TEDxMidAtlantic
Avi Rubin: All your devices can be hacked
Eјви Рубин (Avi Rubin): Сви ваши уређаји могу да се хакују
Filmed:
Readability: 4.6
1,251,015 views
Да ли неко може да хакује ваш пејсмејкер? На ТEDxMidAtlantic, Ејви Рубин објашњава како хакери нападају аутомобиле, паметне телефоне и медицинске уређаје и упозорава нас на опасности новог света у коме све може да се хакује. (Снимљено наTEDxMidAtlantic)
Avi Rubin - Computer security expert
Avi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records. Full bio
Avi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records. Full bio
Double-click the English transcript below to play the video.
00:12
I'm a computer science professor,
0
588
3031
Ја сам професор информатике
00:15
and my area of expertise is
1
3619
2313
и моја специјалност је
00:17
computer and information security.
2
5932
2199
безбедност компјутера и информација.
00:20
When I was in graduate school,
3
8131
2320
Док сам био на постдипломским студијама,
00:22
I had the opportunity to overhear my grandmother
4
10451
2601
случајно сам чуо своју бабу
00:25
describing to one of her fellow senior citizens
5
13052
4134
како описује једној својој
старијој пријатељици
старијој пријатељици
00:29
what I did for a living.
6
17186
2369
оно чиме се ја бавим.
00:31
Apparently, I was in charge of making sure that
7
19555
3562
По њој, ја сам био задужен за то
00:35
no one stole the computers from the university. (Laughter)
8
23117
3900
да нико не украде компјутере
са универзитета. (Смех)
са универзитета. (Смех)
00:39
And, you know, that's a perfectly reasonable thing
9
27017
2744
То је било логично да помисли,
00:41
for her to think, because I told her I was working
10
29761
1920
јер сам јој рекао да сам задужен
00:43
in computer security,
11
31681
1507
за безбедност компјутера
00:45
and it was interesting to get her perspective.
12
33188
3597
и било је занимљиво чути њено виђење.
00:48
But that's not the most ridiculous thing I've ever heard
13
36785
2617
Али то није било најсмешније што сам чуо
00:51
anyone say about my work.
14
39402
2017
да неко каже за мој посао.
00:53
The most ridiculous thing I ever heard is,
15
41419
2284
Најсмешнија ствар коју сам чуо је
00:55
I was at a dinner party, and a woman heard
16
43703
3134
кад сам био на једној вечери,
jедна жена је чула
jедна жена је чула
00:58
that I work in computer security,
17
46837
1783
да радим на безбедности компјутера
01:00
and she asked me if -- she said her computer had been
18
48620
3517
и рекла ми је да је њен компјутер
01:04
infected by a virus, and she was very concerned that she
19
52137
3436
заражен вирусом, и забринула се
01:07
might get sick from it, that she could get this virus. (Laughter)
20
55573
3951
да се и она не зарази од тог вируса.
(Смех)
(Смех)
01:11
And I'm not a doctor, but I reassured her
21
59524
2943
Ја нисам доктор, али сам јој рекао
01:14
that it was very, very unlikely that this would happen,
22
62467
3144
да је врло мало вероватно
да ће се то десити,
да ће се то десити,
01:17
but if she felt more comfortable, she could be free to use
23
65611
2801
али ако жели, може да користи
рукавице од латекса док је за компјутером
01:20
latex gloves when she was on the computer,
24
68412
1848
01:22
and there would be no harm whatsoever in that.
25
70260
3392
и да то не може да штети.
01:25
I'm going to get back to this notion of being able to get
26
73652
2507
Вратићу се на ову могућност
01:28
a virus from your computer, in a serious way.
27
76159
3508
да се заиста заразите од свог компјутера.
01:31
What I'm going to talk to you about today
28
79667
1640
Данас ћу вам говорити
01:33
are some hacks, some real world cyberattacks that people
29
81307
4846
о неким стварним хакерским упадима
01:38
in my community, the academic research community,
30
86153
2554
које су извели људи у мојој
академској заједници
академској заједници
01:40
have performed, which I don't think
31
88707
2794
за које мислим
да већина људи не зна
01:43
most people know about,
32
91501
1208
01:44
and I think they're very interesting and scary,
33
92709
3028
и који су, ја мислим,
интересантни и застрашујући.
интересантни и застрашујући.
01:47
and this talk is kind of a greatest hits
34
95737
2441
Овај говор је нешто као "највећи хитови"
01:50
of the academic security community's hacks.
35
98178
2991
хаковања академске
компјутерске безбедности.
компјутерске безбедности.
Ниједан од ових радова није мој.
Све су радови
Све су радови
01:53
None of the work is my work. It's all work
36
101169
1987
01:55
that my colleagues have done, and I actually asked them
37
103156
2174
мојих колега, а ја сам их замолио
01:57
for their slides and incorporated them into this talk.
38
105330
2557
за слајдове и укључио их у овај говор.
01:59
So the first one I'm going to talk about
39
107887
1742
Први о којем ћу говорити су
02:01
are implanted medical devices.
40
109629
2674
медицински импланти у виду уређаја.
02:04
Now medical devices have come a long way technologically.
41
112303
3040
Медицински уређаји су технолошки
веома напредовали.
веома напредовали.
02:07
You can see in 1926 the first pacemaker was invented.
42
115343
3856
Можете видети да је први пејсмејкер
направљен 1926.
направљен 1926.
02:11
1960, the first internal pacemaker was implanted,
43
119199
3552
Године 1960, уграђен је
први унутрашњи пејсмејкер,
први унутрашњи пејсмејкер,
02:14
hopefully a little smaller than that one that you see there,
44
122751
2552
мало мањи од овог ког видите,
претпостављам,
претпостављам,
02:17
and the technology has continued to move forward.
