TEDxBrussels
Mikko Hypponen: Three types of online attack
Mikko Hypponen: Drie types van online-aanvallen
Filmed:
Readability: 4.1
1,057,532 views
Expert in cybermisdaad Mikko Hypponen praat met ons over drie soorten online-aanvallen op onze privacy en gegevensbescherming - en slechts twee ervan worden beschouwd als misdrijven. "Hebben we blindelings vertrouwen in elke toekomstige regering? Omdat we elk recht waar we afstand van doen, voorgoed kwijt zijn."
Mikko Hypponen - Cybersecurity expert
As computer access expands, Mikko Hypponen asks: What's the next killer virus, and will the world be able to cope with it? And also: How can we protect digital privacy in the age of government surveillance? Full bio
As computer access expands, Mikko Hypponen asks: What's the next killer virus, and will the world be able to cope with it? And also: How can we protect digital privacy in the age of government surveillance? Full bio
Double-click the English transcript below to play the video.
00:20
In the 1980s
0
5000
3000
Als je in de jaren 80
00:23
in the communist Eastern Germany,
1
8000
3000
in het communistische Oost-Duitsland
00:26
if you owned a typewriter,
2
11000
4000
eigenaar was van een schrijfmachine
00:30
you had to register it with the government.
3
15000
2000
moest je ze laten registreren bij de overheid.
00:32
You had to register
4
17000
2000
Je moest
00:34
a sample sheet of text
5
19000
2000
een voorbeeldblad met tekst
00:36
out of the typewriter.
6
21000
2000
van je schrijfmachine laten registreren.
00:38
And this was done
7
23000
2000
Zodat de overheid altijd kon nagaan
00:40
so the government could track where text was coming from.
8
25000
3000
waar tekst vandaan kwam.
00:43
If they found a paper
9
28000
3000
Als ze er een vonden
00:46
which had the wrong kind of thought,
10
31000
3000
met de verkeerde soort van ideeën,
00:49
they could track down
11
34000
2000
konden ze opsporen
00:51
who created that thought.
12
36000
2000
van wie die kwamen.
00:53
And we in the West
13
38000
3000
Wij in het Westen
00:56
couldn't understand how anybody could do this,
14
41000
3000
konden niet begrijpen hoe iemand zoiets kon doen,
00:59
how much this would restrict freedom of speech.
15
44000
3000
onze vrijheid van meningsuiting zozeer beperken.
01:02
We would never do that
16
47000
2000
Wij zouden dat nooit doen
01:04
in our own countries.
17
49000
3000
in onze eigen landen.
01:07
But today in 2011,
18
52000
3000
Maar als je vandaag in 2011
01:10
if you go and buy a color laser printer
19
55000
4000
een kleurenlaserprinter koopt
01:14
from any major laser printer manufacturer
20
59000
3000
van eender welke belangrijke fabrikant van laserprinters
01:17
and print a page,
21
62000
2000
en een pagina afdrukt,
01:19
that page will end up
22
64000
2000
dan worden er op elke pagina
01:21
having slight yellow dots
23
66000
3000
wat kleine gele stippen
01:24
printed on every single page
24
69000
2000
afgedrukt
01:26
in a pattern which makes the page unique
25
71000
3000
in een patroon waardoor die pagina uniek is
01:29
to you and to your printer.
26
74000
4000
voor jou en je printer.
01:33
This is happening
27
78000
2000
Dit gebeurt
01:35
to us today.
28
80000
3000
vandaag met ons.
01:38
And nobody seems to be making a fuss about it.
29
83000
4000
Niemand lijkt daar wakker van te liggen.
01:42
And this is an example
30
87000
3000
Dit is een voorbeeld
01:45
of the ways
31
90000
2000
van de manier
01:47
that our own governments
32
92000
3000
waarop onze eigen regeringen
01:50
are using technology
33
95000
2000
technologie gebruiken
01:52
against us, the citizens.
34
97000
4000
tegen hun eigen burgers.
01:56
And this is one of the main three sources
35
101000
3000
Dit is een van de belangrijkste drie bronnen
01:59
of online problems today.
36
104000
2000
van de huidige onlineproblemen.
02:01
If we take a look at what's really happening in the online world,
37
106000
3000
Als we een kijkje nemen naar wat er echt gebeurt in de onlinewereld,
02:04
we can group the attacks based on the attackers.
