Avi Rubin: All your devices can be hacked

Avi Rubin: Todos sus dispositivos pueden ser hackeados

43,872 views

2015-07-15 ・ TED


New videos

Avi Rubin: All your devices can be hacked

Avi Rubin: Todos sus dispositivos pueden ser hackeados

43,872 views ・ 2015-07-15

TED


Haga doble clic en los subtítulos en inglés para reproducir el vídeo.

00:00
Translator: Joseph Geni Reviewer: Morton Bast
0
0
7000
Traductor: Oscar D'Cuire Revisor: Ciro Gomez
00:12
I'm a computer science professor,
1
12588
3031
Soy profesor de informática,
00:15
and my area of expertise is
2
15619
2313
y mi área de especialización es
00:17
computer and information security.
3
17932
2199
informática y seguridad de la información.
00:20
When I was in graduate school,
4
20131
2320
Cuando estaba en la universidad
00:22
I had the opportunity to overhear my grandmother
5
22451
2601
tuve la oportunidad de escuchar a mi abuela
00:25
describing to one of her fellow senior citizens
6
25052
4134
describiéndole a uno de sus compañeros de edad avanzada
00:29
what I did for a living.
7
29186
2369
lo que yo hacía para vivir.
00:31
Apparently, I was in charge of making sure that
8
31555
3562
Aparentemente yo era el encargado de
00:35
no one stole the computers from the university. (Laughter)
9
35117
3900
que nadie robara las computadoras de la universidad. (Risas)
00:39
And, you know, that's a perfectly reasonable thing
10
39017
2744
Y, saben, es perfectamente comprensible
00:41
for her to think, because I told her I was working
11
41761
1920
que ella pensara eso, porque le dije que trabajaba
00:43
in computer security,
12
43681
1507
en seguridad informática,
00:45
and it was interesting to get her perspective.
13
45188
3597
así que su perspectiva resultaba bastante interesante.
00:48
But that's not the most ridiculous thing I've ever heard
14
48785
2617
Pero eso no es lo más absurdo que he escuchado
00:51
anyone say about my work.
15
51402
2017
sobre mi trabajo.
00:53
The most ridiculous thing I ever heard is,
16
53419
2284
Lo más absurdo que he oído fue
00:55
I was at a dinner party, and a woman heard
17
55703
3134
cuando estaba en una cena y una mujer escuchó
00:58
that I work in computer security,
18
58837
1783
que trabajaba en seguridad informática,
01:00
and she asked me if -- she said her computer had been
19
60620
3517
y me preguntó si... dijo que su computadora tenía
01:04
infected by a virus, and she was very concerned that she
20
64137
3436
un virus y estaba muy preocupada de que ella
01:07
might get sick from it, that she could get this virus. (Laughter)
21
67573
3951
pudiera infectarse y caer enferma. (Risas)
01:11
And I'm not a doctor, but I reassured her
22
71524
2943
Y yo no soy médico pero le aseguré que
01:14
that it was very, very unlikely that this would happen,
23
74467
3144
era muy, pero muy poco probable, que algo así sucediera,
01:17
but if she felt more comfortable, she could be free to use
24
77611
2801
pero que si se sentía más tranquila, podía ponerse
01:20
latex gloves when she was on the computer,
25
80412
1848
guantes de látex cuando usara su computadora
01:22
and there would be no harm whatsoever in that.
26
82260
3392
ya que esto no le haría daño alguno.
01:25
I'm going to get back to this notion of being able to get
27
85652
2507
Más adelante voy a retomar esta idea de ser infectado por
01:28
a virus from your computer, in a serious way.
28
88159
3508
un virus de su computadora, de una manera seria.
01:31
What I'm going to talk to you about today
29
91667
1640
De lo que voy a hablar hoy
01:33
are some hacks, some real world cyberattacks that people
30
93307
4846
es de algunos 'hacks', ciberataques en el mundo real, que personas
01:38
in my community, the academic research community,
31
98153
2554
de mi comunidad, la académico-investigativa,
01:40
have performed, which I don't think
32
100707
2794
han realizado, y que creo
01:43
most people know about,
33
103501
1208
que la mayoría de la gente desconoce,
01:44
and I think they're very interesting and scary,
34
104709
3028
y que considero que son muy interesantes y atemorizantes,
01:47
and this talk is kind of a greatest hits
35
107737
2441
así es que esta charla es como los grandes éxitos
01:50
of the academic security community's hacks.
36
110178
2991
en los hacks de la comunidad de académicos de seguridad informática.
01:53
None of the work is my work. It's all work
37
113169
1987
Nada de este trabajo es mío. Todo
01:55
that my colleagues have done, and I actually asked them
38
115156
2174
ha sido realizado por mis colegas y en realidad les pedí
01:57
for their slides and incorporated them into this talk.
39
117330
2557
sus diapositivas y las incluí en esta charla.
01:59
So the first one I'm going to talk about
40
119887
1742
Así que de lo primero que voy a hablar
02:01
are implanted medical devices.
41
121629
2674
es de los dispositivos médicos implantados.
02:04
Now medical devices have come a long way technologically.
42
124303
3040
Hoy en día los dispositivos médicos son tecnológicamente muy avanzados.
02:07
You can see in 1926 the first pacemaker was invented.
43
127343
3856
En 1926 se inventó el primer marcapasos.
02:11
1960, the first internal pacemaker was implanted,
44
131199
3552
En 1960 fue implantado el primer marcapasos,
02:14
hopefully a little smaller than that one that you see there,
45
134751
2552
afortunadamente, un poco más pequeño que el que se puede ver aquí
02:17
and the technology has continued to move forward.
46
137303
2968
y la tecnología ha seguido avanzando.
