In the 1980s, in communist Eastern Germany, if you owned a typewriter, you had to register it with the government. You had to register a sample sheet of text out of the typewriter. And this was done so the government could track where the text was coming from. If they found a paper which had the wrong kind of thought, they could track down who created that thought. And we in the West couldn't understand how anybody would do this, how much this would restrict freedom of speech. We would never do that in our own countries.
Negli anni '80 nella Germania comunista, se possedevi una macchina da scrivere dovevi registrarla obbligatoriamente. Dovevi registrare un foglio di testo battuto con quella macchina. In questo modo il governo poteva risalire al suo autore. Se avessero trovato un foglio dattiloscritto con frasi non idonee, avrebbero potuto identificare il suo autore. In Occidente non potevamo capire come fosse possibile limitare in quel modo la libertà di espressione. Non lo avremmo mai permesso nei nostri paesi.
But today, in 2011, if you go and buy a color laser printer from any major laser printer manufacturer and print a page, that page will end up having slight yellow dots printed on every single page, in a pattern which makes the page unique to you and to your printer. This is happening to us today. And nobody seems to be making a fuss about it. And this is an example of the ways our own governments are using technology against us, the citizens. And this is one of the main three sources of online problems today.
Ma oggi, nel 2011, se comprate una stampante laser a colori presso uno qualsiasi dei maggiori distributori e ne stampate una pagina, la pagina avrà dei puntini gialli, stampati su ogni singola pagina secondo uno schema che rende la pagina unica per voi e per la stampante. Questo accade oggi. E sembra che a nessuno importi niente. Questo è un esempio di come i nostri governi stiano usando la tecnologia contro di noi, i cittadini. Questa è una delle tre fonti dei problemi online di oggi.
If we look at what's really happening in the online world, we can group the attacks based on the attackers. We have three main groups. We have online criminals. Like here, we have Mr. Dmitry Golubov, from the city of Kiev in Ukraine. And the motives of online criminals are very easy to understand. These guys make money. They use online attacks to make lots of money -- and lots and lots of it. We actually have several cases of millionaires online, multimillionaires, who made money with their attacks. Here's Vladimir Tsastsin, from Tartu in Estonia. This is [Albert] Gonzalez. This is Stephen Watt. This is Bjorn Sundin. This is Matthew Anderson, Tariq Al-Daour and so on and so on.
Se diamo uno sguardo a ciò che sta succedendo nel mondo online, possiamo raggruppare gli attacchi in base a chi li effettua. Ci sono tre gruppi principali. Abbiamo i criminali online. Qui, per esempio, c'è il Sig. Dimitry Golubov dalla città di Kiev in Ucraina. E le ragioni dei criminali online sono facili da capire. Questa gente fa soldi. Usano gli attacchi online per fare soldi, ma proprio tanti. Abbiamo di fatto diversi casi di milionari online, multimilionari, che si sono arricchiti con i loro attacchi. Questo è Vladimir Tsastsin da Tartu in Estonia. Questo è Alfred Gonzalez. Stephen Watt. Questo è Bjorn Sundin. Qui abbiamo Matthew Anderson, Tariq Al-Daour e così via.
These guys make their fortunes online, but they make it through the illegal means of using things like banking Trojans to steal money from our bank accounts while we do online banking, or with keyloggers to collect our credit card information while we are doing online shopping from an infected computer. The US Secret Service, two months ago, froze the Swiss bank account of Mr. Sam Jain right here, and that bank account had 14.9 million US dollars in it when it was frozen. Mr. Jain himself is on the loose; nobody knows where he is. And I claim it's already today that it's more likely for any of us to become the victim of a crime online than here in the real world. And it's very obvious that this is only going to get worse. In the future, the majority of crime will be happening online.