45
125303
2968
и технологија је наставила да напредује.
02:20
In 2006, we hit an important milestone from the perspective
46
128271
4633
Година 2006. је била важна
прекретница што се тиче
прекретница што се тиче
02:24
of computer security.
47
132904
3167
компјутерске безбедности.
02:28
And why do I say that?
48
136071
1341
Зашто то кажем?
02:29
Because that's when implanted devices inside of people
49
137412
2890
Зато што су тада уређаји
који се уграђују људима
који се уграђују људима
02:32
started to have networking capabilities.
50
140302
2745
добили способност умрежавања.
02:35
One thing that brings us close to home is we look
51
143047
1880
Ево једног који нам је лично важан.
02:36
at Dick Cheney's device, he had a device that
52
144927
2705
Погледајмо уређај Дика Чејнија.
Он је имао уређај
Он је имао уређај
02:39
pumped blood from an aorta to another part of the heart,
53
147632
3869
који је пумпао крв из аорте
у други део срца
у други део срца
и као што можете да видите на дну,
02:43
and as you can see at the bottom there,
54
151501
1183
02:44
it was controlled by a computer controller,
55
152684
3009
контролисао га је компјутер,
02:47
and if you ever thought that software liability
56
155693
2517
и ако сте икада мислили да
безбедност компјутера није важна,
безбедност компјутера није важна,
02:50
was very important, get one of these inside of you.
57
158210
3589
уградите себи овако нешто.
02:53
Now what a research team did was they got their hands
58
161799
3695
Истраживачки тим је дошао до нечега
02:57
on what's called an ICD.
59
165494
1420
што се зове ИЦД.
02:58
This is a defibrillator, and this is a device
60
166914
2070
Ово је дефибрилатор, уређај који
03:00
that goes into a person to control their heart rhythm,
61
168984
4336
се уграђује људима да би
контролисао њихов срчани ритам
контролисао њихов срчани ритам
03:05
and these have saved many lives.
62
173320
2338
и ови уређаји су спасили многе животе.
03:07
Well, in order to not have to open up the person
63
175658
2472
Да не бисте отварали некога
03:10
every time you want to reprogram their device
64
178130
2194
сваки пут кад желите да
репрограмирате његов уређај
репрограмирате његов уређај
03:12
or do some diagnostics on it, they made the thing be able
65
180324
2455
или да урадите неку дијагностику,
направили су га тако да може
направили су га тако да може
03:14
to communicate wirelessly, and what this research team did
66
182779
3102
да комуницира бежичним путем,
и истраживачки тим је применио
и истраживачки тим је применио
03:17
is they reverse engineered the wireless protocol,
67
185881
2610
обрнути инжењеринг на бежичном протоколу
03:20
and they built the device you see pictured here,
68
188491
1872
и конструисао уређај који видите овде
03:22
with a little antenna, that could talk the protocol
69
190363
2760
са малом антеном, који може
да саопшти протокол уређају
да саопшти протокол уређају
03:25
to the device, and thus control it.
70
193123
4475
и тиме га контролише.
03:29
In order to make their experience real -- they were unable
71
197598
2689
Да би спровели ово у реалности -
нису могли
нису могли
03:32
to find any volunteers, and so they went
72
200287
2472
да нађу добровољце, и отишли су
03:34
and they got some ground beef and some bacon
73
202759
2144
и узели мало млeвеног меса и сланине
03:36
and they wrapped it all up to about the size
74
204903
1788
величине оног дела човечијег тела
03:38
of a human being's area where the device would go,
75
206691
2798
где би уређај ишао
03:41
and they stuck the device inside it
76
209489
1454
и ставили уређај унутра
03:42
to perform their experiment somewhat realistically.
77
210943
3132
како би извели донекле
реалистичан експеримент.
реалистичан експеримент.
03:46
They launched many, many successful attacks.
78
214075
3020
Извели су много успешних напада.
03:49
One that I'll highlight here is changing the patient's name.
79
217095
3056
Један који ћу истаћи је
промена имена пацијента.
промена имена пацијента.
03:52
I don't know why you would want to do that,
80
220151
993
Не знам зашто би неко то урадио,
03:53
but I sure wouldn't want that done to me.
81
221144
2104
али знам да не бих волео да то ураде мени.
03:55
And they were able to change therapies,
82
223248
2331
И успели су да промене терапије,
03:57
including disabling the device -- and this is with a real,
83
225579
2495
укључујући и онеспособљавање уређаја,
04:00
commercial, off-the-shelf device --
84
228074
1896
и то правог, доступног уређаја,
04:01
simply by performing reverse engineering and sending
85
229970
2046
једноставно помоћу обрнутог инжењеринга
04:04
wireless signals to it.
86
232016
2989
и слања бежичних сигнала.
04:07
There was a piece on NPR that some of these ICDs
87
235005
3580
Била је прича на НПР радију
да се неким од ових ИЦД-ова
да се неким од ових ИЦД-ова
04:10
could actually have their performance disrupted
88
238585
2422
може пореметити рад
04:13
simply by holding a pair of headphones onto them.
89
241007
3651
ако се прислоне слушалице на њих.
04:16
Now, wireless and the Internet
90
244658
1409
Бежична технологија и интернет
04:18
can improve health care greatly.
91
246067
1652
могу знатно побољшати здравствену негу.
