ABOUT THE SPEAKER
Avi Rubin - Computer security expert
Avi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records.

Why you should listen

Along with running the Health and Medical Security Lab, Avi Rubin is also the technical director of the JHU Information Security Institute. From 1997 to 2002, Avi was a researcher in AT&T’s Secure Systems Department, where he focused on cryptography and network security. He is also the founder of Harbor Labs, which provides expert testimony and review in legal cases related to high tech security. Avi has authored several books related to electronic security, including Brave New Ballot, published in 2006.

More profile about the speaker
Avi Rubin | Speaker | TED.com
TEDxMidAtlantic

Avi Rubin: All your devices can be hacked

Avi Rubin: Al je apparaten kunnen gehackt worden

Filmed:
1,251,015 views

Kan iemand je pacemaker hacken? Avi Rubin legt uit hoe hackers auto's, smartphones en medische apparatuur aanvallen, en waarschuwt ons voor de gevaren van een steeds makkelijker hack-bare wereld. (Opgenomen tijdens TEDxMidAtlantic.)
- Computer security expert
Avi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records. Full bio

Double-click the English transcript below to play the video.

00:12
I'm a computercomputer sciencewetenschap professorprofessor,
0
588
3031
Ik ben hoogleraar computerwetenschappen
00:15
and my areaGebied of expertiseexpertise is
1
3619
2313
en mijn vakgebied is
computer- en informatiebeveiliging.
00:17
computercomputer and informationinformatie securityveiligheid.
2
5932
2199
en mijn vakgebied is
computer- en informatiebeveiliging.
00:20
When I was in graduateafstuderen schoolschool-,
3
8131
2320
Toen ik promovendus was,
00:22
I had the opportunitykans to overhearhoren my grandmothergrootmoeder
4
10451
2601
hoorde ik mijn oma een keer uitleggen
00:25
describingbeschrijven to one of her fellowkameraad seniorsenior citizensburgers
5
13052
4134
aan een leeftijdgenoot
00:29
what I did for a livingleven.
6
17186
2369
welk beroep ik had.
00:31
ApparentlyBlijkbaar, I was in chargein rekening brengen of makingmaking sure that
7
19555
3562
Ik zag er klaarblijkelijk op toe
00:35
no one stolestal the computerscomputers from the universityUniversiteit. (LaughterGelach)
8
23117
3900
dat niemand de computers stal
op de universiteit. (Gelach)
00:39
And, you know, that's a perfectlyvolmaakt reasonableredelijk thing
9
27017
2744
Dat was een volstrekt redelijke aanname,
00:41
for her to think, because I told her I was workingwerkend
10
29761
1920
want ik had haar verteld dat ik werkte
00:43
in computercomputer securityveiligheid,
11
31681
1507
in de computerbeveiliging.
00:45
and it was interestinginteressant to get her perspectiveperspectief.
12
33188
3597
Het was interessant
om haar perspectief daarop te horen.
00:48
But that's not the mostmeest ridiculousbelachelijk thing I've ever heardgehoord
13
36785
2617
Maar dat was niet het meest lachwekkende
wat ik ooit iemand
00:51
anyoneiedereen say about my work.
14
39402
2017
over mijn werk heb horen zeggen.
00:53
The mostmeest ridiculousbelachelijk thing I ever heardgehoord is,
15
41419
2284
Dat was
00:55
I was at a dinneravondeten partyfeest, and a womanvrouw heardgehoord
16
43703
3134
tijdens een etentje,
waar een vrouw hoorde
00:58
that I work in computercomputer securityveiligheid,
17
46837
1783
dat ik in de computerbeveiliging werkte,
01:00
and she askedgevraagd me if -- she said her computercomputer had been
18
48620
3517
en me vertelde dat haar computer
01:04
infectedbesmet by a virusvirus, and she was very concernedbezorgd that she
19
52137
3436
geïnfecteerd was door een virus,
en ze erg bezorgd was
01:07
mightmacht get sickziek from it, that she could get this virusvirus. (LaughterGelach)
20
55573
3951
dat ze aangestoken zou worden.
(Gelach)
01:11
And I'm not a doctordoctor, but I reassuredgerustgesteld her
21
59524
2943
Nu ben ik geen dokter,
maar ik verzekerde haar
01:14
that it was very, very unlikelyonwaarschijnlijk that this would happengebeuren,
22
62467
3144
dat dit hoogstwaarschijnlijk niet ging gebeuren,
01:17
but if she feltvoelde more comfortablecomfortabel, she could be freegratis to use
23
65611
2801
maar dat ze gerust
latex handschoenen mocht gebruiken
01:20
latexlatex gloveshandschoenen when she was on the computercomputer,
24
68412
1848
terwijl ze op de computer bezig was,
01:22
and there would be no harmkwaad whatsoeverwat in that.
25
70260
3392
zonder dat dit negatieve gevolgen zou hebben.
01:25
I'm going to get back to this notionbegrip of beingwezen ablein staat to get
26
73652
2507
Ik zal nog eens terugkomen op dat idee
01:28
a virusvirus from your computercomputer, in a seriousernstig way.
27
76159
3508
om aangestoken te worden door je computer,
maar dan serieus.
01:31
What I'm going to talk to you about todayvandaag
28
79667
1640
Vandaag ga ik het hebben
over hacks, echte cyberaanvallen
01:33
are some hackshacks, some realecht worldwereld- cyberattackscyberaanvallen that people
29
81307
4846
Vandaag ga ik het hebben
over hacks, echte cyberaanvallen
01:38
in my communitygemeenschap, the academicacademische researchOnderzoek communitygemeenschap,
30
86153
2554
die mensen uit de
academische onderzoeksgemeenschap
01:40
have performeduitgevoerd, whichwelke I don't think
31
88707
2794
hebben uitgevoerd
en waar de meeste mensen
01:43
mostmeest people know about,
32
91501
1208
nog nooit van gehoord hebben.
01:44
and I think they're very interestinginteressant and scaryeng,
33
92709
3028
Ik vind ze erg interessant en eng.
01:47
and this talk is kindsoort of a greatestbeste hitstreffers
34
95737
2441
Deze talk is een soort top tien
01:50
of the academicacademische securityveiligheid community'sgemeenschap hackshacks.
35
98178
2991
van hacks door de beveiligingsgemeenschap.
01:53
NoneGeen of the work is my work. It's all work
36
101169
1987
Niets hiervan is mijn eigen werk.
01:55
that my colleaguescollega's have donegedaan, and I actuallywerkelijk askedgevraagd them
37
103156
2174
Het is uitgevoerd door mijn collega's.
01:57
for theirhun slidesslides and incorporatedopgenomen them into this talk.
38
105330
2557
Hun dia's zitten in deze talk verwerkt.
01:59
So the first one I'm going to talk about
39
107887
1742
Als eerste ga ik het hebben over
02:01
are implantedgeïmplanteerd medicalmedisch devicesapparaten.
40
109629
2674
geïmplanteerde medische apparatuur.
02:04
Now medicalmedisch devicesapparaten have come a long way technologicallytechnologisch.
41
112303
3040
Medische apparatuur heeft
een lange ontwikkelingsgang achter de rug.
02:07
You can see in 1926 the first pacemakerpacemaker was inventeduitgevonden.
42
115343
3856
In 1926 werd de eerste pacemaker uitgevonden.
02:11
1960, the first internalintern pacemakerpacemaker was implantedgeïmplanteerd,
43
119199
3552
In 1960 werd de eerste geïmplanteerd
02:14
hopefullyhopelijk a little smallerkleiner than that one that you see there,
44
122751
2552
-- hopelijk een kleinere dan je hier ziet --
02:17
and the technologytechnologie has continuedvervolgd to moveverhuizing forwardvooruit.
