In den 80er Jahren, im kommunistischen Ostdeutschland, musste man, wenn man eine Schreibmaschine besaß, diese bei der Regierung registrieren. Sie mussten auch ein Blatt mit Beispieltext aus dieser Schreibmaschine registrieren. Der Grund dafür: die Regierung konnte zurückverfolgen, wo ein Text herkam. Fanden sie einen Artikel mit falschem Gedankengut, konnten sie den Urheber dieser Gedanken aufspüren. Und wir im Westen konnten nicht verstehen, wie irgendjemand so etwas tun könnte, und wie sehr das die Redefreiheit einschränken würde. In unseren eigenen Ländern würden wir so etwas nie tun.
In the 1980s, in communist Eastern Germany, if you owned a typewriter, you had to register it with the government. You had to register a sample sheet of text out of the typewriter. And this was done so the government could track where the text was coming from. If they found a paper which had the wrong kind of thought, they could track down who created that thought. And we in the West couldn't understand how anybody would do this, how much this would restrict freedom of speech. We would never do that in our own countries.
Aber wenn Sie heute im Jahr 2011 einen neuen Farblaserdrucker von den führenden Laserdruckerfabrikanten kaufen und eine Seite ausdrucken, dann hat diese Seite helle gelbe Flecke auf jeder Seite aufgedruckt, in einem Muster, das die Seite eindeutig auf Sie und Ihren Drucker rückverfolgen lässt. Das passiert uns heute. Und darüber scheint sich niemand aufzuregen. Und das war ein Beispiel, auf welche Weise unsere eigenen Regierungen die Technologie gegen uns, die Bürger, einsetzen. Und das ist eine der drei Hauptquellen von den heute existierenden Online-Problemen.
But today, in 2011, if you go and buy a color laser printer from any major laser printer manufacturer and print a page, that page will end up having slight yellow dots printed on every single page, in a pattern which makes the page unique to you and to your printer. This is happening to us today. And nobody seems to be making a fuss about it. And this is an example of the ways our own governments are using technology against us, the citizens. And this is one of the main three sources of online problems today.
Schauen wir uns einmal an, was wirklich auf der Welt passiert: Wir können die Angriffe in Kategorien aufteilen. Wir haben drei Hauptgruppen. Es gibt Online-Kriminelle. Zum Beispiel hier, das ist Herr Dimitry Golubow aus Kiew in der Ukraine. Und die Motive von Online-Kriminellen sind sehr leicht zu verstehen. Diese Leute verdienen Geld. Sie verwenden Online-Angriffe, um viel Geld zu verdienen, einen riesigen Haufen Geld. Es gibt mehrere bekannte Fälle von Online-Millionären, Multimillionären, die ihr Geld durch Angriffe verdient haben. Das hier ist Wladimir Tsastsin aus Tartu in Estland. Das ist Alfred Gonzalez. Stephen Watt. Björn Sundin. Das sind Matthew Anderson, Tariq Al-Daour und so weiter und so fort.
If we look at what's really happening in the online world, we can group the attacks based on the attackers. We have three main groups. We have online criminals. Like here, we have Mr. Dmitry Golubov, from the city of Kiev in Ukraine. And the motives of online criminals are very easy to understand. These guys make money. They use online attacks to make lots of money -- and lots and lots of it. We actually have several cases of millionaires online, multimillionaires, who made money with their attacks. Here's Vladimir Tsastsin, from Tartu in Estonia. This is [Albert] Gonzalez. This is Stephen Watt. This is Bjorn Sundin. This is Matthew Anderson, Tariq Al-Daour and so on and so on.
Diese Leute sind online zu Reichtum gekommen, aber sie haben es illegal erworben, indem sie z.B. Trojaner eingesetzt haben, um Geld aus unseren Bankkonten zu klauen, während wir unser Online-Banking erledigen, oder auch Keylogger, die unsere Kredikarteninformationen bei der Eingabe über die Tastatur gesammelt haben, während wir über einen infizierten Computer online einkaufen. Der US-amerikanische Geheimdienst fror vor zwei Monaten das Schweizer Konto von Herrn Sam Jain hier ein, und auf diesem Konto waren 14,9 Millionen US-Dollar, als es eingefroren wurde. Herr Jain selbst ist auf freiem Fuß, der Aufenthaltsort ist unbekannt. Und ich behaupte, dass es heute wahrscheinlicher ist, dass wir Opfer eines Online-Verbrechens werden, als eines Verbrechens in der realen Welt. Und es ist sehr offensichtlich, dass dies nur noch schlimmer werden wird. In der Zukunft werden sich die meisten Verbrechen online abspielen.