04:19
There's several examples up on the screen
92
247719
2087
На екрану је неколико примера
04:21
of situations where doctors are looking to implant devices
93
249806
3107
ситуација у којима доктори
обично уграђују уређаје људима
обично уграђују уређаје људима
04:24
inside of people, and all of these devices now,
94
252913
2865
и сви ови уређаји данас
04:27
it's standard that they communicate wirelessly,
95
255778
3125
стандардно имају бежичну комуникацију
04:30
and I think this is great,
96
258903
1412
и мислим да је то сјајно,
04:32
but without a full understanding of trustworthy computing,
97
260315
3105
али без пуног разумевања
поузданог рачунарства
поузданог рачунарства
04:35
and without understanding what attackers can do
98
263420
2407
и онога шта нападачи могу да ураде
04:37
and the security risks from the beginning,
99
265827
2147
и безбедносних ризика од почетка
04:39
there's a lot of danger in this.
100
267974
2390
врло је опасно.
04:42
Okay, let me shift gears and show you another target.
101
270364
1477
Да променим брзину и да вам
покажем још једну мету.
покажем још једну мету.
04:43
I'm going to show you a few different targets like this,
102
271841
2088
Показаћу вам неколико различитих
мета као што су ове.
мета као што су ове.
04:45
and that's my talk. So we'll look at automobiles.
103
273929
2917
Бавићемо се аутомобилима.
04:48
This is a car, and it has a lot of components,
104
276846
2896
Ово је аутомобил. Он има много делова,
04:51
a lot of electronics in it today.
105
279742
1620
много електронике у себи.
04:53
In fact, it's got many, many different computers inside of it,
106
281362
4377
У ствари, има много
различитих компјутера у себи,
различитих компјутера у себи,
04:57
more Pentiums than my lab did when I was in college,
107
285739
3155
више Пентијума него
моја школска лабораторија
моја школска лабораторија
05:00
and they're connected by a wired network.
108
288894
3639
и они су повезани у мрежу жицама.
05:04
There's also a wireless network in the car,
109
292533
3431
Постоји и бежична мрежа у колима
05:07
which can be reached from many different ways.
110
295964
3233
на коју се може повезати на више начина.
05:11
So there's Bluetooth, there's the FM and XM radio,
111
299197
3701
Ту су: блутут, ФМ и ХM радио,
05:14
there's actually wi-fi, there's sensors in the wheels
112
302898
2820
вај-фај, сензори у точковима
05:17
that wirelessly communicate the tire pressure
113
305718
2153
који бежично преносе притисак у гумама
05:19
to a controller on board.
114
307871
1806
на контролну таблу.
05:21
The modern car is a sophisticated multi-computer device.
115
309677
4918
Модерни аутомобил је софистицирани
мултикомпјутерски уређај.
мултикомпјутерски уређај.
05:26
And what happens if somebody wanted to attack this?
116
314595
3322
И шта се дешава кад би неко
пожелео да га нападне?
пожелео да га нападне?
05:29
Well, that's what the researchers
117
317917
1317
То је оно што су урадили истраживачи
05:31
that I'm going to talk about today did.
118
319234
1871
о којима ћу говорити данас.
05:33
They basically stuck an attacker on the wired network
119
321105
2977
Прикачили су нападача на жичну
05:36
and on the wireless network.
120
324082
2322
и бежичну мрежу.
05:38
Now, they have two areas they can attack.
121
326404
2699
Тако да имају два места
која могу да нападну.
која могу да нападну.
05:41
One is short-range wireless, where you can actually
122
329103
2038
Једно је бежична мрежа
кратког домета, где можете
кратког домета, где можете
05:43
communicate with the device from nearby,
123
331141
1781
да успоставите везу
са уређајем из близине,
са уређајем из близине,
05:44
either through Bluetooth or wi-fi,
124
332922
2137
преко блутута или вај-фаja,
05:47
and the other is long-range, where you can communicate
125
335059
2174
а друго је дугог домета,
где можете да успоставите везу
где можете да успоставите везу
05:49
with the car through the cellular network,
126
337233
1782
са аутомобилом путем мобилне мреже
05:51
or through one of the radio stations.
127
339015
1960
или неке од радио станица.
05:52
Think about it. When a car receives a radio signal,
128
340975
3049
Замислите - кад аутомобил
прими радио сигнал,
прими радио сигнал,
05:56
it's processed by software.
129
344024
2201
софтвер га обрађује.
05:58
That software has to receive and decode the radio signal,
130
346225
3061
Тај софтвер треба да прими
и декодира радио сигнал
и декодира радио сигнал
и затим одлучи шта да ради с њим,
06:01
and then figure out what to do with it,
131
349286
1119
06:02
even if it's just music that it needs to play on the radio,
132
350405
3024
чак и ако је то само музика
коју треба пустити на радију.
коју треба пустити на радију.
06:05
and that software that does that decoding,
133
353429
2268
И ако тај софтвер који ради декодирање
06:07
if it has any bugs in it, could create a vulnerability
134
355697
3093
има било какве грешке,
аутомобил може постати
аутомобил може постати
06:10
for somebody to hack the car.
135
358790
3035
подложан хаковању.
06:13
The way that the researchers did this work is,
136
361825
2952
Истраживачи су овај посао
урадили тако што су
урадили тако што су
06:16
they read the software in the computer chips
137
364777
4223
прочитали софвер у компјутерским чиповима
06:21
that were in the car, and then they used sophisticated
138
369000
3193
аутомобила, а затим
употребили софистициране
употребили софистициране
06:24
reverse engineering tools
139
372193
1414
алате обрнутог инжењеринга
06:25
to figure out what that software did,
140
373607
2055
да би открили шта софтвер ради,
06:27
and then they found vulnerabilities in that software,
141
375662
3041
а онда нашли рањиве тачке у софтверу
06:30
and then they built exploits to exploit those.
142
378703
3346
и креирали маневре да би их искористили.
06:34
They actually carried out their attack in real life.
143
382049
2382
Извели су, у ствари, реалан напад.
06:36
They bought two cars, and I guess
144
384431
1350
Купили су два аутомобила.
06:37
they have better budgets than I do.
145
385781
2918
Мислим да су имали бољи буџет од мене.