45
125303
2968
en de technologie bleef zich ontwikkelen.
02:20
In 2006, we hitraken an importantbelangrijk milestonemijlpaal from the perspectiveperspectief
46
128271
4633
In 2006 bereikten we een mijlpaal
op het gebied van computerbeveiliging.
02:24
of computercomputer securityveiligheid.
47
132904
3167
In 2006 bereikten we een mijlpaal
op het gebied van computerbeveiliging.
02:28
And why do I say that?
48
136071
1341
Waarom zeg ik dat?
02:29
Because that's when implantedgeïmplanteerd devicesapparaten insidebinnen of people
49
137412
2890
Omdat geïmplanteerde apparatuur toen
02:32
startedbegonnen to have networkingnetwerken capabilitiesmogelijkheden.
50
140302
2745
netwerkmogelijkheden kreeg.
02:35
One thing that bringsbrengt us closedichtbij to home is we look
51
143047
1880
Dicht bij huis is dat zichtbaar
02:36
at DickDick Cheney'sCheney's deviceapparaat, he had a deviceapparaat that
52
144927
2705
bij Dick Cheney's apparaat,
02:39
pumpedgepompt bloodbloed from an aortaaorta to anothereen ander partdeel of the hearthart-,
53
147632
3869
dat bloed pompte van een aorta
naar het hart.
02:43
and as you can see at the bottombodem there,
54
151501
1183
Zoals je hier onderaan ziet,
02:44
it was controlledgecontroleerde by a computercomputer controllercontroller,
55
152684
3009
werd dat computergestuurd.
02:47
and if you ever thought that softwaresoftware liabilityaansprakelijkheid
56
155693
2517
Het belang van software-aansprakelijkheid
02:50
was very importantbelangrijk, get one of these insidebinnen of you.
57
158210
3589
krijgt een nieuwe dimensie
wanneer je zo'n ding in je draagt.
02:53
Now what a researchOnderzoek teamteam did was they got theirhun handshanden
58
161799
3695
Het researchteam schafte een zogeheten 'ICD' aan.
02:57
on what's calledriep an ICDICD.
59
165494
1420
Het researchteam schafte een zogeheten 'ICD' aan.
02:58
This is a defibrillatordefibrillator, and this is a deviceapparaat
60
166914
2070
Dat is een defibrillator,
een geïmplanteerd apparaatje
03:00
that goesgaat into a personpersoon to controlcontrole theirhun hearthart- rhythmritme,
61
168984
4336
dat het hartritme aanstuurt.
03:05
and these have savedgered manyveel liveslevens.
62
173320
2338
Die hebben vele levens gered.
03:07
Well, in orderbestellen to not have to openOpen up the personpersoon
63
175658
2472
Om niet elke keer iemand
te hoeven openmaken
03:10
everyelk time you want to reprogramherprogrammeren theirhun deviceapparaat
64
178130
2194
voor herprogrammering of diagnostiek,
03:12
or do some diagnosticsdiagnostiek on it, they madegemaakt the thing be ablein staat
65
180324
2455
maakten ze het ding in staat om
03:14
to communicatecommuniceren wirelesslydraadloos, and what this researchOnderzoek teamteam did
66
182779
3102
draadloos te communiceren.
03:17
is they reverseomgekeerde engineeredgemanipuleerde the wirelessdraadloze protocolprotocol,
67
185881
2610
Dit onderzoeksteam 'reverse engineerde'
het draadloze protocol
03:20
and they builtgebouwd the deviceapparaat you see picturedafgebeeld here,
68
188491
1872
en bouwde het apparaatje dat je hier ziet.
03:22
with a little antennaantenne, that could talk the protocolprotocol
69
190363
2760
Via een kleine antenne kon dat praten
03:25
to the deviceapparaat, and thusdus controlcontrole it.
70
193123
4475
met het apparaatje
en het zodoende aansturen.
03:29
In orderbestellen to make theirhun experienceervaring realecht -- they were unableniet in staat
71
197598
2689
Om de ervaring echt te maken
03:32
to find any volunteersvrijwilligers, and so they wentgegaan
72
200287
2472
-- ze konden geen vrijwilligers vinden --
03:34
and they got some groundgrond beefrundvlees and some baconspek
73
202759
2144
namen ze wat gehakt en bacon
03:36
and they wrappedverpakt it all up to about the sizegrootte
74
204903
1788
en maakten daarmee een replica
03:38
of a humanmenselijk being'sGaetano 's areaGebied where the deviceapparaat would go,
75
206691
2798
van de mens waar het apparaatje zou zitten.
03:41
and they stuckgeplakt the deviceapparaat insidebinnen it
76
209489
1454
Ze stopten het apparaatje erin
03:42
to performuitvoeren theirhun experimentexperiment somewhatenigszins realisticallyrealistisch.
77
210943
3132
om het experiment realistisch uit te voeren.
03:46
They launchedgelanceerd manyveel, manyveel successfulgeslaagd attacksaanvallen.
78
214075
3020
Ze voerden vele succesvolle aanvallen uit.
03:49
One that I'll highlighthoogtepunt here is changingveranderen the patient'spatiënten namenaam.
79
217095
3056
Ze veranderden bijvoorbeeld
de naam van de patiënt.
03:52
I don't know why you would want to do that,
80
220151
993
Het nut daarvan zie ik niet,
maar ik zou het zelf niet graag meemaken.
03:53
but I sure wouldn'tzou het niet want that donegedaan to me.
81
221144
2104
Het nut daarvan zie ik niet,
maar ik zou het zelf niet graag meemaken.
03:55
And they were ablein staat to changeverandering therapiestherapieën,
82
223248
2331
Ook konden ze therapieën veranderen,
03:57
includinginclusief disablinguitschakelen the deviceapparaat -- and this is with a realecht,
83
225579
2495
waaronder uitschakeling van het apparaat --
04:00
commercialcommercieel, off-the-shelfoff-the-shelf deviceapparaat --
84
228074
1896
een gewoon verkrijgbaar apparaat --
04:01
simplyeenvoudigweg by performinghet uitvoeren van reverseomgekeerde engineeringbouwkunde and sendingBezig met verzenden
85
229970
2046
enkel door reverse engineering toe te passen
04:04
wirelessdraadloze signalssignalen to it.
86
232016
2989
en draadloze signalen te zenden.
04:07
There was a piecestuk on NPRNPR that some of these ICDsICDs
87
235005
3580
De National Public Radio meldde
dat de werking van sommige ICD's
04:10
could actuallywerkelijk have theirhun performanceprestatie disruptedverstoord
88
238585
2422
verstoord kon worden
door er een koptelefoon bij te houden.
04:13
simplyeenvoudigweg by holdingbezit a pairpaar- of headphoneshoofdtelefoon ontonaar them.
89
241007
3651
verstoord kon worden
door er een koptelefoon bij te houden.
04:16
Now, wirelessdraadloze and the InternetInternet
90
244658
1409
Draadloze technologie en internet kunnen
de gezondheidszorg sterk verbeteren.
04:18
can improveverbeteren healthGezondheid carezorg greatlyzeer.
91
246067
1652
Draadloze technologie en internet kunnen
de gezondheidszorg sterk verbeteren.
04:19
There's severalverscheidene examplesvoorbeelden up on the screenscherm
92
247719
2087
Op het scherm zie je verscheidene situaties
04:21
of situationssituaties where doctorsartsen are looking to implantimplantaat devicesapparaten
93
249806
3107
waarin doktoren apparaatjes
willen implanteren
04:24
insidebinnen of people, and all of these devicesapparaten now,
94
252913
2865
en al deze apparaatjes
communiceren standaard draadloos.
