In the 1980s, in communist Eastern Germany, if you owned a typewriter, you had to register it with the government. You had to register a sample sheet of text out of the typewriter. And this was done so the government could track where the text was coming from. If they found a paper which had the wrong kind of thought, they could track down who created that thought. And we in the West couldn't understand how anybody would do this, how much this would restrict freedom of speech. We would never do that in our own countries.
Vào thập kỷ 80 tại Đông Đức cũ nếu bạn sở hữu một chiếc máy đánh chữ bạn sẽ phải đăng ký nó với chính quyền Không những vậy, bạn còn phải đăng ký một bản tài liệu mẫu được xuất ra từ chiếc máy đánh chữ đó. Mục đích của việc này là để chính quyền có thể biết được nguồn gốc của những tài liệu đó Nếu chính quyền phát hiện ra những tài liệu mang những tư tưởng không đúng đắn họ có thể truy ra ai là chủ nhân của những "tư tưởng lệch lạc" này. Và chúng ta, ở phương Tây không thể hiểu tại sao những điều đó lại có thể là sự thật khi những phương thức đó là kẻ thù của tự do ngôn luận. Chúng ta sẽ không bao giờ làm như vậy tại chính những quốc gia của mình.
But today, in 2011, if you go and buy a color laser printer from any major laser printer manufacturer and print a page, that page will end up having slight yellow dots printed on every single page, in a pattern which makes the page unique to you and to your printer. This is happening to us today. And nobody seems to be making a fuss about it. And this is an example of the ways our own governments are using technology against us, the citizens. And this is one of the main three sources of online problems today.
Nhưng ngày hôm nay, tại chính thời khắc năm 2011 này nếu bạn có mua một chiếc máy in laser màu từ bất kỳ nhà sản xuất máy in có tên tuổi nào và nếu bạn có thử in ra một trang giấy kết quả là trang giấy đó sẽ có những chấm nhỏ màu vàng nhạt được đánh dấu trên tất cả các tài liệu bạn in ra theo một kiểu ký hiệu nào đó, để từ trang giấy này có thể truy ngược lại nguồn gốc là từ bạn và chiếc máy in của bạn. Điều này đang diễn ra với chúng ta ngày hôm nay. Và có vẻ như không ai định "làm ầm lên" về chuyện này. Đây chính là một ví dụ về cách mà chính phủ của chúng ta đang sử dụng công nghệ để chống lại chúng ta, những công dân của đất nước. Và đây cũng chính là một trong ba nguồn gốc chính cho những vấn đề trên mạng hiện nay.
If we look at what's really happening in the online world, we can group the attacks based on the attackers. We have three main groups. We have online criminals. Like here, we have Mr. Dmitry Golubov, from the city of Kiev in Ukraine. And the motives of online criminals are very easy to understand. These guys make money. They use online attacks to make lots of money -- and lots and lots of it. We actually have several cases of millionaires online, multimillionaires, who made money with their attacks. Here's Vladimir Tsastsin, from Tartu in Estonia. This is [Albert] Gonzalez. This is Stephen Watt. This is Bjorn Sundin. This is Matthew Anderson, Tariq Al-Daour and so on and so on.
Nhìn lại những gì đang thật sự diễn ra trong thế giới mạng, chúng ta có thể phân loại các hoạt động tấn công mạng dựa trên những kẻ tấn công Có ba nguồn tấn công chính. Từ những tội phạm mạng Như ở đây, chúng ta có Dimitry Golubov đến từ thành phố Kiev, Ukraine Và động lực của loại tội phạm mạng này rất đơn giản và dễ hiểu. Kiếm tiền ! Họ sử dụng các hoạt động tấn công trực tuyến để kiếm thật nhiều tiền, rất rất nhiều tiền. Một số ví dụ điển hình về những triệu phú đến từ thế giới mạng những người kiếm được bộn tiền từ hoạt động tấn công mạng. Đây là Vladimir Tsastsin đến từ Tartu, Estonia Alfred Gonzalez. Stephen Watt. Bjorn Sundin. Matthew Anderson, Tariq Al-Daour vân vân và vân vân.
These guys make their fortunes online, but they make it through the illegal means of using things like banking Trojans to steal money from our bank accounts while we do online banking, or with keyloggers to collect our credit card information while we are doing online shopping from an infected computer. The US Secret Service, two months ago, froze the Swiss bank account of Mr. Sam Jain right here, and that bank account had 14.9 million US dollars in it when it was frozen. Mr. Jain himself is on the loose; nobody knows where he is. And I claim it's already today that it's more likely for any of us to become the victim of a crime online than here in the real world. And it's very obvious that this is only going to get worse. In the future, the majority of crime will be happening online.
