there, it says, "Welcome to the dungeon." And then it continues, saying, 1986, Basit and Amjad. And Basit and Amjad are first names, Pakistani first names. In fact, there's a phone number and an address in Pakistan.
Итак, позвольте мне показать вам кое-что. Здесь находится Brain. Это дискета, пятидюймовая дискета, заражена вирусом Brain.A. Это самый первый обнаруженный вирус для персональных компьютеров. И мы даже знаем, откуда взялся этот вирус. Нам известно это потому, что об этом написано в самом коде. Давайте посмотрим. Так, хорошо. Это загрузочный сектор заражённой дискеты. И если мы посмотрим поближе, то увидим, что тут же написано: «Добро пожаловать в подземелье». А дальше написано «1986, Басит и Амджад». Басит и Амджад — это имена, пакистанские имена. Здесь даже есть номер телефона и адрес в Пакистане.
(Laughter)
(Смех)
Now, 1986. Now it's 2011. That's 25 years ago. The PC virus problem is 25 years old now. So half a year ago, I decided to go to Pakistan myself. So let's see, here's a couple of photos I took while I was in Pakistan. This is from the city of Lahore, which is around 300 kilometers south from Abbottabad, where Bin Laden was caught. Here's a typical street view. And here's the street or road leading to this building, which is 730 Nizam block at Allama Iqbal Town. And I knocked on the door. (Laughter) You want to guess who opened the door? Basit and Amjad; they are still there. (Laughter) (Applause) So here standing up is Basit. Sitting down is his brother Amjad. These are the guys who wrote the first PC virus. Now of course, we had a very interesting discussion. I asked them why. I asked them how they feel about what they started. And I got some sort of satisfaction from learning that both Basit and Amjad had had their computers infected dozens of times by completely unrelated other viruses over these years. So there is some sort of justice in the world after all.
Это было в 1986 году. Сейчас 2011 год. Прошло 25 лет. Проблеме компьютерных вирусов уже 25 лет. Полгода назад я решил съездить в Пакистан. Давайте посмотрим, вот несколько фотографий, сделанных мной в Пакистане. Это город Лахор, который находится в трёхстах километрах южнее Абботтабада, где был пойман бен Ладен. Это вид типичной улицы. А вот улица или дорога, которая ведёт к этому зданию, 730 Низам блок в районе Аллама Икбала. И я постучал в дверь. (Смех) Угадайте, кто открыл? Басит и Амджад, они все еще там. (Смех) (Аплодисменты) Тот, кто стоит — это Басит. А сидит его брат Амджад. Это люди, которые написали первый вирус для ПК. Естественно, у нас состоялся очень интересный разговор. Я спросил их, зачем они это сделали, что они думают о том, что они начали. И я почувствовал некоторое удовлетворение, когда узнал, что компьютеры Басита и Амджада были заражены десятки раз совершенно различными вирусами за эти годы. Так что какая-то справедливость в этом мире всё же есть.
Now, the viruses that we used to see in the 1980s and 1990s obviously are not a problem any more. So let me just show you a couple of examples of what they used to look like. What I'm running here is a system that enables me to run age-old programs on a modern computer. So let me just mount some drives. Go over there. What we have here is a list of old viruses. So let me just run some viruses on my computer.
Сейчас те вирусы, которые мы привыкли видеть в 80-х и 90-х, очевидно, не являются проблемой. Позвольте показать вам несколько примеров вирусов тех времён. Здесь у меня запущена система, которая позволяет мне запускать старые программы на современном компьютере. Сейчас я примонтирую некоторые диски. Перейдём сюда. Здесь у нас список старых вирусов. Давайте запустим некоторые вирусы на компьютере.
For example, let's go with the Centipede virus first. And you can see at the top of the screen, there's a centipede scrolling across your computer when you get infected by this one. You know that you're infected because it actually shows up. Here's another one. This is the virus called Crash, invented in Russia in 1992. Let me show you one which actually makes some sound. (Siren noise) And the last example, guess what the Walker virus does? Yes, there's a guy walking across your screen once you get infected. So it used to be fairly easy to know that you're infected by a virus, when the viruses were written by hobbyists and teenagers.