04:27
it's standardstandaard- that they communicatecommuniceren wirelesslydraadloos,
95
255778
3125
en al deze apparaatjes
communiceren standaard draadloos.
04:30
and I think this is great,
96
258903
1412
Ik vind dat geweldig,
04:32
but withoutzonder a fullvol understandingbegrip of trustworthybetrouwbaar computinggegevensverwerking,
97
260315
3105
maar zonder goed begrip
van betrouwbaar computergebruik
04:35
and withoutzonder understandingbegrip what attackersaanvallers can do
98
263420
2407
en van wat aanvallers kunnen aanrichten
04:37
and the securityveiligheid risksrisico's from the beginningbegin,
99
265827
2147
en van de veiligheidsrisico's,
04:39
there's a lot of dangerGevaar in this.
100
267974
2390
schuilt hierin veel gevaar.
04:42
Okay, let me shiftverschuiving gearsversnellingen and showtonen you anothereen ander targetdoel.
101
270364
1477
Ik zal jullie nu nog een doelwit laten zien.
04:43
I'm going to showtonen you a fewweinig differentverschillend targetsdoelen like this,
102
271841
2088
Ik laat een paar verschillende zien,
en dat is mijn presentatie.
04:45
and that's my talk. So we'llgoed look at automobilesauto's.
103
273929
2917
We gaan naar auto's.
04:48
This is a carauto, and it has a lot of componentscomponenten,
104
276846
2896
Dit is een auto.
Hij heeft een hoop onderdelen
04:51
a lot of electronicselektronica in it todayvandaag.
105
279742
1620
en er zit veel elektronica in.
04:53
In factfeit, it's got manyveel, manyveel differentverschillend computerscomputers insidebinnen of it,
106
281362
4377
Er zitten in feite veel verschillende computers in;
04:57
more PentiumsPentiums than my lablaboratorium did when I was in collegecollege,
107
285739
3155
meer Pentiums dan mijn lab had
toen ik studeerde.
05:00
and they're connectedaangesloten by a wiredbedrade networknetwerk.
108
288894
3639
Ze zijn verbonden door een netwerk van draden.
05:04
There's alsoook a wirelessdraadloze networknetwerk in the carauto,
109
292533
3431
Er is ook een draadloos netwerk in de auto,
05:07
whichwelke can be reachedbereikte from manyveel differentverschillend waysmanieren.
110
295964
3233
dat op verschillende manieren bereikt kan worden.
05:11
So there's BluetoothBluetooth, there's the FMFM and XMXM radioradio-,
111
299197
3701
Er is Bluetooth, FM en XM radio en wi-fi.
05:14
there's actuallywerkelijk wi-fiWi-fi, there's sensorssensors in the wheelswielen
112
302898
2820
Er zijn sensoren in de wielen
05:17
that wirelesslydraadloos communicatecommuniceren the tireband pressuredruk
113
305718
2153
die de bandenspanning draadloos communiceren
05:19
to a controllercontroller on boardboord.
114
307871
1806
naar een regelaar aan boord.
05:21
The modernmodern carauto is a sophisticatedgeavanceerde multi-computermeerdere computers deviceapparaat.
115
309677
4918
De moderne auto is een verfijnde multi-computermachine.
05:26
And what happensgebeurt if somebodyiemand wanted to attackaanval this?
116
314595
3322
Wat gebeurt er als iemand die wil aanvallen?
05:29
Well, that's what the researchersonderzoekers
117
317917
1317
Dat is wat deze onderzoekers deden.
05:31
that I'm going to talk about todayvandaag did.
118
319234
1871
Dat is wat deze onderzoekers deden.
05:33
They basicallyeigenlijk stuckgeplakt an attackeraanvaller on the wiredbedrade networknetwerk
119
321105
2977
Ze plantten een aanvaller
op het bedradingsnetwerk
05:36
and on the wirelessdraadloze networknetwerk.
120
324082
2322
en op het draadloze netwerk.
05:38
Now, they have two areasgebieden they can attackaanval.
121
326404
2699
Ze kunnen twee gebieden aanvallen.
05:41
One is short-rangekorte afstand wirelessdraadloze, where you can actuallywerkelijk
122
329103
2038
Het ene is draadloos met een kort bereik,
05:43
communicatecommuniceren with the deviceapparaat from nearbynabijgelegen,
123
331141
1781
waarbij je van dichtbij via Bluetooth of wi-fi
communiceert met het apparaat.
05:44
eithereen van beide throughdoor BluetoothBluetooth or wi-fiWi-fi,
124
332922
2137
waarbij je van dichtbij via Bluetooth of wi-fi
communiceert met het apparaat.
05:47
and the other is long-rangelangeafstand, where you can communicatecommuniceren
125
335059
2174
En lang bereik,
waarbij je communiceert
05:49
with the carauto throughdoor the cellularcellulair networknetwerk,
126
337233
1782
met de auto via een mobiel netwerk
of één van de radiozenders.
05:51
or throughdoor one of the radioradio- stationsstations.
127
339015
1960
met de auto via een mobiel netwerk
of één van de radiozenders.
05:52
Think about it. When a carauto receivesontvangt a radioradio- signalsignaal,
128
340975
3049
Bedenk eens.
Wanneer een auto een radiosignaal ontvangt,
05:56
it's processedverwerkt by softwaresoftware.
129
344024
2201
wordt het verwerkt door software.
05:58
That softwaresoftware has to receivete ontvangen and decodedecoderen the radioradio- signalsignaal,
130
346225
3061
Die software moet het radiosignaal
ontvangen en ontcijferen
06:01
and then figurefiguur out what to do with it,
131
349286
1119
en dan bedenken wat ermee te doen.
06:02
even if it's just musicmuziek- that it needsbehoefte aan to playspelen on the radioradio-,
132
350405
3024
Zelfs als het maar radiomuziek is
die het moet afspelen.
06:05
and that softwaresoftware that does that decodingdecoderen,
133
353429
2268
Als er fouten zitten in de ontcijferende software
06:07
if it has any bugsbugs in it, could createcreëren a vulnerabilitykwetsbaarheid
134
355697
3093
kan dat de auto kwetsbaar maken voor hacks.
06:10
for somebodyiemand to hackhouwen the carauto.
135
358790
3035
kan dat de auto kwetsbaar maken voor hacks.
06:13
The way that the researchersonderzoekers did this work is,
136
361825
2952
De onderzoekers gingen als volgt te werk:
06:16
they readlezen the softwaresoftware in the computercomputer chipschips
137
364777
4223
ze lazen de software in de computerchips
06:21
that were in the carauto, and then they used sophisticatedgeavanceerde
138
369000
3193
in de auto en gebruikten toen
verfijnde reverse engineering-gereedschappen
06:24
reverseomgekeerde engineeringbouwkunde toolsgereedschap
139
372193
1414
in de auto en gebruikten toen
verfijnde reverse engineering-gereedschappen
06:25
to figurefiguur out what that softwaresoftware did,
140
373607
2055
om te bepalen wat de software deed.
06:27
and then they foundgevonden vulnerabilitieskwetsbaarheden in that softwaresoftware,
141
375662
3041
Dan zochten ze zwakheden in de software
06:30
and then they builtgebouwd exploitsexploits to exploitexploiteren those.
142
378703
3346
en bouwden 'exploits'
om hier misbruik van te maken.
06:34
They actuallywerkelijk carriedgedragen out theirhun attackaanval in realecht life.