06:40
The first threat model was to see what someone could do
146
388699
2590
Прво су испитивали
шта неко може да уради
шта неко може да уради
06:43
if an attacker actually got access
147
391289
2144
ако нападач има приступ
06:45
to the internal network on the car.
148
393433
2053
интерној мрежи аутомобила.
06:47
Okay, so think of that as, someone gets to go to your car,
149
395486
2603
Замислите да неко може
да дође до вашег аутомобила,
да дође до вашег аутомобила,
06:50
they get to mess around with it, and then they leave,
150
398089
2904
петља око њега и затим оде,
06:52
and now, what kind of trouble are you in?
151
400993
2368
и онда, каква вам опасност прети?
06:55
The other threat model is that they contact you
152
403361
2792
Други модел претње је кад вас контактирају
06:58
in real time over one of the wireless networks
153
406153
2457
у реалном времену преко
једне од бежичних мрежа
једне од бежичних мрежа
07:00
like the cellular, or something like that,
154
408610
2055
као што је мобилна, или тако нешто,
07:02
never having actually gotten physical access to your car.
155
410665
4000
без физичког приступа вашем аутомобилу.
07:06
This is what their setup looks like for the first model,
156
414665
2824
Овако изгледа њихова опрема
код првог модела,
код првог модела,
07:09
where you get to have access to the car.
157
417489
1683
где имају приступ аутомобилу.
07:11
They put a laptop, and they connected to the diagnostic unit
158
419172
3387
Стављају лаптоп и повезују га
с дијагностиком
с дијагностиком
07:14
on the in-car network, and they did all kinds of silly things,
159
422559
2939
на унутрашњој мрежи,
и раде разне глупости,
и раде разне глупости,
07:17
like here's a picture of the speedometer
160
425498
2783
као на пример, да брзиномер показује
07:20
showing 140 miles an hour when the car's in park.
161
428281
2816
брзину од 220км/h
кад је аутомобил паркиран.
кад је аутомобил паркиран.
07:23
Once you have control of the car's computers,
162
431097
2373
Кад успоставите контролу
над компјутерима аутомобила,
над компјутерима аутомобила,
07:25
you can do anything.
163
433470
919
можете урадити било шта.
07:26
Now you might say, "Okay, that's silly."
164
434389
1616
Можете рећи: "Добро, то је безвезе."
07:28
Well, what if you make the car always say
165
436005
1659
Али шта ако подесите да
аутомобил увек показује
аутомобил увек показује
07:29
it's going 20 miles an hour slower than it's actually going?
166
437664
2741
за 30км/h мању брзину од стварне?
07:32
You might produce a lot of speeding tickets.
167
440405
2542
Можете добити много казни
за прекорачење брзине.
за прекорачење брзине.
07:34
Then they went out to an abandoned airstrip with two cars,
168
442947
3856
Онда су отишли на напуштену писту
са два аутомобила:
са два аутомобила:
07:38
the target victim car and the chase car,
169
446803
2745
аутомобилом жртвом
и аутомобилом нападачем,
и аутомобилом нападачем,
07:41
and they launched a bunch of other attacks.
170
449548
2746
и извели још много других напада.
07:44
One of the things they were able to do from the chase car
171
452294
2766
На пример, из аутомобила нападача
07:47
is apply the brakes on the other car,
172
455060
1974
су притискали кочнице на другом аутомобилу
07:49
simply by hacking the computer.
173
457034
1560
једноставним хаковањем компјутера.
07:50
They were able to disable the brakes.
174
458594
2431
Успели су да онеспособе кочнице.
07:53
They also were able to install malware that wouldn't kick in
175
461025
3178
Успели су и да инсталирају "малвер"
07:56
and wouldn't trigger until the car was doing something like
176
464203
2425
који се, на пример, не би активирао
07:58
going over 20 miles an hour, or something like that.
177
466628
3746
ако ауто не иде преко 30 км на сат.
08:02
The results are astonishing, and when they gave this talk,
178
470374
2758
Резултати су запањујући,
и кад су одржали овај говор,
и кад су одржали овај говор,
08:05
even though they gave this talk at a conference
179
473132
1716
и поред тога што је у публици био
08:06
to a bunch of computer security researchers,
180
474848
1726
велики број истраживача
компјутерске безбедности,
компјутерске безбедности,
08:08
everybody was gasping.
181
476574
1700
сви су били запањени.
08:10
They were able to take over a bunch of critical computers
182
478274
3699
Успели су да да упадну у
разне кључне компјутере
разне кључне компјутере
08:13
inside the car: the brakes computer, the lighting computer,
183
481973
3761
у аутомобилу: у компјутер за кочнице,
компјутер за светла,
компјутер за светла,
08:17
the engine, the dash, the radio, etc.,
184
485734
2827
мотор, контролну таблу, радио итд.
08:20
and they were able to perform these on real commercial
185
488561
2293
и успели су ово да изведу
на правим комерцијалним
на правим комерцијалним
08:22
cars that they purchased using the radio network.
186
490854
3027
аутомобилима које су набавили
користећи радио мрежу.
користећи радио мрежу.
08:25
They were able to compromise every single one of the
187
493881
3003
Успели су да науде свим софтверима
08:28
pieces of software that controlled every single one
188
496884
2466
који управљају
08:31
of the wireless capabilities of the car.
189
499350
3015
бежичним комуникацијама аутомобила.
08:34
All of these were implemented successfully.
190
502365
2513
Све ово је успешно примењено.
08:36
How would you steal a car in this model?
191
504878
2352
Како би изгледала крађа аутомобила
по овом моделу?
по овом моделу?
08:39
Well, you compromise the car by a buffer overflow
192
507230
3680
Тако што нападнете ауто
претрпавањем "бафера"
претрпавањем "бафера"
08:42
of vulnerability in the software, something like that.