02:20
In 2006, we hit an important milestone from the perspective
47
140271
4633
En 2006 alcanzamos un hito importante desde la perspectiva
02:24
of computer security.
48
144904
3167
de la seguridad informática.
02:28
And why do I say that?
49
148071
1341
¿Y por qué digo esto?
02:29
Because that's when implanted devices inside of people
50
149412
2890
Porque fue entonces cuando los dispositivos implantados en personas
02:32
started to have networking capabilities.
51
152302
2745
comenzaron a tener capacidad de conexión en red.
02:35
One thing that brings us close to home is we look
52
155047
1880
Si echamos un vistazo
02:36
at Dick Cheney's device, he had a device that
53
156927
2705
al dispositivo de Dick Cheney, que
02:39
pumped blood from an aorta to another part of the heart,
54
159632
3869
bombeaba sangre desde la aorta a otra parte del corazón
02:43
and as you can see at the bottom there,
55
163501
1183
y, como pueden ver aquí abajo,
02:44
it was controlled by a computer controller,
56
164684
3009
estaba controlado por un ordenador,
02:47
and if you ever thought that software liability
57
167693
2517
y si alguna vez han pensado que la confiabilidad de un software
02:50
was very important, get one of these inside of you.
58
170210
3589
era muy importante, pónganse uno de éstos dentro de Uds.
02:53
Now what a research team did was they got their hands
59
173799
3695
Lo que hizo un equipo de investigadores
02:57
on what's called an ICD.
60
177494
1420
fue tomar lo que se llama un DAI.
02:58
This is a defibrillator, and this is a device
61
178914
2070
Esto es un desfibrilador y es un aparato
03:00
that goes into a person to control their heart rhythm,
62
180984
4336
que va implantado dentro de una persona para controlar su ritmo cardíaco
03:05
and these have saved many lives.
63
185320
2338
y éstos han salvado muchas vidas.
03:07
Well, in order to not have to open up the person
64
187658
2472
Bueno, para no tener que abrir a la persona
03:10
every time you want to reprogram their device
65
190130
2194
cada vez que se quiere reprogramar el dispositivo
03:12
or do some diagnostics on it, they made the thing be able
66
192324
2455
o que hay que hacer un diagnóstico del mismo, lo que hacen es que el aparato
03:14
to communicate wirelessly, and what this research team did
67
194779
3102
se puede comunicar vía inalámbrica, y lo que este equipo de investigación hizo
03:17
is they reverse engineered the wireless protocol,
68
197881
2610
fue utilizar ingeniería inversa al protocolo inalámbrico,
03:20
and they built the device you see pictured here,
69
200491
1872
y construyeron el dispositivo que ven en la fotografía,
03:22
with a little antenna, that could talk the protocol
70
202363
2760
con una pequeña antena que podía transmitir el protocolo
03:25
to the device, and thus control it.
71
205123
4475
al dispositivo y de esta manera controlarlo.
03:29
In order to make their experience real -- they were unable
72
209598
2689
Para poder hacer un experimento real —fueron incapaces
03:32
to find any volunteers, and so they went
73
212287
2472
de encontrar voluntarios— así que
03:34
and they got some ground beef and some bacon
74
214759
2144
tomaron carne molida y tocino
03:36
and they wrapped it all up to about the size
75
216903
1788
y lo envolvieron todo hasta lograr el tamaño
03:38
of a human being's area where the device would go,
76
218691
2798
de la zona de una persona donde el dispositivo iría ubicado,
03:41
and they stuck the device inside it
77
221489
1454
y pusieron el dispositivo dentro
03:42
to perform their experiment somewhat realistically.
78
222943
3132
para realizar un experimento que fuera más o menos realista.
03:46
They launched many, many successful attacks.
79
226075
3020
Realizaron muchos, muchos ataques exitosos.
03:49
One that I'll highlight here is changing the patient's name.
80
229095
3056
Uno que me gustaría destacar aquí es cambiar el nombre del paciente.
03:52
I don't know why you would want to do that,
81
232151
993
No sé por qué alguien querría hacer eso,
03:53
but I sure wouldn't want that done to me.
82
233144
2104
pero estoy seguro de que no quisiera que me lo hicieran a mí.
03:55
And they were able to change therapies,
83
235248
2331
Y fueron capaces de cambiar terapias,
03:57
including disabling the device -- and this is with a real,
84
237579
2495
incluyendo la deshabilitación del dispositivo —y esto con
04:00
commercial, off-the-shelf device --
85
240074
1896
un dispositivo comercial, de venta al público—
04:01
simply by performing reverse engineering and sending
86
241970
2046
simplemente realizando ingeniería inversa y enviando
04:04
wireless signals to it.
87
244016
2989
señales inalámbricas al mismo.
04:07
There was a piece on NPR that some of these ICDs
88
247005
3580
Había una parte en el NPR de algunos de estos desfibriladores
04:10
could actually have their performance disrupted
89
250585
2422
que podía lograr que se interrumpiera su desempeño
04:13
simply by holding a pair of headphones onto them.
90
253007
3651
simplemente sosteniendo unos auriculares encima de ellos.
04:16
Now, wireless and the Internet
91
256658
1409
Ahora, la tecnología inalámbrica e Internet
04:18
can improve health care greatly.
92
258067
1652
pueden mejorar los cuidados de la salud notablemente.
