TEDxMidAtlantic
Avi Rubin: All your devices can be hacked
Avi Rubin: Toate electronicele pot fi atacate
Filmed:
Readability: 4.6
1,251,015 views
Ar putea cineva să vă compromită pacemakerul? La TEDxMidAtlantic, Avi Rubin explică modalitățile prin care atacatorii pot compromite mașini, telefoane inteligente și aparatură medicală și ne avertizează asupra pericolelor unei lumi din ce în e mai vulnerabile. (Filmat la TEDxMidAtlantic.)
Avi Rubin - Computer security expert
Avi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records. Full bio
Avi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records. Full bio
Double-click the English transcript below to play the video.
00:12
I'm a computer science professor,
0
588
3031
Sunt profesor de informatică,
00:15
and my area of expertise is
1
3619
2313
iar specializarea mea este
securitatea computerelor și informației.
securitatea computerelor și informației.
00:17
computer and information security.
2
5932
2199
00:20
When I was in graduate school,
3
8131
2320
Pe când îmi făceam doctoratul,
00:22
I had the opportunity to overhear my grandmother
4
10451
2601
am auzit-o pe bunica, descriind
cuiva de vârsta ei, cu ce mă ocup.
cuiva de vârsta ei, cu ce mă ocup.
00:25
describing to one of her fellow senior citizens
5
13052
4134
00:29
what I did for a living.
6
17186
2369
00:31
Apparently, I was in charge of making sure that
7
19555
3562
Se pare că eram responsabil ca nimeni
să nu fure computerele din universitate.
să nu fure computerele din universitate.
00:35
no one stole the computers from the university. (Laughter)
8
23117
3900
(Râsete)
00:39
And, you know, that's a perfectly reasonable thing
9
27017
2744
Era totuși logic ca ea să gândească aşa,
00:41
for her to think, because I told her I was working
10
29761
1920
deoarece îi spusesem că lucram
în securitatea computerelor.
în securitatea computerelor.
00:43
in computer security,
11
31681
1507
00:45
and it was interesting to get her perspective.
12
33188
3597
A fost interesant să aflu
cum vedea ea lucrurile.
cum vedea ea lucrurile.
00:48
But that's not the most ridiculous thing I've ever heard
13
36785
2617
N-a fost cel mai caraghios lucru
pe care l-am auzit despre ocupația mea.
pe care l-am auzit despre ocupația mea.
00:51
anyone say about my work.
14
39402
2017
00:53
The most ridiculous thing I ever heard is,
15
41419
2284
Cel mai absurd lucru
a fost la o petrecere,
a fost la o petrecere,
00:55
I was at a dinner party, and a woman heard
16
43703
3134
când o doamnă, auzind că lucrez
în securitatea computerelor,
în securitatea computerelor,
00:58
that I work in computer security,
17
46837
1783
01:00
and she asked me if -- she said her computer had been
18
48620
3517
precizând că i-a fost infectat computerul
cu un virus, m-a întrebat îngrijorată
cu un virus, m-a întrebat îngrijorată
01:04
infected by a virus, and she was very concerned that she
19
52137
3436
dacă s-ar putea îmbolnăvi și ea,
dacă ar putea lua acest virus.
dacă ar putea lua acest virus.
01:07
might get sick from it, that she could get this virus. (Laughter)
20
55573
3951
(Râsete)
01:11
And I'm not a doctor, but I reassured her
21
59524
2943
Nu sunt doctor, dar am asigurat-o
că era improbabil să se întâmple,
că era improbabil să se întâmple,
01:14
that it was very, very unlikely that this would happen,
22
62467
3144
01:17
but if she felt more comfortable, she could be free to use
23
65611
2801
însă, pentru liniștea ei, ar putea folosi
mănuşi latex când lucrează la calculator
mănuşi latex când lucrează la calculator
01:20
latex gloves when she was on the computer,
24
68412
1848
01:22
and there would be no harm whatsoever in that.
25
70260
3392
și nu pățește cu siguranță nimic.
01:25
I'm going to get back to this notion of being able to get
26
73652
2507
Revin la ideea de a contracta un virus
din computerul personal, la modul serios.
din computerul personal, la modul serios.
01:28
a virus from your computer, in a serious way.
27
76159
3508
01:31
What I'm going to talk to you about today
28
79667
1640
O să vă povestesc despre atacuri,
ciber-atacuri din lumea reală,
ciber-atacuri din lumea reală,
01:33
are some hacks, some real world cyberattacks that people
29
81307
4846
01:38
in my community, the academic research community,
30
86153
2554
pe care cei din comunitatea mea
de cercetare academică le-au efectuat,
de cercetare academică le-au efectuat,
01:40
have performed, which I don't think
31
88707
2794
01:43
most people know about,
32
91501
1208
de care mulți nu știu.
01:44
and I think they're very interesting and scary,
33
92709
3028
Mi se par interesante
și înspăimântătoare.
și înspăimântătoare.
01:47
and this talk is kind of a greatest hits
34
95737
2441
E o prezentare a celor mai mari hit-uri
01:50
of the academic security community's hacks.
35
98178
2991
al atacurilor comunității academice
din domeniul securității.
din domeniul securității.
01:53
None of the work is my work. It's all work
36
101169
1987
Niciunul nu e făcut de mine.
01:55
that my colleagues have done, and I actually asked them
37
103156
2174
Colegii mei le-au făcut,
le-am cerut diapozitivele
le-am cerut diapozitivele
01:57
for their slides and incorporated them into this talk.
38
105330
2557
și le-am inclus în prezentare.
01:59
So the first one I'm going to talk about
39
107887
1742
Voi începe cu dispozitivele
medicale implantate.
medicale implantate.
02:01
are implanted medical devices.
40
109629
2674
02:04
Now medical devices have come a long way technologically.
41
112303
3040
Dispozitivele medicale
au avansat mult tehnologic.
au avansat mult tehnologic.
02:07
You can see in 1926 the first pacemaker was invented.
42
115343
3856
Pacemakerul a fost inventat în 1926
şi implantat prima dată, în 1960,
şi implantat prima dată, în 1960,
02:11
1960, the first internal pacemaker was implanted,
43
119199
3552
02:14
hopefully a little smaller than that one that you see there,
44
122751
2552
din fericire mai mic decât cel
pe care îl vedeți,
pe care îl vedeți,
02:17
and the technology has continued to move forward.