Например, давайте начнём с вируса Centipede. Вы видите, что в верхней части экрана начинает бегать многоножка, как только компьютер заражается этим вирусом. Вы понимаете, что компьютер заражён, потому что вирус проявляет себя. Вот еще один вирус, который называется Crash, он был изобретен в России в 1992 году. А вот вирус, который издаёт звуки. (Шум сирены) И последний пример, угадайте, что делает вирус Walker. Да, как только компьютер заражается, по экрану начинает ходить парень. Таким образом, когда вирусы писались любителями и подростками, было легко понять, что ваш компьютер заражён.
Today, they are no longer being written by hobbyists and teenagers. Today, viruses are a global problem. What we have here in the background is an example of our systems that we run in our labs, where we track virus infections worldwide. So we can actually see in real time that we've just blocked viruses in Sweden and Taiwan and Russia and elsewhere. In fact, if I just connect back to our lab systems through the Web, we can see in real time just some kind of idea of how many viruses, how many new examples of malware we find every single day. Here's the latest virus we've found, in a file called Server.exe. And we found it right over here three seconds ago -- the previous one, six seconds ago. And if we just scroll around, it's just massive. We find tens of thousands, even hundreds of thousands. And that's the last 20 minutes of malware every single day.
Но вирусы больше не пишутся любителями и подростками. Сейчас вирусы представляют глобальную проблему. То, что вы видите на экране, это пример системы, которой мы пользуемся в наших лабораториях для отслеживания вирусных инфекций по всему миру. Здесь видно в режиме реального времени, что мы только что заблокировали вирусы в Швеции и в Тайване, в России и в других странах. На самом деле, если я подключусь к нашей системе через Интернет, мы сможем в реальном времени понять, как много вирусов, как много новых вредоносных программ мы находим ежедневно. Вот последний вирус, который мы нашли в файле с именем Server.exe. И мы нашли его три секунды назад, а предыдущий — шесть секунд назад. И если мы прокрутим вниз, то увидим, что это просто огромный список. Мы находим десятки тысяч, даже сотни тысяч вирусов. И это только последние 20 минут вредоносных программ за день.
So where are all these coming from then? Well today, it's the organized criminal gangs writing these viruses because they make money with their viruses. It's gangs like -- let's go to GangstaBucks.com. This is a website operating in Moscow where these guys are buying infected computers. So if you are a virus writer and you're capable of infecting Windows computers, but you don't know what to do with them, you can sell those infected computers -- somebody else's computers -- to these guys. And they'll actually pay you money for those computers. So how do these guys then monetize those infected computers? Well there's multiple different ways, such as banking trojans, which will steal money from your online banking accounts when you do online banking, or keyloggers. Keyloggers silently sit on your computer, hidden from view, and they record everything you type. So you're sitting on your computer and you're doing Google searches. Every single Google search you type is saved and sent to the criminals. Every single email you write is saved and sent to the criminals. Same thing with every single password and so on.
Так откуда же они все берутся? Сейчас этим занимаются организованные преступные группировки, с помощью вирусов они делают деньги. Это группы вроде… давайте откроем GangstaBucks.com. Это московский сайт, здесь ребята покупают заражённые компьютеры. Так что если вы пишете вирусы и умеете заражать компьютеры с Windows, но не знаете, что с ними делать, вы можете продавать эти компьютеры — чьи-то чужие компьютеры — этим парням. И они действительно заплатят вам за них. Итак, как же они потом получают деньги с помощью этих компьютеров? Есть несколько различных способов. Например, банковские трояны, которые будут воровать деньги с вашего банковского счета, когда вы проводите банковские транзакции в интернете, или клавиатурные шпионы. Клавиатурные шпионы, невидимые для глаз, молча сидят на вашем компьютере и записывают всё, что вы печатаете. Вы сидите за вашим компьютером и ищете что-то в Google. Каждый поисковый запрос сохраняется и отправляется преступникам. Каждое письмо, которое вы печатаете, сохраняется и отправляется преступникам. То же самое и с каждым паролем, и так далее.