193
510910
2527
рањивости софтвера.
08:45
You use the GPS in the car to locate it.
194
513437
2203
Користите GPS у аутомобилу
да га лоцирате.
да га лоцирате.
08:47
You remotely unlock the doors through the computer
195
515640
2195
Даљински откључате врата
помоћу компјутера
помоћу компјутера
08:49
that controls that, start the engine, bypass anti-theft,
196
517835
3138
који то контролише, упалите мотор,
премостите заштиту
премостите заштиту
08:52
and you've got yourself a car.
197
520973
1668
и аутомобил је ваш.
08:54
Surveillance was really interesting.
198
522641
2487
Надзор је био врло занимљив.
08:57
The authors of the study have a video where they show
199
525128
3209
Аутори истраживања имају видео снимак
09:00
themselves taking over a car and then turning on
200
528337
2549
на коме краду ауто и онда укључују
09:02
the microphone in the car, and listening in on the car
201
530886
2761
микрофон у колима, и слушају у колима
09:05
while tracking it via GPS on a map,
202
533647
3351
док га траже преко GPS-а на мапи,
09:08
and so that's something that the drivers of the car
203
536998
1713
и то је нешто што возачи аутомобила
09:10
would never know was happening.
204
538711
2168
не би никад приметили.
09:12
Am I scaring you yet?
205
540879
2134
Јесам ли почео да вас плашим?
09:15
I've got a few more of these interesting ones.
206
543013
1943
Имам још пар занимљивих ствари.
09:16
These are ones where I went to a conference,
207
544956
1833
То су оне са конференције,
09:18
and my mind was just blown, and I said,
208
546789
1933
кад сам се запањио и помислио:
09:20
"I have to share this with other people."
209
548722
1826
"Морам да поделим ово са другима."
09:22
This was Fabian Monrose's lab
210
550548
1623
Ово је била лабораторија Фабијана Монроуза
09:24
at the University of North Carolina, and what they did was
211
552171
3456
са универзитета Северна Каролина.
Они су урадили
Они су урадили
09:27
something intuitive once you see it,
212
555627
2075
нешто интуитивно,
09:29
but kind of surprising.
213
557702
1714
али ипак изненађујуће.
09:31
They videotaped people on a bus,
214
559416
2259
Снимили су људе у аутобусу
09:33
and then they post-processed the video.
215
561675
2840
и онда обрадили тај видео снимак.
09:36
What you see here in number one is a
216
564515
2463
Оно што видите под бројем 1
09:38
reflection in somebody's glasses of the smartphone
217
566978
4383
је одраз "паметног телефона"
у наочарима неке особе
у наочарима неке особе
09:43
that they're typing in.
218
571361
1425
док куца на њему.
09:44
They wrote software to stabilize --
219
572786
1975
Направили су програм да
стабилизују телефон -
стабилизују телефон -
09:46
even though they were on a bus
220
574761
1365
и поред тога што су били у аутобусу
09:48
and maybe someone's holding their phone at an angle --
221
576126
3211
и можда неко држи телефон под углом -
09:51
to stabilize the phone, process it, and
222
579337
2370
да стабилизују телефон, обраде га
09:53
you may know on your smartphone, when you type
223
581707
1885
и, можда знате да док куцате
шифру на телефону
шифру на телефону
09:55
a password, the keys pop out a little bit, and they were able
224
583592
2939
искочи тастатура, и они су успели да
09:58
to use that to reconstruct what the person was typing,
225
586531
2840
искористе то да реконструишу
оно што та особа куца
оно што та особа куца
10:01
and had a language model for detecting typing.
226
589371
4321
и добију модел језика према
детектованом куцању.
детектованом куцању.
10:05
What was interesting is, by videotaping on a bus,
227
593692
2335
Интересантно је да су снимањем у аутобусу
10:08
they were able to produce exactly what people
228
596027
2129
успели да произведу тачно оно што су
10:10
on their smartphones were typing,
229
598156
2151
људи куцали на својим паметним телефонима
10:12
and then they had a surprising result, which is that
230
600307
2260
и онда добили изненађујући резултат
10:14
their software had not only done it for their target,
231
602567
2764
да њихов софтвер, не само да
је послужио за њихову мету,
је послужио за њихову мету,
10:17
but other people who accidentally happened
232
605331
1403
већ су и други који су
се случајно задесили на слици
се случајно задесили на слици
10:18
to be in the picture, they were able to produce
233
606734
2086
могли да произведу
10:20
what those people had been typing, and that was kind of
234
608820
2727
оно што су ти људи куцали, и то је биo
10:23
an accidental artifact of what their software was doing.
235
611547
3617
случајни производ онога што
је радио њихов софтвер.
је радио њихов софтвер.
10:27
I'll show you two more. One is P25 radios.
236
615164
4303
Показаћу вам још два. Један је П25 радио.
10:31
P25 radios are used by law enforcement
237
619467
2800
П25 радио користе снаге реда и закона
10:34
and all kinds of government agencies
238
622267
3407
и све врсте владиних служби
10:37
and people in combat to communicate,
239
625674
1736
и људи у борби за комуникацију
10:39
and there's an encryption option on these phones.
240
627410
2833
и постоји опција за шифровање
на тим телефонима.
на тим телефонима.
10:42
This is what the phone looks like. It's not really a phone.
241
630243
2728
Овако тај телефон изгледа.
То није прави телефон.
То није прави телефон.
10:44
It's more of a two-way radio.
242
632971
1206
Више је као двосмерни радио.
10:46
Motorola makes the most widely used one, and you can see
243
634177
3322
Највише се користи Моторолин
и можете видети
и можете видети
10:49
that they're used by Secret Service, they're used in combat,
244
637499
2649
да их користи тајна служба,
користе се у борби,
користе се у борби,
10:52
it's a very, very common standard in the U.S. and elsewhere.
