021-22889554
021-26703715
مشاوره آموزشی رایگان

021-22889554  |  021-26703715 مشاوره آموزشی رایگان

جرایم رایانه‌ای واقعا از کجا سرچشمه می‌گیرند؟

Caleb Barlow

Where is cybercrime really coming from?

Cybercrime netted a whopping $450 billion in profits last year, with 2 billion records lost or stolen worldwide. Security expert Caleb Barlow calls out the insufficiency of our current strategies to protect our data. His solution? We need to respond to cybercrime with the same collective effort as we apply to a health care crisis, sharing timely information on who is infected and how the disease is spreading. If we're not sharing, he says, then we're part of the problem.


تگ های مرتبط :

Crime, Data, Hack
جرایم رایانه‌ای واقعا از کنترل خارج شده‌اند. همه جا هستند. و روزی نیست از آنها چیزی نشنویم. امسال، بیش از دو میلیارد پرونده اطلاعاتی دزدیده شده است. و سال پیش، ۱۰۰ میلیون نفر از ما، بیشتر آمریکایی‌، اطلاعات بیمه‌های درمانشان دزدیده شده -- من هم جزوشان هستم. چیزی که مشخصا در این مورد بیشتر تامل بر‌انگیز است، این که اکثرا، ما‌ه‌ها طول می‌کشد تا کسی گزارش دهد که این پرونده‌ها دزدیده شده‌اند. پس اگر اخبار عصرگاهی را گوش می‌کنید، احتمالا فکر می‌کنید که بیشتر این‌ها جاسوسی یا فعالیت‌های حکومت‌های دیگر است. خوب، بعضی‌هایشان هست. جاسوسی، می‌دانید، از دید بین‌المللی پذیرفته شده است.
اما این در این مورد، تنها بخش کوچکی از مشکلی است که با آن مواجهیم. چقدر درباره نفوذ می شنویم که بعدا می‌گویند،« ... نتیجه حملات پیچیده یک حکومت خارجی بوده؟» خوب، اینها اغلب شرکت‌هایی هستند که تمایلی ندارند مسئولیت ضعف خود در کار‌های امنیتی شان را بعهده بگیرند. همچنین یک باور گسترده عمومی وجود دارد که دادن مسئولیت یک حمله(جاسوسی) به حکومتی خارجی، باعث دور شدن قانون گذار‌ها می‌شود -- حداقل برای مدتی. منشا این چیز‌ها کجاست؟ سازمان ملل برآورد می‌کند که ۸۰ درصد آن مربوط به باند‌های تبهکاری سازمان یافته و فوق پیچیده است.
تا کنون. این نشان دهنده یکی از بزرگترین فعالیت‌های اقتصادی غیر قانونی است. که تا سقف، توجه کنید، ۴۴۵ میلیارد دلار می‌رسد. بگذاربد تا این را برای همه شما روشنتر کنم: ۴۴۵ میلیارد دلار بزرگتر از تولید ناخالص ملی ۱۶۰ کشور است. شامل ایرلند، فنلاند، دانمارک و پرتغال ، برای مثال. چطور این اتفاق می‌افتد؟ این تبهکاران چگونه فعالیت می‌کنند؟ خوب، بگذاربد تا داستانی کوتاه برایتان بگویم. حدود یک سال پیش، پژوهشگران امنیتی ما بدنبال
یک بدافزار تقریبا معمولی ولی پیچیده به نام «دایر وولف» بودند. آلوده شدن رایانه با دایر وولف از راه کلیک کردن روی یک لینک ایمیل‌های جعلی ایجاد می‌شود که احتمالا نباید دریافت می‌کردید. پس از آلودگی، منتظر می‌ماند. منتظر می‌ماند تا وارد حساب بانکی خود شوید. و وقتی این کار را کردید، آدم بدها به آن وصل می‌شوند، و اطلاعات ورود شما را می‌دزدند، و از آن برای دزدیدن پولتان استفاده می‌کنند. وحشتناک است، اما در واقع، در صنایع امنیتی، این شیوه از تهاجم خیلی معمولی است. با این حال، دایر وولف دو شخصیت کاملا متفاوت داشت --