But the thing that they're actually looking for most are sessions where you go online and do online purchases in any online store. Because when you do purchases in online stores, you will be typing in your name, the delivery address, your credit card number and the credit card security codes. And here's an example of a file we found from a server a couple of weeks ago. That's the credit card number, that's the expiration date, that's the security code, and that's the name of the owner of the card. Once you gain access to other people's credit card information, you can just go online and buy whatever you want with this information. And that, obviously, is a problem. We now have a whole underground marketplace and business ecosystem built around online crime.
Но то, ради чего они это делают, это те сессии, когда вы делаете покупки в интернет-магазинах. Потому что, когда вы делаете такие покупки, вы вводите ваше имя, адрес доставки, номер и код кредитной карты. А вот пример файла, найденного нами на сервере пару недель назад. Вот номер кредитной карты, срок действия карты, защитный код, а это имя владельца карты. Как только вы получите доступ к информации о чужой кредитной карте, вы можете просто зайти в Интернет и купить всё, что хотите, с этой информацией. И это, естественно, является проблемой. Существует целый подпольный рынок и бизнес-экосистема, построенная вокруг сетевых преступлений.
One example of how these guys actually are capable of monetizing their operations: we go and have a look at the pages of INTERPOL and search for wanted persons. We find guys like Bjorn Sundin, originally from Sweden, and his partner in crime, also listed on the INTERPOL wanted pages, Mr. Shaileshkumar Jain, a U.S. citizen. These guys were running an operation called I.M.U., a cybercrime operation through which they netted millions. They are both right now on the run. Nobody knows where they are. U.S. officials, just a couple of weeks ago, froze a Swiss bank account belonging to Mr. Jain, and that bank account had 14.9 million U.S. dollars on it.
Вот пример того, какие деньги получают эти ребята благодаря своим действиям. Давайте зайдём на сайт Интерпола и откроем список разыскиваемых лиц. Здесь можно найти людей вроде Бьорна Сундина, родом из Швеции, и его подельника, тоже представленного на страницах Интерпола, Шалишкумара Джейна, гражданина США. Эти люди провернули операцию, названную I.M.U., сетевое преступление, с помощью которой они завладели миллионами. Они оба сейчас в бегах. Никто не знает, где они находятся. Официальные лица США всего пару недель назад заморозили счёт, в швейцарском банке, принадлежащий г-ну Джейну, на котором было 14,9 миллионов долларов.
So the amount of money online crime generates is significant. And that means that the online criminals can actually afford to invest into their attacks. We know that online criminals are hiring programmers, hiring testing people, testing their code, having back-end systems with SQL databases. And they can afford to watch how we work -- like how security people work -- and try to work their way around any security precautions we can build. They also use the global nature of Internet to their advantage. I mean, the Internet is international. That's why we call it the Internet.
Суммы, участвующие в сетевых преступлениях, значительны. И это значит, что киберпреступники действительно могут инвестировать в свои атаки. Известно, что киберпреступники нанимают программистов, нанимают тестировщиков, тестируют свой код, у них есть сервера с SQL базами данных. И они могут позволить себе наблюдать, как мы работаем, как работают специалисты по безопасности, и искать путь вокруг любых мер предосторожности, которые мы можем создать. Помимо этого они используют глобальный характер Интернета в своих интересах. Я имею в виду, что Интернет — это международная система. Поэтому мы и называем его Интернетом.
And if you just go and take a look at what's happening in the online world, here's a video built by Clarified Networks, which illustrates how one single malware family is able to move around the world. This operation, believed to be originally from Estonia, moves around from one country to another as soon as the website is tried to shut down. So you just can't shut these guys down. They will switch from one country to another, from one jurisdiction to another -- moving around the world, using the fact that we don't have the capability to globally police operations like this. So the Internet is as if someone would have given free plane tickets to all the online criminals of the world. Now, criminals who weren't capable of reaching us before can reach us.
