In the 1980s, in communist Eastern Germany, if you owned a typewriter, you had to register it with the government. You had to register a sample sheet of text out of the typewriter. And this was done so the government could track where the text was coming from. If they found a paper which had the wrong kind of thought, they could track down who created that thought. And we in the West couldn't understand how anybody would do this, how much this would restrict freedom of speech. We would never do that in our own countries.
Als je in de jaren 80 in het communistische Oost-Duitsland eigenaar was van een schrijfmachine moest je ze laten registreren bij de overheid. Je moest een voorbeeldblad met tekst van je schrijfmachine laten registreren. Zodat de overheid altijd kon nagaan waar tekst vandaan kwam. Als ze er een vonden met de verkeerde soort van ideeën, konden ze opsporen van wie die kwamen. Wij in het Westen konden niet begrijpen hoe iemand zoiets kon doen, onze vrijheid van meningsuiting zozeer beperken. Wij zouden dat nooit doen in onze eigen landen.
But today, in 2011, if you go and buy a color laser printer from any major laser printer manufacturer and print a page, that page will end up having slight yellow dots printed on every single page, in a pattern which makes the page unique to you and to your printer. This is happening to us today. And nobody seems to be making a fuss about it. And this is an example of the ways our own governments are using technology against us, the citizens. And this is one of the main three sources of online problems today.
Maar als je vandaag in 2011 een kleurenlaserprinter koopt van eender welke belangrijke fabrikant van laserprinters en een pagina afdrukt, dan worden er op elke pagina wat kleine gele stippen afgedrukt in een patroon waardoor die pagina uniek is voor jou en je printer. Dit gebeurt vandaag met ons. Niemand lijkt daar wakker van te liggen. Dit is een voorbeeld van de manier waarop onze eigen regeringen technologie gebruiken tegen hun eigen burgers. Dit is een van de belangrijkste drie bronnen van de huidige onlineproblemen.
If we look at what's really happening in the online world, we can group the attacks based on the attackers. We have three main groups. We have online criminals. Like here, we have Mr. Dmitry Golubov, from the city of Kiev in Ukraine. And the motives of online criminals are very easy to understand. These guys make money. They use online attacks to make lots of money -- and lots and lots of it. We actually have several cases of millionaires online, multimillionaires, who made money with their attacks. Here's Vladimir Tsastsin, from Tartu in Estonia. This is [Albert] Gonzalez. This is Stephen Watt. This is Bjorn Sundin. This is Matthew Anderson, Tariq Al-Daour and so on and so on.
Als we een kijkje nemen naar wat er echt gebeurt in de onlinewereld, kunnen we de aanvallen groeperen op basis van de aanvallers. We hebben drie hoofdgroepen. We hebben onlinecriminelen. Zoals deze meneer, Dimitry Golubov uit Kiev in Oekraïne. De motieven van onlinecriminelen zijn heel eenvoudig te begrijpen. Deze jongens verdienen geld. Zij maken gebruik van online-aanvallen om veel geld te verdienen, heel veel geld. We kennen diverse gevallen van onlinemiljonairs, multimiljonairs, die geld verdienden met hun aanvallen. Hier is Vladimir Tsastsin uit Tartu in Estland. Dit is Alfred Gonzalez. Dat is Stephen Watt. Dit is Bjorn Sundin. Dit is Matthew Anderson, Tariq Al-Daour enzovoort.
These guys make their fortunes online, but they make it through the illegal means of using things like banking Trojans to steal money from our bank accounts while we do online banking, or with keyloggers to collect our credit card information while we are doing online shopping from an infected computer. The US Secret Service, two months ago, froze the Swiss bank account of Mr. Sam Jain right here, and that bank account had 14.9 million US dollars in it when it was frozen. Mr. Jain himself is on the loose; nobody knows where he is. And I claim it's already today that it's more likely for any of us to become the victim of a crime online than here in the real world. And it's very obvious that this is only going to get worse. In the future, the majority of crime will be happening online.