245
640148
3102
врло су уобичајени у САД и шире.
10:55
So one question the researchers asked themselves is,
246
643250
2305
Истраживачи се питају
10:57
could you block this thing, right?
247
645555
2704
да ли може да се блокира ова стварчица?
11:00
Could you run a denial-of-service,
248
648259
1583
Да ли можете извести ДoС напад,
11:01
because these are first responders?
249
649842
1824
јер су они први на месту несреће?
11:03
So, would a terrorist organization want to black out the
250
651666
1801
Да ли би терористичка организација
хтела да омета комуникацију
хтела да омета комуникацију
11:05
ability of police and fire to communicate at an emergency?
251
653467
4488
полиције и ватрогасаца
у хитној интервенцији?
у хитној интервенцији?
11:09
They found that there's this GirlTech device used for texting
252
657955
3072
Открили су да овај GirlTech уређај
за СМС поруке
за СМС поруке
11:13
that happens to operate at the same exact frequency
253
661027
2718
ради на истој фреквенцији као П25,
11:15
as the P25, and they built what they called
254
663745
2271
и направили су уређај који су назвали
11:18
My First Jammer. (Laughter)
255
666016
4334
"Мој први ометач".
(Смех)
(Смех)
11:22
If you look closely at this device,
256
670350
2378
Ако боље погледате овај уређај,
11:24
it's got a switch for encryption or cleartext.
257
672728
3630
он има прекидач за шифрирање
односно брисање текста.
односно брисање текста.
11:28
Let me advance the slide, and now I'll go back.
258
676358
3050
Пустићу следећи слајд,
па ћу вратити уназад.
па ћу вратити уназад.
11:31
You see the difference?
259
679408
2547
Је л' видите разлику?
11:33
This is plain text. This is encrypted.
260
681955
2557
Ово је обичан текст. А ово је шифрован.
11:36
There's one little dot that shows up on the screen,
261
684512
2557
Постоји једна мала тачка
која се појављује на екрану
која се појављује на екрану
11:39
and one little tiny turn of the switch.
262
687069
2085
и једна мала промена окрета прекидача.
11:41
And so the researchers asked themselves, "I wonder how
263
689154
1904
И онда су се истраживачи запитали:
11:43
many times very secure, important, sensitive conversations
264
691058
4257
"Колико се важних, осетљивих разговора
11:47
are happening on these two-way radios where they forget
265
695315
1623
обави на овим двосмерним радијима
11:48
to encrypt and they don't notice that they didn't encrypt?"
266
696938
2910
које забораве да шифрирају
и не примете да их нису шифрирали?"
и не примете да их нису шифрирали?"
11:51
So they bought a scanner. These are perfectly legal
267
699848
3339
Па су купили скенер.
Они су потпуно легални
Они су потпуно легални
11:55
and they run at the frequency of the P25,
268
703187
3458
и раде на истој фреквенцији као П25.
11:58
and what they did is they hopped around frequencies
269
706645
1767
Прескочили су фреквенције
12:00
and they wrote software to listen in.
270
708412
2510
и направили софтвер за прислушкивање.
12:02
If they found encrypted communication, they stayed
271
710922
2634
Ако би наишли на шифровану
комуникацију, остали би
комуникацију, остали би
12:05
on that channel and they wrote down, that's a channel
272
713556
1686
на том каналу и записали да је то канал
12:07
that these people communicate in,
273
715242
1788
на ком ти људи комуницирају,
12:09
these law enforcement agencies,
274
717030
1622
те службе закона,
12:10
and they went to 20 metropolitan areas and listened in
275
718652
3391
и ишли су у 20 градова и слушали
12:14
on conversations that were happening at those frequencies.
276
722043
3475
разговоре који су се обављали
на тим фреквенцијама.
на тим фреквенцијама.
12:17
They found that in every metropolitan area,
277
725518
3239
У сваком градском подручју
12:20
they would capture over 20 minutes a day
278
728757
2154
су успели да сниме преко 20 минута на дан
12:22
of cleartext communication.
279
730911
2375
нешифриране комуникације.
12:25
And what kind of things were people talking about?
280
733286
2000
О чему су ови људи причали?
12:27
Well, they found the names and information
281
735286
1484
Наишли су на имена и информације
12:28
about confidential informants. They found information
282
736770
2852
о поверљивим доушницима.
Наишли су на информације
Наишли су на информације
12:31
that was being recorded in wiretaps,
283
739622
2202
снимљене прислушкивачима,
12:33
a bunch of crimes that were being discussed,
284
741824
2710
многе криминалне активности
о којима се разговарало,
о којима се разговарало,
12:36
sensitive information.
285
744534
1162
осетљиве информације,
12:37
It was mostly law enforcement and criminal.
286
745696
3363
углавном о полицији и криминалу.
12:41
They went and reported this to the law enforcement
287
749059
1834
Отишли су и пријавили то полицији
12:42
agencies, after anonymizing it,
288
750893
2023
пошто су га учинили анонимним,
12:44
and the vulnerability here is simply the user interface
289
752916
3000
и рањива тачка овде је било то
што кориснички интерфејс
што кориснички интерфејс
12:47
wasn't good enough. If you're talking
290
755916
1394
није био довољно добар. Ако говоримо
12:49
about something really secure and sensitive, it should
291
757310
2816
о нечему стварно поверљивом,
12:52
be really clear to you that this conversation is encrypted.
292
760126
3293
треба да буде јасно
да је тај разговор шифрован.
да је тај разговор шифрован.
12:55
That one's pretty easy to fix.
293
763419
1886
То је лако средити.