38
109000
3000
kunnen we de aanvallen groeperen op basis van de aanvallers.
02:07
We have three main groups.
39
112000
2000
We hebben drie hoofdgroepen.
02:09
We have online criminals.
40
114000
2000
We hebben onlinecriminelen.
02:11
Like here, we have Mr. Dimitry Golubov
41
116000
2000
Zoals deze meneer, Dimitry Golubov
02:13
from the city of Kiev in Ukraine.
42
118000
2000
uit Kiev in Oekraïne.
02:15
And the motives of online criminals
43
120000
3000
De motieven van onlinecriminelen
02:18
are very easy to understand.
44
123000
2000
zijn heel eenvoudig te begrijpen.
02:20
These guys make money.
45
125000
2000
Deze jongens verdienen geld.
02:22
They use online attacks
46
127000
2000
Zij maken gebruik van online-aanvallen
02:24
to make lots of money,
47
129000
2000
om veel geld te verdienen,
02:26
and lots and lots of it.
48
131000
2000
heel veel geld.
02:28
We actually have several cases
49
133000
2000
We kennen diverse gevallen
02:30
of millionaires online, multimillionaires,
50
135000
3000
van onlinemiljonairs, multimiljonairs,
02:33
who made money with their attacks.
51
138000
2000
die geld verdienden met hun aanvallen.
02:35
Here's Vladimir Tsastsin form Tartu in Estonia.
52
140000
3000
Hier is Vladimir Tsastsin uit Tartu in Estland.
02:38
This is Alfred Gonzalez.
53
143000
2000
Dit is Alfred Gonzalez.
02:40
This is Stephen Watt.
54
145000
2000
Dat is Stephen Watt.
02:42
This is Bjorn Sundin.
55
147000
2000
Dit is Bjorn Sundin.
02:44
This is Matthew Anderson, Tariq Al-Daour
56
149000
3000
Dit is Matthew Anderson, Tariq Al-Daour
02:47
and so on and so on.
57
152000
2000
enzovoort.
02:49
These guys
58
154000
2000
Deze jongens
02:51
make their fortunes online,
59
156000
2000
maken hun fortuin online,
02:53
but they make it through the illegal means
60
158000
3000
maar ze maken het met illegale middelen
02:56
of using things like banking trojans
61
161000
2000
zoals Trojaanse paarden
02:58
to steal money from our bank accounts
62
163000
2000
om geld te stelen van onze bankrekeningen
03:00
while we do online banking,
63
165000
2000
terwijl we online bankieren,
03:02
or with keyloggers
64
167000
2000
of met keyloggers
03:04
to collect our credit card information
65
169000
3000
om onze kredietkaartinformatie te kopiëren
03:07
while we are doing online shopping from an infected computer.
66
172000
3000
terwijl we online winkelen vanaf een geïnfecteerde computer.
03:10
The U.S. Secret Service,
67
175000
2000
De Inlichtingendienst van de VS bevroor
03:12
two months ago,
68
177000
2000
twee maanden geleden
03:14
froze the Swiss bank account
69
179000
2000
de Zwitserse bankrekening
03:16
of Mr. Sam Jain right here,
70
181000
2000
van deze meneer, Sam Jain.
03:18
and that bank account had 14.9 million U.S. dollars on it
71
183000
3000
Op die bankrekening stond 14,9 miljoen dollar
03:21
when it was frozen.
72
186000
2000
toen ze werd bevroren.
03:23
Mr. Jain himself is on the loose;
73
188000
2000
De heer Jain zelf is op de loop.
03:25
nobody knows where he is.
74
190000
3000
Niemand weet waar hij is.
03:28
And I claim it's already today
75
193000
3000
Volgens mij heeft ieder van ons nu al
03:31
that it's more likely for any of us
76
196000
3000
meer kans om het slachtoffer
03:34
to become the victim of a crime online
77
199000
3000
te worden van een onlinemisdrijf
03:37
than here in the real world.
78
202000
3000
dan van een in de echte wereld.
03:40
And it's very obvious
79
205000
2000
Het is overduidelijk
03:42
that this is only going to get worse.
80
207000
2000
dat dit alleen maar erger zal worden.
03:44
In the future, the majority of crime
81
209000
2000
In de toekomst zullen
03:46
will be happening online.
82
211000
3000
de meeste misdaden online gebeuren.
