In the 1980s, in communist Eastern Germany, if you owned a typewriter, you had to register it with the government. You had to register a sample sheet of text out of the typewriter. And this was done so the government could track where the text was coming from. If they found a paper which had the wrong kind of thought, they could track down who created that thought. And we in the West couldn't understand how anybody would do this, how much this would restrict freedom of speech. We would never do that in our own countries.
В 1980-е годы в коммунистической Восточной Германии если у вас была печатная машинка, нужно было зарегистрировать ее в правительстве. Зарегистрировать образец текста, напечатанный на ней. Это делалось для того, чтобы правительство могло выяснить, откуда той или иной текст. Если они находили документ, содержащий неподобающие мысли, то могли вычислить, кто их автор. Мы же на Западе не понимали, как такое возможно, так ограничивать свободу слова. Мы бы никогда так не поступили в своих странах.
But today, in 2011, if you go and buy a color laser printer from any major laser printer manufacturer and print a page, that page will end up having slight yellow dots printed on every single page, in a pattern which makes the page unique to you and to your printer. This is happening to us today. And nobody seems to be making a fuss about it. And this is an example of the ways our own governments are using technology against us, the citizens. And this is one of the main three sources of online problems today.
Но сейчас, в 2011 году если вы купите цветной лазерный принтер любого крупного производителя принтеров и распечатаете страничку, то увидите на ней еле заметные желтые точки, пропечатанные на каждой странице в комбинации, которая присуща только вашему принтеру. Это происходит с нами сейчас. И, похоже, никого не беспокоит. Это пример того, как наши собственные правительства используют технологии против нас, своих граждан. Это один из трех основных источников проблем в современном Интернете.
If we look at what's really happening in the online world, we can group the attacks based on the attackers. We have three main groups. We have online criminals. Like here, we have Mr. Dmitry Golubov, from the city of Kiev in Ukraine. And the motives of online criminals are very easy to understand. These guys make money. They use online attacks to make lots of money -- and lots and lots of it. We actually have several cases of millionaires online, multimillionaires, who made money with their attacks. Here's Vladimir Tsastsin, from Tartu in Estonia. This is [Albert] Gonzalez. This is Stephen Watt. This is Bjorn Sundin. This is Matthew Anderson, Tariq Al-Daour and so on and so on.
Если взглянуть, что же происходит сейчас в Сети, можно разделить атаки по типам взломщиков. Есть три основные группы. Киберпреступники. Вот, например, Дмитрий Голубов из Киева, Украина. Мотивы киберпреступников вполне понятны. Парни делают деньги. С помощью интернет-атак они делают уйму денег, просто невероятное количество. Мы встречали несколько случаев миллионеров, даже мультимиллионеров, которые сколотили состояние кибератаками. Вот Владимир Цасцин из Тарту, Эстония. Это Альфред Гонзалез. Это Стивен Уотт. Это Бьёрн Сундин. Это Мэтью Андерсон, Тарик Аль-Даур и т.д., и т.п.
These guys make their fortunes online, but they make it through the illegal means of using things like banking Trojans to steal money from our bank accounts while we do online banking, or with keyloggers to collect our credit card information while we are doing online shopping from an infected computer. The US Secret Service, two months ago, froze the Swiss bank account of Mr. Sam Jain right here, and that bank account had 14.9 million US dollars in it when it was frozen. Mr. Jain himself is on the loose; nobody knows where he is. And I claim it's already today that it's more likely for any of us to become the victim of a crime online than here in the real world. And it's very obvious that this is only going to get worse. In the future, the majority of crime will be happening online.
Эти ребята сколотили состояния онлайн, но сделали это незаконными методами, используя, например, банковские трояны, чтобы воровать деньги со счетов, когда мы пользуемся онлайн-банкингом, или кейлоггеры, чтобы собирать информацию о наших кредитках, пока мы закупаемся в интернет-магазине через зараженный компьютер. Спецслужбы США пару месяцев назад заморозили счет в швейцарском банке, принадлежащий вот этому г-ну Сэму Джейну, так вот на счету было 14,9 млн долл. США, когда он был заморожен. Сам г-н Джейн на свободе. Никто не знает, где он. И я могу с уверенностью сказать, что для каждого из нас сейчас вероятность стать жертвой преступления в Интернете выше, чем в реальном мире. И очевидно, что дальше будет еще хуже. В будущем подавляющая масса преступлений будет совершаться онлайн.
The second major group of attackers that we are watching today are not motivated by money. They're motivated by something else -- motivated by protests, motivated by an opinion, motivated by the laughs. Groups like Anonymous have risen up over the last 12 months and have become a major player in the field of online attacks.
Вторая крупная группа взломщиков, деятельность которой мы сегодня наблюдаем, хочет не денег. А кое-чего другого -- они хотят протест, они хотят мнение, они хотят посмеяться. Такие группировки, как Anonymous, оживились в последние 12 месяцев и стали ключевыми игроками на поле интернет-атак.
So those are the three main attackers: criminals who do it for the money, hacktivists like Anonymous doing it for the protest, but then the last group are nation states -- governments doing the attacks. And then we look at cases like what happened in DigiNotar. This is a prime example of what happens when governments attack against their own citizens. DigiNotar is a certificate authority from the Netherlands -- or actually, it was. It was running into bankruptcy last fall, because they were hacked into. Somebody broke in and they hacked it thoroughly. And I asked last week, in a meeting with Dutch government representatives, I asked one of the leaders of the team whether he found plausible that people died because of the DigiNotar hack. And his answer was: yes.