143
382049
2382
Ze voerden hun aanval daadwerkelijk uit.
06:36
They boughtkocht two carsauto's, and I guessraden
144
384431
1350
Ze kochten twee auto's.
Waarschijnlijk hebben ze een groter budget dan ik.
06:37
they have better budgetsbudgetten than I do.
145
385781
2918
Ze kochten twee auto's.
Waarschijnlijk hebben ze een groter budget dan ik.
06:40
The first threatbedreiging modelmodel- was to see what someoneiemand could do
146
388699
2590
In het eerste bedreigingsmodel
kreeg een aanvaller toegang
06:43
if an attackeraanvaller actuallywerkelijk got accesstoegang
147
391289
2144
In het eerste bedreigingsmodel
kreeg een aanvaller toegang
06:45
to the internalintern networknetwerk on the carauto.
148
393433
2053
tot het interne netwerk van de auto.
06:47
Okay, so think of that as, someoneiemand getskrijgt to go to your carauto,
149
395486
2603
Dus:
iemand krijgt toegang tot je auto,
06:50
they get to messknoeien around with it, and then they leavehet verlof,
150
398089
2904
rommelt er wat mee
en vertrekt dan weer.
06:52
and now, what kindsoort of troublemoeite are you in?
151
400993
2368
Hoe groot zijn dan de ontstane problemen?
06:55
The other threatbedreiging modelmodel- is that they contactcontact you
152
403361
2792
In het andere bedreigingsmodel
nemen ze contact met je op
06:58
in realecht time over one of the wirelessdraadloze networksnetwerken
153
406153
2457
via een van de draadloze netwerken
07:00
like the cellularcellulair, or something like that,
154
408610
2055
zoals het mobiele netwerk of iets dergelijks
07:02
never havingmet actuallywerkelijk gottengekregen physicalfysiek accesstoegang to your carauto.
155
410665
4000
terwijl ze nooit fysiek
toegang hadden tot je auto.
07:06
This is what theirhun setupSetup lookslooks like for the first modelmodel-,
156
414665
2824
Zo ziet hun aanpak eruit in het eerste model,
07:09
where you get to have accesstoegang to the carauto.
157
417489
1683
waarbij toegang tot de auto noodzakelijk is.
07:11
They put a laptoplaptop, and they connectedaangesloten to the diagnosticdiagnostisch uniteenheid
158
419172
3387
Ze kwamen met een laptop in contact
met de diagnostische eenheid
07:14
on the in-carin de auto networknetwerk, and they did all kindssoorten of sillydwaas things,
159
422559
2939
van het interne netwerk
en haalden allerlei melige dingen uit.
07:17
like here'shier is a pictureafbeelding of the speedometersnelheidsmeter
160
425498
2783
Hier zie je de snelheidsmeter
die 140 km/u aangeeft terwijl de auto stilstaat.
07:20
showingtonen 140 milesmijlen an houruur when the car'sauto's in parkpark.
161
428281
2816
Hier zie je de snelheidsmeter
die 140 km/u aangeeft terwijl de auto stilstaat.
07:23
OnceEenmaal you have controlcontrole of the car'sauto's computerscomputers,
162
431097
2373
Wanneer je de boordcomputers in je macht hebt,
kun je doen wat je wilt.
07:25
you can do anything.
163
433470
919
Wanneer je de boordcomputers in je macht hebt,
kun je doen wat je wilt.
07:26
Now you mightmacht say, "Okay, that's sillydwaas."
164
434389
1616
Nu zeg je wellicht: "Dat is kinderachtig."
07:28
Well, what if you make the carauto always say
165
436005
1659
Maar wat als je de auto altijd laat aangeven
07:29
it's going 20 milesmijlen an houruur slowertragere than it's actuallywerkelijk going?
166
437664
2741
dat hij 20 km langzamer gaat
dan werkelijk het geval is?
07:32
You mightmacht produceproduceren a lot of speedingversnellen ticketskaartjes.
167
440405
2542
Dat kan veel bekeuringen opleveren.
07:34
Then they wentgegaan out to an abandonedverlaten airstriplandingsbaan with two carsauto's,
168
442947
3856
Toen gingen ze met twee auto's
naar een verlaten vliegveld.
07:38
the targetdoel victimslachtoffer carauto and the chaseChase carauto,
169
446803
2745
Een doelwit-auto en een aanvalsauto.
07:41
and they launchedgelanceerd a bunchbos of other attacksaanvallen.
170
449548
2746
Ze voerden verscheidene aanvallen uit.
07:44
One of the things they were ablein staat to do from the chaseChase carauto
171
452294
2766
Ze konden bijvoorbeeld de remmen
bedienen in de andere auto,
07:47
is applyvan toepassing zijn the brakesremmen on the other carauto,
172
455060
1974
Ze konden bijvoorbeeld de remmen
bedienen in de andere auto,
07:49
simplyeenvoudigweg by hackinghacking the computercomputer.
173
457034
1560
enkel door de computer te hacken.
07:50
They were ablein staat to disableuitschakelen the brakesremmen.
174
458594
2431
Ze konden de remmen onklaar maken.
07:53
They alsoook were ablein staat to installinstalleren malwaremalware that wouldn'tzou het niet kicktrap in
175
461025
3178
Ook konden ze malware installeren
die pas in werking zou treden
07:56
and wouldn'tzou het niet triggerin gang zetten untiltot the carauto was doing something like
176
464203
2425
wanneer de auto harder ging
07:58
going over 20 milesmijlen an houruur, or something like that.
177
466628
3746
dan 20 km/u of iets dergelijks.
08:02
The resultsuitslagen are astonishingverbazingwekkend, and when they gavegaf this talk,
178
470374
2758
De resultaten zijn verbijsterend.
08:05
even thoughhoewel they gavegaf this talk at a conferenceconferentie
179
473132
1716
Hoewel ze dit presenteerden voor
een stel computerbeveiligingsonderzoekers,
08:06
to a bunchbos of computercomputer securityveiligheid researchersonderzoekers,
180
474848
1726
Hoewel ze dit presenteerden voor
een stel computerbeveiligingsonderzoekers,
08:08
everybodyiedereen was gaspinghijgend.
181
476574
1700
keek iedereen met open mond.
08:10
They were ablein staat to take over a bunchbos of criticalkritisch computerscomputers
182
478274
3699
Ze namen een aantal cruciale computers over
08:13
insidebinnen the carauto: the brakesremmen computercomputer, the lightingverlichting computercomputer,
183
481973
3761
in de auto: de remcomputer, de lichtcomputer,
08:17
the enginemotor, the dashDash, the radioradio-, etcenz.,
184
485734
2827
de motor, het dashboard, de radio etc...
08:20
and they were ablein staat to performuitvoeren these on realecht commercialcommercieel
185
488561
2293
en ze deden dit met gewone auto's
08:22
carsauto's that they purchasedgekocht usinggebruik makend van the radioradio- networknetwerk.
186
490854
3027
die ze belaagden via het radionetwerk.
08:25
They were ablein staat to compromisecompromis everyelk singlesingle one of the
187
493881
3003
Ze konden elk stukje software aantasten
08:28
piecesstukken of softwaresoftware that controlledgecontroleerde everyelk singlesingle one
188
496884
2466
en zo toegang krijgen
tot elke draadloze functie van de auto.
08:31
of the wirelessdraadloze capabilitiesmogelijkheden of the carauto.
189
499350
3015
en zo toegang krijgen
tot elke draadloze functie van de auto.
08:34
All of these were implementedgeïmplementeerd successfullymet succes.
190
502365
2513
Allemaal werden ze succesvol uitgevoerd.