03:50
The second major group of attackers
83
215000
2000
De tweede grote groep aanvallers
03:52
that we are watching today
84
217000
2000
van vandaag
03:54
are not motivated by money.
85
219000
2000
wordt niet gemotiveerd door geld.
03:56
They're motivated by something else --
86
221000
2000
Ze zijn gemotiveerd door iets anders -
03:58
motivated by protests,
87
223000
2000
door protesten,
04:00
motivated by an opinion,
88
225000
2000
meningen
04:02
motivated by the laughs.
89
227000
3000
en grappen.
04:05
Groups like Anonymous
90
230000
2000
Groepen als Anonymous
04:07
have risen up over the last 12 months
91
232000
3000
zijn de afgelopen 12 maanden ten tonele verschenen
04:10
and have become a major player
92
235000
2000
en uitgegroeid tot een belangrijke speler
04:12
in the field of online attacks.
93
237000
3000
op het gebied van online-aanvallen.
04:15
So those are the three main attackers:
94
240000
2000
Dat zijn de drie belangrijkste aanvallers:
04:17
criminals who do it for the money,
95
242000
2000
criminelen die het doen voor het geld,
04:19
hacktivists like Anonymous
96
244000
3000
hacktivisten als Anonymous
04:22
doing it for the protest,
97
247000
2000
doen het voor het protest,
04:24
but then the last group are nation states,
98
249000
3000
maar dan is er de laatste groep, de natiestaten,
04:27
governments doing the attacks.
99
252000
3000
regeringen die aanvallen uitvoeren.
04:31
And then we look at cases
100
256000
2000
Dan zien we gevallen
04:33
like what happened in DigiNotar.
101
258000
2000
als DigiNotar.
04:35
This is a prime example of what happens
102
260000
2000
Dit is een goed voorbeeld van wat er gebeurt
04:37
when governments attack
103
262000
2000
wanneer de overheid
04:39
against their own citizens.
104
264000
2000
zijn eigen burgers aanvalt.
04:41
DigiNotar is a Certificate Authority
105
266000
3000
DigiNotar is een Certifiëringsautoriteit (CA)
04:44
from The Netherlands --
106
269000
2000
uit Nederland -
04:46
or actually, it was.
107
271000
2000
of eerder, was.
04:48
It was running into bankruptcy
108
273000
2000
Het draaide afgelopen najaar
04:50
last fall
109
275000
3000
uit op een faillissement
04:53
because they were hacked into.
110
278000
2000
omdat ze gehackt werden.
04:55
Somebody broke in
111
280000
2000
Iemand brak in
04:57
and they hacked it thoroughly.
112
282000
3000
en hackte ze door en door.
05:00
And I asked last week
113
285000
2000
Ik vroeg vorige week
05:02
in a meeting with Dutch government representatives,
114
287000
4000
op een bijeenkomst met Nederlandse vertegenwoordigers van de overheid
05:06
I asked one of the leaders of the team
115
291000
5000
aan een van de leiders van het team
05:11
whether he found plausible
116
296000
3000
of hij het aannemelijk vond
05:14
that people died
117
299000
3000
dat er mensen stierven
05:17
because of the DigiNotar hack.
118
302000
3000
als gevolg van de DigiNotarhack.
05:20
And his answer was yes.
119
305000
5000
Zijn antwoord was ja.
05:25
So how do people die
120
310000
2000
Hoe konden mensen doodgaan
05:27
as the result of a hack like this?
121
312000
3000
door een hack als deze?
05:30
Well DigiNotar is a C.A.
122
315000
2000
DigiNotar is een C.A..
05:32
They sell certificates.
123
317000
2000
Ze verkopen certificaten.
05:34
What do you do with certificates?
124
319000
2000
Wat doe je met certificaten?
05:36
Well you need a certificate
125
321000
2000
Je hebt een certificaat nodig
05:38
if you have a website that has https,
126
323000
2000
als je een website met 'https' hebt,
05:40
SSL encrypted services,
127
325000
3000
door SSL versleutelde diensten,
05:43
services like Gmail.
128
328000
3000
diensten zoals Gmail.
05:46
Now we all, or a big part of us,
129
331000
2000
Nu hebben we allemaal, of toch een groot deel van ons,
05:48
use Gmail or one of their competitors,
130
333000
2000
Gmail of een van zijn concurrenten gebruikt.