45
125303
2968
iar tehnologia a continuat să evolueze.
02:20
In 2006, we hit an important milestone from the perspective
46
128271
4633
În 2006 am atins un prag important
din perspectiva securităţii computerelor.
din perspectiva securităţii computerelor.
02:24
of computer security.
47
132904
3167
02:28
And why do I say that?
48
136071
1341
De ce?
02:29
Because that's when implanted devices inside of people
49
137412
2890
Deoarece de atunci dispozitivele medicale
implantate în oameni
implantate în oameni
02:32
started to have networking capabilities.
50
140302
2745
au început să fie conectate
la reţele de internet.
la reţele de internet.
02:35
One thing that brings us close to home is we look
51
143047
1880
Concret, să examinăm
dispozitivul lui Dick Cheney,
dispozitivul lui Dick Cheney,
02:36
at Dick Cheney's device, he had a device that
52
144927
2705
care pompa sânge dintr-o aortă
în altă parte a inimii
în altă parte a inimii
02:39
pumped blood from an aorta to another part of the heart,
53
147632
3869
02:43
and as you can see at the bottom there,
54
151501
1183
și cum vedeți aici jos,
era controlat de un computer.
era controlat de un computer.
02:44
it was controlled by a computer controller,
55
152684
3009
02:47
and if you ever thought that software liability
56
155693
2517
Dacă credeţi că siguranţa de exploatare
a softului nu e importantă,
a softului nu e importantă,
02:50
was very important, get one of these inside of you.
57
158210
3589
implantați-vă așa ceva.
02:53
Now what a research team did was they got their hands
58
161799
3695
Echipa de cercetare
a făcut rost de un, așa numit, ICD:
a făcut rost de un, așa numit, ICD:
02:57
on what's called an ICD.
59
165494
1420
02:58
This is a defibrillator, and this is a device
60
166914
2070
un defibrilator, un dispozitiv implantat
în corp, pentru a controla ritmul cardiac.
în corp, pentru a controla ritmul cardiac.
03:00
that goes into a person to control their heart rhythm,
61
168984
4336
03:05
and these have saved many lives.
62
173320
2338
Acestea au salvat multe vieți.
03:07
Well, in order to not have to open up the person
63
175658
2472
Ca să nu mai fie nevoie
de o intervenţie chirurgicală
de o intervenţie chirurgicală
03:10
every time you want to reprogram their device
64
178130
2194
de câte ori dispozitivul
trebuia reprogramat
trebuia reprogramat
03:12
or do some diagnostics on it, they made the thing be able
65
180324
2455
sau pentru diagnosticări tehnice,
le-au făcut conectabile wireless.
le-au făcut conectabile wireless.
03:14
to communicate wirelessly, and what this research team did
66
182779
3102
Echipa de cercetători
a descifrat protocolul wireless,
a descifrat protocolul wireless,
03:17
is they reverse engineered the wireless protocol,
67
185881
2610
03:20
and they built the device you see pictured here,
68
188491
1872
şi au construit dispozitivul din imagine
cu o antenă micuţă,
cu o antenă micuţă,
03:22
with a little antenna, that could talk the protocol
69
190363
2760
care comunică protocolul dispozitivului,
controlându-l astfel.
controlându-l astfel.
03:25
to the device, and thus control it.
70
193123
4475
03:29
In order to make their experience real -- they were unable
71
197598
2689
Pentru o experiență reală,
– neputând găsi voluntari –
– neputând găsi voluntari –
03:32
to find any volunteers, and so they went
72
200287
2472
cu nişte carne tocată și șuncă
03:34
and they got some ground beef and some bacon
73
202759
2144
03:36
and they wrapped it all up to about the size
74
204903
1788
au construit o formaţiune similară
celei în care s-ar implanta
celei în care s-ar implanta
03:38
of a human being's area where the device would go,
75
206691
2798
03:41
and they stuck the device inside it
76
209489
1454
şi au înfipt dispozitivul lor în ea,
ca experimentul să fie oarecum realist.
ca experimentul să fie oarecum realist.
03:42
to perform their experiment somewhat realistically.
77
210943
3132
03:46
They launched many, many successful attacks.
78
214075
3020
Au lansat cu succes foarte multe atacuri.
03:49
One that I'll highlight here is changing the patient's name.
79
217095
3056
Menționez aici
schimbarea numelui pacientului.
schimbarea numelui pacientului.
Nu știu de ce ar face cineva asta,
dar n-aș vrea să mi-o facă mie.
dar n-aș vrea să mi-o facă mie.
03:52
I don't know why you would want to do that,
80
220151
993
03:53
but I sure wouldn't want that done to me.
81
221144
2104
03:55
And they were able to change therapies,
82
223248
2331
Au reușit să schimbe tratamente,
inclusiv să dezactiveze dispozitivul
inclusiv să dezactiveze dispozitivul
03:57
including disabling the device -- and this is with a real,
83
225579
2495
– și asta cu un dispozitiv real,
comercializat pe piață –
comercializat pe piață –
04:00
commercial, off-the-shelf device --
84
228074
1896
04:01
simply by performing reverse engineering and sending
85
229970
2046
prin inginerie inversă
şi semnale wireless trimise către el.
şi semnale wireless trimise către el.
04:04
wireless signals to it.
86
232016
2989
04:07
There was a piece on NPR that some of these ICDs
87
235005
3580
S-a discutat la radio
că dispozitivele ICD ar putea fi bruiate
prin simpla apropiere a unor căști.
prin simpla apropiere a unor căști.
04:10
could actually have their performance disrupted
88
238585
2422
04:13
simply by holding a pair of headphones onto them.
89
241007
3651
04:16
Now, wireless and the Internet
90
244658
1409
Wireless și Internetul pot îmbunătăți
sănătatea oamenilor.
sănătatea oamenilor.
04:18
can improve health care greatly.
91
246067
1652
04:19
There's several examples up on the screen
92
247719
2087
Câteva exemple pe ecran
04:21
of situations where doctors are looking to implant devices
93
249806
3107
de situații în care doctorii recomandă
implantarea unor dispozitive în organism
implantarea unor dispozitive în organism
04:24
inside of people, and all of these devices now,
94
252913
2865
şi toate acestea comunică standard
prin wireless.
prin wireless.