08:36
How would you stealstelen a carauto in this modelmodel-?
191
504878
2352
Hoe steel je op deze manier een auto?
08:39
Well, you compromisecompromis the carauto by a bufferbuffer overflowoverloop
192
507230
3680
Je kan de auto overweldigen
met een bufferoverloop of zoiets.
08:42
of vulnerabilitykwetsbaarheid in the softwaresoftware, something like that.
193
510910
2527
Je kan de auto overweldigen
met een bufferoverloop of zoiets.
08:45
You use the GPSGPS in the carauto to locateZoek it.
194
513437
2203
Je lokaliseert de auto met GPS.
08:47
You remotelyop afstand unlockontgrendelen the doorsdeuren throughdoor the computercomputer
195
515640
2195
Je ontgrendelt op afstand de deuren,
08:49
that controlscontrols that, startbegin the enginemotor, bypassBypass anti-theftAnti-diefstal,
196
517835
3138
start de motor, omzeilt anti-diefstal,
08:52
and you've got yourselfjezelf a carauto.
197
520973
1668
en je hebt een auto.
08:54
SurveillanceToezicht was really interestinginteressant.
198
522641
2487
Bewaking was heel interessant.
08:57
The authorsauteurs of the studystudie have a videovideo- where they showtonen
199
525128
3209
De onderzoekers laten in een video zien
hoe ze een auto overnemen
09:00
themselveszich takingnemen over a carauto and then turningdraaien on
200
528337
2549
De onderzoekers laten in een video zien
hoe ze een auto overnemen
09:02
the microphonemicrofoon in the carauto, and listeninghet luisteren in on the carauto
201
530886
2761
en dan via de microfoon van de auto
kunnen meeluisteren
09:05
while trackingbijhouden it viavia GPSGPS on a mapkaart,
202
533647
3351
terwijl ze hem via GPS volgen op een kaart.
09:08
and so that's something that the driversstuurprogramma 's of the carauto
203
536998
1713
Dat zou de bestuurder dus nooit merken.
09:10
would never know was happeninggebeurtenis.
204
538711
2168
Dat zou de bestuurder dus nooit merken.
09:12
Am I scaringschrikken you yetnog?
205
540879
2134
Begin je hem al te knijpen?
09:15
I've got a fewweinig more of these interestinginteressant onesdegenen.
206
543013
1943
Hier nog wat interessante gevallen
09:16
These are onesdegenen where I wentgegaan to a conferenceconferentie,
207
544956
1833
van een conferentie die ik bijwoonde,
09:18
and my mindgeest was just blowngeblazen, and I said,
208
546789
1933
waar ik helemaal ondersteboven van was.
09:20
"I have to sharedelen this with other people."
209
548722
1826
Ik zei:
"Dit moet ik aan anderen laten zien."
09:22
This was FabianFabian Monrose'sMonrose van lablaboratorium
210
550548
1623
Dit was Fabian Monroses lab
09:24
at the UniversityUniversiteit of NorthNoord CarolinaCarolina, and what they did was
211
552171
3456
aan de Universiteit van North Carolina.
09:27
something intuitiveintuïtief onceeen keer you see it,
212
555627
2075
die deden iets intuïtiefs,
dat niettemin verrassend is.
09:29
but kindsoort of surprisingverrassend.
213
557702
1714
die deden iets intuïtiefs,
dat niettemin verrassend is.
09:31
They videotapedgefilmd people on a busbus,
214
559416
2259
Ze filmden mensen in een bus,
09:33
and then they post-processedpost verwerkt the videovideo-.
215
561675
2840
en haalden de video door een verwerkingsproces.
09:36
What you see here in numberaantal one is a
216
564515
2463
In nummer 1 zie je de reflectie in een bril,
van wat iemand typt op een smartphone.
09:38
reflectionreflectie in somebody'ssomebody is glassesbril of the smartphonesmartphone
217
566978
4383
In nummer 1 zie je de reflectie in een bril,
van wat iemand typt op een smartphone.
09:43
that they're typingtypen in.
218
571361
1425
In nummer 1 zie je de reflectie in een bril,
van wat iemand typt op een smartphone.
09:44
They wroteschreef softwaresoftware to stabilizestabiliseren --
219
572786
1975
Ze schreven software om het beeld te stabiliseren
09:46
even thoughhoewel they were on a busbus
220
574761
1365
Ze schreven software om het beeld te stabiliseren
09:48
and maybe someone'siemands holdingbezit theirhun phonetelefoon at an anglehoek --
221
576126
3211
-- omdat ze in een bus zaten
en de telefoon misschien scheef gehouden werd --
09:51
to stabilizestabiliseren the phonetelefoon, processwerkwijze it, and
222
579337
2370
en dan te verwerken.
09:53
you maymei know on your smartphonesmartphone, when you typetype
223
581707
1885
Als je een paswoord typt,
09:55
a passwordwachtwoord, the keystoetsen popknal out a little bitbeetje, and they were ablein staat
224
583592
2939
komen de toetsen een beetje naar voren,
09:58
to use that to reconstructreconstrueren what the personpersoon was typingtypen,
225
586531
2840
en dat gebruikten ze
om te reconstrueren wat iemand typte.
10:01
and had a languagetaal modelmodel- for detectingopsporen typingtypen.
226
589371
4321
Ze hadden een taalmodel om dit te achterhalen.
10:05
What was interestinginteressant is, by videotapingvideo-opnamen on a busbus,
227
593692
2335
Interessant genoeg,
konden ze door in een bus te filmen,
10:08
they were ablein staat to produceproduceren exactlyprecies what people
228
596027
2129
precies achterhalen wat mensen typten
op hun smartphones
10:10
on theirhun smartphonessmartphones were typingtypen,
229
598156
2151
precies achterhalen wat mensen typten
op hun smartphones
10:12
and then they had a surprisingverrassend resultresultaat, whichwelke is that
230
600307
2260
en ze kregen ook een verrassend bijeffect.
10:14
theirhun softwaresoftware had not only donegedaan it for theirhun targetdoel,
231
602567
2764
Hun software had niet alleen voor hun doelwit,
10:17
but other people who accidentallyper ongeluk happenedgebeurd
232
605331
1403
maar ook voor anderen die toevallig in beeld waren,
10:18
to be in the pictureafbeelding, they were ablein staat to produceproduceren
233
606734
2086
maar ook voor anderen die toevallig in beeld waren,
10:20
what those people had been typingtypen, and that was kindsoort of
234
608820
2727
gereproduceerd wat er getypt werd,
10:23
an accidentalper ongeluk artifactartefact of what theirhun softwaresoftware was doing.
235
611547
3617
als kleine onvoorziene bijkomstigheid.
10:27
I'll showtonen you two more. One is P25 radiosRadio 's.
236
615164
4303
Ik laat je er nog twee zien.
Een is P25-radio's.
10:31
P25 radiosRadio 's are used by lawwet enforcementhandhaving
237
619467
2800
P25-radio's worden gebruikt door rechtshandhavers,
10:34
and all kindssoorten of governmentregering agenciesagentschappen
238
622267
3407
allerlei overheidsorganisaties
en het leger voor communicatie.
10:37
and people in combatgevecht to communicatecommuniceren,
239
625674
1736
allerlei overheidsorganisaties
en het leger voor communicatie.
10:39
and there's an encryptioncodering optionkeuze on these phonestelefoons.
240
627410
2833
Er zit een versleutelingsoptie op deze telefoons.
10:42
This is what the phonetelefoon lookslooks like. It's not really a phonetelefoon.
241
630243
2728
Zo ziet hij eruit.
Het is niet echt een telefoon.