04:19
There's several examples up on the screen
93
259719
2087
En la pantalla hay varios ejemplos de situaciones
04:21
of situations where doctors are looking to implant devices
94
261806
3107
en donde los médicos están observando los implantes
04:24
inside of people, and all of these devices now,
95
264913
2865
dentro de las personas, y para todos estos dispositivos ahora,
04:27
it's standard that they communicate wirelessly,
96
267778
3125
es un estándar que se puedan comunicar inalámbricamente,
04:30
and I think this is great,
97
270903
1412
y creo que esto es estupendo,
04:32
but without a full understanding of trustworthy computing,
98
272315
3105
pero sin un completo entendimiento de la informática fiable,
04:35
and without understanding what attackers can do
99
275420
2407
y sin entender desde un inicio lo que los atacantes pueden hacer
04:37
and the security risks from the beginning,
100
277827
2147
y los riesgos de la seguridad,
04:39
there's a lot of danger in this.
101
279974
2390
hay mucho peligro en esto.
04:42
Okay, let me shift gears and show you another target.
102
282364
1477
Bien, vamos a cambiar de rumbo y mostrar otro ejemplo.
04:43
I'm going to show you a few different targets like this,
103
283841
2088
Voy a mostrarles algunos ejemplos diferentes, como este
04:45
and that's my talk. So we'll look at automobiles.
104
285929
2917
que será mi tema. Hablemos de automóviles.
04:48
This is a car, and it has a lot of components,
105
288846
2896
Este es un vehículo, y tiene muchos componentes,
04:51
a lot of electronics in it today.
106
291742
1620
hoy en día, muchos de ellos son electrónicos.
04:53
In fact, it's got many, many different computers inside of it,
107
293362
4377
De hecho, tiene muchos ordenadores dentro de él,
04:57
more Pentiums than my lab did when I was in college,
108
297739
3155
más Pentiums que los que tenía mi laboratorio cuando estaba en la facultad,
05:00
and they're connected by a wired network.
109
300894
3639
y están conectados por una red cableada.
05:04
There's also a wireless network in the car,
110
304533
3431
También hay una red inalámbrica en el auto,
05:07
which can be reached from many different ways.
111
307964
3233
a la que se tiene acceso por diferentes medios.
05:11
So there's Bluetooth, there's the FM and XM radio,
112
311197
3701
Bluetooth, radio FM, radio XM,
05:14
there's actually wi-fi, there's sensors in the wheels
113
314898
2820
de hecho posee un wi-fi, hay sensores en las ruedas
05:17
that wirelessly communicate the tire pressure
114
317718
2153
que comunican la presión de las mismas inalámbricamente
05:19
to a controller on board.
115
319871
1806
a un controlador en la cabina.
05:21
The modern car is a sophisticated multi-computer device.
116
321677
4918
El auto moderno es un sofisticado dispositivo multicomputadora.
05:26
And what happens if somebody wanted to attack this?
117
326595
3322
¿Y qué ocurre si alguien intenta atacarlo?
05:29
Well, that's what the researchers
118
329917
1317
Bueno, eso es lo que hicieron los investigadores
05:31
that I'm going to talk about today did.
119
331234
1871
de los que les voy a hablar.
05:33
They basically stuck an attacker on the wired network
120
333105
2977
Básicamente adhirieron un atacante a la red cableada
05:36
and on the wireless network.
121
336082
2322
y a la red inalámbrica.
05:38
Now, they have two areas they can attack.
122
338404
2699
De esta forma tienen dos flancos por donde atacar.
05:41
One is short-range wireless, where you can actually
123
341103
2038
Uno es una red inalámbrica de corto alcance, con la cual
05:43
communicate with the device from nearby,
124
343141
1781
puedes comunicarte con un dispositivo cercano,
05:44
either through Bluetooth or wi-fi,
125
344922
2137
tanto por Bluetooth como por wi-fi,
05:47
and the other is long-range, where you can communicate
126
347059
2174
y la otra es de largo alcance, con la que puedes comunicarte
05:49
with the car through the cellular network,
127
349233
1782
con el auto a través de la red móvil
05:51
or through one of the radio stations.
128
351015
1960
o a través de una de las estaciones de radio.
05:52
Think about it. When a car receives a radio signal,
129
352975
3049
Piénsenlo. Cuando un coche recibe una señal de radio
05:56
it's processed by software.
130
356024
2201
es procesada por un software.
05:58
That software has to receive and decode the radio signal,
131
358225
3061
Este software tiene que recibir y descodificar esta señal de radio
06:01
and then figure out what to do with it,
132
361286
1119
y luego saber qué hacer con ella,
06:02
even if it's just music that it needs to play on the radio,
133
362405
3024
incluso si solo fuera música que será reproducida en la radio,
06:05
and that software that does that decoding,
134
365429
2268
y ese software que realiza esta descodificación,
06:07
if it has any bugs in it, could create a vulnerability
135
367697
3093
si tiene algún fallo, puede generar una vulnerabilidad
06:10
for somebody to hack the car.
136
370790
3035
para alguien que quiera hackear el auto.
06:13
The way that the researchers did this work is,
137
373825
2952
Los investigadores hicieron este trabajo así:
06:16
they read the software in the computer chips
138
376777
4223
leyeron el software en los chips del ordenador
06:21
that were in the car, and then they used sophisticated
139
381000
3193
del auto y luego utilizaron herramientas sofisticadas
06:24
reverse engineering tools
140
384193
1414
de ingeniería inversa
06:25
to figure out what that software did,
141
385607
2055
para saber lo que hacía el software,
06:27
and then they found vulnerabilities in that software,
142
387662
3041
encontraron sus vulnerabilidades,
06:30
and then they built exploits to exploit those.
143
390703
3346
y crearon mecanismos para atacarlas.
06:34
They actually carried out their attack in real life.
144
394049
2382
De hecho, realizaron el ataque en la vida real.
06:36
They bought two cars, and I guess
145
396431
1350
Compraron dos autos —me imagino
06:37
they have better budgets than I do.
146
397781
2918
que tienen un mejor presupuesto que yo—.