04:27
it's standard that they communicate wirelessly,
95
255778
3125
04:30
and I think this is great,
96
258903
1412
E extraordinar, dar fără a înțelege
importanţa programării de încredere,
importanţa programării de încredere,
04:32
but without a full understanding of trustworthy computing,
97
260315
3105
04:35
and without understanding what attackers can do
98
263420
2407
fără a înțelege ce pot face atacatorii
şi ce riscuri de securitate există,
şi ce riscuri de securitate există,
04:37
and the security risks from the beginning,
99
265827
2147
04:39
there's a lot of danger in this.
100
267974
2390
e foarte periculos.
04:42
Okay, let me shift gears and show you another target.
101
270364
1477
Schimbăm domeniul și vă arăt altă țintă.
Vă voi arăta câteva ținte în prezentare.
Vă voi arăta câteva ținte în prezentare.
04:43
I'm going to show you a few different targets like this,
102
271841
2088
04:45
and that's my talk. So we'll look at automobiles.
103
273929
2917
Să vedem automobilele.
04:48
This is a car, and it has a lot of components,
104
276846
2896
Asta-i o mașină și, în prezent,
are multe componente electronice.
are multe componente electronice.
04:51
a lot of electronics in it today.
105
279742
1620
04:53
In fact, it's got many, many different computers inside of it,
106
281362
4377
De fapt are multe computere în interior,
04:57
more Pentiums than my lab did when I was in college,
107
285739
3155
mai multe procesoare Pentium
decât aveam în laborator în facultate
decât aveam în laborator în facultate
05:00
and they're connected by a wired network.
108
288894
3639
și toate sunt conectate
printr-o rețea de cabluri.
printr-o rețea de cabluri.
05:04
There's also a wireless network in the car,
109
292533
3431
Există și o rețea wireless în mașină,
care poate fi accesată în multe feluri.
care poate fi accesată în multe feluri.
05:07
which can be reached from many different ways.
110
295964
3233
05:11
So there's Bluetooth, there's the FM and XM radio,
111
299197
3701
Prin Bluetooth, prin radio frecvențe
FM și XM, există și wi-fi, senzori în roți
FM și XM, există și wi-fi, senzori în roți
05:14
there's actually wi-fi, there's sensors in the wheels
112
302898
2820
05:17
that wirelessly communicate the tire pressure
113
305718
2153
ce comunică wireless presiunea pneurilor
către un controler din bord.
către un controler din bord.
05:19
to a controller on board.
114
307871
1806
05:21
The modern car is a sophisticated multi-computer device.
115
309677
4918
Mașina modernă e un dispozitiv
multicomputer sofisticat.
multicomputer sofisticat.
05:26
And what happens if somebody wanted to attack this?
116
314595
3322
Ce se întâmplă dacă cineva vrea s-o atace?
05:29
Well, that's what the researchers
117
317917
1317
Asta au făcut cercetătorii
despre care vă voi vorbi:
despre care vă voi vorbi:
05:31
that I'm going to talk about today did.
118
319234
1871
05:33
They basically stuck an attacker on the wired network
119
321105
2977
au introdus un virus în rețeaua cu fir
și unul în cea fără fir.
și unul în cea fără fir.
05:36
and on the wireless network.
120
324082
2322
05:38
Now, they have two areas they can attack.
121
326404
2699
Puteau ataca în două locuri:
05:41
One is short-range wireless, where you can actually
122
329103
2038
unul e rețeaua cu rază scurtă wireless,
cu care poți comunica din apropiere,
prin Bluetooth sau wi-fi,
prin Bluetooth sau wi-fi,
05:43
communicate with the device from nearby,
123
331141
1781
05:44
either through Bluetooth or wi-fi,
124
332922
2137
05:47
and the other is long-range, where you can communicate
125
335059
2174
iar celălalt e cu rază lungă,
prin care comunici cu mașina
prin care comunici cu mașina
05:49
with the car through the cellular network,
126
337233
1782
prin rețeaua de telefonie mobilă
sau stații radio.
sau stații radio.
05:51
or through one of the radio stations.
127
339015
1960
05:52
Think about it. When a car receives a radio signal,
128
340975
3049
Gândiți-vă: când mașina primește
un semnal radio, e procesat de un program.
un semnal radio, e procesat de un program.
05:56
it's processed by software.
129
344024
2201
05:58
That software has to receive and decode the radio signal,
130
346225
3061
Programul interceptează,
decodează semnalul radio,
decodează semnalul radio,
06:01
and then figure out what to do with it,
131
349286
1119
şi decide ce să facă cu el,
fie chiar muzica difuzată la radio.
fie chiar muzica difuzată la radio.
06:02
even if it's just music that it needs to play on the radio,
132
350405
3024
06:05
and that software that does that decoding,
133
353429
2268
Dacă programul de decodare e virusat,
06:07
if it has any bugs in it, could create a vulnerability
134
355697
3093
se poate crea o breşă prin care cineva
ar putea prelua controlul maşinii.
ar putea prelua controlul maşinii.
06:10
for somebody to hack the car.
135
358790
3035
06:13
The way that the researchers did this work is,
136
361825
2952
Cercetătorii au procedat aşa:
06:16
they read the software in the computer chips
137
364777
4223
au citit programul din computerele maşinii
06:21
that were in the car, and then they used sophisticated
138
369000
3193
şi au folosit programe sofisticate
de inginerie inversă,
de inginerie inversă,
06:24
reverse engineering tools
139
372193
1414
06:25
to figure out what that software did,
140
373607
2055
să vadă ce făcea programul,
06:27
and then they found vulnerabilities in that software,
141
375662
3041
apoi au găsit breşe în program,
prin care au creat programe de exploatare.
prin care au creat programe de exploatare.
06:30
and then they built exploits to exploit those.
142
378703
3346
06:34
They actually carried out their attack in real life.
143
382049
2382
Au atacat în realitate.
06:36
They bought two cars, and I guess
144
384431
1350
Au cumpărat două mașini
– au avut un buget mai mare decât al meu.
– au avut un buget mai mare decât al meu.
06:37
they have better budgets than I do.
145
385781
2918
06:40
The first threat model was to see what someone could do
146
388699
2590
Primul studiu a fost să vedem
ce ar putea face un atacator,
ce ar putea face un atacator,
06:43
if an attacker actually got access
147
391289
2144
dacă ar avea acces
la rețeaua internă a mașinii.
la rețeaua internă a mașinii.