10:44
It's more of a two-waytwee richtingen radioradio-.
242
632971
1206
Meer een portofoon.
10:46
MotorolaMotorola makesmerken the mostmeest widelywijd used one, and you can see
243
634177
3322
Motorola maakt de meest algemeen gebruikte.
10:49
that they're used by SecretGeheim ServiceService, they're used in combatgevecht,
244
637499
2649
Hij wordt gebruikt door de Secret Service
en in het leger.
10:52
it's a very, very commongemeenschappelijk standardstandaard- in the U.S. and elsewhereelders.
245
640148
3102
Het is een algemene standaard in de VS en elders.
10:55
So one questionvraag the researchersonderzoekers askedgevraagd themselveszich is,
246
643250
2305
De onderzoekers vroegen zich af:
kun je dit ding blokkeren?
10:57
could you blockblok this thing, right?
247
645555
2704
De onderzoekers vroegen zich af:
kun je dit ding blokkeren?
11:00
Could you runrennen a denial-of-servicedenial-of-service,
248
648259
1583
Kun je een denial-of-service veroorzaken?
11:01
because these are first respondersresponders?
249
649842
1824
Dit zijn eerstelijns-hulpverleners.
11:03
So, would a terroristterrorist organizationorganisatie want to blackzwart out the
250
651666
1801
Zou een terroristische organisatie communicatie
11:05
abilityvermogen of policePolitie and firebrand to communicatecommuniceren at an emergencynoodgeval?
251
653467
4488
tussen politie en brandweer willen beletten
in het heetst van de strijd?
11:09
They foundgevonden that there's this GirlTechGirlTech deviceapparaat used for textingSMS
252
657955
3072
Ze ontdekten dit GirlTech-apparaatje
dat gebruikt wordt voor sms.
11:13
that happensgebeurt to operatebedienen at the samedezelfde exactexact frequencyfrequentie
253
661027
2718
Het blijkt op precies dezelfde golflengte te zitten
11:15
as the P25, and they builtgebouwd what they calledriep
254
663745
2271
als de P25 en ze bouwden 'My First Jammer'.
('mijn eerste sabotage-apparaat') (Gelach)
11:18
My First JammerStoorzender. (LaughterGelach)
255
666016
4334
als de P25 en ze bouwden 'My First Jammer'.
('mijn eerste sabotage-apparaat') (Gelach)
11:22
If you look closelyvan nabij at this deviceapparaat,
256
670350
2378
Als je het apparaat goed bestudeert,
11:24
it's got a switchschakelaar for encryptioncodering or cleartextleesbare tekst.
257
672728
3630
zie je dat het een knop heeft voor versleuteling.
11:28
Let me advancevan te voren the slideglijbaan, and now I'll go back.
258
676358
3050
Ik ga een dia verder
en nu ga ik terug.
11:31
You see the differenceverschil?
259
679408
2547
Zie je het verschil?
11:33
This is plainvlakte texttekst. This is encryptedgecodeerd.
260
681955
2557
Gewoon... en versleuteld.
11:36
There's one little dotpunt that showsshows up on the screenscherm,
261
684512
2557
Een klein puntje verschijnt op het scherm
11:39
and one little tinyklein turnbeurt of the switchschakelaar.
262
687069
2085
wanneer de knop ietsje gedraaid wordt.
11:41
And so the researchersonderzoekers askedgevraagd themselveszich, "I wonderwonder how
263
689154
1904
Dus de onderzoekers vroegen zich af:
11:43
manyveel timestijden very securebeveiligen, importantbelangrijk, sensitivegevoelig conversationsconversaties
264
691058
4257
"Hoeveel belangrijke, gevoelige gesprekken
11:47
are happeninggebeurtenis on these two-waytwee richtingen radiosRadio 's where they forgetvergeten
265
695315
1623
vinden plaats op deze portofoons,
waarbij vergeten wordt om te versleutelen?
11:48
to encryptcoderen and they don't noticekennisgeving that they didn't encryptcoderen?"
266
696938
2910
vinden plaats op deze portofoons,
waarbij vergeten wordt om te versleutelen?
11:51
So they boughtkocht a scannerscanner. These are perfectlyvolmaakt legalwettelijk
267
699848
3339
Ze kochten een scanner.
Helemaal legaal.
11:55
and they runrennen at the frequencyfrequentie of the P25,
268
703187
3458
Hij zit op de frequentie van de P25.
11:58
and what they did is they hoppedsprong around frequenciesfrequenties
269
706645
1767
Ze struinden golflengtes af
en schreven software om mee te luisteren.
12:00
and they wroteschreef softwaresoftware to listen in.
270
708412
2510
Ze struinden golflengtes af
en schreven software om mee te luisteren.
12:02
If they foundgevonden encryptedgecodeerd communicationcommunicatie, they stayedverbleef
271
710922
2634
Wanneer ze versleutelde informatie vonden,
12:05
on that channelkanaal and they wroteschreef down, that's a channelkanaal
272
713556
1686
noteerden ze:
12:07
that these people communicatecommuniceren in,
273
715242
1788
op dit kanaal communiceren wetshandhavers.
12:09
these lawwet enforcementhandhaving agenciesagentschappen,
274
717030
1622
op dit kanaal communiceren wetshandhavers.
12:10
and they wentgegaan to 20 metropolitanmetropolitaans areasgebieden and listenedluisterde in
275
718652
3391
Ze gingen naar 20 grootstedelijke gebieden
12:14
on conversationsconversaties that were happeninggebeurtenis at those frequenciesfrequenties.
276
722043
3475
en luisterden gesprekken af op die golflengtes.
12:17
They foundgevonden that in everyelk metropolitanmetropolitaans areaGebied,
277
725518
3239
In ieder grootstedelijk gebied
12:20
they would capturevangst over 20 minutesnotulen a day
278
728757
2154
vingen ze dagelijks ruim 20 minuten
onversleutelde communicatie op.
12:22
of cleartextleesbare tekst communicationcommunicatie.
279
730911
2375
vingen ze dagelijks ruim 20 minuten
onversleutelde communicatie op.
12:25
And what kindsoort of things were people talkingpratend about?
280
733286
2000
Waar gingen die gesprekken over?
12:27
Well, they foundgevonden the namesnamen and informationinformatie
281
735286
1484
Ze vonden namen en informatie
12:28
about confidentialvertrouwelijke informantsinformanten. They foundgevonden informationinformatie
282
736770
2852
over vertrouwelijke informanten.
Ze vonden informatie
12:31
that was beingwezen recordedopgenomen in wiretapswiretaps,
283
739622
2202
die met verborgen apparatuur werd opgenomen,
12:33
a bunchbos of crimesmisdaden that were beingwezen discussedbesproken,
284
741824
2710
misdaden die werden besproken...
12:36
sensitivegevoelig informationinformatie.
285
744534
1162
gevoelige informatie.
12:37
It was mostlymeestal lawwet enforcementhandhaving and criminalcrimineel.
286
745696
3363
Voornamelijk rechtshandhaving en criminaliteit.
12:41
They wentgegaan and reportedgerapporteerd this to the lawwet enforcementhandhaving
287
749059
1834
Ze meldden dit bij de rechtshandhavingsinstanties,
12:42
agenciesagentschappen, after anonymizingHoezo it,
288
750893
2023
nadat het geanonimiseerd was.
12:44
and the vulnerabilitykwetsbaarheid here is simplyeenvoudigweg the usergebruiker interfaceinterface
289
752916
3000
De kwetsbare plek was hier eenvoudig
de gebruikersinterface.