06:40
The first threat model was to see what someone could do
147
400699
2590
El primer modelo era para comprobar lo que sucedería
06:43
if an attacker actually got access
148
403289
2144
si un atacante tuviera acceso
06:45
to the internal network on the car.
149
405433
2053
a la red interna del auto.
06:47
Okay, so think of that as, someone gets to go to your car,
150
407486
2603
Bien, piensa en ello como si alguien accede a tu coche,
06:50
they get to mess around with it, and then they leave,
151
410089
2904
lo utiliza para hacer tonterías por ahí y luego lo abandona,
06:52
and now, what kind of trouble are you in?
152
412993
2368
y ahora, ¿en qué problema te han metido?
06:55
The other threat model is that they contact you
153
415361
2792
El otro modelo es uno en el cual te contactan
06:58
in real time over one of the wireless networks
154
418153
2457
en tiempo real a través de una de las redes inalámbricas
07:00
like the cellular, or something like that,
155
420610
2055
como con un móvil, o algo similar,
07:02
never having actually gotten physical access to your car.
156
422665
4000
y nunca tienen acceso físico a tu auto.
07:06
This is what their setup looks like for the first model,
157
426665
2824
Así es como se ve el equipo para el primer modelo
07:09
where you get to have access to the car.
158
429489
1683
en el cual tienen acceso al auto.
07:11
They put a laptop, and they connected to the diagnostic unit
159
431172
3387
Toman una computadora y la conectan a la unidad de diagnóstico
07:14
on the in-car network, and they did all kinds of silly things,
160
434559
2939
de la red interna del coche y hacen todo tipo de tonterías,
07:17
like here's a picture of the speedometer
161
437498
2783
como por ejemplo aquí hay una foto del velocímetro
07:20
showing 140 miles an hour when the car's in park.
162
440281
2816
mostrando 225 km por hora cuando el auto está aparcado.
07:23
Once you have control of the car's computers,
163
443097
2373
Una vez que han controlado los ordenadores del auto,
07:25
you can do anything.
164
445470
919
puedes hacer cualquier cosa.
07:26
Now you might say, "Okay, that's silly."
165
446389
1616
Bueno, ahora podrías decir "Oye, eso es absurdo".
07:28
Well, what if you make the car always say
166
448005
1659
Bueno, ¿qué pasaría si se lograra que el auto siempre indicara
07:29
it's going 20 miles an hour slower than it's actually going?
167
449664
2741
que va como a 30 km por hora menos de las que realmente va?
07:32
You might produce a lot of speeding tickets.
168
452405
2542
Te podrían poner un montón de multas.
07:34
Then they went out to an abandoned airstrip with two cars,
169
454947
3856
Luego fueron a una pista de aterrizaje abandonada con dos autos,
07:38
the target victim car and the chase car,
170
458803
2745
la víctima y el perseguidor,
07:41
and they launched a bunch of other attacks.
171
461548
2746
y realizaron otros ataques.
07:44
One of the things they were able to do from the chase car
172
464294
2766
Una de las cosas que pudieron hacer desde el auto perseguidor
07:47
is apply the brakes on the other car,
173
467060
1974
fue hacer frenar al otro auto,
07:49
simply by hacking the computer.
174
469034
1560
simplemente hackeando su ordenador.
07:50
They were able to disable the brakes.
175
470594
2431
Fueron capaces de inhibir los frenos.
07:53
They also were able to install malware that wouldn't kick in
176
473025
3178
También fueron capaces de instalar programas maliciosos que no tuvieran efecto
07:56
and wouldn't trigger until the car was doing something like
177
476203
2425
y que no funcionaran hasta que el auto hiciera algo como
07:58
going over 20 miles an hour, or something like that.
178
478628
3746
ir a más de 30 km por hora.
08:02
The results are astonishing, and when they gave this talk,
179
482374
2758
Los resultados son asombrosos, y cuando compartieron esta charla,
08:05
even though they gave this talk at a conference
180
485132
1716
incluso impartiéndola en una conferencia
08:06
to a bunch of computer security researchers,
181
486848
1726
a un grupo de científicos en seguridad computacional,
08:08
everybody was gasping.
182
488574
1700
todo el mundo estaba boquiabierto.
08:10
They were able to take over a bunch of critical computers
183
490274
3699
Fueron capaces de tomar el control de varios de los ordenadores críticos
08:13
inside the car: the brakes computer, the lighting computer,
184
493973
3761
dentro del auto: el que controla los frenos, las luces,
08:17
the engine, the dash, the radio, etc.,
185
497734
2827
el motor, el tablero, la radio, etc...
08:20
and they were able to perform these on real commercial
186
500561
2293
y fueron capaces de hacerlo en vehículos reales de la calle
08:22
cars that they purchased using the radio network.
187
502854
3027
que compraron, utilizando la señal de radio.
08:25
They were able to compromise every single one of the
188
505881
3003
Fueron capaces de comprometer cada
08:28
pieces of software that controlled every single one
189
508884
2466
parte del software que controlaba cada una
08:31
of the wireless capabilities of the car.
190
511350
3015
de la conexiones inalámbricas del auto.
08:34
All of these were implemented successfully.
191
514365
2513
Cada una de ellas fue implementada exitosamente.
08:36
How would you steal a car in this model?
192
516878
2352
¿Cómo se podría robar un auto utilizando este modelo?
08:39
Well, you compromise the car by a buffer overflow
193
519230
3680
Bueno, se podría poner en peligro a través de un desbordamiento de memoria
08:42
of vulnerability in the software, something like that.
194
522910
2527
de la vulnerabilidad en este software, o algo parecido.
08:45
You use the GPS in the car to locate it.
195
525437
2203
Se utiliza el GPS en el auto para localizarlo.