Họ tìm kiếm sự giàu có từ hoạt động trên mạng, thông qua các cách thức bất hợp pháp như việc sử dụng các trojans tấn công hệ thống ngân hàng để lấy cắp tiền từ tài khoản của chúng ta khi chúng ta thực hiện các giao dịch trực tuyến hoặc với các phần mềm ghi lại thao tác bàn phím giúp họ có được thông tin thẻ tín dụng khi chúng ta mua hàng trực tuyến từ những máy tính bị lây nhiễm. Cơ quan mật vụ Hoa Kỳ, 2 tháng trước đã đóng băng tài khoản ngân hàng Thụy Sỹ của Sam Jain, người trong ảnh với 14.9 triệu đô la trong tài khoản tại thời điểm bị đóng băng. Jain hiện đang lẩn trốn; và không ai biết anh ta đang ở đâu. Và tôi khẳng định rằng ngày nay nguy cơ mà chúng ta trở thành nạn nhân của tội phạm mạng còn lớn hơn nguy cơ trong thế giới thực này. Và một sự thật rõ ràng là những hiểm họa này đang ngày càng trở nên tồi tệ hơn. Trong tương lai không xa, phần lớn các vụ phạm pháp sẽ xảy ra ở trên thế giới mạng.
The second major group of attackers that we are watching today are not motivated by money. They're motivated by something else -- motivated by protests, motivated by an opinion, motivated by the laughs. Groups like Anonymous have risen up over the last 12 months and have become a major player in the field of online attacks.
Loại tấn công mạng thứ hai mà chúng ta thấy hiện nay không đến vì mục đích kiếm tiền. Họ được thúc đẩy vì những mục đích khác -- chống đối chính phủ, bất đồng chính kiến, và đôi khi cũng chỉ để vui đùa. Các nhóm như Anonymous đã nổi dậy trong 12 tháng qua và đã trở thành một lực lượng trọng yếu trong cuộc chơi tấn công mạng này.
So those are the three main attackers: criminals who do it for the money, hacktivists like Anonymous doing it for the protest, but then the last group are nation states -- governments doing the attacks. And then we look at cases like what happened in DigiNotar. This is a prime example of what happens when governments attack against their own citizens. DigiNotar is a certificate authority from the Netherlands -- or actually, it was. It was running into bankruptcy last fall, because they were hacked into. Somebody broke in and they hacked it thoroughly. And I asked last week, in a meeting with Dutch government representatives, I asked one of the leaders of the team whether he found plausible that people died because of the DigiNotar hack. And his answer was: yes.
Như vậy chúng ta có ba nhóm tấn công chính: những kẻ tội phạm với mục đích kiếm tiền bất chính những hackers như Anonymous hoạt động để phản kháng và cuối cùng chính là chính phủ của chúng ta, chính phủ đang tấn công chúng ta. Có rất nhiều trường hợp giống như những gì đã xảy ra tại DigiNotar. Đây là một ví dụ điển hình về những gì sẽ xảy ra khi chính phủ thực hiện tấn công chống lại người dân của chính họ. DigiNotar là một công ty cấp phép chứng thực đến từ Hà Lan -- hoặc ít nhất họ cũng đã từng là như vậy. Họ đã phải nộp đơn xin phá sản mùa thu năm ngoái vì hệ thống mạng của họ đã bị phá hủy. Ai đó đã xâm nhập vào hệ thống và phá hủy nó hoàn toàn. Vào tuần trước, trong một buổi gặp với đại diện chính phủ Hà Lan, Tôi có đặt câu hỏi cho một lãnh đạo của họ rằng liệu ông có thấy là hợp lý không nếu có ai đó phải chết vì việc DigiNotar bị tấn công. Và "CÓ" là câu trả lời của ông ta.
So how do people die as the result of a hack like this? Well, DigiNotar is a CA. They sell certificates. What do you do with certificates? Well, you need a certificate if you have a website that has https, SSL encrypted services, services like Gmail. Now we all, or a big part of us, use Gmail or one of their competitors, but these services are especially popular in totalitarian states like Iran, where dissidents use foreign services like Gmail because they know they are more trustworthy than the local services and they are encrypted over SSL connections, so the local government can't snoop on their discussions. Except they can, if they hack into a foreign CA and issue rogue certificates. And this is exactly what happened with the case of DigiNotar.
Làm thế nào mà việc tấn công này có thể khiến ai đó mất mạng được? DigiNotar là một công ty cung cấp dịch vụ chứng thực Họ bán các chứng chỉ bảo mật Bạn sẽ làm gì với những chứng chỉ đó? Thực tế thì bạn cần một chứng thực như vậy nếu bạn có một trang web sử dụng giao thức https với dịch vụ mã hóa SSL, là kiểu dịch vụ mà Gmail đang sử dụng. Tất cả chúng ta, hoặc ít nhất là phần lớn chúng ta đang sử dụng Gmail hoặc một ứng dụng email tương tự khác, và những dịch vụ này đặc biệt phổ biến tại các quốc gia chuyên chế như Iran, nơi mà các nhà bất đồng chính kiến sẽ sử dụng các dịch vụ từ nước ngoài như Gmail bởi họ biết rõ Gmail đáng tin cậy hơn các dịch vụ nội địa khác và nó còn được mã hóa bởi giao thức SSL do đó chính phủ không thể nghe lén được các thông tin mà họ trao đổi. Nhưng mọi thứ sẽ khác, nếu chính phủ có thể tấn công vào các đơn vị cung cấp chứng chỉ bảo mật và tạo ra các chứng chỉ giả mạo. Và đó chính xác là điều đã xảy ra với DigiNotar.