یکی برای معماملات مالی کوچک، اما شخصیت کاملا متفاوتی را هم پیدا کرد اگر کار شما حواله پول، در اندازه‌های بزرگ بود. اتفاقی که می‌افتاد این بود. شما عملیات صدور حواله بانکی را شروع می‌کردید، روی مرورگر شما پنجره‌ای از بانک باز می‌شد، که نشان می‌داد اشکالی در حسابتان ایجاد شده، و باید سریعا با بانک تماس بگیرید، شماره قسمت رسیدگی به جرایم بانکی‌هم اعلام شده بود. پس شما تلفن را بر می‌داشتید و زنگ می‌زدید. و بعد از آنکه از پیام‌های معمول صوتی عبور می‌کردید، به یک اپراتور انگلیسی زبان وصل می‌شدید. « سلام، بانک آلتورو میوتچال. می‌تونم کمکتون کنم؟»
و همان مراحلی که همیشه در تماس با بانک انجام می‌دادید تکرار می‌شد، دادن اسم و شماره حساب، بررسی‌های امنیتی تا مشخص شود همانی که می‌گویید هستید. خیلی از ما این را نمی‌دانیم، اما در بسیاری از حواله‌های بزرگ، دو نفر باید اجازه انجام حواله را بدهند، پس اپراتور از شما می‌خواست که گوشی را به نفر دوم بدهید، و همان مراحل ارزیابی انجام می‌شد. به نظر عادی می‌آید، نه؟ تنها یک مشکل: شما با بانک صحبت نمی‌کنید. شما با تبهکاران صحبت می‌کنید. آنها یک مرکز ارتباط انگلیسی زبان ساخته‌اند،
تا به شکلی کاذب روی سایت بانکی قرار گیرد. و کاملا بدون عیب کار می‌کرد و هر بار بین نیم میلیون تا یک و نیم میلیون دلار به حساب تبهکاران می‌ریخت. این سازمان‌های تبهکار همانند شرکت‌های بسیار سازمان یافته و قانونی کار می‌کنند. کارمندانشان دوشنبه تا جمعه سر کار می‌روند. آخر هفته‌ها را تعطیل می‌کنند. از کجا می‌دانیم؟ چون پژوهشگران امنیتی ما جمعه عصر‌ها جهشی تکراری از بدافزار‌ها می‌بینند. آدم بد‌ها، بعد ازیک آخر هفته طولانی با همسر و فرزندان، بر می‌گردند تا ببینند، اوضاع چقدر خوب است.
اینترنت تاریک، جایی است که بیشتر وقتشان را می‌گذرانند. این اصطلاحی در باره قسمتی از اینترنت است که مخفی و ناشناس است. جایی که دزدان بدون هویت و بدون شناسایی فعالیت می‌کند. جایی است که نرم افزار‌های حمله را می‌فروشند و روش‌های جدید تهاجم را به هم یاد می‌دهند. هر چیزی را می‌توانی آنجا بخری، از یک تهاجم ابتدایی تا روش‌هایی بسیار پیشرفته تر. در حقیقت، در خیلی از موارد، حتی می‌توانی خدمات طلایی، نقره‌ای و یا برنزی داشته باشی. می‌توانی سوابقشان را بررسی کنی، و حتی حمله‌هایی را بخری که تضمین برگشت پول هم داشته باشد --
( خنده حضار ) اگر موفقیت آمیز نبود. اکنون، این محیطها، این بازار‌ها -- مثل سایت آمازون یا ای‌ بی هستند. محصولات، قیمت‌ها، رتبه بندی‌ها و گزارشات را می‌بینی. البته، اگر بخواهی حمله‌ای را بخری، حتما آن را از یک تبهکار معروف با رتبه بندی خوب می‌خری، نه؟ ( خنده حضار ) اصلا تفاوتی با اینکه قبل از رفتن به یک رستوران جدید سایت یِلپ یا تریپ ادوایزر را بررسی کنی ندارد. برای مثال، این تصویر واقعی از صفحه یک فروشنده است که بدافزار می‌فروشد. توجه کنید که فروشنده رتبه چهار هستند،
رتبه اطمینانشان شش است. ۴۰۰ نظر مثبت در سال پیش داشته‌اند، و تنها دو نظر منفی در ماه قبل. حتی چیز‌هایی مثل مقررات اعطای مجوز می‌بینیم، این نمونه‌ای از یکی از سایت‌هایی است برای تغییر هویت به آن می‌روید. آنها به شما هویت جعلی می‌فروشند، پاسپورت‌های جعلی. اما به مقررات اِلزام آور قانونی برای خرید هویت جعلی توجه کنید. باورتان می شود. آنها چه کار خواهند کرد -- اگر خلاف(مقرراتشان) عمل کنید، از شما شکایت می‌کنند؟ ( خنده حضار) این چند ماه پیش اتفاق افتاد.