08:47
You remotely unlock the doors through the computer
196
527640
2195
Se quita la llave de las puertas remotamente a través de la computadora
08:49
that controls that, start the engine, bypass anti-theft,
197
529835
3138
que controla esto, se enciende el motor, se ignora la alarma antirobo,
08:52
and you've got yourself a car.
198
532973
1668
y listo, ya tienes un vehículo.
08:54
Surveillance was really interesting.
199
534641
2487
La observación fue bastante interesante.
08:57
The authors of the study have a video where they show
200
537128
3209
Los autores del estudio tienen un vídeo en el que se muestra
09:00
themselves taking over a car and then turning on
201
540337
2549
como ellos tomaron control del vehículo y luego encendieron
09:02
the microphone in the car, and listening in on the car
202
542886
2761
el micrófono y los parlantes en el auto
09:05
while tracking it via GPS on a map,
203
545647
3351
mientras lo rastreaban vía GPS en un mapa,
09:08
and so that's something that the drivers of the car
204
548998
1713
de forma que eso es algo que los conductores
09:10
would never know was happening.
205
550711
2168
nunca sabrían que está sucediendo.
09:12
Am I scaring you yet?
206
552879
2134
¿Ya tienen algo de miedo?
09:15
I've got a few more of these interesting ones.
207
555013
1943
Aún tengo algunas más de estas historias interesantes.
09:16
These are ones where I went to a conference,
208
556956
1833
Éstas son algunas que recuerdo de una conferencia,
09:18
and my mind was just blown, and I said,
209
558789
1933
en la que mi mente estaba simplemente asombrada, y yo me decía,
09:20
"I have to share this with other people."
210
560722
1826
"Tengo que compartir esto con otra gente".
09:22
This was Fabian Monrose's lab
211
562548
1623
Esta es del laboratorio de Fabian Monrose
09:24
at the University of North Carolina, and what they did was
212
564171
3456
en la Universidad de Carolina del Norte, y lo que hicieron fue
09:27
something intuitive once you see it,
213
567627
2075
algo intuitivo, una vez que uno lo ha visto,
09:29
but kind of surprising.
214
569702
1714
pero sorprendente a la vez.
09:31
They videotaped people on a bus,
215
571416
2259
Ellos grabaron en video a personas en un autobús,
09:33
and then they post-processed the video.
216
573675
2840
y postprocesaron el vídeo.
09:36
What you see here in number one is a
217
576515
2463
Lo que ven aquí, en el número uno es el
09:38
reflection in somebody's glasses of the smartphone
218
578978
4383
reflejo de los anteojos de alguien, del teléfono móvil
09:43
that they're typing in.
219
583361
1425
en el que está escribiendo.
09:44
They wrote software to stabilize --
220
584786
1975
Ellos escribieron software para estabilizar
09:46
even though they were on a bus
221
586761
1365
—aunque estuvieron dentro del autobús
09:48
and maybe someone's holding their phone at an angle --
222
588126
3211
y quizás con alguien sosteniendo el teléfono en un ángulo específico—
09:51
to stabilize the phone, process it, and
223
591337
2370
para estabilizar el teléfono, procesarlo y
09:53
you may know on your smartphone, when you type
224
593707
1885
Uds. deben saber que en su teléfono, cuando ingresan
09:55
a password, the keys pop out a little bit, and they were able
225
595592
2939
una contraseña, las teclas resaltan un poco, por lo que fueron capaces
09:58
to use that to reconstruct what the person was typing,
226
598531
2840
de usar eso para reconstruir lo que la persona estaba escribiendo,
10:01
and had a language model for detecting typing.
227
601371
4321
y tenían un modelo de lenguaje para detectar que escribían.
10:05
What was interesting is, by videotaping on a bus,
228
605692
2335
Lo interesante fue, al grabar esto en un autobús,
10:08
they were able to produce exactly what people
229
608027
2129
que fueron capaces de producir exactamente lo que la gente
10:10
on their smartphones were typing,
230
610156
2151
estaba escribiendo en sus teléfonos,
10:12
and then they had a surprising result, which is that
231
612307
2260
y luego tuvieron un resultado sorprendente,
10:14
their software had not only done it for their target,
232
614567
2764
su software lo había hecho no solamente para su blanco,
10:17
but other people who accidentally happened
233
617331
1403
sino para otras personas que accidentalmente
10:18
to be in the picture, they were able to produce
234
618734
2086
fueron enfocados; fueron capaces de producir
10:20
what those people had been typing, and that was kind of
235
620820
2727
que era lo que ellos habían estado escribiendo, eso fue un
10:23
an accidental artifact of what their software was doing.
236
623547
3617
un resultado accidental de lo que su software estaba haciendo.
10:27
I'll show you two more. One is P25 radios.
237
627164
4303
Les mostraré dos más. Una son las radios P25.
10:31
P25 radios are used by law enforcement
238
631467
2800
Los P25 son radios utilizados por la policía,
10:34
and all kinds of government agencies
239
634267
3407
por todo tipo de agencias gubernamentales
10:37
and people in combat to communicate,
240
637674
1736
y por los soldados en combate para comunicarse,
10:39
and there's an encryption option on these phones.
241
639410
2833
hay una opción de encriptación en esos teléfonos.
10:42
This is what the phone looks like. It's not really a phone.
242
642243
2728
Así es como se ve un teléfono. En realidad no es un teléfono.
10:44
It's more of a two-way radio.
243
644971
1206
Es más como un radio de doble-vía.
10:46
Motorola makes the most widely used one, and you can see
244
646177
3322
Motorola fabrica uno de los más utilizados, y Uds. pueden ver
10:49
that they're used by Secret Service, they're used in combat,
245
649499
2649
que son utilizados por el Servicio Secreto y también en combate,
10:52
it's a very, very common standard in the U.S. and elsewhere.