Deze jongens maken hun fortuin online, maar ze maken het met illegale middelen zoals Trojaanse paarden om geld te stelen van onze bankrekeningen terwijl we online bankieren, of met keyloggers om onze kredietkaartinformatie te kopiëren terwijl we online winkelen vanaf een geïnfecteerde computer. De Inlichtingendienst van de VS bevroor twee maanden geleden de Zwitserse bankrekening van deze meneer, Sam Jain. Op die bankrekening stond 14,9 miljoen dollar toen ze werd bevroren. De heer Jain zelf is op de loop. Niemand weet waar hij is. Volgens mij heeft ieder van ons nu al meer kans om het slachtoffer te worden van een onlinemisdrijf dan van een in de echte wereld. Het is overduidelijk dat dit alleen maar erger zal worden. In de toekomst zullen de meeste misdaden online gebeuren.
The second major group of attackers that we are watching today are not motivated by money. They're motivated by something else -- motivated by protests, motivated by an opinion, motivated by the laughs. Groups like Anonymous have risen up over the last 12 months and have become a major player in the field of online attacks.
De tweede grote groep aanvallers van vandaag wordt niet gemotiveerd door geld. Ze zijn gemotiveerd door iets anders - door protesten, meningen en grappen. Groepen als Anonymous zijn de afgelopen 12 maanden ten tonele verschenen en uitgegroeid tot een belangrijke speler op het gebied van online-aanvallen.
So those are the three main attackers: criminals who do it for the money, hacktivists like Anonymous doing it for the protest, but then the last group are nation states -- governments doing the attacks. And then we look at cases like what happened in DigiNotar. This is a prime example of what happens when governments attack against their own citizens. DigiNotar is a certificate authority from the Netherlands -- or actually, it was. It was running into bankruptcy last fall, because they were hacked into. Somebody broke in and they hacked it thoroughly. And I asked last week, in a meeting with Dutch government representatives, I asked one of the leaders of the team whether he found plausible that people died because of the DigiNotar hack. And his answer was: yes.
Dat zijn de drie belangrijkste aanvallers: criminelen die het doen voor het geld, hacktivisten als Anonymous doen het voor het protest, maar dan is er de laatste groep, de natiestaten, regeringen die aanvallen uitvoeren. Dan zien we gevallen als DigiNotar. Dit is een goed voorbeeld van wat er gebeurt wanneer de overheid zijn eigen burgers aanvalt. DigiNotar is een Certifiëringsautoriteit (CA) uit Nederland - of eerder, was. Het draaide afgelopen najaar uit op een faillissement omdat ze gehackt werden. Iemand brak in en hackte ze door en door. Ik vroeg vorige week op een bijeenkomst met Nederlandse vertegenwoordigers van de overheid aan een van de leiders van het team of hij het aannemelijk vond dat er mensen stierven als gevolg van de DigiNotarhack. Zijn antwoord was ja.
So how do people die as the result of a hack like this? Well, DigiNotar is a CA. They sell certificates. What do you do with certificates? Well, you need a certificate if you have a website that has https, SSL encrypted services, services like Gmail. Now we all, or a big part of us, use Gmail or one of their competitors, but these services are especially popular in totalitarian states like Iran, where dissidents use foreign services like Gmail because they know they are more trustworthy than the local services and they are encrypted over SSL connections, so the local government can't snoop on their discussions. Except they can, if they hack into a foreign CA and issue rogue certificates. And this is exactly what happened with the case of DigiNotar.
Hoe konden mensen doodgaan door een hack als deze? DigiNotar is een C.A.. Ze verkopen certificaten. Wat doe je met certificaten? Je hebt een certificaat nodig als je een website met 'https' hebt, door SSL versleutelde diensten, diensten zoals Gmail. Nu hebben we allemaal, of toch een groot deel van ons, Gmail of een van zijn concurrenten gebruikt. Maar de diensten zijn vooral populair in totalitaire staten zoals Iran waar dissidenten gebruik maken van buitenlandse diensten, zoals Gmail omdat ze weten dat ze betrouwbaarder zijn dan de lokale diensten en gecodeerd zijn via SSL-verbindingen. Op die manier kan de lokale overheid hun discussies niet afluisteren. Behalve dan als ze kunnen inbreken in een buitenlandse C.A. en valse certificaten afleveren. Dit is precies wat er gebeurd is in het geval van DigiNotar.