What about Arab Spring and things that have been happening, for example, in Egypt? Well, in Egypt, the rioters looted the headquarters of the Egyptian secret police in April 2011, and when they were looting the building, they found lots of papers. Among those papers was this binder entitled, "FinFisher." And within that binder were notes from a company based in Germany, which had sold to the Egyptian government a set of tools for intercepting, at a very large scale, all the communication of the citizens of the country. They had sold this tool for 280,000 euros to the Egyptian government. The company headquarters are right here.
Vậy còn chiến dịch Mùa xuân Ả Rập và những điều đã xảy ra tại Ai Cập thì sao? Tại Ai Cập, khi những kẻ nổi loạn chiếm đóng trụ sở của đơn vị cảnh sát mật Ai Cập vào tháng 04 năm 2011 họ đã phát hiện ra rất nhiều tài liệu mật. Trong đó, có tập tài liệu được đánh dấu "FINFISHER" Trong tài liệu này là những ghi chú từ một công ty có trụ sở ở Đức đã bán cho chính phủ Ai Cập rất nhiều công cụ kỹ thuật cao để có thể nghe lén trên một quy mô lớn tất cả những liên lạc và trao đổi của người dân. Họ đã bán những công cụ này cho chính phủ Ai Cập với giá 280,000 Euros. Đây chính là trụ sở chính của công ty đó.
So Western governments are providing totalitarian governments with tools to do this against their own citizens. But Western governments are doing it to themselves as well. For example, in Germany, just a couple of weeks ago, the so-called "State Trojan" was found, which was a Trojan used by German government officials to investigate their own citizens. If you are a suspect in a criminal case, well, it's pretty obvious, your phone will be tapped. But today, it goes beyond that. They will tap your Internet connection. They will even use tools like State Trojan to infect your computer with a Trojan, which enables them to watch all your communication, to listen to your online discussions, to collect your passwords.
Vậy là những chính phủ phương Tây đang cung cấp cho các chính phủ độc tài những công cụ để chống lại người dân của họ. Nhưng chính phủ phương Tây cũng thực hiện điều đó ngay tại quốc gia của mình Ví dụ như ở Đức, vài tuần trước đây người ta đã phát hiện ra Trojan Scuinst, là một loại trojan được nhân viên chính phủ Đức sử dụng để điều tra người dân của họ. Nếu bạn đang bị nghi ngờ có dính líu đến một tội ác nào đó, thì điều chắc chắn là điện thoại của bạn đang có "rệp". Nhưng mọi chuyện không chỉ dừng ở đó. Họ nghe lén đường truyền Internet của bạn. Họ thậm chí sẽ sử dụng những công cụ như Trojan Scuinst để lây nhiễm vào máy tính của bạn, và từ đó họ có thể có được mọi thông tin bạn trao đổi, có được mọi cuộc hội thoại qua mạng của bạn, và có được mật khẩu của bạn.
Now, when we think deeper about things like these, the obvious response from people should be, "OK, well, that sounds bad, but that doesn't really affect me, because I'm a legal citizen. Why should I worry? Because I have nothing to hide." And this is an argument which doesn't make sense. Privacy is implied. Privacy is not up for discussion. This is not a question between privacy against security. It's a question of freedom against control. And while we might trust our governments right now, right here in 2011, any rights we give away will be given away for good. And do we trust, do we blindly trust, any future government, a government we might have 50 years from now? And these are the questions that we have to worry about for the next 50 years.
Tuy nhiên sẽ có người khi xem xét vấn đề này sẽ phản ứng như sau "Ok, nghe tệ thật đấy, nhưng nó không ảnh hưởng gì đến tôi vì tôi là một công dân gương mẫu Vậy tại sao tôi phải lo lắng? Tôi hoàn toàn không có gì khuất tất phải che dấu. Nhưng lập luận này là không hợp lý. Quyền riêng tư phải được đảm bảo. Quyền riêng tư không cần phải tranh luận. Đây không phải là vấn đề giữa quyền riêng tư và an ninh của đất nước. Đây là một vấn đề giữa tự do và sự kiểm soát. Và trong khi chúng ta vẫn tin tưởng vào chính phủ ngay lúc này, ngay tại đây, vào năm 2011 này rằng mọi quyền lợi chúng ta mất đi đều là vì những thứ tốt đẹp hơn. Và liệu chúng ta có còn tin tưởng, một cách mù quáng vào bất kỳ chính phủ tương lai nào, một chính phủ mà chúng ta có thể có trong 50 năm tới? Đó chính là câu hỏi mà chúng ta sẽ phải lo lắng trong 50 năm tiếp theo.