12:57
The last one I thought was really, really cool,
294
765305
1669
За последњи мислим да је врло кул
12:58
and I just had to show it to you, it's probably not something
295
766974
2813
и морам да вам покажем.
То вероватно није нешто
То вероватно није нешто
13:01
that you're going to lose sleep over
296
769787
1005
због чега нећете моћи мирно да спавате,
13:02
like the cars or the defibrillators,
297
770792
1791
као што су то аутомобили
или дефибрилатори.
или дефибрилатори.
13:04
but it's stealing keystrokes.
298
772583
3023
Ради се о крађи комбинација тастера.
13:07
Now, we've all looked at smartphones upside down.
299
775606
2747
Сви смо видели неки пут
паметан телефон наопако.
паметан телефон наопако.
13:10
Every security expert wants to hack a smartphone,
300
778353
2190
Сваки стручњак за безбедност
желео би да хакује паметни телефон
желео би да хакује паметни телефон
13:12
and we tend to look at the USB port, the GPS for tracking,
301
780543
4612
и обично гледа да то уради
преко УСБ порта, ГПС-а,
преко УСБ порта, ГПС-а,
13:17
the camera, the microphone, but no one up till this point
302
785155
3208
камере, микрофона, али нико до сада
13:20
had looked at the accelerometer.
303
788363
1580
није обратио пажњу на акцелерометар.
13:21
The accelerometer is the thing that determines
304
789943
1647
Акцелерометар је справа која одређује
13:23
the vertical orientation of the smartphone.
305
791590
3494
вертикални положај телефона.
13:27
And so they had a simple setup.
306
795084
1417
Они имају једноставна подешавања.
13:28
They put a smartphone next to a keyboard,
307
796501
2758
Паметан телефон ставе поред тастатуре
13:31
and they had people type, and then their goal was
308
799259
2712
и чекају да људи почну
да куцају, и циљ им је
да куцају, и циљ им је
13:33
to use the vibrations that were created by typing
309
801971
2856
да искористе вибрације од куцања
13:36
to measure the change in the accelerometer reading
310
804827
4240
да би измерили промене
у очитавању акцелерометра
у очитавању акцелерометра
13:41
to determine what the person had been typing.
311
809067
3176
да одреде шта та особа куца.
13:44
Now, when they tried this on an iPhone 3GS,
312
812243
2576
Кад су ово пробали на Ајфону 3ГС,
13:46
this is a graph of the perturbations that were created
313
814819
2769
ово је графикон сметњи
које је произвело куцање
које је произвело куцање
13:49
by the typing, and you can see that it's very difficult
314
817588
3241
и можете видети да је веома тешко
13:52
to tell when somebody was typing or what they were typing,
315
820829
3078
одредити кад неко куца или шта куца,
13:55
but the iPhone 4 greatly improved the accelerometer,
316
823907
3090
али на Ајфону 4 је знатно
унапређен акцелерометар
унапређен акцелерометар
13:58
and so the same measurement
317
826997
3480
и исто мерење
14:02
produced this graph.
318
830477
1832
је дало овај графикон.
14:04
Now that gave you a lot of information while someone
319
832309
2486
То нам је дало много информација о куцању,
14:06
was typing, and what they did then is used advanced
320
834795
3241
а онда су употребили напредну
14:10
artificial intelligence techniques called machine learning
321
838036
3007
вештачку интелигенцију
звану "машинско учење"
звану "машинско учење"
14:13
to have a training phase,
322
841043
1431
и спровели фазу тренинга.
14:14
and so they got most likely grad students
323
842474
2236
Студентима завршних година су дали
14:16
to type in a whole lot of things, and to learn,
324
844710
3789
да куцају разне ствари и да уче,
14:20
to have the system use the machine learning tools that
325
848499
2768
док је систем користио доступне
алате "машинског учења"
алате "машинског учења"
14:23
were available to learn what it is that the people were typing
326
851267
2863
да би открио шта је оно што људи куцају
14:26
and to match that up
327
854130
2827
и то упоредио
14:28
with the measurements in the accelerometer.
328
856957
2477
са мерама у акцелерометру.
14:31
And then there's the attack phase, where you get
329
859434
1635
Затим долази фаза напада,
где ставите неког
где ставите неког
14:33
somebody to type something in, you don't know what it was,
330
861069
2811
да куца нешто што не знате шта је,
14:35
but you use your model that you created
331
863880
1297
али користите модел који
сте направили у фази тренинга
сте направили у фази тренинга
14:37
in the training phase to figure out what they were typing.
332
865177
3442
да бисте открили шта куцају.
14:40
They had pretty good success. This is an article from the USA Today.
333
868619
3484
Били су врло успешни у томе.
Ово је чланак из USA Today.
Ово је чланак из USA Today.
14:44
They typed in, "The Illinois Supreme Court has ruled
334
872103
2609
Откуцали су: "Врховни суд Илиноја
је пресудио да је
је пресудио да је
14:46
that Rahm Emanuel is eligible to run for Mayor of Chicago"
335
874712
2962
Рам Емануел квалификован да се
кандидује за градоначелника Чикага"
кандидује за градоначелника Чикага"
14:49
— see, I tied it in to the last talk —
336
877674
1354
- видите, повезао сам
са последњим говором -
са последњим говором -
14:51
"and ordered him to stay on the ballot."
337
879028
2118
"и наложио да остане
на гласачком листићу."
на гласачком листићу."
14:53
Now, the system is interesting, because it produced
338
881146
2771
Овај систем је интересантан јер је избацио
14:55
"Illinois Supreme" and then it wasn't sure.
339
883917
2886
"врховни" и онда није био сигуран.
14:58
The model produced a bunch of options,
340
886803
1950
Модел је избацио гомилу опција,
15:00
and this is the beauty of some of the A.I. techniques,
341
888753
2709
и у овоме је лепота неких техника
вештачке интелигенције.