246
652148
3102
es un estándar bastante, bastante común en EE.UU. y en otros lugares.
10:55
So one question the researchers asked themselves is,
247
655250
2305
Así que una de las preguntas que los investigadores se han hecho es,
10:57
could you block this thing, right?
248
657555
2704
¿se podría bloquear este aparato, no?
11:00
Could you run a denial-of-service,
249
660259
1583
¿Podrías efectuar un ataque tipo denegación de servicio,
11:01
because these are first responders?
250
661842
1824
considerando que estos son equipos de primera respuesta?
11:03
So, would a terrorist organization want to black out the
251
663666
1801
Entonces, ¿podría una organización terrorista eliminar
11:05
ability of police and fire to communicate at an emergency?
252
665467
4488
la capacidad de la policía y de los bomberos de informar sobre alguna emergencia?
11:09
They found that there's this GirlTech device used for texting
253
669955
3072
Encontraron que hay un dispositivo GirlTech usado para mandar mensajes de texto
11:13
that happens to operate at the same exact frequency
254
673027
2718
que opera en exactamente la misma frecuencia
11:15
as the P25, and they built what they called
255
675745
2271
que el P25, así es que construyeron lo que llamaron
11:18
My First Jammer. (Laughter)
256
678016
4334
Mi Primer Bloqueador de Señal. (Risas)
11:22
If you look closely at this device,
257
682350
2378
Si ven de cerca este dispositivo,
11:24
it's got a switch for encryption or cleartext.
258
684728
3630
posee un interruptor para encriptación o texto puro.
11:28
Let me advance the slide, and now I'll go back.
259
688358
3050
Permítanme pasar de diapositiva, y ahora regresaré.
11:31
You see the difference?
260
691408
2547
¿Ven la diferencia?
11:33
This is plain text. This is encrypted.
261
693955
2557
Este es texto puro. Este es encriptado.
11:36
There's one little dot that shows up on the screen,
262
696512
2557
Hay un pequeño punto que se despliega en la pantalla,
11:39
and one little tiny turn of the switch.
263
699069
2085
y también se ve un pequeño giro en el interruptor.
11:41
And so the researchers asked themselves, "I wonder how
264
701154
1904
Así es que los investigadores se dijeron, "¿Me pregunto como
11:43
many times very secure, important, sensitive conversations
265
703058
4257
es posible que muchas veces conversaciones bien seguras, importantes y delicadas
11:47
are happening on these two-way radios where they forget
266
707315
1623
se dan en estos radios de dos-vías cuando se olvida
11:48
to encrypt and they don't notice that they didn't encrypt?"
267
708938
2910
encriptar y no se dan cuenta de que no encriptaron?"
11:51
So they bought a scanner. These are perfectly legal
268
711848
3339
Así es que compraron un scanner. Estos son perfectamente legales
11:55
and they run at the frequency of the P25,
269
715187
3458
y operan en la frecuencia del P25,
11:58
and what they did is they hopped around frequencies
270
718645
1767
lo que hicieron fue saltar en varias frecuencias
12:00
and they wrote software to listen in.
271
720412
2510
y diseñaron un software para escuchar.
12:02
If they found encrypted communication, they stayed
272
722922
2634
Si se encontraban con comunicación encriptada, ellos permanecían
12:05
on that channel and they wrote down, that's a channel
273
725556
1686
en ese canal y anotaban, que ese era un canal
12:07
that these people communicate in,
274
727242
1788
por medio del cual la gente se comunicaba,
12:09
these law enforcement agencies,
275
729030
1622
agencias de policía federal,
12:10
and they went to 20 metropolitan areas and listened in
276
730652
3391
y se fueron a 20 áreas metropolitanas y escucharon
12:14
on conversations that were happening at those frequencies.
277
734043
3475
conversaciones que se daban en esas frecuencias.
12:17
They found that in every metropolitan area,
278
737518
3239
Encontraron que en cada área metropolitana,
12:20
they would capture over 20 minutes a day
279
740757
2154
capturaban más de 20 minutos diarios
12:22
of cleartext communication.
280
742911
2375
de comunicación clara.
12:25
And what kind of things were people talking about?
281
745286
2000
Y ¿de qué hablaba la gente?
12:27
Well, they found the names and information
282
747286
1484
Bueno, ellos encontraron nombres e información
12:28
about confidential informants. They found information
283
748770
2852
acerca de informantes confidenciales. Encontraron información
12:31
that was being recorded in wiretaps,
284
751622
2202
que estaba siendo intervenida telefónicamente,
12:33
a bunch of crimes that were being discussed,
285
753824
2710
se discutían varios crímenes,
12:36
sensitive information.
286
756534
1162
información delicada.
12:37
It was mostly law enforcement and criminal.
287
757696
3363
En su mayoría era información criminal y de policía federal.
12:41
They went and reported this to the law enforcement
288
761059
1834
Fueron y lo reportaron a la policía federal,
12:42
agencies, after anonymizing it,
289
762893
2023
después de dejarlo en el anonimato,
12:44
and the vulnerability here is simply the user interface
290
764916
3000
y en este caso la vulnerabilidad es simplemente que la interfaz de usuario
12:47
wasn't good enough. If you're talking
291
767916
1394
no era lo suficientemente buena. Si se va hablar
12:49
about something really secure and sensitive, it should
292
769310
2816
de algo realmente seguro y sensible, debe
12:52
be really clear to you that this conversation is encrypted.
293
772126
3293
tenerse completamente claro que esa conversación está encriptada.
12:55
That one's pretty easy to fix.
294
775419
1886
Eso se resuelve fácilmente.
