In the 1980s, in communist Eastern Germany, if you owned a typewriter, you had to register it with the government. You had to register a sample sheet of text out of the typewriter. And this was done so the government could track where the text was coming from. If they found a paper which had the wrong kind of thought, they could track down who created that thought. And we in the West couldn't understand how anybody would do this, how much this would restrict freedom of speech. We would never do that in our own countries.
En los años '80, en la Alemania Oriental comunista, si uno tenía una máquina de escribir debía registrarla ante el gobierno. Había que registrar una hoja de texto de ejemplo escrita con la máquina. Y esto para que el gobierno pudiera rastrear el origen de los textos. Si encontraban un escrito con el mensaje incorrecto podrían rastrear la huella hasta el origen de la idea. En Occidente no concebimos que alguien pudiera hacer esto, lo mucho que esto limitaría la libertad de expresión. Nunca haríamos eso en nuestros países.
But today, in 2011, if you go and buy a color laser printer from any major laser printer manufacturer and print a page, that page will end up having slight yellow dots printed on every single page, in a pattern which makes the page unique to you and to your printer. This is happening to us today. And nobody seems to be making a fuss about it. And this is an example of the ways our own governments are using technology against us, the citizens. And this is one of the main three sources of online problems today.
Pero hoy, en 2011, si uno compra una impresora color láser de cualquier fabricante grande e imprime una página, esa página terminará teniendo unos puntitos amarillos impresos en cada página que siguen un patrón que las hace propias de uno y de su impresora. Eso nos está pasando hoy. Y nadie parece alborotarse mucho por esto. Este es un ejemplo de las formas en que nuestros gobiernos usan la tecnología en contra de nosotros, los ciudadanos. Y es una de las tres causas principales de problemas en la red.
If we look at what's really happening in the online world, we can group the attacks based on the attackers. We have three main groups. We have online criminals. Like here, we have Mr. Dmitry Golubov, from the city of Kiev in Ukraine. And the motives of online criminals are very easy to understand. These guys make money. They use online attacks to make lots of money -- and lots and lots of it. We actually have several cases of millionaires online, multimillionaires, who made money with their attacks. Here's Vladimir Tsastsin, from Tartu in Estonia. This is [Albert] Gonzalez. This is Stephen Watt. This is Bjorn Sundin. This is Matthew Anderson, Tariq Al-Daour and so on and so on.
Si vemos lo que pasa en el mundo en línea podemos agrupar los ataques según sus atacantes. Hay tres grupos principales. Están los cibercriminales como el Sr. Dimitry Golubov de la ciudad de Kiev, en Ucrania. El móvil de los cibercriminales es muy fácil de entender. Estos tipos ganan dinero. Usan los ciberataques para ganar mucho dinero, ingentes cantidades. Realmente hay muchos casos de millonarios en línea, multimillonarios, que gananaron dinero con sus ataques. Este es Vladimir Tsastsin, de Tartu, Estonia. Este es Alfred González. Este es Stephen Watt. Este es Björn Sundin. Estos son Matthew Anderson, Tariq Al-Daour etc., etc., etc.
These guys make their fortunes online, but they make it through the illegal means of using things like banking Trojans to steal money from our bank accounts while we do online banking, or with keyloggers to collect our credit card information while we are doing online shopping from an infected computer. The US Secret Service, two months ago, froze the Swiss bank account of Mr. Sam Jain right here, and that bank account had 14.9 million US dollars in it when it was frozen. Mr. Jain himself is on the loose; nobody knows where he is. And I claim it's already today that it's more likely for any of us to become the victim of a crime online than here in the real world. And it's very obvious that this is only going to get worse. In the future, the majority of crime will be happening online.
Estos tipos hacen sus fortunas en línea pero lo hacen por medios ilegales mediante troyanos bancarios para robar dinero de nuestras cuentas cuando compramos en línea; o roban nuestras claves para conseguir información de nuestras tarjetas cuando compramos en una computadora infectada. El servicio secreto de EE.UU., hace dos meses, congeló la cuenta suiza de este señor, Sam Jain, y esta cuenta tenía 14,9 millones de dólares cuando fue congelada. El Sr. Jain anda suelto; se desconoce su paradero. Y yo digo que hoy es más probable que cualquiera de nosotros sea víctima de un cibercrimen que de un crimen real. Y es muy obvio que esto va de mal en peor. En el futuro, la mayoría de los crímenes ocurrirán en línea.
The second major group of attackers that we are watching today are not motivated by money. They're motivated by something else -- motivated by protests, motivated by an opinion, motivated by the laughs. Groups like Anonymous have risen up over the last 12 months and have become a major player in the field of online attacks.
El segundo grupo de atacantes en importancia que observamos hoy en día no está motivado por el dinero. Hay otra cosa que los mueve, les motivan las protestas, les motivan las opiniones, les motivan las risas. Grupos como Anonymous han descollado en los últimos 12 meses ocupando un papel destacado en los ataques en línea.
So those are the three main attackers: criminals who do it for the money, hacktivists like Anonymous doing it for the protest, but then the last group are nation states -- governments doing the attacks. And then we look at cases like what happened in DigiNotar. This is a prime example of what happens when governments attack against their own citizens. DigiNotar is a certificate authority from the Netherlands -- or actually, it was. It was running into bankruptcy last fall, because they were hacked into. Somebody broke in and they hacked it thoroughly. And I asked last week, in a meeting with Dutch government representatives, I asked one of the leaders of the team whether he found plausible that people died because of the DigiNotar hack. And his answer was: yes.