Давайте посмотрим на то, что происходит в Интернете, вот видео от Clarified Networks, которое показывает, как семейство вредоносных программ способно передвигаться по всему миру. Эта операция предположительно началась в Эстонии, и она перемещается из одной страны в другую, как только сайт пытаются закрыть. Таким образом, это просто невозможно остановить. Они будут переходить из одной страны в другую, из одной юрисдикции в другую, они будут перемещаться по всему миру, пользуясь тем, что у нас нет возможности глобально контролировать подобные операции. Таким образом, Интернет — это как если бы кто-то дал бесплатные билеты на самолет всем киберпреступникам мира. Теперь преступники, которые не могли добраться до нас раньше, могут сделать это сейчас.
So how do you actually go around finding online criminals? How do you actually track them down? Let me give you an example. What we have here is one exploit file. Here, I'm looking at the Hex dump of an image file, which contains an exploit. And that basically means, if you're trying to view this image file on your Windows computer, it actually takes over your computer and runs code.
Так каким же образом можно найти киберпреступников? Как можно их выслеживать? Позвольте привести вам один пример. Здесь у меня есть один эксплойт. Это шестнадцатеричный код файла изображения, содержащего эксплойт. Это значит, что если вы попытаетесь посмотреть это изображение на Windows-компьютере, то фактически запустится эксплойт, который захватит управление компьютером.
Now, if you'll take a look at this image file -- well there's the image header, and there the actual code of the attack starts. And that code has been encrypted, so let's decrypt it. It has been encrypted with XOR function 97. You just have to believe me, it is, it is. And we can go here and actually start decrypting it. Well the yellow part of the code is now decrypted. And I know, it doesn't really look much different from the original. But just keep staring at it. You'll actually see that down here you can see a Web address: unionseek.com/d/ioo.exe And when you view this image on your computer it actually is going to download and run that program. And that's a backdoor which will take over your computer.
Взглянув на этот файл, мы увидим здесь заголовок изображения, но затем начинается атакующий код. Этот код зашифрован, давайте расшифруем его. Код зашифрован с помощью XOR-функции 97. Просто поверьте мне, что это так. И мы можем фактически начать расшифровку. То, что подсвечено жёлтым, — расшифрованная часть. Я знаю, она мало отличается от оригинальной части. Просто продолжайте смотреть на это. Теперь внизу мы можем увидеть веб-адрес: unionseek.com/d/ioo.exe Когда вы просматриваете это изображение на компьютере, на самом деле загружается и запускается эта программа. И это лазейка, с помощью которой ваш компьютер будет захвачен.
But even more interestingly, if we continue decrypting, we'll find this mysterious string, which says O600KO78RUS. That code is there underneath the encryption as some sort of a signature. It's not used for anything. And I was looking at that, trying to figure out what it means. So obviously I Googled for it. I got zero hits; wasn't there. So I spoke with the guys at the lab. And we have a couple of Russian guys in our labs, and one of them mentioned, well, it ends in RUS like Russia. And 78 is the city code for the city of St. Petersburg. For example, you can find it from some phone numbers and car license plates and stuff like that. So I went looking for contacts in St. Petersburg, and through a long road, we eventually found this one particular website.
Но еще более интересно, что если мы продолжим расшифровку, мы найдем эту загадочную строку O600KO78RUS. Этот код после расшифровки похож на некую подпись. Он нигде не используется. Я смотрел на него, пытаясь понять, что он значит. Естественно, я искал в Google. Я не получил ни одной ссылки. Я поговорил с ребятами из лаборатории. У нас в лаборатории есть пара русских ребят, и один из них заметил, что окончание rus означает Russia. А 78 — это код Санкт-Петербурга Его можно встретить, например, в некоторых номерах телефонов, на автомобильных номерных знаках и тому подобное. Тогда я начал искать связи с Санкт-Петербургом. После долгих поисков в конечном итоге мы нашли один сайт.