вештачке интелигенције.
15:03
is that computers are good at some things,
342
891462
2250
Компјутери су добри у неким стварима,
15:05
humans are good at other things,
343
893712
1534
а људи су добри у другим.
15:07
take the best of both and let the humans solve this one.
344
895246
1931
Узмите најбоље од оба
и дајте људима да реше ово.
и дајте људима да реше ово.
15:09
Don't waste computer cycles.
345
897177
1382
Не траћите инструкцијске циклусе рачунара.
15:10
A human's not going to think it's the Supreme might.
346
898559
2136
Људи неће мислити да је то врховни бог,
15:12
It's the Supreme Court, right?
347
900695
1740
већ ће знати да је то врховни суд.
15:14
And so, together we're able to reproduce typing
348
902435
2530
Заједно смо способни
да репродукујемо куцање
да репродукујемо куцање
15:16
simply by measuring the accelerometer.
349
904965
2949
једноставним мерењем акцелерометра,
15:19
Why does this matter? Well, in the Android platform,
350
907914
3502
Зашто је ово важно?
Па, на Андроид платформи,
Па, на Андроид платформи,
15:23
for example, the developers have a manifest
351
911416
4133
на пример, програмери имају правило
15:27
where every device on there, the microphone, etc.,
352
915564
2584
где сваки уређај, микрофон итд.
15:30
has to register if you're going to use it
353
918148
1956
мора да се региструје пре коришћења
15:32
so that hackers can't take over it,
354
920104
2316
да хакери не би могли да га нападну,
15:34
but nobody controls the accelerometer.
355
922420
3108
али нико не контролише акцелерометар.
15:37
So what's the point? You can leave your iPhone next to
356
925528
2216
У чему је поента?
Можете оставити ваш Ајфон 4
Можете оставити ваш Ајфон 4
15:39
someone's keyboard, and just leave the room,
357
927744
2106
поред нечије тастатуре и изаћи из собе,
15:41
and then later recover what they did,
358
929850
1639
и касније сазнати шта су радили
15:43
even without using the microphone.
359
931489
1711
чак и без коришћења микрофона.
15:45
If someone is able to put malware on your iPhone,
360
933200
2174
Ако је неко способан да убаци "малвер"
у ваш телефон,
у ваш телефон,
15:47
they could then maybe get the typing that you do
361
935374
2848
онда можда може да открије и шта куцате
15:50
whenever you put your iPhone next to your keyboard.
362
938222
2321
кадгод ставите ваш Ајфон поред тастатуре.
15:52
There's several other notable attacks that unfortunately
363
940543
2271
Има још неколико значајних напада
у које, нажалост,
у које, нажалост,
15:54
I don't have time to go into, but the one that I wanted
364
942814
2131
немам времена да улазим, али желео бих
15:56
to point out was a group from the University of Michigan
365
944945
2277
да истакнем групу
са Универзитета у Мичигену,
са Универзитета у Мичигену,
15:59
which was able to take voting machines,
366
947222
2441
која је успела да на машине за гласање
16:01
the Sequoia AVC Edge DREs that
367
949663
2498
Sequoia AVC Edge,
16:04
were going to be used in New Jersey in the election
368
952161
1555
које је требало да се користе
на изборима у Њу Џерсију,
на изборима у Њу Џерсију,
16:05
that were left in a hallway, and put Pac-Man on it.
369
953716
2161
убаце игрицу "Пекмен".
16:07
So they ran the Pac-Man game.
370
955877
3623
Тако да су оне покретале ову игрицу.
16:11
What does this all mean?
371
959500
1747
Какав значај све ово има?
16:13
Well, I think that society tends to adopt technology
372
961247
3647
Мислим да друштво има тенденцију
да усваја технологију брзо.
да усваја технологију брзо.
16:16
really quickly. I love the next coolest gadget.
373
964894
2824
Ја обожавам нове справице.
16:19
But it's very important, and these researchers are showing,
374
967718
2614
Али врло је важно,
и то ови истраживачи показују,
и то ови истраживачи показују,
16:22
that the developers of these things
375
970332
1360
да програмери ових справица
16:23
need to take security into account from the very beginning,
376
971692
2865
морају да узму у обзир безбедност
од самог почетка
од самог почетка
16:26
and need to realize that they may have a threat model,
377
974557
2785
и да схвате да иако имају модел претње,
16:29
but the attackers may not be nice enough
378
977342
2462
нападачи можда неће бити тако фини
16:31
to limit themselves to that threat model,
379
979804
1777
да себе ограниче на тај модел,
16:33
and so you need to think outside of the box.
380
981581
2537
тако да треба да будете маштовити.
16:36
What we can do is be aware
381
984118
1578
Оно што можемо јесте да будемо свесни
16:37
that devices can be compromised,
382
985696
2479
да уређаји могу бити угрожени
16:40
and anything that has software in it
383
988175
1699
и све што има софтвер у себи
16:41
is going to be vulnerable. It's going to have bugs.
384
989874
2649
је рањиво. Има грешке.
16:44
Thank you very much. (Applause)
385
992523
3497
Хвала вам много.
(Аплауз)
(Аплауз)
ABOUT THE SPEAKER
Avi Rubin - Computer security expertAvi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records.
Why you should listen
Along with running the Health and Medical Security Lab, Avi Rubin is also the technical director of the JHU Information Security Institute. From 1997 to 2002, Avi was a researcher in AT&T’s Secure Systems Department, where he focused on cryptography and network security. He is also the founder of Harbor Labs, which provides expert testimony and review in legal cases related to high tech security. Avi has authored several books related to electronic security, including Brave New Ballot, published in 2006.
Avi Rubin | Speaker | TED.com