06:45
to the internal network on the car.
148
393433
2053
06:47
Okay, so think of that as, someone gets to go to your car,
149
395486
2603
Gândiți-vă că cineva
ar avea acces la mașină,
ar avea acces la mașină,
06:50
they get to mess around with it, and then they leave,
150
398089
2904
și-ar face de cap cu ea, apoi ar pleca.
Ce probleme aţi avea?
Ce probleme aţi avea?
06:52
and now, what kind of trouble are you in?
151
400993
2368
06:55
The other threat model is that they contact you
152
403361
2792
Cealaltă cercetare a realizat
contact wireless în timp real,
contact wireless în timp real,
06:58
in real time over one of the wireless networks
153
406153
2457
prin intermediul celularului
sau ceva asemenea,
sau ceva asemenea,
07:00
like the cellular, or something like that,
154
408610
2055
07:02
never having actually gotten physical access to your car.
155
410665
4000
fără niciun fel de acces fizic la mașină.
07:06
This is what their setup looks like for the first model,
156
414665
2824
Ăsta e aranjamentul pentru primul caz,
când au avut acces la mașină.
când au avut acces la mașină.
07:09
where you get to have access to the car.
157
417489
1683
07:11
They put a laptop, and they connected to the diagnostic unit
158
419172
3387
Au conectat un laptop
la unitatea de diagnoză a maşinii
la unitatea de diagnoză a maşinii
07:14
on the in-car network, and they did all kinds of silly things,
159
422559
2939
şi-au făcut tot felul de trăznăi
cum ar fi cea din poză,
cum ar fi cea din poză,
07:17
like here's a picture of the speedometer
160
425498
2783
în care vitezometrul arată 140 mile/oră
când mașina e parcată.
când mașina e parcată.
07:20
showing 140 miles an hour when the car's in park.
161
428281
2816
07:23
Once you have control of the car's computers,
162
431097
2373
Odată ce ai acces la computerele mașinii,
poţi face orice.
poţi face orice.
07:25
you can do anything.
163
433470
919
07:26
Now you might say, "Okay, that's silly."
164
434389
1616
Ați putea crede că e o prostie.
07:28
Well, what if you make the car always say
165
436005
1659
Dar dacă cineva ar face ca mașina să arate
că merge cu 20 de mile/oră mai încet?
că merge cu 20 de mile/oră mai încet?
07:29
it's going 20 miles an hour slower than it's actually going?
166
437664
2741
07:32
You might produce a lot of speeding tickets.
167
440405
2542
S-ar lăsa cu amenzi.
07:34
Then they went out to an abandoned airstrip with two cars,
168
442947
3856
Au ieșit pe o pistă de avioane abandonată
cu două mașini,
cu două mașini,
07:38
the target victim car and the chase car,
169
446803
2745
mașina victimă și mașina de urmărire
și au lansat mai multe atacuri.
și au lansat mai multe atacuri.
07:41
and they launched a bunch of other attacks.
170
449548
2746
07:44
One of the things they were able to do from the chase car
171
452294
2766
Din mașina de urmărire
au acţionat frânele celeilalte maşini,
au acţionat frânele celeilalte maşini,
07:47
is apply the brakes on the other car,
172
455060
1974
07:49
simply by hacking the computer.
173
457034
1560
doar prin atacarea computerului.
Au putut dezactiva frânele.
Au putut dezactiva frânele.
07:50
They were able to disable the brakes.
174
458594
2431
07:53
They also were able to install malware that wouldn't kick in
175
461025
3178
Au instalat programe de virusare
care se declanşau doar când, de exemplu,
maşina trecea de 20 mile/oră sau aşa ceva.
maşina trecea de 20 mile/oră sau aşa ceva.
07:56
and wouldn't trigger until the car was doing something like
176
464203
2425
07:58
going over 20 miles an hour, or something like that.
177
466628
3746
08:02
The results are astonishing, and when they gave this talk,
178
470374
2758
Rezultatele au fost uimitoare
și când le-au prezentat
și când le-au prezentat
08:05
even though they gave this talk at a conference
179
473132
1716
– deși conferința viza cercetători
în securitatea informatică –
în securitatea informatică –
08:06
to a bunch of computer security researchers,
180
474848
1726
08:08
everybody was gasping.
181
476574
1700
toţi au rămas gură-cască.
08:10
They were able to take over a bunch of critical computers
182
478274
3699
Au preluat controlul asupra mai multor
componente vitale ale mașinii:
componente vitale ale mașinii:
08:13
inside the car: the brakes computer, the lighting computer,
183
481973
3761
frânele, iluminarea, motorul,
bordul, radioul etc.,
bordul, radioul etc.,
08:17
the engine, the dash, the radio, etc.,
184
485734
2827
08:20
and they were able to perform these on real commercial
185
488561
2293
și au făcut asta unor mașini din comerţ,
folosind reţeaua radio.
folosind reţeaua radio.
08:22
cars that they purchased using the radio network.
186
490854
3027
08:25
They were able to compromise every single one of the
187
493881
3003
Au reușit să compromită
fiecare program de software
fiecare program de software
08:28
pieces of software that controlled every single one
188
496884
2466
ce controlează wireless
fiecare abilitate a maşinii.
fiecare abilitate a maşinii.
08:31
of the wireless capabilities of the car.
189
499350
3015
08:34
All of these were implemented successfully.
190
502365
2513
Toate atacurile au avut succes.
08:36
How would you steal a car in this model?
191
504878
2352
Cum ai fura o mașină
după această schemă?
după această schemă?
08:39
Well, you compromise the car by a buffer overflow
192
507230
3680
Compromiți mașina printr-o vulnerabilitate
tip buffer overflow sau ceva asemănător.
tip buffer overflow sau ceva asemănător.
08:42
of vulnerability in the software, something like that.
193
510910
2527
08:45
You use the GPS in the car to locate it.
194
513437
2203
Folosești GPS-ul ca să localizezi maşina,
08:47
You remotely unlock the doors through the computer
195
515640
2195
descui ușa de la distanță,
accesând computerul care face asta,
accesând computerul care face asta,
08:49
that controls that, start the engine, bypass anti-theft,
196
517835
3138
pornești motorul,
şuntezi sistemul anti-furt și ai mașină.
