In the 1980s, in communist Eastern Germany, if you owned a typewriter, you had to register it with the government. You had to register a sample sheet of text out of the typewriter. And this was done so the government could track where the text was coming from. If they found a paper which had the wrong kind of thought, they could track down who created that thought. And we in the West couldn't understand how anybody would do this, how much this would restrict freedom of speech. We would never do that in our own countries.
1980-luvulla kommunistisessa Itä-Saksassa, jos omisti kirjoituskoneen, se piti rekisteröidä valtion rekisteriin. Omistajan piti toimittaa paperillinen esimerkkitekstiä, joka oli kirjoitettu sillä kirjoituskoneella. Näin tehtiin, jotta valtio voisi seurata mistä tekstit tulivat. Jos he löysivät kirjoituksen, jossa oli vääränlaisia ajatuksia, he voisivat etsiä henkilön, joka nuo ajatukset oli kirjoittanut paperille. Ja me länsimaissa emme voineet ymmärtää miten kukaan saattoi toimia näin. Miten kukaan saattoi rajoittaa sananvapautta näin. Me emme koskaan tulisi tekemään näin meidän omissa maissamme.
But today, in 2011, if you go and buy a color laser printer from any major laser printer manufacturer and print a page, that page will end up having slight yellow dots printed on every single page, in a pattern which makes the page unique to you and to your printer. This is happening to us today. And nobody seems to be making a fuss about it. And this is an example of the ways our own governments are using technology against us, the citizens. And this is one of the main three sources of online problems today.
Mutta nykyään, 2011, jos menet ja ostat värilaserkirjoittimen miltä tahansa merkittävältä valmistajalta ja tulostat sivun, sivulle tulostuu myös melkein näkymättömiä keltaisia pisteitä. Samat pisteet löytyvät jokaiselta tulostamasi sivulta, yksilöiden sinut ja tulostimesi. Tämä tapahtuu meille juuri nyt. Ja kukaan ei tunnu kiinnittävän mitään huomiota asiaan. Tämä on esimerkki niistä tavoista, joilla meidän omat valtiomme käyttävät teknologiaa meitä kansalaisia vastaan. Tämä on yksi kolmesta tärkeimmästä verkkohyökkäysten lähteestä.
If we look at what's really happening in the online world, we can group the attacks based on the attackers. We have three main groups. We have online criminals. Like here, we have Mr. Dmitry Golubov, from the city of Kiev in Ukraine. And the motives of online criminals are very easy to understand. These guys make money. They use online attacks to make lots of money -- and lots and lots of it. We actually have several cases of millionaires online, multimillionaires, who made money with their attacks. Here's Vladimir Tsastsin, from Tartu in Estonia. This is [Albert] Gonzalez. This is Stephen Watt. This is Bjorn Sundin. This is Matthew Anderson, Tariq Al-Daour and so on and so on.
Voimme luokitella verkkohyökkäykset hyökkääjien perusteella eli ryhmiin. Hyökkääjät jakautuvat kolmeen pääryhmään. Ensimmäinen ryhmä on verkkorikolliset. Kuten tässä Dimitry Golubov Kievistä, Ukrainasta. Verkkorikollisten motiivit ovat helppoja ymmärtää. Motiivi on raha. Verkkorikolliset tekevät rikoksillaan rahaa. Todella paljon rahaa. Tiedämme, että verkosta löytyy miljoonäärejä, jotka tienasivat miljoonansa verkkorikosten avulla. Tässä on Vladimir Tšaštšin, kotoisin Tarttosta, Virosta. Tässä on Alfred Gonzales. Tässä on Stephen Watt. Tässä on Björn Sundin. Tässä Matthew Anderson ja Tariq Al-Daour. Ja niin edelleen.
These guys make their fortunes online, but they make it through the illegal means of using things like banking Trojans to steal money from our bank accounts while we do online banking, or with keyloggers to collect our credit card information while we are doing online shopping from an infected computer. The US Secret Service, two months ago, froze the Swiss bank account of Mr. Sam Jain right here, and that bank account had 14.9 million US dollars in it when it was frozen. Mr. Jain himself is on the loose; nobody knows where he is. And I claim it's already today that it's more likely for any of us to become the victim of a crime online than here in the real world. And it's very obvious that this is only going to get worse. In the future, the majority of crime will be happening online.