Esos son los tres atacantes principales: los criminales que lo hacen por dinero, los hacktivistas como Anonymous que lo hacen para protestar y el último grupo son los Estados nacionales los gobiernos que atacan. Y entonces vemos casos como el de DigiNotar. Ese es un buen ejemplo de ataque gubernamental contra sus propios ciudadanos. DigiNotar es una autoridad de certificación de los Países Bajos o, en realidad, lo era. Declaró la quiebra el último otoño debido a un sabotaje. Sortearon la seguridad del sitio y perpetraron un ciberataque. La semana pasada pregunté, en una reunión con representantes del gobierno holandés, le pregunté a uno de los líderes si hallaban plausible la muerte de personas a causa del ataque a DigiNotar. Y la respuesta de él fue sí.
So how do people die as the result of a hack like this? Well, DigiNotar is a CA. They sell certificates. What do you do with certificates? Well, you need a certificate if you have a website that has https, SSL encrypted services, services like Gmail. Now we all, or a big part of us, use Gmail or one of their competitors, but these services are especially popular in totalitarian states like Iran, where dissidents use foreign services like Gmail because they know they are more trustworthy than the local services and they are encrypted over SSL connections, so the local government can't snoop on their discussions. Except they can, if they hack into a foreign CA and issue rogue certificates. And this is exactly what happened with the case of DigiNotar.
Entonces, ¿cómo muere la gente a causa de un ataque de estos? DigiNotar es una autoridad certificante. Venden certificados. ¿Para qué sirven los certificados? Bueno, se necesitan si uno tiene un sitio web con https, servicios encriptados SSL, servicios como Gmail. Ahora todos, o casi todos, usamos Gmail o alguno de sus competidores pero estos servicios son muy populares en estados totalitarios como Irán en los que los disidentes usan servicios extranjeros como Gmail porque saben que son más confiables que los servicios locales y están encriptados en conexiones SSL de modo que el gobierno local no puede espiar sus discusiones. Salvo que intercepten una autoridad certificante extranjera y que emitan certificados apócrifos. Y en el caso de DigiNotar sucedió exactamente eso.
What about Arab Spring and things that have been happening, for example, in Egypt? Well, in Egypt, the rioters looted the headquarters of the Egyptian secret police in April 2011, and when they were looting the building, they found lots of papers. Among those papers was this binder entitled, "FinFisher." And within that binder were notes from a company based in Germany, which had sold to the Egyptian government a set of tools for intercepting, at a very large scale, all the communication of the citizens of the country. They had sold this tool for 280,000 euros to the Egyptian government. The company headquarters are right here.
¿Y qué pasó en la Primavera Árabe y esas cosas que han sucedido, por ejemplo, en Egipto? Bueno, en Egipto los manifestantes saquearon la sede de la policía secreta egipcia en abril de 2011 y durante el saqueo del edificio, hallaron muchos papeles. Entre esos papeles estaba esta carpeta titulada "FINFISHER". Y dentro de esa carpeta había notas de una empresa con sede en Alemania que le había vendido el gobierno egipcio herramientas para interceptar a gran escala las comunicaciones de los ciudadanos del país. Le habían vendido esta herramienta por 280 000 euros al gobierno egipcio. La sede de la empresa está justo aquí.
So Western governments are providing totalitarian governments with tools to do this against their own citizens. But Western governments are doing it to themselves as well. For example, in Germany, just a couple of weeks ago, the so-called "State Trojan" was found, which was a Trojan used by German government officials to investigate their own citizens. If you are a suspect in a criminal case, well, it's pretty obvious, your phone will be tapped. But today, it goes beyond that. They will tap your Internet connection. They will even use tools like State Trojan to infect your computer with a Trojan, which enables them to watch all your communication, to listen to your online discussions, to collect your passwords.
O sea, los gobiernos occidentales le proveen herramientas a los gobiernos totalitarios para que le hagan esto a sus ciudadanos. Pero los gobiernos occidentales también se hacen esto a sí mismos. Por ejemplo, en Alemania, hace sólo un par de semanas se encontró el troyano Scuinst; un troyano usado por oficiales del gobierno alemán para investigar a sus propios ciudadanos. Si uno es sospechoso en un caso criminal bueno, es bastante obvio que su teléfono está intervenido. Pero hoy se va más allá. Se intercepta la conexión a Internet. Usarán incluso herramientas como el troyano Scuinst para infectar nuestra computadora con un troyano para permitirles ver toda la comunicación, y escuchar las discusiones en línea, para obtener nuestros datos.
Now, when we think deeper about things like these, the obvious response from people should be, "OK, well, that sounds bad, but that doesn't really affect me, because I'm a legal citizen. Why should I worry? Because I have nothing to hide." And this is an argument which doesn't make sense. Privacy is implied. Privacy is not up for discussion. This is not a question between privacy against security. It's a question of freedom against control. And while we might trust our governments right now, right here in 2011, any rights we give away will be given away for good. And do we trust, do we blindly trust, any future government, a government we might have 50 years from now? And these are the questions that we have to worry about for the next 50 years.
Cuando pensamos detenidamente en cosas como estas la respuesta obvia debería ser "Bueno, parece algo malo, pero en realidad no me afecta porque soy un ciudadano honesto. ¿Por qué preocuparme? No tengo nada que ocultar". Y ese argumento no tiene sentido. Está en juego la privacidad. La privacidad no se discute. No es una cuestión de la privacidad contra la seguridad. Se trata de la libertad contra el control. Si bien podríamos confiar en nuestros gobiernos hoy en 2011, cualquier derecho que resignemos hoy, será para siempre. ¿Confiaremos ciegamente en cualquier gobierno futuro, en una administración que podríamos tener dentro de 50 años? Estas son las preguntas que nos deben preocupar en los próximos 50 años.