Так вот, три основных вида взломщиков: преступники, которые делают это ради денег, хактивисты, например группа Anonymous, цель которых -- протест, ну и последняя группа -- государства, правительства, инициирующие атаки. Рассмотрим такие случаи, как, например, с компанией DigiNotar. Это яркий пример, что происходит, когда правительство направляет атаку против собственных граждан. DigiNotar представляет собой центр сертификации из Нидерландов. То есть, представлял. Компания была объявлена банкротом прошлой осенью из-за атаки хакеров. Кто-то совершил взлом и сделал это очень тщательно. На прошлой неделе я задал вопрос на встрече с членами правительства Нидерландов одному из руководителей группы, возможно ли, по его мнению, что из-за взлома DigiNotar погибли люди. И он ответил утвердительно.
So how do people die as the result of a hack like this? Well, DigiNotar is a CA. They sell certificates. What do you do with certificates? Well, you need a certificate if you have a website that has https, SSL encrypted services, services like Gmail. Now we all, or a big part of us, use Gmail or one of their competitors, but these services are especially popular in totalitarian states like Iran, where dissidents use foreign services like Gmail because they know they are more trustworthy than the local services and they are encrypted over SSL connections, so the local government can't snoop on their discussions. Except they can, if they hack into a foreign CA and issue rogue certificates. And this is exactly what happened with the case of DigiNotar.
Как подобная атака может вызвать гибель людей? DigiNotar -- это центр сертификации. Он продает сертификаты. Для чего нужны сертификаты? Например, они нужны, если у вас есть сайт, на котором используются зашифрованные данные на базе https, SSL, например Gmail. Сейчас мы все или большинство из нас используем Gmail или какой-то из его конкурентов, но особенно популярны эти сервисы в тоталитарных государствах, таких как Иран, где оппозиция использует зарубежные сервисы, например Gmail, потому что знает, что они более благонадежны, чем местные, и используют шифрование на базе SSL, то есть местное правительство не может совать нос в их разговоры. Если только не взломает иностранный центр сертификации и не внедрит мошеннический сертификат. Именно это произошло в случае с DigiNotar.
What about Arab Spring and things that have been happening, for example, in Egypt? Well, in Egypt, the rioters looted the headquarters of the Egyptian secret police in April 2011, and when they were looting the building, they found lots of papers. Among those papers was this binder entitled, "FinFisher." And within that binder were notes from a company based in Germany, which had sold to the Egyptian government a set of tools for intercepting, at a very large scale, all the communication of the citizens of the country. They had sold this tool for 280,000 euros to the Egyptian government. The company headquarters are right here.
Что же касается «арабской весны» и событий, к примеру в Египте? В Египте протестанты захватили головной офис египетских спецслужб в апреле 2011 года, и в процессе разграбления нашли массу документов. Среди этих бумаг было соглашение под заголовком «FINFISHER». В этом соглашении были замечания от компании, находящейся в Германии, которая продала египетскому правительству набор инструментов, позволяющих вмешиваться, причем достаточно основательно, в любые процессы общения граждан страны. Они продали этот инструмент за 280 тысяч евро правительству Египта. Вот головной офис этой компании.
So Western governments are providing totalitarian governments with tools to do this against their own citizens. But Western governments are doing it to themselves as well. For example, in Germany, just a couple of weeks ago, the so-called "State Trojan" was found, which was a Trojan used by German government officials to investigate their own citizens. If you are a suspect in a criminal case, well, it's pretty obvious, your phone will be tapped. But today, it goes beyond that. They will tap your Internet connection. They will even use tools like State Trojan to infect your computer with a Trojan, which enables them to watch all your communication, to listen to your online discussions, to collect your passwords.
Таким образом, правительства Запада предоставляют тоталитарным правительствам инструменты, позволяющие вмешиваться в жизнь их граждан. Но правительства Запада и сами это делают. Например, в Германии всего пару недель назад был найдет так называемый троян Scuinst, который использовался членами правительства Германии для слежки за собственными гражданами. Если вас подозревают в криминале, вполне очевидно, что на вашем телефоне прослушка. Но сейчас этим дело не ограничивается. Перехватывается информация, которую вы передаете через Интернет. Они даже используют методы, подобные запуску трояна Scuinst, чтобы заразить ваш компьютер, что позволит им отслеживать всё ваше общение, прослушивать онлайн-разговоры, собирать ваши пароли.
Now, when we think deeper about things like these, the obvious response from people should be, "OK, well, that sounds bad, but that doesn't really affect me, because I'm a legal citizen. Why should I worry? Because I have nothing to hide." And this is an argument which doesn't make sense. Privacy is implied. Privacy is not up for discussion. This is not a question between privacy against security. It's a question of freedom against control. And while we might trust our governments right now, right here in 2011, any rights we give away will be given away for good. And do we trust, do we blindly trust, any future government, a government we might have 50 years from now? And these are the questions that we have to worry about for the next 50 years.
Если задуматься о подобных вещах, первой мыслью будет: «Да, звучит не очень, но как это может мне повредить, я законопослушный гражданин. Чего мне беспокоиться? Ведь мне нечего скрывать». Но этот аргумент -- это ерунда. Частная жизнь неприкосновенна. Это не должно обсуждаться. Это не конфликт частной жизни и безопасности. Это конфликт свободы и контроля. Пусть сейчас мы доверяем своему правительству здесь и сейчас, в 2011 году, любое право, которым мы поступаемся, мы теряем навсегда. Доверяем ли мы слепо любому будущему правительству, которое может прийти к власти через 50 лет? Вот чем нам необходимо обеспокоиться на ближайшие 50 лет.