şuntezi sistemul anti-furt și ai mașină.
08:52
and you've got yourself a car.
197
520973
1668
08:54
Surveillance was really interesting.
198
522641
2487
Supravegherea a fost foarte interesantă.
08:57
The authors of the study have a video where they show
199
525128
3209
Autorii studiilor au un video
cu ei preluând controlul unei maşini,
cu ei preluând controlul unei maşini,
09:00
themselves taking over a car and then turning on
200
528337
2549
pornind microfonul
şi ascultând ce se vorbeşte
şi ascultând ce se vorbeşte
09:02
the microphone in the car, and listening in on the car
201
530886
2761
09:05
while tracking it via GPS on a map,
202
533647
3351
în timp ce o urmăresc prin GPS pe hartă.
09:08
and so that's something that the drivers of the car
203
536998
1713
Şoferul nu şi-ar da seama
că se întâmăplă aşa ceva.
că se întâmăplă aşa ceva.
09:10
would never know was happening.
204
538711
2168
09:12
Am I scaring you yet?
205
540879
2134
Încep să vă sperii?
09:15
I've got a few more of these interesting ones.
206
543013
1943
Mai am din astea, interesante.
09:16
These are ones where I went to a conference,
207
544956
1833
Astea sunt de la o conferință
la care am rămas uimit
la care am rămas uimit
09:18
and my mind was just blown, and I said,
208
546789
1933
şi mi-am zis
că trebuie să povestesc și altora.
că trebuie să povestesc și altora.
09:20
"I have to share this with other people."
209
548722
1826
09:22
This was Fabian Monrose's lab
210
550548
1623
E fostul laborator al lui Fabian Monrose
de la Universitatea din Carolina de Nord.
de la Universitatea din Carolina de Nord.
09:24
at the University of North Carolina, and what they did was
211
552171
3456
Au făcut ceva uşor de intuit ce e,
după ce-l vezi, dar totuşi surprinzător.
după ce-l vezi, dar totuşi surprinzător.
09:27
something intuitive once you see it,
212
555627
2075
09:29
but kind of surprising.
213
557702
1714
09:31
They videotaped people on a bus,
214
559416
2259
Au filmat oamenii din autobuz
și au post-procesat videoul.
și au post-procesat videoul.
09:33
and then they post-processed the video.
215
561675
2840
09:36
What you see here in number one is a
216
564515
2463
Aici, la numărul unu,
09:38
reflection in somebody's glasses of the smartphone
217
566978
4383
e reflexia unui smartphone în ochelarii
celui care scria un mesaj.
celui care scria un mesaj.
09:43
that they're typing in.
218
571361
1425
09:44
They wrote software to stabilize --
219
572786
1975
Au scris un program de stabilizare
– deşi era vorba de oameni în autobuz
– deşi era vorba de oameni în autobuz
09:46
even though they were on a bus
220
574761
1365
09:48
and maybe someone's holding their phone at an angle --
221
576126
3211
și poate cineva ținea telefonul
sub un unghi –
sub un unghi –
09:51
to stabilize the phone, process it, and
222
579337
2370
ca să stabilizeze telefonul,
să proceseze informaţiile și,
să proceseze informaţiile și,
09:53
you may know on your smartphone, when you type
223
581707
1885
– ați observat la smartphone-uri,
09:55
a password, the keys pop out a little bit, and they were able
224
583592
2939
când introduci parola,
ce scrii apare o fracțiune de secundă –
ce scrii apare o fracțiune de secundă –
09:58
to use that to reconstruct what the person was typing,
225
586531
2840
şi s-au folosit de asta
să reconstituie ce scria persoana,
să reconstituie ce scria persoana,
10:01
and had a language model for detecting typing.
226
589371
4321
cu ajutorul unui model de limbaj
pentru a descifra ce se scria.
pentru a descifra ce se scria.
10:05
What was interesting is, by videotaping on a bus,
227
593692
2335
Interesant că, filmând în autobuz,
10:08
they were able to produce exactly what people
228
596027
2129
au putut reproduce exact ce scriau
oamenii pe smartphone-uri
oamenii pe smartphone-uri
10:10
on their smartphones were typing,
229
598156
2151
10:12
and then they had a surprising result, which is that
230
600307
2260
și au avut și o surpriză:
10:14
their software had not only done it for their target,
231
602567
2764
programul lor a făcut asta atât ţintei,
cât și altora prinşi accidental în cadru.
cât și altora prinşi accidental în cadru.
10:17
but other people who accidentally happened
232
605331
1403
10:18
to be in the picture, they were able to produce
233
606734
2086
Au putut reproduce ce scriau
acele persoane,
acele persoane,
10:20
what those people had been typing, and that was kind of
234
608820
2727
acesta fiind un fel de artefact accidental
a ceea ce putea face programul lor.
a ceea ce putea face programul lor.
10:23
an accidental artifact of what their software was doing.
235
611547
3617
10:27
I'll show you two more. One is P25 radios.
236
615164
4303
Vă mai arăt două.
Una e despre stațiile P25,
folosite de organe de ordine,
folosite de organe de ordine,
10:31
P25 radios are used by law enforcement
237
619467
2800
10:34
and all kinds of government agencies
238
622267
3407
de tot felul de agenții guvernamentale
și în operațiuni de luptă.
și în operațiuni de luptă.
10:37
and people in combat to communicate,
239
625674
1736
10:39
and there's an encryption option on these phones.
240
627410
2833
Aceste telefoane
au opțiunea de a fi codate.
au opțiunea de a fi codate.
10:42
This is what the phone looks like. It's not really a phone.
241
630243
2728
Așa arată. Nu-s chiar telefoane.
Sunt ca nişte staţii de emisie-recepţie.
Sunt ca nişte staţii de emisie-recepţie.
10:44
It's more of a two-way radio.
242
632971
1206
10:46
Motorola makes the most widely used one, and you can see
243
634177
3322
Motorola sunt cele mai folosite.
Sunt folosite de Serviciile Secrete,
în luptă, răspândite în SUA și peste tot.
în luptă, răspândite în SUA și peste tot.
10:49
that they're used by Secret Service, they're used in combat,
244
637499
2649
10:52
it's a very, very common standard in the U.S. and elsewhere.