Nämä kaverit tekevät rahansa verkossa rikollisin keinoin kuten pankkitroijalaisilla, jotka varastavat rahaa pankkitileiltämme, kun käymme verkkopankeissa. Tai näppäimistönauhureilla, jotka keräävät luottokorttimme tiedot, kun teemme verkko-ostoksia saastuneella tietokoneella. Yhdysvaltain salainen palvelu sulki kaksi kuukautta sitten sveitsiläisen pankkitilin, joka kuului Sam Jain -nimiselle verkkorikolliselle. Tuolla pankkitilillä oli 14,9 miljoonaa dollaria, kun se suljettiin. Itse Jain on karkuteillä; kukaan ei tiedä hänen olinpaikkaansa. Minä väitän, että nykyään on todennäköisempää joutua rikoksen uhriksi verkossa kuin reaalimaailmassa. Ja on ilmeistä, että tilanne on huononemassa. Tulevaisuudessa valtaosa rikoksista tulee tapahtumaan verkossa.
The second major group of attackers that we are watching today are not motivated by money. They're motivated by something else -- motivated by protests, motivated by an opinion, motivated by the laughs. Groups like Anonymous have risen up over the last 12 months and have become a major player in the field of online attacks.
Toinen merkittävä ryhmä hyökkääjiä nykyään ei ole rahan motivoimaa. Heitä motivoi jokin muu. Heitä motivoi protesti, heitä motivoi mielenilmaus, heitä motivoi hauskanpito. Ryhmät kuten Anonymous ovat nousseet esiin viimeisen vuoden aikana. Heistä on tullut merkittävä tekijä verkkohyökkäysten takana.
So those are the three main attackers: criminals who do it for the money, hacktivists like Anonymous doing it for the protest, but then the last group are nation states -- governments doing the attacks. And then we look at cases like what happened in DigiNotar. This is a prime example of what happens when governments attack against their own citizens. DigiNotar is a certificate authority from the Netherlands -- or actually, it was. It was running into bankruptcy last fall, because they were hacked into. Somebody broke in and they hacked it thoroughly. And I asked last week, in a meeting with Dutch government representatives, I asked one of the leaders of the team whether he found plausible that people died because of the DigiNotar hack. And his answer was: yes.
Joten kolme tärkeintä ryhmää ovat: rikolliset, joiden motiivi on raha, haktivistit kuten Anonymous, joiden motiivi on protesti, ja viimeinen ryhmä: valtiot, jotka tekevät verkkohyökkäyksiä. Näemme yhä enemmän tapauksia kuin mitä tapahtui yrityksessä nimeltä DigiNotar. Tämä on hyvä esimerkki siitä, mitä tapahtuu, kun valtiot hyökkäävät omia kansalaisiaan vastaan. DigiNotar on Sertifikaattiauktoriteetti eli CA. Se on kotoisin Hollannista -- tai oikeastaan oli kotoisin Hollannista. Se meni konkurssiin viime syksynä, koska heidän järjestelmiinsä murtauduttiin. Joku löysi reitin sisään ja hakkeroi heidät perusteellisesti. Olin viikko sitten kokouksessa Hollannin valtion edustajien kanssa, ja kysyin eräältä heidän johtajistaan pitikö hän todennäköisenä, että ihmisiä kuoli DigiNotar-tietomurron takia. Ja hänen vastuksensa oli kyllä.
So how do people die as the result of a hack like this? Well, DigiNotar is a CA. They sell certificates. What do you do with certificates? Well, you need a certificate if you have a website that has https, SSL encrypted services, services like Gmail. Now we all, or a big part of us, use Gmail or one of their competitors, but these services are especially popular in totalitarian states like Iran, where dissidents use foreign services like Gmail because they know they are more trustworthy than the local services and they are encrypted over SSL connections, so the local government can't snoop on their discussions. Except they can, if they hack into a foreign CA and issue rogue certificates. And this is exactly what happened with the case of DigiNotar.
Mutta miten ihmisiä kuolee tietomurron seurauksena? DigiNotar oli sertifikaattiauktoriteeti. He myyvät sertifikaatteja. Mihin sertifikaatteja tarvitaan? Niitä tarvitaan, jos on web-palvelin, joka käyttää SSL-suojausta eli https-yhteyttä. Esimerkiksi Gmail on tällainen palvelu. Useimmat meistä käyttävät Gmailia tai vastaavaa webmailia. Mutta nämä palvelut ovat erityisen suosittuja totalitarisissa valtioissa. Kuten Iranissa, missä toisinajattelijat käyttävät ulkomaisia palveluita, kuten Gmail, koska heidän kotimaansa vastaaviin palveluihin ei voi luottaa. Ja koska Gmail-yhteydet ovat SSL-salattuja, paikallinen hallitus ei voi salakuunnella heidän viestintäänsä. Mutta jos hallitus murtautuu ulkomaiseen CA:han ja luo väärennettyjä sertifikaatteja he voivat salaa seurata kansalaistensa viestejä. Juuri näin kävi DigiNotar-tapauksessa.