Here's this Russian guy who's been operating online for a number of years who runs his own website, and he runs a blog under the popular Live Journal. And on this blog, he blogs about his life, about his life in St. Petersburg -- he's in his early 20s -- about his cat, about his girlfriend. And he drives a very nice car. In fact, this guy drives a Mercedes-Benz S600 V12 with a six-liter engine with more than 400 horsepower. Now that's a nice car for a 20-something year-old kid in St. Petersburg.
Это русский парень, который несколько лет работал в интернете, у него есть собственный сайт, он ведёт блог в LiveJournal. В блоге он рассказывает о своей жизни, о своей жизни в Санкт-Петербурге, он чуть старше 20 лет, о своей кошке, о своей подруге. А еще, у него очень хорошая машина. На самом деле, этот парень водит Mercedes-Benz S600 V12 с шести-литровым двигателем с более чем 400 лошадиными силами. Это хороший автомобиль для двадцатилетнего парня из Санкт-Петербурга.
How do I know about this car? Because he blogged about the car. He actually had a car accident. In downtown St. Petersburg, he actually crashed his car into another car. And he put blogged images about the car accident -- that's his Mercedes -- right here is the Lada Samara he crashed into. And you can actually see that the license plate of the Samara ends in 78RUS. And if you actually take a look at the scene picture, you can see that the plate of the Mercedes is O600KO78RUS. Now I'm not a lawyer, but if I would be, this is where I would say, "I rest my case."
Как я узнал об этом автомобиле? Потому что он писал о нём. На самом деле он попал в аварию. В центре Санкт-Петербурга он врезался в другой автомобиль. И он выложил в блоге изображение этой аварии — это его Mercedes. Справа Лада Самара, в которую он врезался. И вы можете видеть, что номерной знак Самары заканчивается на 78RUS. И если вы внимательно посмотрите на фотографию, вы увидите, что знак Mercedes — O600KO78RUS. Я не адвокат, но если бы я был им, то я бы сказал, что моя речь окончена.
(Laughter)
(Смех)
So what happens when online criminals are caught? Well in most cases it never gets this far. The vast majority of the online crime cases, we don't even know which continent the attacks are coming from. And even if we are able to find online criminals, quite often there is no outcome. The local police don't act, or if they do, there's not enough evidence, or for some reason we can't take them down. I wish it would be easier; unfortunately it isn't.
Так что же происходит, когда киберпреступники оказываются за решеткой? Ну, в большинстве случаев дело не заходит так далеко. В подавляющем большинстве случаев киберпреступлений, мы даже не знаем, с какого континента происходит атака. И даже если мы в состоянии найти в сети преступников, зачастую в итоге нет никакого результата. Местная полиция не действует, а если и действует, то не имеет достаточных доказательств, или по каким-то причинам не может их принять. Я хотел бы, чтобы всё было проще, но, к сожалению, это не так.
But things are also changing at a very rapid pace. You've all heard about things like Stuxnet. So if you look at what Stuxnet did is that it infected these. That's a Siemens S7-400 PLC, programmable logic [controller]. And this is what runs our infrastructure. This is what runs everything around us. PLC's, these small boxes which have no display, no keyboard, which are programmed, are put in place, and they do their job. For example, the elevators in this building most likely are controlled by one of these. And when Stuxnet infects one of these, that's a massive revolution on the kinds of risks we have to worry about. Because everything around us is being run by these. I mean, we have critical infrastructure. You go to any factory, any power plant, any chemical plant, any food processing plant, you look around -- everything is being run by computers.