Questa gente fa fortuna online, ma lo fanno in modo illegale facendo uso di espedienti come i trojan bancari per rubare soldi dai nostri conti bancari, mentre facciamo operazioni online, o facendo uso di keylogger per rubare i dati delle nostre carte di credito quando facciamo acquisti online su un computer infettato. I servizi segreti Statunitensi, due mesi fa, hanno congelato il conto svizzero del Sig. Sam Jain che vedete qui, e sul conto c'erano 14,9 milioni di dollari americani quando lo hanno bloccato. Il Sig. Jain stesso è a piede libero; nessuno sa dove si trovi. E io vi dico che già oggi è sempre più probabile per ognuno di noi diventare vittima di un reato online, piuttosto che di un reato non virtuale. Ed è ovvio che sarà sempre peggio. In futuro la maggior parte dei reati avverrà online.
The second major group of attackers that we are watching today are not motivated by money. They're motivated by something else -- motivated by protests, motivated by an opinion, motivated by the laughs. Groups like Anonymous have risen up over the last 12 months and have become a major player in the field of online attacks.
Il secondo maggiore gruppo di attacchi a cui assistiamo oggi non è motivato da denaro. Sono motivati da altro -- dalla protesta, da un'opinione, o solo per farsi due risate. Gruppi come Anonymous si sono messi in evidenza negli ultimi 12 mesi e sono tra i principali artefici degli attacchi online.
So those are the three main attackers: criminals who do it for the money, hacktivists like Anonymous doing it for the protest, but then the last group are nation states -- governments doing the attacks. And then we look at cases like what happened in DigiNotar. This is a prime example of what happens when governments attack against their own citizens. DigiNotar is a certificate authority from the Netherlands -- or actually, it was. It was running into bankruptcy last fall, because they were hacked into. Somebody broke in and they hacked it thoroughly. And I asked last week, in a meeting with Dutch government representatives, I asked one of the leaders of the team whether he found plausible that people died because of the DigiNotar hack. And his answer was: yes.
Questi sono i 3 principali autori di attacchi informatici: criminali che lo fanno per soldi, 'hacktivisti' come Anonymous che lo fanno per protesta, ma gli ultimi sono alcuni stati nazionali, sono i loro governi a condurre gli attacchi. E poi abbiamo casi come quello di DigiNotar. Questo è un primo esempio di ciò che succede quando i governi attaccano i propri cittadini. DigiNotar è un'autorità di certificazione olandese -- o, meglio, lo era. Stava andando in bancarotta lo scorso autunno dopo l'attacco di alcuni hacker. Erano entrati nel sistema e l'avevano violato completamente. La scorsa settimana, durante un meeting con rappresentanti del governo olandese, ho chiesto a uno dei leader del gruppo se ritenesse plausibile che qualcuno morisse in seguito al caso DigiNotar. La risposta è stata 'sì'.
So how do people die as the result of a hack like this? Well, DigiNotar is a CA. They sell certificates. What do you do with certificates? Well, you need a certificate if you have a website that has https, SSL encrypted services, services like Gmail. Now we all, or a big part of us, use Gmail or one of their competitors, but these services are especially popular in totalitarian states like Iran, where dissidents use foreign services like Gmail because they know they are more trustworthy than the local services and they are encrypted over SSL connections, so the local government can't snoop on their discussions. Except they can, if they hack into a foreign CA and issue rogue certificates. And this is exactly what happened with the case of DigiNotar.
Ma com'è possibile morire a causa di una violazione informatica? Beh, la DigiNotar è un'autorità di certificazione. Vendono certificati. A cosa serve un certificato? Vi serve un certificato se avete un sito 'https', con protocollo di sicurezza SSL, tipo Gmail. Ora noi tutti, o quasi, usiamo Gmail o software simili, ma questi servizi sono particolarmente popolari negli stati totalitari come l'Iran, in cui i dissidenti usano servizi stranieri come Gmail perché sanno che sono più affidabili dei servizi locali e i contenuti sono crittografati con connessioni SSL, per cui il governo locale non può mettere il naso nelle loro discussioni. Ma lo potrebbe fare se violassero una C.A. straniera ed emettessero certificati fasulli. Ed è proprio quello che è successo nel caso DigiNotar.