12:57
The last one I thought was really, really cool,
295
777305
1669
Finalmente, el último caso es algo que creo que es algo genial,
12:58
and I just had to show it to you, it's probably not something
296
778974
2813
y tenía que mostrárselos, probablemente no es algo
13:01
that you're going to lose sleep over
297
781787
1005
por lo que Uds. dejarán de dormir
13:02
like the cars or the defibrillators,
298
782792
1791
como los autos o los desfibriladores,
13:04
but it's stealing keystrokes.
299
784583
3023
pero está robando tecleadas.
13:07
Now, we've all looked at smartphones upside down.
300
787606
2747
Hemos visto a los teléfonos inteligentes boca abajo.
13:10
Every security expert wants to hack a smartphone,
301
790353
2190
Cada experto de seguridad quiere hackear un teléfono inteligente,
13:12
and we tend to look at the USB port, the GPS for tracking,
302
792543
4612
y tendemos a analizar el puerto USB, el GPS para el rastreo,
13:17
the camera, the microphone, but no one up till this point
303
797155
3208
la cámara, el micrófono, pero nadie hasta este punto
13:20
had looked at the accelerometer.
304
800363
1580
había observado el acelerómetro.
13:21
The accelerometer is the thing that determines
305
801943
1647
El acelerómetro es eso que determina
13:23
the vertical orientation of the smartphone.
306
803590
3494
la orientación vertical del teléfono inteligente.
13:27
And so they had a simple setup.
307
807084
1417
Así que hicieron algo sencillo.
13:28
They put a smartphone next to a keyboard,
308
808501
2758
Pusieron un teléfono inteligente junto a un teclado,
13:31
and they had people type, and then their goal was
309
811259
2712
y pusieron a la gente a teclear, su meta era
13:33
to use the vibrations that were created by typing
310
813971
2856
usar las vibraciones que eran generadas al teclear
13:36
to measure the change in the accelerometer reading
311
816827
4240
para medir el cambio en la lectura del acelerómetro
13:41
to determine what the person had been typing.
312
821067
3176
y determinar así lo que la persona había estado escribiendo.
13:44
Now, when they tried this on an iPhone 3GS,
313
824243
2576
Ahora, al intentar esto en el iPhons 3GS,
13:46
this is a graph of the perturbations that were created
314
826819
2769
esta es una gráfica de las perturbaciones creadas
13:49
by the typing, and you can see that it's very difficult
315
829588
3241
al escribir, y como pueden observar es bastante difícil
13:52
to tell when somebody was typing or what they were typing,
316
832829
3078
de decir cuándo o qué era lo que alguien estaba escribiendo,
13:55
but the iPhone 4 greatly improved the accelerometer,
317
835907
3090
pero en el iPhone 4 con el acelerómetro mejorado,
13:58
and so the same measurement
318
838997
3480
la misma medición
14:02
produced this graph.
319
842477
1832
produjo esta gráfica.
14:04
Now that gave you a lot of information while someone
320
844309
2486
Esto quiere decir que se dio bastante información mientras alguien
14:06
was typing, and what they did then is used advanced
321
846795
3241
estaba tecleando y lo que hicieron entonces fue utilizar
14:10
artificial intelligence techniques called machine learning
322
850036
3007
técnicas avanzadas de inteligencia artificial llamadas aprendizaje de máquinas
14:13
to have a training phase,
323
853043
1431
para tener una fase de entrenamiento,
14:14
and so they got most likely grad students
324
854474
2236
y fue así que invitaron a varios alumnos universitarios
14:16
to type in a whole lot of things, and to learn,
325
856710
3789
a que escribieran varias cosas, y para aprender,
14:20
to have the system use the machine learning tools that
326
860499
2768
y poder tener las herramientas de aprendizaje de máquina
14:23
were available to learn what it is that the people were typing
327
863267
2863
disponibles para aprender lo que la gente escribía
14:26
and to match that up
328
866130
2827
y poder así comparar
14:28
with the measurements in the accelerometer.
329
868957
2477
con las mediciones del acelerómetro.
14:31
And then there's the attack phase, where you get
330
871434
1635
Luego vino la fase de ataque, en la que
14:33
somebody to type something in, you don't know what it was,
331
873069
2811
alguien escribía algo, se desconocía el contenido,
14:35
but you use your model that you created
332
875880
1297
pero utilizando el modelo creado
14:37
in the training phase to figure out what they were typing.
333
877177
3442
en la fase de entrenamiento, se determinaba qué era lo que se estaba escribiendo.
14:40
They had pretty good success. This is an article from the USA Today.
334
880619
3484
Fue algo bastante exitoso. Este es un artículo del USA Today.
14:44
They typed in, "The Illinois Supreme Court has ruled
335
884103
2609
Ellos escribieron "La Suprema Corte de Illinois ha ordenado
14:46
that Rahm Emanuel is eligible to run for Mayor of Chicago"
336
886712
2962
que Rahm Emanuel es elegible como candidato para la Alcaldía de Chicago".
14:49
— see, I tied it in to the last talk —
337
889674
1354
—vean, esto lo ligué en la última charla—
14:51
"and ordered him to stay on the ballot."
338
891028
2118
"y le ordenaron permanecer en la papeleta electoral".
14:53
Now, the system is interesting, because it produced
339
893146
2771
Lo interesante de este sistema es que produjo
14:55
"Illinois Supreme" and then it wasn't sure.
340
895917
2886
"Suprema de Illinois" y entonces no estaba seguro.
14:58
The model produced a bunch of options,
341
898803
1950
El modelo produjo varias opciones,
15:00
and this is the beauty of some of the A.I. techniques,
342
900753
2709
y esto es lo asombroso de algunas técnicas de I.A.,
15:03
is that computers are good at some things,
343
903462
2250
las computadoras son buenas en algunas cosas,
15:05
humans are good at other things,
344
905712
1534
los humanos buenos en otras,
15:07
take the best of both and let the humans solve this one.