12:47
wasn'twas niet good enoughgenoeg. If you're talkingpratend
290
755916
1394
Als je gevoelige informatie bespreekt,
moet duidelijk zijn
12:49
about something really securebeveiligen and sensitivegevoelig, it should
291
757310
2816
Als je gevoelige informatie bespreekt,
moet duidelijk zijn
12:52
be really clearduidelijk to you that this conversationgesprek is encryptedgecodeerd.
292
760126
3293
dat het gesprek versleuteld is.
12:55
That one'séén is prettymooi easygemakkelijk to fixrepareren.
293
763419
1886
Dat is makkelijk te verhelpen.
12:57
The last one I thought was really, really coolkoel,
294
765305
1669
De laatste vond ik erg cool.
12:58
and I just had to showtonen it to you, it's probablywaarschijnlijk not something
295
766974
2813
Ik moest hem laten zien.
13:01
that you're going to loseverliezen sleepslaap over
296
769787
1005
Je zult er geen slaap over verliezen
13:02
like the carsauto's or the defibrillatorsdefibrillatoren,
297
770792
1791
zoals bij de auto's of de defibrillators,
13:04
but it's stealingstelen keystrokestoetsaanslagen.
298
772583
3023
maar het gaat om het stelen van toetsaanslagen.
13:07
Now, we'vewij hebben all lookedkeek at smartphonessmartphones upsidebovenkant down.
299
775606
2747
We hebben allemaal wel
een smartphone ondersteboven gezien.
13:10
EveryElke securityveiligheid expertdeskundige wants to hackhouwen a smartphonesmartphone,
300
778353
2190
Elke beveiligingsexpert wil een smartphone hacken.
13:12
and we tendde neiging hebben to look at the USBUSB porthaven, the GPSGPS for trackingbijhouden,
301
780543
4612
Dan kijken we naar de USB-poort,
de GPS om te volgen,
13:17
the cameracamera, the microphonemicrofoon, but no one up tilltot this pointpunt
302
785155
3208
de camera, de microfoon...
maar niemand had tot nog toe
13:20
had lookedkeek at the accelerometerversnellingsmeter.
303
788363
1580
naar de versnellingsmeter gekeken.
13:21
The accelerometerversnellingsmeter is the thing that determinesbepaalt
304
789943
1647
De versnellingsmeter is het ding dat
13:23
the verticalverticaal orientationafdrukstand of the smartphonesmartphone.
305
791590
3494
de verticale positie van de telefoon meet.
13:27
And so they had a simpleeenvoudig setupSetup.
306
795084
1417
Ze hadden een eenvoudige opzet.
13:28
They put a smartphonesmartphone nextvolgende to a keyboardtoetsenbord,
307
796501
2758
Ze plaatsten een smartphone naast een toetsenbord
13:31
and they had people typetype, and then theirhun goaldoel was
308
799259
2712
en wanneer mensen typten,
probeerden ze
13:33
to use the vibrationstrillingen that were createdaangemaakt by typingtypen
309
801971
2856
de veroorzaakte vibraties te gebruiken
13:36
to measuremaatregel the changeverandering in the accelerometerversnellingsmeter readinglezing
310
804827
4240
om via de versnellingsmeter
te bepalen wat die persoon had getypt.
13:41
to determinebepalen what the personpersoon had been typingtypen.
311
809067
3176
om via de versnellingsmeter
te bepalen wat die persoon had getypt.
13:44
Now, when they triedbeproefd this on an iPhoneiPhone 3GSGS,
312
812243
2576
Toen ze dit probeerden met een iPhone 3GS,
13:46
this is a graphdiagram of the perturbationsverstoringen that were createdaangemaakt
313
814819
2769
kregen ze deze uitslag.
13:49
by the typingtypen, and you can see that it's very difficultmoeilijk
314
817588
3241
Je kan zien hoe moeilijk het is
13:52
to tell when somebodyiemand was typingtypen or what they were typingtypen,
315
820829
3078
om te zien óf en wat iemand typte.
13:55
but the iPhoneiPhone 4 greatlyzeer improvedverbeterd the accelerometerversnellingsmeter,
316
823907
3090
De iPhone 4 had echter
een sterk verbeterde versnellingsmeter
13:58
and so the samedezelfde measurementmeting
317
826997
3480
en dezelfde meting
leverde deze grafiek op.
14:02
producedgeproduceerd this graphdiagram.
318
830477
1832
en dezelfde meting
leverde deze grafiek op.
14:04
Now that gavegaf you a lot of informationinformatie while someoneiemand
319
832309
2486
Dat gaf je een hoop informatie terwijl iemand typte.
14:06
was typingtypen, and what they did then is used advancedgevorderd
320
834795
3241
Toen gebruikten ze geavanceerde
14:10
artificialkunstmatig intelligenceintelligentie- techniquestechnieken calledriep machinemachine learningaan het leren
321
838036
3007
kunstmatige intelligentie-technieken,
'machinaal leren'
14:13
to have a trainingopleiding phasefase,
322
841043
1431
met eerst een trainingsfase.
14:14
and so they got mostmeest likelywaarschijnlijk gradGrad studentsstudenten
323
842474
2236
Dus ze lieten waarschijnlijk studenten
14:16
to typetype in a wholegeheel lot of things, and to learnleren,
324
844710
3789
een hele hoop dingen intoetsen,
14:20
to have the systemsysteem use the machinemachine learningaan het leren toolsgereedschap that
325
848499
2768
zodat het systeem kon 'leren'
door wat de mensen typten
14:23
were availablebeschikbaar to learnleren what it is that the people were typingtypen
326
851267
2863
zodat het systeem kon 'leren'
door wat de mensen typten
14:26
and to matchbij elkaar passen that up
327
854130
2827
te vergelijken
met de uitslagen van de versnellingsmeter.
14:28
with the measurementsafmetingen in the accelerometerversnellingsmeter.
328
856957
2477
te vergelijken
met de uitslagen van de versnellingsmeter.
14:31
And then there's the attackaanval phasefase, where you get
329
859434
1635
Dan is er de aanvalsfase,
waarin je
14:33
somebodyiemand to typetype something in, you don't know what it was,
330
861069
2811
iemand iets laat typen
zonder te weten wat het is
14:35
but you use your modelmodel- that you createdaangemaakt
331
863880
1297
en dan je model uit de trainingsfase gebruikt
14:37
in the trainingopleiding phasefase to figurefiguur out what they were typingtypen.
332
865177
3442
om te bepalen wat ze typten.
14:40
They had prettymooi good successsucces. This is an articleartikel from the USAVERENIGDE STATEN TodayVandaag.
333
868619
3484
Ze waren redelijk succesvol.
Dit is een stuk uit USA Today.
14:44
They typedgetypt in, "The IllinoisIllinois SupremeOpperste CourtHof has ruledregeerde
334
872103
2609
Ze typten: "Het hooggerechtshof heeft bepaald
14:46
that RahmRahm EmanuelEmanuel is eligiblein aanmerking komende to runrennen for MayorBurgemeester of ChicagoChicago"
335
874712
2962
dat Rahm Emanuel zich kandidaat mag stellen
als burgemeester van Chicago ..."
14:49
— see, I tiedgebonden it in to the last talk —
336
877674
1354
-- zie je, ik sluit aan op de vorige talk --
14:51
"and orderedbestelde him to stayverblijf on the ballotstemming."
337
879028
2118
"... en bevalen hem verkiesbaar te blijven."
14:53
Now, the systemsysteem is interestinginteressant, because it producedgeproduceerd
338
881146
2771
Het systeem is interessant,
want het produceerde
14:55
"IllinoisIllinois SupremeOpperste" and then it wasn'twas niet sure.