What about Arab Spring and things that have been happening, for example, in Egypt? Well, in Egypt, the rioters looted the headquarters of the Egyptian secret police in April 2011, and when they were looting the building, they found lots of papers. Among those papers was this binder entitled, "FinFisher." And within that binder were notes from a company based in Germany, which had sold to the Egyptian government a set of tools for intercepting, at a very large scale, all the communication of the citizens of the country. They had sold this tool for 280,000 euros to the Egyptian government. The company headquarters are right here.
Hoe zit het met de Arabische lente en zaken die bijvoorbeeld in Egypte zijn gebeurd? In Egypte plunderden in april 2011 relschoppers het hoofdkwartier van de Egyptische geheime politie. Toen ze het gebouw plunderden, vonden ze heel veel papieren. Waaronder een map getiteld "FINFISHER". Daarin bevonden zich notities van een in Duitsland gevestigd bedrijf dat aan de Egyptische regering een set van tools had verkocht voor het onderscheppen - en wel op zeer grote schaal - van alle communicatie van de burgers van het land. Ze hadden dit instrument voor 280.000 euro aan de Egyptische regering verkocht. Hun hoofdkantoor is hier gevestigd.
So Western governments are providing totalitarian governments with tools to do this against their own citizens. But Western governments are doing it to themselves as well. For example, in Germany, just a couple of weeks ago, the so-called "State Trojan" was found, which was a Trojan used by German government officials to investigate their own citizens. If you are a suspect in a criminal case, well, it's pretty obvious, your phone will be tapped. But today, it goes beyond that. They will tap your Internet connection. They will even use tools like State Trojan to infect your computer with a Trojan, which enables them to watch all your communication, to listen to your online discussions, to collect your passwords.
Westerse regeringen voorzien totalitaire overheden van instrumenten om dit met hun eigen burgers te doen. Maar westerse regeringen doen het zelf ook. Bijvoorbeeld werd maar een paar weken geleden in Duitsland de zogenaamde Scuinst Trojan gevonden. Dat was een Trojaans paard waarmee Duitse overheidsambtenaren hun eigen burgers nagaan. Als je verdacht bent in een strafzaak, dan ligt het voor de hand dat je telefoon wordt afgetapt. Maar vandaag gaat het verder dan dat. Ze tappen je internetverbinding af. Ze maken zelfs gebruik van tools als Scuinst Trojan om je computer te infecteren met een Trojaans paard. Dat stelt hen in staat om al je communicatie te bekijken, te luisteren naar je onlinediscussies, je wachtwoorden te kopiëren.
Now, when we think deeper about things like these, the obvious response from people should be, "OK, well, that sounds bad, but that doesn't really affect me, because I'm a legal citizen. Why should I worry? Because I have nothing to hide." And this is an argument which doesn't make sense. Privacy is implied. Privacy is not up for discussion. This is not a question between privacy against security. It's a question of freedom against control. And while we might trust our governments right now, right here in 2011, any rights we give away will be given away for good. And do we trust, do we blindly trust, any future government, a government we might have 50 years from now? And these are the questions that we have to worry about for the next 50 years.
Als we hier wat dieper over nadenken, dan is de voor de hand liggende reactie van mensen: "Oké, dat klinkt niet goed, maar eigenlijk maakt het me niets uit, want ik hou me aan de wet. Waarom zou ik me zorgen maken? Ik heb niets te verbergen." Dat argument houdt geen steek. Privacy is impliciet. Privacy staat niet ter discussie. Dit gaat niet over privacy tegenover veiligheid. Het gaat over vrijheid tegenover controle. Terwijl we onze huidige regeringen misschien nu, in 2011, wel vertrouwen, zijn we elk recht waar we afstand van doen, voorgoed kwijt. En zullen we elke eventuele toekomstige regering blindelings gaan vertrouwen? Een regering van misschien 50 jaar na vandaag? Dit zijn de vragen waar we de komende 50 jaar mee moeten inzitten.