05:50
but these services are especially popular
131
335000
2000
Maar de diensten zijn vooral populair
05:52
in totalitarian states
132
337000
2000
in totalitaire staten
05:54
like Iran,
133
339000
2000
zoals Iran
05:56
where dissidents
134
341000
2000
waar dissidenten
05:58
use foreign services like Gmail
135
343000
3000
gebruik maken van buitenlandse diensten, zoals Gmail
06:01
because they know they are more trustworthy than the local services
136
346000
3000
omdat ze weten dat ze betrouwbaarder zijn dan de lokale diensten
06:04
and they are encrypted over SSL connections,
137
349000
3000
en gecodeerd zijn via SSL-verbindingen.
06:07
so the local government can't snoop
138
352000
2000
Op die manier kan de lokale overheid
06:09
on their discussions.
139
354000
2000
hun discussies niet afluisteren.
06:11
Except they can if they hack into a foreign C.A.
140
356000
3000
Behalve dan als ze kunnen inbreken in een buitenlandse C.A.
06:14
and issue rogue certificates.
141
359000
2000
en valse certificaten afleveren.
06:16
And this is exactly what happened
142
361000
2000
Dit is precies wat er gebeurd is
06:18
with the case of DigiNotar.
143
363000
3000
in het geval van DigiNotar.
06:24
What about Arab Spring
144
369000
2000
Hoe zit het met de Arabische lente
06:26
and things that have been happening, for example, in Egypt?
145
371000
3000
en zaken die bijvoorbeeld in Egypte zijn gebeurd?
06:29
Well in Egypt,
146
374000
2000
In Egypte plunderden in april 2011
06:31
the rioters looted the headquarters
147
376000
2000
relschoppers het hoofdkwartier
06:33
of the Egyptian secret police
148
378000
2000
van de Egyptische
06:35
in April 2011,
149
380000
2000
geheime politie.
06:37
and when they were looting the building they found lots of papers.
150
382000
3000
Toen ze het gebouw plunderden, vonden ze heel veel papieren.
06:40
Among those papers,
151
385000
2000
Waaronder een map
06:42
was this binder entitled "FINFISHER."
152
387000
2000
getiteld "FINFISHER".
06:44
And within that binder were notes
153
389000
3000
Daarin bevonden zich notities
06:47
from a company based in Germany
154
392000
2000
van een in Duitsland gevestigd bedrijf
06:49
which had sold the Egyptian government
155
394000
3000
dat aan de Egyptische regering
06:52
a set of tools
156
397000
2000
een set van tools had verkocht
06:54
for intercepting --
157
399000
2000
voor het onderscheppen -
06:56
and in very large scale --
158
401000
2000
en wel op zeer grote schaal -
06:58
all the communication of the citizens of the country.
159
403000
2000
van alle communicatie van de burgers van het land.
07:00
They had sold this tool
160
405000
2000
Ze hadden dit instrument
07:02
for 280,000 Euros to the Egyptian government.
161
407000
3000
voor 280.000 euro aan de Egyptische regering verkocht.
07:05
The company headquarters are right here.
162
410000
3000
Hun hoofdkantoor is hier gevestigd.
07:08
So Western governments
163
413000
2000
Westerse regeringen
07:10
are providing totalitarian governments with tools
164
415000
3000
voorzien totalitaire overheden van instrumenten
07:13
to do this against their own citizens.
165
418000
3000
om dit met hun eigen burgers te doen.
07:16
But Western governments are doing it to themselves as well.
166
421000
3000
Maar westerse regeringen doen het zelf ook.
07:19
For example, in Germany,
167
424000
2000
Bijvoorbeeld werd
07:21
just a couple of weeks ago
168
426000
2000
maar een paar weken geleden in Duitsland
07:23
the so-called State Trojan was found,
169
428000
3000
de zogenaamde Scuinst Trojan gevonden.
07:26
which was a trojan
170
431000
2000
Dat was een Trojaans paard
07:28
used by German government officials
171
433000
2000
waarmee Duitse overheidsambtenaren
07:30
to investigate their own citizens.
172
435000
2000
hun eigen burgers nagaan.
07:32
If you are a suspect in a criminal case,
173
437000
4000
Als je verdacht bent in een strafzaak,
07:36
well it's pretty obvious, your phone will be tapped.
174
441000
2000
dan ligt het voor de hand dat je telefoon wordt afgetapt.
07:38
But today, it goes beyond that.
175
443000
2000
Maar vandaag gaat het verder dan dat.