345
907246
1931
tomen lo mejor de ambos y dejen que los humanos resuelvan esto.
15:09
Don't waste computer cycles.
346
909177
1382
No desperdicien los ciclos de computadora.
15:10
A human's not going to think it's the Supreme might.
347
910559
2136
Un humano no va a pensar que es la voluntad Suprema.
15:12
It's the Supreme Court, right?
348
912695
1740
Es la Corte Suprema, ¿verdad?
15:14
And so, together we're able to reproduce typing
349
914435
2530
Y así, juntos lograron reproducir lo que se había escrito
15:16
simply by measuring the accelerometer.
350
916965
2949
simplemente midiendo el acelerómetro.
15:19
Why does this matter? Well, in the Android platform,
351
919914
3502
¿Por qué importa esto? Bueno, en la plataforma Android,
15:23
for example, the developers have a manifest
352
923416
4133
por ejemplo, los diseñadores tienen un manifiesto
15:27
where every device on there, the microphone, etc.,
353
927564
2584
en el que cada dispositivo, el micrófono, etc...
15:30
has to register if you're going to use it
354
930148
1956
tiene que ser registrado si va a ser utilizado
15:32
so that hackers can't take over it,
355
932104
2316
para que los hackers no puedan controlarlo,
15:34
but nobody controls the accelerometer.
356
934420
3108
pero nadie controla el acelerómetro.
15:37
So what's the point? You can leave your iPhone next to
357
937528
2216
Entonces, ¿cuál es el punto? Pueden dejar su iPhone
15:39
someone's keyboard, and just leave the room,
358
939744
2106
junto al teclado de alguien, y dejar la habitación,
15:41
and then later recover what they did,
359
941850
1639
y más tarde recuperar lo que hicieron ellos,
15:43
even without using the microphone.
360
943489
1711
aún sin utilizar el micrófono.
15:45
If someone is able to put malware on your iPhone,
361
945200
2174
Si alguien es capaz de copiar software malicioso en su iPhone,
15:47
they could then maybe get the typing that you do
362
947374
2848
también quizás podría acceder a lo que escriban
15:50
whenever you put your iPhone next to your keyboard.
363
950222
2321
cuando pongan su iPhone junto a su teclado.
15:52
There's several other notable attacks that unfortunately
364
952543
2271
Hay muchos más ataques notables que desgraciadamente
15:54
I don't have time to go into, but the one that I wanted
365
954814
2131
no puedo compartir por falta de tiempo, pero él que quiero mencionar
15:56
to point out was a group from the University of Michigan
366
956945
2277
fue el realizado por un grupo de la Universidad de Michigan
15:59
which was able to take voting machines,
367
959222
2441
que fue capaz de tomar las máquinas de votación,
16:01
the Sequoia AVC Edge DREs that
368
961663
2498
a los equipos de grabación directa (DRE) Sequoia AVC Edge que
16:04
were going to be used in New Jersey in the election
369
964161
1555
iban a utilizarse en las elecciones de New Jersey
16:05
that were left in a hallway, and put Pac-Man on it.
370
965716
2161
y que fueron dejados en un pasillo, se les instaló Pac-Man.
16:07
So they ran the Pac-Man game.
371
967877
3623
Así es que jugaron Pac-Man en ellas.
16:11
What does this all mean?
372
971500
1747
¿Qué quiere decir todo esto?
16:13
Well, I think that society tends to adopt technology
373
973247
3647
Bueno, creo que la sociedad tiende a adoptar la tecnología
16:16
really quickly. I love the next coolest gadget.
374
976894
2824
rápidamente. Me encanta tener el próximo genial aparato.
16:19
But it's very important, and these researchers are showing,
375
979718
2614
Pero es bastante importante, y estos investigadores lo están demostrando,
16:22
that the developers of these things
376
982332
1360
que los desarrolladores de estas cosas
16:23
need to take security into account from the very beginning,
377
983692
2865
deben tomar en cuenta desde el inicio los aspectos de seguridad,
16:26
and need to realize that they may have a threat model,
378
986557
2785
y que consideren que aunque tengan soluciones para manejar las amenazas,
16:29
but the attackers may not be nice enough
379
989342
2462
los hackers pueden no ser tan amables como
16:31
to limit themselves to that threat model,
380
991804
1777
para limitarse a ese modelo de amenazas,
16:33
and so you need to think outside of the box.
381
993581
2537
y por ello tienen que pensar fuera de lo normal.
16:36
What we can do is be aware
382
996118
1578
Lo que nosotros podemos hacer, es estar conscientes
16:37
that devices can be compromised,
383
997696
2479
de que los dispositivos pueden ser comprometidos,
16:40
and anything that has software in it
384
1000175
1699
y que cualquier cosa que tenga software dentro de sí
16:41
is going to be vulnerable. It's going to have bugs.
385
1001874
2649
puede ser vulnerable. Tendrá fallos.
16:44
Thank you very much. (Applause)
386
1004523
3497
Muchas gracias. (Aplausos)
Acerca de este sitio web

Este sitio le presentará vídeos de YouTube útiles para aprender inglés. Verá lecciones de inglés impartidas por profesores de primera categoría de todo el mundo. Haz doble clic en los subtítulos en inglés que aparecen en cada página de vídeo para reproducir el vídeo desde allí. Los subtítulos se desplazan en sincronía con la reproducción del vídeo. Si tiene algún comentario o petición, póngase en contacto con nosotros mediante este formulario de contacto.

https://forms.gle/WvT1wiN1qDtmnspy7