What about Arab Spring and things that have been happening, for example, in Egypt? Well, in Egypt, the rioters looted the headquarters of the Egyptian secret police in April 2011, and when they were looting the building, they found lots of papers. Among those papers was this binder entitled, "FinFisher." And within that binder were notes from a company based in Germany, which had sold to the Egyptian government a set of tools for intercepting, at a very large scale, all the communication of the citizens of the country. They had sold this tool for 280,000 euros to the Egyptian government. The company headquarters are right here.
Entäs arabikevät ja kansannousut joita on tapahtunut esimerkiksi Egyptissä? Itse asiassa Egyptissä mellakoijat rynnivät sisään salaisen poliisin päämajaan huhtikuussa 2011. Ja he löysivät sieltä paljon salaisia dokumentteja. Noiden dokumenttien seassa oli tämä kansio jossa luki FINFISHER. Tuon kansion sisällä oli tarjous saksalaiselta yhtiöltä, joka oli myynyt Egyptin valtiolle verkkotyökaluja, joilla valtio pystyi laajamittaisesti seuraamaan kansalaistensa viestintää. He olivat myyneet tämän vakoilutyökalun Egyptiin 280,000 eurolla. Saksalaisyrityksen pääkonttori on tässä.
So Western governments are providing totalitarian governments with tools to do this against their own citizens. But Western governments are doing it to themselves as well. For example, in Germany, just a couple of weeks ago, the so-called "State Trojan" was found, which was a Trojan used by German government officials to investigate their own citizens. If you are a suspect in a criminal case, well, it's pretty obvious, your phone will be tapped. But today, it goes beyond that. They will tap your Internet connection. They will even use tools like State Trojan to infect your computer with a Trojan, which enables them to watch all your communication, to listen to your online discussions, to collect your passwords.
Länsimaat siis toimittavat totalitaarisille valtioille työkaluja, joilla he voivat vahtia kansalaisiaan. Mutta länsimaat tekevät itsekin samaa. Esimerkiksi Saksassa aivan lähiaikoina löytyi niin kutsuttu Staats-troijalainen. Tällä troijalaisella Saksan viranomaiset tutkivat omia kansalaisiaan. Jos sinua epäillään rikoksesta, on selvää, että puhelintasi ehkä salakuunnellaan. Mutta nykyään voidaan tehdä paljon enemmänkin. Internet-yhteytesi pannaan seurantaan. He voivat jopa saastuttaa tietokoneesi troijalaisella, jonka avulla he voivat seurata kaikkea viestintääsi. He voivat kuunnella nettipuheluitasi ja kerätä salasanasi.
Now, when we think deeper about things like these, the obvious response from people should be, "OK, well, that sounds bad, but that doesn't really affect me, because I'm a legal citizen. Why should I worry? Because I have nothing to hide." And this is an argument which doesn't make sense. Privacy is implied. Privacy is not up for discussion. This is not a question between privacy against security. It's a question of freedom against control. And while we might trust our governments right now, right here in 2011, any rights we give away will be given away for good. And do we trust, do we blindly trust, any future government, a government we might have 50 years from now? And these are the questions that we have to worry about for the next 50 years.
Kun mietimme tarkemmin tällaisia uhkakuvia ihmisten reaktio on usein: "Kyllä, kuulostaa pahalta, mutta ei kosketa minua, koska minä en riko lakia. Miksi huolestuisin tästä, koska minulla ei ole mitään salattavaa." Tällainen argumentointi ei kestä tarkastelua. Yksityisyys on ehdoton oikeutemme. Yksityisyydestä ei neuvotella. Kyse ei ole asetelmasta, jossa ovat vastakkain yksityisyys ja turvallisuus. Vaan vastakkain ovat vapaus ja valvonta. Ja vaikka luottasimmekin johtajiimme juuri nyt ja juuri tässä, 2011, joka kerta kun luovumme oikeuksistamme, luovumme niistä lopullisesti. Haluammeko me sokeasti luottaa kaikkiin tuleviin johtajiin. Johtajiin, jotka ovat vallassa 50 vuoden kuluttua? Nämä ovat niitä asioita, joista meidän pitää huolehtia tulevien vuosikymmenten ajan.