245
640148
3102
10:55
So one question the researchers asked themselves is,
246
643250
2305
Cercetătorii s-au întrebat
dacă le pot bloca.
dacă le pot bloca.
10:57
could you block this thing, right?
247
645555
2704
Dacă le-ar putea suspenda activitatea,
ei fiind primii repondenţi la intervenţii.
ei fiind primii repondenţi la intervenţii.
11:00
Could you run a denial-of-service,
248
648259
1583
11:01
because these are first responders?
249
649842
1824
11:03
So, would a terrorist organization want to black out the
250
651666
1801
Ar putea o grupare teroristă să stopeze
comunicarea poliţiei şi pompierilor
comunicarea poliţiei şi pompierilor
11:05
ability of police and fire to communicate at an emergency?
251
653467
4488
în cazurile de urgență?
11:09
They found that there's this GirlTech device used for texting
252
657955
3072
Au găsit dispozitiv pentru mesaje text,
numit GirlTech,
numit GirlTech,
11:13
that happens to operate at the same exact frequency
253
661027
2718
care funcționează
pe aceeași frecvență ca şi P25.
pe aceeași frecvență ca şi P25.
11:15
as the P25, and they built what they called
254
663745
2271
Şi au construit ceva numit
Prima Mea Stație de Bruiaj.
Prima Mea Stație de Bruiaj.
11:18
My First Jammer. (Laughter)
255
666016
4334
(Râsete)
11:22
If you look closely at this device,
256
670350
2378
Dacă priviți atent aparatul,
11:24
it's got a switch for encryption or cleartext.
257
672728
3630
vedeți că are un buton
pentru text codat sau simplu.
pentru text codat sau simplu.
11:28
Let me advance the slide, and now I'll go back.
258
676358
3050
Trec la diapozitivul următor și revin.
11:31
You see the difference?
259
679408
2547
Vedeți diferența?
11:33
This is plain text. This is encrypted.
260
681955
2557
Ăsta e text simplu.
Ăsta e codat.
Ăsta e codat.
11:36
There's one little dot that shows up on the screen,
261
684512
2557
Apare un punct mic pe ecran
la o simplă comutare a butonului.
la o simplă comutare a butonului.
11:39
and one little tiny turn of the switch.
262
687069
2085
11:41
And so the researchers asked themselves, "I wonder how
263
689154
1904
Cercetătorii s-au întrebat de câte ori,
conversaţii confidenţiale şi importante
conversaţii confidenţiale şi importante
11:43
many times very secure, important, sensitive conversations
264
691058
4257
11:47
are happening on these two-way radios where they forget
265
695315
1623
se petrec între două staţii şi ei uită
sau nu observă că nu le-au codificat?
sau nu observă că nu le-au codificat?
11:48
to encrypt and they don't notice that they didn't encrypt?"
266
696938
2910
11:51
So they bought a scanner. These are perfectly legal
267
699848
3339
Au cumpărat legal un scaner
și l-au reglat pe frecvența stațiilor P25.
și l-au reglat pe frecvența stațiilor P25.
11:55
and they run at the frequency of the P25,
268
703187
3458
11:58
and what they did is they hopped around frequencies
269
706645
1767
Au sărit la diferite frecvențe
și au scris un program să le asculte.
și au scris un program să le asculte.
12:00
and they wrote software to listen in.
270
708412
2510
12:02
If they found encrypted communication, they stayed
271
710922
2634
Dacă dădeau peste comunicări codate,
au rămas pe acea frecvență și au notat-o,
au rămas pe acea frecvență și au notat-o,
12:05
on that channel and they wrote down, that's a channel
272
713556
1686
12:07
that these people communicate in,
273
715242
1788
fiind frecvența pe care comunică
aceste agenții de ordine publică.
aceste agenții de ordine publică.
12:09
these law enforcement agencies,
274
717030
1622
12:10
and they went to 20 metropolitan areas and listened in
275
718652
3391
Apoi, în 20 de zone metropolitane,
au ascultat conversațiile
au ascultat conversațiile
12:14
on conversations that were happening at those frequencies.
276
722043
3475
ce se derulau pe aceste frecvențe.
12:17
They found that in every metropolitan area,
277
725518
3239
Au constatat
că în fiecare zonă metropolitană
că în fiecare zonă metropolitană
12:20
they would capture over 20 minutes a day
278
728757
2154
puteau intercepta peste 20 de minute/ zi
de comunicare necodată.
de comunicare necodată.
12:22
of cleartext communication.
279
730911
2375
12:25
And what kind of things were people talking about?
280
733286
2000
Despre ce se vorbea?
12:27
Well, they found the names and information
281
735286
1484
Nume și informații
despre informatori confidențiali,
despre informatori confidențiali,
12:28
about confidential informants. They found information
282
736770
2852
informații care fuseseră înregistrate
în convorbiri supravegheate,
în convorbiri supravegheate,
12:31
that was being recorded in wiretaps,
283
739622
2202
12:33
a bunch of crimes that were being discussed,
284
741824
2710
discuții despre o mulțime de delicte,
informații confidențiale.
informații confidențiale.
12:36
sensitive information.
285
744534
1162
12:37
It was mostly law enforcement and criminal.
286
745696
3363
În mare parte, informații
despre respectarea legii și delicte.
despre respectarea legii și delicte.
12:41
They went and reported this to the law enforcement
287
749059
1834
Au raportat asta agențiilor,
după ce le-au făcut anonime.
după ce le-au făcut anonime.
12:42
agencies, after anonymizing it,
288
750893
2023
12:44
and the vulnerability here is simply the user interface
289
752916
3000
Vulnerabilitatea aici era că interfața
utilizatorului nu era adecvată.
utilizatorului nu era adecvată.
12:47
wasn't good enough. If you're talking
290
755916
1394
Dacă vorbești despre lucruri confidențiale
12:49
about something really secure and sensitive, it should
291
757310
2816
12:52
be really clear to you that this conversation is encrypted.
292
760126
3293
trebuie să-ţi fie clar
că informaţia e codată.
că informaţia e codată.
12:55
That one's pretty easy to fix.
293
763419
1886
Asta a fost uşor de remediat.
12:57
The last one I thought was really, really cool,
294
765305
1669
Ultima cred că e foarte tare
și trebuie să v-o arăt.
și trebuie să v-o arăt.