339
883917
2886
"Illinois Supreme", maar wist het verder niet.
14:58
The modelmodel- producedgeproduceerd a bunchbos of optionsopties,
340
886803
1950
Het model gaf een aantal opties.
15:00
and this is the beautyschoonheid of some of the A.I. techniquestechnieken,
341
888753
2709
En het mooie aan sommige A.I.-technieken is,
15:03
is that computerscomputers are good at some things,
342
891462
2250
dat computers goed zijn in bepaalde dingen
15:05
humansmensen are good at other things,
343
893712
1534
en mensen weer in andere dingen.
15:07
take the bestbeste of bothbeide and let the humansmensen solveoplossen this one.
344
895246
1931
Als je het beste van beide neemt, los je het op.
15:09
Don't wasteverspilling computercomputer cyclescycli.
345
897177
1382
Als je het beste van beide neemt, los je het op.
15:10
A human'svan de mens not going to think it's the SupremeOpperste mightmacht.
346
898559
2136
Een mens weet
dat het niet 'Supreme might' is,
15:12
It's the SupremeOpperste CourtHof, right?
347
900695
1740
maar 'Supreme Court'.
15:14
And so, togethersamen we're ablein staat to reproducereproduceren typingtypen
348
902435
2530
Zo zijn we samen in staat
om getypte tekst te achterhalen
15:16
simplyeenvoudigweg by measuringmeten the accelerometerversnellingsmeter.
349
904965
2949
met hulp van de versnellingsmeter.
15:19
Why does this matterer toe doen? Well, in the AndroidAndroïde platformplatform,
350
907914
3502
Waarom is dit belangrijk?
Op bijvoorbeeld het Androidplatform
15:23
for examplevoorbeeld, the developersontwikkelaars have a manifestmanifesteren
351
911416
4133
hebben de ontwikkelaars een manifest
15:27
where everyelk deviceapparaat on there, the microphonemicrofoon, etcenz.,
352
915564
2584
dat elke functie ervan, de microfoon etc...
15:30
has to registerregistreren if you're going to use it
353
918148
1956
moet registreren of je het gaat gebruiken,
15:32
so that hackershackers can't take over it,
354
920104
2316
zodat hackers het niet kunnen overnemen,
15:34
but nobodyniemand controlscontrols the accelerometerversnellingsmeter.
355
922420
3108
maar niemand let op de versnellingsmeter.
15:37
So what's the pointpunt? You can leavehet verlof your iPhoneiPhone nextvolgende to
356
925528
2216
Dus?
Je kan je iPhone naast iemands toetsenbord
15:39
someone'siemands keyboardtoetsenbord, and just leavehet verlof the roomkamer,
357
927744
2106
laten liggen en de kamer uitlopen
15:41
and then laterlater recoverherstellen what they did,
358
929850
1639
en later achterhalen wat ze deden.
15:43
even withoutzonder usinggebruik makend van the microphonemicrofoon.
359
931489
1711
Zonder maar de microfoon te gebruiken.
15:45
If someoneiemand is ablein staat to put malwaremalware on your iPhoneiPhone,
360
933200
2174
Iemand die malware op je iPhone zet
15:47
they could then maybe get the typingtypen that you do
361
935374
2848
zou misschien kunnen zien wat je typt
15:50
whenevertelkens als you put your iPhoneiPhone nextvolgende to your keyboardtoetsenbord.
362
938222
2321
wanneer je iPhone naast je toetsenbord ligt.
15:52
There's severalverscheidene other notableopvallend attacksaanvallen that unfortunatelyhelaas
363
940543
2271
Er zijn nog diverse andere aanvallen
15:54
I don't have time to go into, but the one that I wanted
364
942814
2131
waar ik helaas niet op kan ingaan,
15:56
to pointpunt out was a groupgroep from the UniversityUniversiteit of MichiganMichigan
365
944945
2277
maar de volgende is van een groep
van de universiteit van Michigan
15:59
whichwelke was ablein staat to take votingstemming machinesmachines,
366
947222
2441
die een stemapparaat,
de Sequoia AVC Edge DREs,
16:01
the SequoiaSequoia AVCAVC EdgeRand DREsQuest that
367
949663
2498
die een stemapparaat,
de Sequoia AVC Edge DREs,
16:04
were going to be used in NewNieuw JerseyJersey in the electionverkiezing
368
952161
1555
van de verkiezingen in New Jersey,
16:05
that were left in a hallwaygang, and put Pac-ManPac-Man on it.
369
953716
2161
infecteerden, zodat ze er
een Pac-Man-game op konden spelen.
16:07
So they ranrende the Pac-ManPac-Man gamespel.
370
955877
3623
infecteerden, zodat ze er
een Pac-Man-game op konden spelen.
16:11
What does this all mean?
371
959500
1747
Wat betekent dit allemaal?
16:13
Well, I think that societymaatschappij tendsneigt to adoptadopteren technologytechnologie
372
961247
3647
Welnu, ik denk dat de samenleving technologie
16:16
really quicklysnel. I love the nextvolgende coolestcoolste gadgetapparaatje.
373
964894
2824
heel snel adopteert.
Ik ben gek op nieuwe speeltjes.
16:19
But it's very importantbelangrijk, and these researchersonderzoekers are showingtonen,
374
967718
2614
Maar wat belangrijk is,
en wat deze onderzoekers aantonen,
16:22
that the developersontwikkelaars of these things
375
970332
1360
is dat de ontwikkelaars van deze dingen
16:23
need to take securityveiligheid into accountaccount from the very beginningbegin,
376
971692
2865
rekening moeten houden met beveiliging
16:26
and need to realizerealiseren that they maymei have a threatbedreiging modelmodel-,
377
974557
2785
en moeten beseffen
dat ze wellicht een bedreigingsmodel hebben,
16:29
but the attackersaanvallers maymei not be niceleuk enoughgenoeg
378
977342
2462
maar dat aanvallers zich daar misschien niet
toe willen beperken.
16:31
to limitbegrenzing themselveszich to that threatbedreiging modelmodel-,
379
979804
1777
maar dat aanvallers zich daar misschien niet
toe willen beperken.
16:33
and so you need to think outsidebuiten of the boxdoos.
380
981581
2537
Dus moet je verder denken.
16:36
What we can do is be awarebewust
381
984118
1578
We kunnen ons bewust zijn
16:37
that devicesapparaten can be compromisedaangetast,
382
985696
2479
dat apparaten aangevallen kunnen worden,
16:40
and anything that has softwaresoftware in it
383
988175
1699
en dat alles met software erin
16:41
is going to be vulnerablekwetsbaar. It's going to have bugsbugs.
384
989874
2649
kwetsbaar zal zijn
en 'bugs' zal hebben.
16:44
Thank you very much. (ApplauseApplaus)
385
992523
3497
Mijn hartelijke dank. (Applaus)
Translated by Axel Saffran
Reviewed by Christel Foncke

▲Back to top

ABOUT THE SPEAKER
Avi Rubin - Computer security expert
Avi Rubin is a professor of computer science and director of the Health and Medical Security Lab at Johns Hopkins University. His research is focused on the security of electronic records -- including medical and voting records.

Why you should listen

Along with running the Health and Medical Security Lab, Avi Rubin is also the technical director of the JHU Information Security Institute. From 1997 to 2002, Avi was a researcher in AT&T’s Secure Systems Department, where he focused on cryptography and network security. He is also the founder of Harbor Labs, which provides expert testimony and review in legal cases related to high tech security. Avi has authored several books related to electronic security, including Brave New Ballot, published in 2006.

More profile about the speaker
Avi Rubin | Speaker | TED.com