These guys make their fortunes online, but they make it through the illegal means of using things like banking Trojans to steal money from our bank accounts while we do online banking, or with keyloggers to collect our credit card information while we are doing online shopping from an infected computer. The US Secret Service, two months ago, froze the Swiss bank account of Mr. Sam Jain right here, and that bank account had 14.9 million US dollars in it when it was frozen. Mr. Jain himself is on the loose; nobody knows where he is. And I claim it's already today that it's more likely for any of us to become the victim of a crime online than here in the real world. And it's very obvious that this is only going to get worse. In the future, the majority of crime will be happening online.
Die zweitgrößte Angreifergruppe, die wir heute beobachten können, sind nicht durch Geld motiviert. Sie sind durch etwas anderes motiviert - Proteste etwa, eine Meinung, oder durch ihr Publikum. Gruppen wie Anonymous sind über die letzten 12 Monate aufgestiegen und sind zu einem der Hauptspieler auf dem Feld der Online-Angriffe geworden.
The second major group of attackers that we are watching today are not motivated by money. They're motivated by something else -- motivated by protests, motivated by an opinion, motivated by the laughs. Groups like Anonymous have risen up over the last 12 months and have become a major player in the field of online attacks.
Das sind also die drei Hauptangriffsgruppen: Kriminelle, die es des Geldes wegen tun, Hacktivisten wie Anonymous, die damit Widerstand leisten, aber die letzte Gruppe sind Nationen, Regierungen, die die Angriffe leiten. Da liegen uns Fälle vor, wie der von DigiNotar. Es zeigt beispielhaft, was passiert, wenn Regierungen ihre eigenen Bürger angreifen. DigiNotar ist ein Vollmachtszertifikat aus den Niederlanden – bzw. war es das. Im letzten Herbst musste es Insolvenz anmelden, denn DigiNotar war gehackt worden. Jemand war eingebrochen und hatte das System gründlich gehackt. Und letzte Woche in einem Treffen mit niederländischen Regierungsvertretern stellte ich einem der Leitenden dieser Gruppe die Frage, ob er es für möglich hielte, dass aufgrund des DigiNotar-Hacks Leute gestorben waren. Und seine Antwort war "Ja".
So those are the three main attackers: criminals who do it for the money, hacktivists like Anonymous doing it for the protest, but then the last group are nation states -- governments doing the attacks. And then we look at cases like what happened in DigiNotar. This is a prime example of what happens when governments attack against their own citizens. DigiNotar is a certificate authority from the Netherlands -- or actually, it was. It was running into bankruptcy last fall, because they were hacked into. Somebody broke in and they hacked it thoroughly. And I asked last week, in a meeting with Dutch government representatives, I asked one of the leaders of the team whether he found plausible that people died because of the DigiNotar hack. And his answer was: yes.
Nun, wie sterben Leute in Folge eines solchen Hacks? DigiNotar ist eine Zertifizierungsstelle. Sie verkaufen Zertifikate. Was macht man mit Zertifikaten? Nun, ein Zertifikat benötigt man, wenn man eine Webseite mit HTTPS, mit SSL-verschlüsselten Diensten hat, zum Beispiel Gmail. Nun verwenden wir alle, oder viele von uns, Gmail oder einen ihrer Konkurrenten. Doch diese Dienste sind besonders verbreitet in totalitären Staaten wie dem Iran, wo Dissidenten ausländische Anbieter wie Gmail verwenden, da sie wissen, dass sie denen mehr vertrauen können als lokalen Anbietern und dass sie über SSL-Verbindungen verschlüsselt sind, so dass die lokale Regierung nicht in ihren Gesprächen herumschnüffeln kann. Können sie aber doch, wenn sie sich in eine ausländische Zertifizierungsbehörde hacken und gefälschte Zertifikate ausstellen. Und genau das ist im Falle von DigiNotar passiert.
So how do people die as the result of a hack like this? Well, DigiNotar is a CA. They sell certificates. What do you do with certificates? Well, you need a certificate if you have a website that has https, SSL encrypted services, services like Gmail. Now we all, or a big part of us, use Gmail or one of their competitors, but these services are especially popular in totalitarian states like Iran, where dissidents use foreign services like Gmail because they know they are more trustworthy than the local services and they are encrypted over SSL connections, so the local government can't snoop on their discussions. Except they can, if they hack into a foreign CA and issue rogue certificates. And this is exactly what happened with the case of DigiNotar.