یکی از محققین امنیتی ما بدنبال یک بدافزار اندرویدی که پیدا کردیم بود. اسمش «بلال بات» بود. در پستی در یک بلاگ، بلال بات را به عنوان جایگزین ارزان و نسخه بتا (آزمایشی) برای «جی‌ام بات» که پیشرفته تر بود ارزیابی کرد در محل عمومی تبهکاران زیر زمینی. نویسندگان بلال بات خیلی از این گزارش خوششان نیامد. پس این ایمیل را برایش فرستادند، از (جاسوس افزارشان) دفاع کردند و عنوان کردند که احساس می‌کنند که او نسخه قدیمی و (بتای آن) را ارزیابی کرده است. و از او خواستند تا اطلاعات بلاگ را با دقت بیشتری تصحیح کند حتی پیشنهاد یک مصاحبه را دادند
تا جزئیات را برایش شرح بدهند که چطور نرم‌افزار تهاجمی‌ (نسخه جدید) آنها از رقیبشان خیلی بهتر است. پس ببینید، نیازی نیست که از کارشان خوشتان بیاید، اما باید برای ذات تجاری تلاش آنها احترام قائل شوید. ( خنده حضار ) چطور می‌شود جلوی اینها را گرفت؟ امکان ندارد که بشود مسئولینش را شناسایی کرد -- بیاد داشته باشید که، به شکلی ناشناس فعالیت می‌کنند دور از دسترس قانون. مطمئنا نمی‌توانیم مجرمین را محاکمه کنیم. پیشنهاد من راهکاری کاملا جدید است. و این راهکار بر مبنای این نظر است که
باید ساختار اقتصادی آدم‌های بد را عوض کنیم. و برای اینکه دیدگاهی به شما بدهم که چگونه است، بگذارید تا به شیوه پاسخ به یک بیماری واگیر توجه کنیم: سارز، ابولا، آنفولانزای مرغی زیکا. اولویت اول چیست؟ دانستن اینکه چه کسی مبتلاست و اینکه بیماری چطور پخش می‌شود. دولت‌ها، سازمان‌های خصوصی، بیمارستان‌ها، پزشکان -- همه بصورتی کاملا باز و سریع پاسخ می‌دهند. یک تلاش نوع دوستانه و جمعی برای متوقف کردن آن در مسیرش و اطلاع به همه انهایی که مبتلا نشده‌اند تا چطور از خود محافظت و خود را واکسینه کنند. متاسفانه، این چیزی که در پاسخ به حملات سایبری می‌بینیم نیست.