07:40
They will tap your Internet connection.
176
445000
2000
Ze tappen je internetverbinding af.
07:42
They will even use tools like State Trojan
177
447000
3000
Ze maken zelfs gebruik van tools als Scuinst Trojan
07:45
to infect your computer with a trojan,
178
450000
3000
om je computer te infecteren met een Trojaans paard.
07:48
which enables them
179
453000
2000
Dat stelt hen in staat
07:50
to watch all your communication,
180
455000
2000
om al je communicatie te bekijken,
07:52
to listen to your online discussions,
181
457000
3000
te luisteren naar je onlinediscussies,
07:55
to collect your passwords.
182
460000
3000
je wachtwoorden te kopiëren.
08:01
Now when we think deeper
183
466000
2000
Als we hier wat dieper
08:03
about things like these,
184
468000
3000
over nadenken,
08:06
the obvious response from people should be
185
471000
5000
dan is de voor de hand liggende reactie van mensen:
08:11
that, "Okay, that sounds bad,
186
476000
3000
"Oké, dat klinkt niet goed,
08:14
but that doesn't really affect me because I'm a legal citizen.
187
479000
3000
maar eigenlijk maakt het me niets uit, want ik hou me aan de wet.
08:17
Why should I worry?
188
482000
2000
Waarom zou ik me zorgen maken?
08:19
Because I have nothing to hide."
189
484000
3000
Ik heb niets te verbergen."
08:22
And this is an argument,
190
487000
2000
Dat argument
08:24
which doesn't make sense.
191
489000
2000
houdt geen steek.
08:26
Privacy is implied.
192
491000
3000
Privacy is impliciet.
08:29
Privacy is not up for discussion.
193
494000
5000
Privacy staat niet ter discussie.
08:34
This is not a question
194
499000
2000
Dit gaat niet over
08:36
between privacy
195
501000
4000
privacy
08:40
against security.
196
505000
3000
tegenover veiligheid.
08:43
It's a question of freedom
197
508000
3000
Het gaat over vrijheid
08:46
against control.
198
511000
3000
tegenover controle.
08:49
And while we might trust our governments
199
514000
4000
Terwijl we onze huidige regeringen
08:53
right now, right here in 2011,
200
518000
3000
misschien nu, in 2011, wel vertrouwen,
08:56
any right we give away will be given away for good.
201
521000
3000
zijn we elk recht waar we afstand van doen, voorgoed kwijt.
08:59
And do we trust, do we blindly trust,
202
524000
3000
En zullen we elke eventuele toekomstige regering
09:02
any future government,
203
527000
2000
blindelings gaan vertrouwen?
09:04
a government we might have
204
529000
2000
Een regering van misschien
09:06
50 years from now?
205
531000
2000
50 jaar na vandaag?
09:10
And these are the questions
206
535000
3000
Dit zijn de vragen waar we de komende 50 jaar
09:13
that we have to worry about for the next 50 years.
207
538000
3000
mee moeten inzitten.
ABOUT THE SPEAKER
Mikko Hypponen - Cybersecurity expertAs computer access expands, Mikko Hypponen asks: What's the next killer virus, and will the world be able to cope with it? And also: How can we protect digital privacy in the age of government surveillance?
Why you should listen
The chief research officer at F-Secure Corporation in Finland, Mikko Hypponen has led his team through some of the largest computer virus outbreaks in history. His team took down the world-wide network used by the Sobig.F worm. He was the first to warn the world about the Sasser outbreak, and he has done classified briefings on the operation of the Stuxnet worm -- a hugely complex worm designed to sabotage Iranian nuclear enrichment facilities.
As a few hundred million more Internet users join the web from India and China and elsewhere, and as governments and corporations become more sophisticated at using viruses as weapons, Hypponen asks, what's next? Who will be at the front defending the world’s networks from malicious software? He says: "It's more than unsettling to realize there are large companies out there developing backdoors, exploits and trojans."
Even more unsettling: revelations this year that the United States' NSA is conducting widespread digital surveillance of both US citizens and anyone whose data passes through a US entity, and that it has actively sabotaged encryption algorithms. Hypponen has become one of the most outspoken critics of the agency's programs and asks us all: Why are we so willing to hand over digital privacy?
Read his open-season Q&A on Reddit:"My TED Talk was just posted. Ask me anything.
See the full documentary on the search for the Brain virus.
Mikko Hypponen | Speaker | TED.com