12:58
and I just had to show it to you, it's probably not something
295
766974
2813
Probabil că veți dormi liniștiţi,
nu ca şi cu mașinile sau defibrilatoarele.
nu ca şi cu mașinile sau defibrilatoarele.
13:01
that you're going to lose sleep over
296
769787
1005
13:02
like the cars or the defibrillators,
297
770792
1791
13:04
but it's stealing keystrokes.
298
772583
3023
E despre cum să furi ce se tastează.
13:07
Now, we've all looked at smartphones upside down.
299
775606
2747
Cu toții ne-am uitat la smartphone-uri
pe toate părțile.
pe toate părțile.
Orice expert în securitate vrea
să penetreze un smartphone
să penetreze un smartphone
13:10
Every security expert wants to hack a smartphone,
300
778353
2190
13:12
and we tend to look at the USB port, the GPS for tracking,
301
780543
4612
și încercăm prin USB, GPS-ul
pentru urmărire, camera, microfonul,
pentru urmărire, camera, microfonul,
13:17
the camera, the microphone, but no one up till this point
302
785155
3208
dar până acum,
nimeni n-a încercat prin accelerometru.
nimeni n-a încercat prin accelerometru.
13:20
had looked at the accelerometer.
303
788363
1580
13:21
The accelerometer is the thing that determines
304
789943
1647
Accelerometrul determină
orientarea verticală a telefonului.
orientarea verticală a telefonului.
13:23
the vertical orientation of the smartphone.
305
791590
3494
Au făcut un aranjament simplu.
13:27
And so they had a simple setup.
306
795084
1417
13:28
They put a smartphone next to a keyboard,
307
796501
2758
Au pus un telefon lângă o tastatură
și au invitat lumea să tasteze,
și au invitat lumea să tasteze,
13:31
and they had people type, and then their goal was
308
799259
2712
cu scopul de a folosi
vibrațiile date de tastare
vibrațiile date de tastare
13:33
to use the vibrations that were created by typing
309
801971
2856
13:36
to measure the change in the accelerometer reading
310
804827
4240
ca să măsoare devierea accelerometrului
pentru a determina ce tastase persoana.
pentru a determina ce tastase persoana.
13:41
to determine what the person had been typing.
311
809067
3176
13:44
Now, when they tried this on an iPhone 3GS,
312
812243
2576
Au încercat asta cu un iPhone 3GS.
13:46
this is a graph of the perturbations that were created
313
814819
2769
Acesta e graficul perturbațiilor
create de tastare
create de tastare
13:49
by the typing, and you can see that it's very difficult
314
817588
3241
și vedeți că e foarte dificil
să se determine când sau ce se tastează.
să se determine când sau ce se tastează.
13:52
to tell when somebody was typing or what they were typing,
315
820829
3078
13:55
but the iPhone 4 greatly improved the accelerometer,
316
823907
3090
Dar iPhone 4 are un accelerometru
mult îmbunătățit
mult îmbunătățit
13:58
and so the same measurement
317
826997
3480
și aceeași măsurătoare
a generat acest grafic.
a generat acest grafic.
14:02
produced this graph.
318
830477
1832
14:04
Now that gave you a lot of information while someone
319
832309
2486
Ai aici multe informații
în timp ce se tastează.
în timp ce se tastează.
14:06
was typing, and what they did then is used advanced
320
834795
3241
Apoi au folosit tehnici
de inteligență artificială
de inteligență artificială
14:10
artificial intelligence techniques called machine learning
321
838036
3007
numite „machine learning”
pentru etapa de antrenare.
pentru etapa de antrenare.
14:13
to have a training phase,
322
841043
1431
14:14
and so they got most likely grad students
323
842474
2236
Au pus probabil studenți
să tasteze tot felul de lucruri,
să tasteze tot felul de lucruri,
14:16
to type in a whole lot of things, and to learn,
324
844710
3789
pentru ca sistemul să înveţe,
folosind programele de învăţare existente,
folosind programele de învăţare existente,
14:20
to have the system use the machine learning tools that
325
848499
2768
14:23
were available to learn what it is that the people were typing
326
851267
2863
ce tastează oamenii şi să le combine
cu măsurătorile accelerometrului.
cu măsurătorile accelerometrului.
14:26
and to match that up
327
854130
2827
14:28
with the measurements in the accelerometer.
328
856957
2477
14:31
And then there's the attack phase, where you get
329
859434
1635
Apoi, în etapa de atac,
cineva tastează ceva, nu știi ce,
cineva tastează ceva, nu știi ce,
14:33
somebody to type something in, you don't know what it was,
330
861069
2811
14:35
but you use your model that you created
331
863880
1297
dar folosești modelul
creat în etapa de antrenare
creat în etapa de antrenare
14:37
in the training phase to figure out what they were typing.
332
865177
3442
să-ţi dai seama ce au tastat.
14:40
They had pretty good success. This is an article from the USA Today.
333
868619
3484
Succesul a fost destul de mare.
Acesta e un articol din USA Today.
Acesta e un articol din USA Today.
14:44
They typed in, "The Illinois Supreme Court has ruled
334
872103
2609
Au tastat: „Curtea Supremă
a statului Illinois a decis
a statului Illinois a decis
14:46
that Rahm Emanuel is eligible to run for Mayor of Chicago"
335
874712
2962
că Rahm Emanuel poate candida
la funcția de primar în Chicago”
la funcția de primar în Chicago”
14:49
— see, I tied it in to the last talk —
336
877674
1354
– leg de citatul precedent –
„și i-a ordonat să rămână în cursă.”
„și i-a ordonat să rămână în cursă.”
14:51
"and ordered him to stay on the ballot."
337
879028
2118
14:53
Now, the system is interesting, because it produced
338
881146
2771
Interesant că sistemul generează
Illinois... Supremă”
Illinois... Supremă”
14:55
"Illinois Supreme" and then it wasn't sure.
339
883917
2886
și nu e sigur ce e între,
aşa că oferă mai multe opţiuni.
aşa că oferă mai multe opţiuni.
14:58
The model produced a bunch of options,
340
886803
1950
15:00
and this is the beauty of some of the A.I. techniques,
341
888753
2709
Asta e frumusețea tehnicilor de I.A.:
15:03
is that computers are good at some things,
342
891462
2250
calculatoarele sunt bune la ceva,
oamenii la altceva.
oamenii la altceva.