Но ситуация также меняется в очень быстром темпе. Вы все слышали о таких вещах, как Stuxnet. Stuxnet занимался тем, что заражал вот это. Это ПЛК Siemens S7-400, программируемый логический контроллер. Это то, на чём держится наша инфраструктура. Это то, что управляет всем вокруг нас. Контроллеры, эти маленькие коробочки, у которых нет дисплея, нет клавиатуры, которые программируются, устанавливаются и делают свою работу. Например, лифты в этом здании, скорее всего, находятся под контролем одного из них. И когда Stuxnet заразил такой контроллер, произошла огромная революция в рисках, о которых нам стоит задумываться. Потому что всё вокруг нас в настоящее время управляется контроллерами. Я имею в виду, что наши инфраструктуры очень требовательны. Возьмите любой завод, любую электростанцию, любой химический завод, любой завод пищевой промышленности, посмотрите вокруг — всё управляется компьютерами.
Everything is being run by computers. Everything is reliant on these computers working. We have become very reliant on Internet, on basic things like electricity, obviously, on computers working. And this really is something which creates completely new problems for us. We must have some way of continuing to work even if computers fail.
Всё управляется компьютерами. Всё зависит от работы компьютеров. Мы впали в сильную зависимость от Интернета, от основополагающих вещей, вроде электричества, и, очевидно, от работы компьютеров. И это на самом деле то, что создает нам совершенно новые проблемы. Мы должны каким-то образом продолжать работу даже если сломаются компьютеры.
(Laughter)
(Смех)
(Applause)
(Аплодисменты)
So preparedness means that we can do stuff even when the things we take for granted aren't there. It's actually very basic stuff -- thinking about continuity, thinking about backups, thinking about the things that actually matter.
Подготовленность означает способность действовать даже тогда, когда то, что мы считаем само собой разумеющимся, отсутствует. На самом деле это очень важно — думать о целостности, думать о резервных копиях, думать о вещах, которые на самом деле важны.
Now I told you -- (Laughter) I love the Internet. I do. Think about all the services we have online. Think about if they are taken away from you, if one day you don't actually have them for some reason or another. I see beauty in the future of the Internet, but I'm worried that we might not see that. I'm worried that we are running into problems because of online crime. Online crime is the one thing that might take these things away from us.
Я говорил вам — (Смех) Я люблю Интернет. Я люблю. Подумайте обо всех услугах, которые даёт нам Интернет. Подумайте, что будет, если их отобрать у вас, если однажды вы окажетесь без них по тем или иным причинам. Я вижу красоту в будущем Интернета, но я боюсь, что мы можем не увидеть этой красоты. Я боюсь, что мы столкнёмся с проблемами из-за сетевой преступности. Интернет-преступность — это то, что может отобрать у нас эти вещи.
(Laughter)
(Смех)
I've spent my life defending the Net, and I do feel that if we don't fight online crime, we are running a risk of losing it all. We have to do this globally, and we have to do it right now. What we need is more global, international law enforcement work to find online criminal gangs -- these organized gangs that are making millions out of their attacks. That's much more important than running anti-viruses or running firewalls. What actually matters is actually finding the people behind these attacks, and even more importantly, we have to find the people who are about to become part of this online world of crime, but haven't yet done it. We have to find the people with the skills, but without the opportunities and give them the opportunities to use their skills for good.
Я провёл свою жизнь защищая Сеть. И я чувствую, что если мы не будем бороться с киберпреступностью, мы рискуем потерять всё это. Мы должны сделать это в глобальном масштабе, и мы должны сделать это прямо сейчас. То, что нам нужно, это глобальная, международная деятельность правоохранительных органов по поиску сетевых преступных группировок — этих организованных отрядов, которые делают миллионы на своих атаках. Это гораздо важнее, чем использование антивирусов или брандмауэров. Что действительно имеет значение, это поиск людей, стоящих за этими атаками. И что еще важнее, мы должны найти людей, которые близки к тому, чтобы стать частью этого мира онлайн-преступлений, но ещё не сделали этого. Мы должны найти людей с навыками, но без возможностей, и дать им возможность использовать свои навыки во благо.
Thank you very much.
Большое спасибо.
(Applause)
(Аплодисменты)