Wie verhält es sich mit dem arabischen Frühling und den Dingen, die zum Beispiel in Ägypten passiert sind? Nun, in Ägypten plünderten die Aufständischen im April 2011 das Hauptquartier der ägyptischen Geheimpolizei. Und dabei fanden sie eine Menge Akten. In diesen Akten befand sich ein Ordner namens "FINFISHER". Und in diesem Ordner befanden sich Notizen einer in Deutschland ansässigen Firma, die der ägyptischen Regierung ein paar Programme verkauft hatten, mit denen sie – in sehr großem Rahmen – jegliche Kommunikation der ägyptischen Bürger abfangen konnten. Sie hatten dieses Programm für 280.000 Euro an die ägyptische Regierung verkauft. Das Firmenhauptquartier ist genau hier.
What about Arab Spring and things that have been happening, for example, in Egypt? Well, in Egypt, the rioters looted the headquarters of the Egyptian secret police in April 2011, and when they were looting the building, they found lots of papers. Among those papers was this binder entitled, "FinFisher." And within that binder were notes from a company based in Germany, which had sold to the Egyptian government a set of tools for intercepting, at a very large scale, all the communication of the citizens of the country. They had sold this tool for 280,000 euros to the Egyptian government. The company headquarters are right here.
Also versorgen westliche Regierungen totalitäre Regierungen mit Hilfsmitteln, damit die gegen ihre eigenen Bürger vorgehen können. Aber westliche Regierungen helfen sich auch selbst. Zum Beispiel in Deutschland nur vor ein paar Wochen der sogenannte Staatstrojaner gefunden. Das war ein Trojaner, der von deutschen Regierungsvertretern verwendet wurde, um ihre eigenen Bürger zu bespitzeln. Wenn Sie in einem Kriminalfall verdächtigt werden, dann wird mit ziemlicher Sicherheit Ihr Telefon angezapft. Aber heute sind wir weit jenseits dessen. Sie zapfen Ihre Internetverbindung an. Sie verwenden Mittel wie den Staatstrojaner, um Ihren Computer mit einem Trojaner zu bespielen, der es ihnen erlaubt, Ihre gesamte Kommunikation zu überwachen, Ihre Online-Diskussionen abzuhören, Ihre Passwörter zu sammeln.
So Western governments are providing totalitarian governments with tools to do this against their own citizens. But Western governments are doing it to themselves as well. For example, in Germany, just a couple of weeks ago, the so-called "State Trojan" was found, which was a Trojan used by German government officials to investigate their own citizens. If you are a suspect in a criminal case, well, it's pretty obvious, your phone will be tapped. But today, it goes beyond that. They will tap your Internet connection. They will even use tools like State Trojan to infect your computer with a Trojan, which enables them to watch all your communication, to listen to your online discussions, to collect your passwords.
Wenn wir also weiter über solche Dinge nachdenken, dann wäre die offensichtliche Antwort der Leute: "Ok, das klingt schlecht, aber es betrifft mich ja nicht, weil ich ein braver Bürger bin. Ich muss mir keine Sorgen machen! Ich habe nichts zu verstecken." Und diese Argumentation ergibt keinen Sinn. Privatsphäre muss gegeben sein. Privatsphäre steht nicht zur Debatte. Es ist keine Entscheidung zwischen Privatsphäre und Sicherheit. Es ist eine Entscheidung zwischen Freiheit und Kontrolle. Und während wir heute, im Jahr 2011, unseren Regierungen vertrauen mögen, ist doch jedes Recht, das wir abgeben, für immer abgegeben. Und vertrauen wir, vertrauen wir blind einer jeden zukünftigen Regierung, einer Regierung, die wir vielleicht in fünfzig Jahren haben werden? Das sind die Fragen, mit denen wir uns die nächsten 50 Jahre beschäftigen müssen.
Now, when we think deeper about things like these, the obvious response from people should be, "OK, well, that sounds bad, but that doesn't really affect me, because I'm a legal citizen. Why should I worry? Because I have nothing to hide." And this is an argument which doesn't make sense. Privacy is implied. Privacy is not up for discussion. This is not a question between privacy against security. It's a question of freedom against control. And while we might trust our governments right now, right here in 2011, any rights we give away will be given away for good. And do we trust, do we blindly trust, any future government, a government we might have 50 years from now? And these are the questions that we have to worry about for the next 50 years.