بیشتر مواقع سازمان‌ها اطلاعات این حملات را پیش خود نگه می‌دارند. چرا؟ چون از سو استفاده رقبا نگرانند، دعوی‌های حقوقی یا قوانین. باید به شکلی موثر گزارشات امنیتی این حملات را آزاد کنیم. باید همه این سازمان‌ها را وادار کنیم تا باز شوند و زرادخانه‌های طلاعاتی‌شان را به اشتراک گذارند. آدمهای بد سریع حرکت می‌کنند؛ ما هم باید سریع عمل کنیم. و بهترین راه انجامش باز بودن و به اشتراک گذاشتن اطلاعات اتفاقاتی است که می‌افتد. بگذارید این را مانند یک ساختار از متخصصین امنیت بدانیم.
بیاد داشته باشید که حفظ اسرار در ژن آنها برنامه ریزی شده است. باید بیاد داشته باشیم تا این تفکر را در اولویت قرار دهیم. باید دولت‌ها، سازمان‌های خصوصی و شرکت‌های امنیتی را وادار به اشتراک گذاشتن سریع اطلاعات کنیم. و دلیل آن: چون اگر این اطلاعات را به اشتراک گذارید، مثل واکسیناسیون است. و اگر نگذارید، به همان میزان خودتان هم بخشی از مشکل خواهید بود، چون احتمال مبتلا شدن دیگران را از طریق روش های همان تهاجم افزایش می‌دهید. ولی این کار حتی فایده بیشتری هم دارد.
با ازبین بردن ابزار جنایتکاران در همان زمان، ما نقشه‌هایشان را متوقف کردیم. به مردم خبر می‌دهیم که آنها مورد هدف برای آسیب هستند خیلی زودتر از وقتی که انتظارش را دارند. اعتبارشان را خراب می‌کنیم، رتبه بندی‌ها و نظرات (مثبتشان) را خرد می‌کنیم. مانع از پول گرفتنشان می‌شویم. اقتصاد آدم‌های بد را تغییر می‌دهیم. اما برای این کار، کسی باید قدم اول را بردارد -- کسی باید طرز فکر کلی صنعت امنیت را کلا تغییر دهد. حدود یک سال پیش، من و همکارانم، ایده‌ای انقلابی داشتیم. چه می‌شد اگر آی بی ام کسی بود که اطلاعات را دریافت می‌کرد --
یکی از بزرگترین پایگاه‌های داده اطلاعات تهدیدات را در جهان داشتیم -- و آن را آزادانه در اختیار بگذارد؟ اطلاعات آن نه تنها شامل تهدیدات گذشته بود، بلکه شامل اتفاقاتی که در زمان تقریبا واقعی هم انجام می‌شد بود. چه می‌شد اگر همه اینها را آزادانه روی اینترنت منتشر می‌کردیم؟ همانطور که می‌توانید تصور کنید، کلی عکس العمل ایجاد می‌کرد. اول از طرف وکلا: نتایج حقوقی این کار چیست؟ در مرحله بعد کسب و کار است: نتایج تجاری این کار چیست؟ البته حتما خیلی ها هم از ما می‌پرسیدند که آیا کاملا دیوانه شده‌اید. اما تنها یک موضوع در صحبت همچنان شناور باقی می‌ماند
هر بار که این مسئله را بازگو کنیم: درک اینکه اگر این کار را نکنیم، خودمان هم بخشی از مشکل خواهیم بود. پس کاری کردیم که در صنعت امنیت شنیده نشده است. شروع به انتشار کردیم. بیش از ۷۰۰ ترابایت از اطلاعات امنیتی قابل استفاده. شامل اطلاعات حملات در زمان واقعی که می‌تواند برای متوقف کردن جرایم سایبری و حملاتش استفاده شود. و امروز، بیش از ۴۰۰۰ سازمان این اطلاعات را مورد استفاده قرار می‌دهند. شامل نیمی از ۱۰۰ شرکت‌ برتر جهان. و امید ما در قدم بعد این است که تمام این سازمان‌ها را در این نبرد همراه خود کنیم،
و همین کار را انجام دهیم و اطلاعات را به اشتراک گذاریم از اینکه کی و چگونه به آنها حمله شده است. همه ما امکان متوقف کردن آن را داریم، و می‌دانیم که چگونه این کار را انجام دهیم. تنها کاری که باید انجام دهیم توجه به نتیجه‌ای است که در دنیای سلامت و بهداشت می‌بینیم. که آنها در مواجهه با یک بیماری واگیرچه می‌کنند. ساده بگویم، باید باز باشیم و همکاری کنیم. متشکرم. (
Cybercrime is out of control. It's everywhere. We hear about it every single day. This year, over two billion records lost or stolen. And last year, 100 million of us, mostly Americans, lost our health insurance data to thieves -- myself included. What's particularly concerning about this is that in most cases, it was months before anyone even reported that these records were stolen. So if you watch the evening news, you would think that most of this is espionage or nation-state activity. And, well, some of it is. Espionage, you see, is an accepted international practice.