15:05
humans are good at other things,
343
893712
1534
Ia cea mai bună variantă, lăsând oamenii
să decidă, fără să rulezi inutil programe.
să decidă, fără să rulezi inutil programe.
15:07
take the best of both and let the humans solve this one.
344
895246
1931
15:09
Don't waste computer cycles.
345
897177
1382
15:10
A human's not going to think it's the Supreme might.
346
898559
2136
Un om nu va crede că e „Puterea Supremă”.
E „Curtea Supremă”, nu?
E „Curtea Supremă”, nu?
15:12
It's the Supreme Court, right?
347
900695
1740
15:14
And so, together we're able to reproduce typing
348
902435
2530
Aşa că se poate reproduce ce s-a tastat,
doar prin măsurători cu accelerometrul.
doar prin măsurători cu accelerometrul.
15:16
simply by measuring the accelerometer.
349
904965
2949
Ce importanță are asta?
15:19
Why does this matter? Well, in the Android platform,
350
907914
3502
De exemplu, la platforma Android,
producătorii au un manifest
producătorii au un manifest
15:23
for example, the developers have a manifest
351
911416
4133
15:27
where every device on there, the microphone, etc.,
352
915564
2584
prin care fiecare componentă
microfonul etc,,
microfonul etc,,
15:30
has to register if you're going to use it
353
918148
1956
trebuie înregistrată
dacă urmează s-o foloseşti,
dacă urmează s-o foloseşti,
15:32
so that hackers can't take over it,
354
920104
2316
ca atacatorii să nu poată
prelua controlul,
prelua controlul,
15:34
but nobody controls the accelerometer.
355
922420
3108
dar nimeni
nu controlează accelerometrul.
nu controlează accelerometrul.
15:37
So what's the point? You can leave your iPhone next to
356
925528
2216
Idea e că poți lăsa un iPhone
lângă tastatura cuiva, pleci
lângă tastatura cuiva, pleci
15:39
someone's keyboard, and just leave the room,
357
927744
2106
şi mai apoi afli ce au făcut,
fără să foloseşti măcar un microfon.
fără să foloseşti măcar un microfon.
15:41
and then later recover what they did,
358
929850
1639
15:43
even without using the microphone.
359
931489
1711
Dacă cineva instalează
un virus în iPhone-ul tău,
un virus în iPhone-ul tău,
15:45
If someone is able to put malware on your iPhone,
360
933200
2174
15:47
they could then maybe get the typing that you do
361
935374
2848
poate afla ce tastezi când îţi laşi
iPhone-ul lângă tastatură.
iPhone-ul lângă tastatură.
15:50
whenever you put your iPhone next to your keyboard.
362
938222
2321
15:52
There's several other notable attacks that unfortunately
363
940543
2271
Sunt și alte atacuri notabile pe care,
din lipsă de timp, nu le amintesc,
din lipsă de timp, nu le amintesc,
15:54
I don't have time to go into, but the one that I wanted
364
942814
2131
dar mai menționez cel al unui grup
de la Universitatea din Michigan,
de la Universitatea din Michigan,
15:56
to point out was a group from the University of Michigan
365
944945
2277
15:59
which was able to take voting machines,
366
947222
2441
care au luat aparatele de vot
Sequoia AVC Edge DRE,
Sequoia AVC Edge DRE,
16:01
the Sequoia AVC Edge DREs that
367
949663
2498
ce urmau să fie folosite în alegerile
din New Jersey şi stăteau pe hol
din New Jersey şi stăteau pe hol
16:04
were going to be used in New Jersey in the election
368
952161
1555
16:05
that were left in a hallway, and put Pac-Man on it.
369
953716
2161
şi-au instalat pe ele Pac-Man,
aşa că rulau jocul Pac-Man.
aşa că rulau jocul Pac-Man.
16:07
So they ran the Pac-Man game.
370
955877
3623
16:11
What does this all mean?
371
959500
1747
Ce înseamnă asta?
16:13
Well, I think that society tends to adopt technology
372
961247
3647
Cred că societatea tinde
să adopte tehnologia foarte repede:
să adopte tehnologia foarte repede:
16:16
really quickly. I love the next coolest gadget.
373
964894
2824
„Îmi place următorul dispozitiv şmecher.”
16:19
But it's very important, and these researchers are showing,
374
967718
2614
Dar e important
și acești cercetători au demonstrat-o,
și acești cercetători au demonstrat-o,
16:22
that the developers of these things
375
970332
1360
că creatorii acestor lucruri
16:23
need to take security into account from the very beginning,
376
971692
2865
trebuie să ia în calcul siguranța,
chiar de la început
chiar de la început
16:26
and need to realize that they may have a threat model,
377
974557
2785
și să-și dea seama că poate exista
un model de amenințare,
un model de amenințare,
16:29
but the attackers may not be nice enough
378
977342
2462
dar atacatorii pot să nu fie chiar drăguți
şi să se limiteze doar la acea ameninţare,
şi să se limiteze doar la acea ameninţare,
16:31
to limit themselves to that threat model,
379
979804
1777
16:33
and so you need to think outside of the box.
380
981581
2537
şi că trebuie să gândească neconvențional.
16:36
What we can do is be aware
381
984118
1578
Trebuie să fim conștienți
că aparatele pot fi compromise
că aparatele pot fi compromise
16:37
that devices can be compromised,
382
985696
2479
16:40
and anything that has software in it
383
988175
1699
și că orice are integrat un program
va fi vulnerabil şi va avea viruşi.
va fi vulnerabil şi va avea viruşi.
16:41
is going to be vulnerable. It's going to have bugs.
384
989874
2649
16:44
Thank you very much. (Applause)
385
992523
3497
Mulțumesc mult. (Aplauze)
ABOUT THE SPEAKER
Avi Rubin - Computer security expertAvi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records.
Why you should listen
Along with running the Health and Medical Security Lab, Avi Rubin is also the technical director of the JHU Information Security Institute. From 1997 to 2002, Avi was a researcher in AT&T’s Secure Systems Department, where he focused on cryptography and network security. He is also the founder of Harbor Labs, which provides expert testimony and review in legal cases related to high tech security. Avi has authored several books related to electronic security, including Brave New Ballot, published in 2006.
Avi Rubin | Speaker | TED.com