What about Arab Spring and things that have been happening, for example, in Egypt? Well, in Egypt, the rioters looted the headquarters of the Egyptian secret police in April 2011, and when they were looting the building, they found lots of papers. Among those papers was this binder entitled, "FinFisher." And within that binder were notes from a company based in Germany, which had sold to the Egyptian government a set of tools for intercepting, at a very large scale, all the communication of the citizens of the country. They had sold this tool for 280,000 euros to the Egyptian government. The company headquarters are right here.
E che dire della Primavera Araba e di tutto ciò che è successo, ad esempio, in Egitto? Bene, in Egitto i rivoltosi hanno depredato le sedi della polizia segreta egiziana nell'aprile 2011, e negli edifici hanno trovato moltissima documentazione. Tra i documenti c'era un raccoglitore con scritto "FINFISHER". Conteneva delle annotazioni di una società con sede in Germania che aveva venduto al governo egiziano una serie di strumenti per l'intercettazione -- e su vasta scala -- di tutte le comunicazioni dei propri cittadini. Hanno venduto questi strumenti per 280mila Euro al governo egiziano. La sede della società è proprio lì.
So Western governments are providing totalitarian governments with tools to do this against their own citizens. But Western governments are doing it to themselves as well. For example, in Germany, just a couple of weeks ago, the so-called "State Trojan" was found, which was a Trojan used by German government officials to investigate their own citizens. If you are a suspect in a criminal case, well, it's pretty obvious, your phone will be tapped. But today, it goes beyond that. They will tap your Internet connection. They will even use tools like State Trojan to infect your computer with a Trojan, which enables them to watch all your communication, to listen to your online discussions, to collect your passwords.
Dunque dei governi occidentali stanno fornendo ad alcuni governi totalitari i mezzi per contrastare i propri cittadini. Ma i governi occidentali danneggiano anche se stessi. Ad esempio, in Germania, solo un paio di settimane fa, è stato identificato lo Scuinst Trojan, un trojan usato dai governanti tedeschi per indagare sui propri cittadini. Se fate parte di una lista di indagati, beh, è ovvio, il vostro telefono verrà messo sotto controllo. Ma oggi vanno oltre. Entreranno nel vostro collegamento a Internet. Faranno perfino uso di strumenti come Scuinst Trojan per infettare il vostro PC con un trojan, che consentirà loro di rintracciare tutte le vostre comunicazioni, ascoltare le vostre conversazioni online, raccogliere le vostre password.
Now, when we think deeper about things like these, the obvious response from people should be, "OK, well, that sounds bad, but that doesn't really affect me, because I'm a legal citizen. Why should I worry? Because I have nothing to hide." And this is an argument which doesn't make sense. Privacy is implied. Privacy is not up for discussion. This is not a question between privacy against security. It's a question of freedom against control. And while we might trust our governments right now, right here in 2011, any rights we give away will be given away for good. And do we trust, do we blindly trust, any future government, a government we might have 50 years from now? And these are the questions that we have to worry about for the next 50 years.
Ora, se pensiamo bene a questi fatti, la risposta ovvia della gente dovrebbe essere "D'accordo, non sembra corretto, ma non mi riguarda perché osservo la legge. Perché dovrei essere preoccupato? Non ho nulla da nascondere". È un'osservazione senza senso. Parliamo di privacy. Il diritto alla privacy non si discute. Non si tratta di scegliere tra privacy e sicurezza. Ma tra libertà e controllo. E anche se potremmo fidarci dei nostri governanti adesso, nel 2011, ogni diritto a cui rinunciamo lo perdiamo per sempre. E possiamo dire di avere cieca fiducia in ogni governo futuro, qualsiasi forma di governo da qui a 50 anni? Queste sono le domande che dovremmo porci per i prossimi 50 anni.