But in this case, it is only a small portion of the problem that we're dealing with. How often do we hear about a breach followed by, "... it was the result of a sophisticated nation-state attack?" Well, often that is companies not being willing to own up to their own lackluster security practices. There is also a widely held belief that by blaming an attack on a nation-state, you are putting regulators at bay -- at least for a period of time. So where is all of this coming from? The United Nations estimates that 80 percent of it
is from highly organized and ultrasophisticated criminal gangs. To date, this represents one of the largest illegal economies in the world, topping out at, now get this, 445 billion dollars. Let me put that in perspective for all of you: 445 billion dollars is larger than the GDP of 160 nations, including Ireland, Finland, Denmark and Portugal, to name a few. So how does this work? How do these criminals operate? Well, let me tell you a little story.
About a year ago, our security researchers were tracking a somewhat ordinary but sophisticated banking Trojan called the Dyre Wolf. The Dyre Wolf would get on your computer via you clicking on a link in a phishing email that you probably shouldn't have. It would then sit and wait. It would wait until you logged into your bank account. And when you did, the bad guys would reach in, steal your credentials, and then use that to steal your money. This sounds terrible, but the reality is, in the security industry,
this form of attack is somewhat commonplace. However, the Dyre Wolf had two distinctly different personalities -- one for these small transactions, but it took on an entirely different persona if you were in the business of moving large-scale wire transfers. Here's what would happen. You start the process of issuing a wire transfer, and up in your browser would pop a screen from your bank, indicating that there's a problem with your account, and that you need to call the bank immediately, along with the number to the bank's fraud department. So you pick up the phone and you call.
And after going through the normal voice prompts, you're met with an English-speaking operator. "Hello, Altoro Mutual Bank. How can I help you?" And you go through the process like you do every time you call your bank, of giving them your name and your account number, going through the security checks to verify you are who you said you are. Most of us may not know this, but in many large-scale wire transfers, it requires two people to sign off on the wire transfer, so the operator then asks you to get the second person on the line, and goes through the same set of verifications and checks.
Sounds normal, right? Only one problem: you're not talking to the bank. You're talking to the criminals. They had built an English-speaking help desk, fake overlays to the banking website. And this was so flawlessly executed that they were moving between a half a million and a million and a half dollars per attempt into their criminal coffers. These criminal organizations operate like highly regimented, legitimate businesses. Their employees work Monday through Friday.
They take the weekends off. How do we know this? We know this because our security researchers see repeated spikes of malware on a Friday afternoon. The bad guys, after a long weekend with the wife and kids, come back in to see how well things went. The Dark Web is where they spend their time. That is a term used to describe the anonymous underbelly of the internet, where thieves can operate with anonymity and without detection. Here they peddle their attack software and share information on new attack techniques.
You can buy everything there, from a base-level attack to a much more advanced version. In fact, in many cases, you even see gold, silver and bronze levels of service. You can check references. You can even buy attacks that come with a money-back guarantee -- (Laughter) if you're not successful. Now, these environments, these marketplaces -- they look like an Amazon or an eBay. You see products, prices, ratings and reviews. Of course, if you're going to buy an attack,
you're going to buy from a reputable criminal with good ratings, right? (Laughter) This isn't any different than checking on Yelp or TripAdvisor before going to a new restaurant. So, here is an example. This is an actual screenshot of a vendor selling malware. Notice they're a vendor level four, they have a trust level of six. They've had 400 positive reviews in the last year, and only two negative reviews in the last month. We even see things like licensing terms. Here's an example of a site you can go to if you want to change your identity.
They will sell you a fake ID, fake passports. But note the legally binding terms for purchasing your fake ID. Give me a break. What are they going to do -- sue you if you violate them? (Laughter) This occurred a couple of months ago. One of our security researchers was looking at a new Android malware application that we had discovered. It was called Bilal Bot. In a blog post, she positioned Bilal Bot as a new, inexpensive and beta alternative to the much more advanced GM Bot
that was commonplace in the criminal underground. This review did not sit well with the authors of Bilal Bot. So they wrote her this very email, pleading their case and making the argument that they felt she had evaluated an older version. They asked her to please update her blog with more accurate information and even offered to do an interview to describe to her in detail how their attack software was now far better than the competition. So look, you don't have to like what they do, but you do have to respect the entrepreneurial nature
of their endeavors. (Laughter) So how are we going to stop this? It's not like we're going to be able to identify who's responsible -- remember, they operate with anonymity and outside the reach of the law. We're certainly not going to be able to prosecute the offenders. I would propose that we need a completely new approach. And that approach needs to be centered on the idea that we need to change the economics for the bad guys. And to give you a perspective on how this can work, let's think of the response we see to a healthcare pandemic:
SARS, Ebola, bird flu, Zika. What is the top priority? It's knowing who is infected and how the disease is spreading. Now, governments, private institutions, hospitals, physicians -- everyone responds openly and quickly. This is a collective and altruistic effort to stop the spread in its tracks and to inform anyone not infected how to protect or inoculate themselves. Unfortunately, this is not at all what we see in response to a cyber attack. Organizations are far more likely to keep information on that attack to themselves.
Why? Because they're worried about competitive advantage, litigation or regulation. We need to effectively democratize threat intelligence data. We need to get all of these organizations to open up and share what is in their private arsenal of information. The bad guys are moving fast; we've got to move faster. And the best way to do that is to open up and share data on what's happening. Let's think about this in the construct of security professionals. Remember, they're programmed right into their DNA to keep secrets.
We've got to turn that thinking on its head. We've got to get governments, private institutions and security companies willing to share information at speed. And here's why: because if you share the information, it's equivalent to inoculation. And if you're not sharing, you're actually part of the problem, because you're increasing the odds that other people could be impacted by the same attack techniques. But there's an even bigger benefit. By destroying criminals' devices closer to real time,
we break their plans. We inform the people they aim to hurt far sooner than they had ever anticipated. We ruin their reputations, we crush their ratings and reviews. We make cybercrime not pay. We change the economics for the bad guys. But to do this, a first mover was required -- someone to change the thinking in the security industry overall. About a year ago, my colleagues and I had a radical idea. What if IBM were to take our data -- we had one of the largest threat intelligence databases in the world --
and open it up? It had information not just on what had happened in the past, but what was happening in near-real time. What if we were to publish it all openly on the internet? As you can imagine, this got quite a reaction. First came the lawyers: What are the legal implications of doing that? Then came the business: What are the business implications of doing that? And this was also met with a good dose of a lot of people just asking if we were completely crazy. But there was one conversation that kept floating to the surface
in every dialogue that we would have: the realization that if we didn't do this, then we were part of the problem. So we did something unheard of in the security industry. We started publishing. Over 700 terabytes of actionable threat intelligence data, including information on real-time attacks that can be used to stop cybercrime in its tracks. And to date, over 4,000 organizations are leveraging this data, including half of the Fortune 100. And our hope as a next step is to get all of those organizations to join us in the fight,
and do the same thing and share their information on when and how they're being attacked as well. We all have the opportunity to stop it, and we already all know how. All we have to do is look to the response that we see in the world of health care, and how they respond to a pandemic. Simply put, we need to be open and collaborative. Thank you. (Applause)