Avi Rubin: All your devices can be hacked

Avi Rubin: All your devices can be hacked

43,872 views ・ 2015-07-15

TED


Videoyu oynatmak için lütfen aşağıdaki İngilizce altyazılara çift tıklayınız.

00:00
Translator: Joseph Geni Reviewer: Morton Bast
0
0
7000
Çeviri: pinar sadi Gözden geçirme: Sancak Gülgen
00:12
I'm a computer science professor,
1
12588
3031
Ben bir bilgisayar bilimi profesörüyüm,
00:15
and my area of expertise is
2
15619
2313
ve uzmanlık alanım da
00:17
computer and information security.
3
17932
2199
bilgisayar ve bilgi güvenliği.
00:20
When I was in graduate school,
4
20131
2320
Yüksek lisansımı yaparken,
00:22
I had the opportunity to overhear my grandmother
5
22451
2601
büyük annemin yaptığım işi yaşça büyük
00:25
describing to one of her fellow senior citizens
6
25052
4134
bir tanıdığına anlattığını
00:29
what I did for a living.
7
29186
2369
duyma şansı yakaladım.
00:31
Apparently, I was in charge of making sure that
8
31555
3562
Ona kalırsa, üniversitede bilgisayarların
00:35
no one stole the computers from the university. (Laughter)
9
35117
3900
çalınmamasından sorumluydum. (Kahkahalar)
00:39
And, you know, that's a perfectly reasonable thing
10
39017
2744
Aslında onun açısından düşününce
00:41
for her to think, because I told her I was working
11
41761
1920
mantıklı görünüyor çünkü ona
00:43
in computer security,
12
43681
1507
bilgisayar güvenliği alanında
00:45
and it was interesting to get her perspective.
13
45188
3597
çalıştığımı söylemiştim
ve onun bakış açısını da
00:48
But that's not the most ridiculous thing I've ever heard
14
48785
2617
anlamak ilginç oldu.
Fakat bu,
00:51
anyone say about my work.
15
51402
2017
işim hakkında duyduğum
en tuhaf şey değildi.
00:53
The most ridiculous thing I ever heard is,
16
53419
2284
Hayatımda duyduğum en tuhaf şey,
00:55
I was at a dinner party, and a woman heard
17
55703
3134
bir akşam yemeğinde, orada bulunan bir bayanın
00:58
that I work in computer security,
18
58837
1783
bilgisayar güvenliğinde
01:00
and she asked me if -- she said her computer had been
19
60620
3517
çalıştığımı duyması
ve bana bilgisayarına
01:04
infected by a virus, and she was very concerned that she
20
64137
3436
bulaşan bir virüsten
etkilenip kendisinin de virüs kapmış
01:07
might get sick from it, that she could get this virus. (Laughter)
21
67573
3951
olabileceğini söylemesi
ve bu konuda çok endişeli olmasıydı.
01:11
And I'm not a doctor, but I reassured her
22
71524
2943
Ve ben bir doktor değilim fakat böyle bir şeyin
01:14
that it was very, very unlikely that this would happen,
23
74467
3144
mümkün olmadığını ancak kendini rahat hissetmesi
01:17
but if she felt more comfortable, she could be free to use
24
77611
2801
için bilgisayar kullanırken lastik eldiven
01:20
latex gloves when she was on the computer,
25
80412
1848
kullanabileceğini ve
01:22
and there would be no harm whatsoever in that.
26
82260
3392
bu şekilde herhangi
bir zarar görmeyeceğini söyledim.
01:25
I'm going to get back to this notion of being able to get
27
85652
2507
Ciddi anlamda bilgisayarınızdan
nasıl virüs kapacağınız
01:28
a virus from your computer, in a serious way.
28
88159
3508
konusuna geri dönmek istiyorum.
01:31
What I'm going to talk to you about today
29
91667
1640
Bugün size çevremdekilerin,
01:33
are some hacks, some real world cyberattacks that people
30
93307
4846
akademik araştırma yapan
çevrenin gerçekleştirdiği
01:38
in my community, the academic research community,
31
98153
2554
çoğu insanın bildiğini düşünmediğim
01:40
have performed, which I don't think
32
100707
2794
bazı siber saldırılardan bahsedeceğim.
01:43
most people know about,
33
103501
1208
01:44
and I think they're very interesting and scary,
34
104709
3028
Bence oldukça ilgi çekici ve korkutucular.
01:47
and this talk is kind of a greatest hits
35
107737
2441
Konuşma daha çok akademik güvenlik çevresinin
01:50
of the academic security community's hacks.
36
110178
2991
en iyi siber saldırıları hakkında olcak.
01:53
None of the work is my work. It's all work
37
113169
1987
Bu yapılanların hiçbiri benim değil.
01:55
that my colleagues have done, and I actually asked them
38
115156
2174
Tamamı sunumlarını istediğim ve birleştirdiğim
01:57
for their slides and incorporated them into this talk.
39
117330
2557
iş yerimdeki arkadaşlarıma aittir.
01:59
So the first one I'm going to talk about
40
119887
1742
Öncelikle nakil edilebilir
02:01
are implanted medical devices.
41
121629
2674
tıbbi cihazlar
hakkında konuşma yapacağım.
02:04
Now medical devices have come a long way technologically.
42
124303
3040
Günümüzde tıbbi cihazlar teknolojik
olarak çok uzun yollar katetti.
02:07
You can see in 1926 the first pacemaker was invented.
43
127343
3856
İlk kalp pilinin 1926 yılında
icat edildiğini görebilirsiniz.
02:11
1960, the first internal pacemaker was implanted,
44
131199
3552
1960'de ilk iç kalp pili implant edildi ve
02:14
hopefully a little smaller than that one that you see there,
45
134751
2552
umarım burda görülenden daha küçükmüştür.
02:17
and the technology has continued to move forward.
46
137303
2968
Teknoloji bu şekilde ilerlemeye devam etti.
02:20
In 2006, we hit an important milestone from the perspective
47
140271
4633
2006 yılında da bilgisayar güvenliği alanında
02:24
of computer security.
48
144904
3167
önemli bir dönüm noktasına eriştik.
02:28
And why do I say that?
49
148071
1341
Peki bunları neden söyledim?
02:29
Because that's when implanted devices inside of people
50
149412
2890
Çünkü bu cihazlar insan vücuduna yerleştirilince
02:32
started to have networking capabilities.
51
152302
2745
ağ erişimine de sahip olmaya başladılar.
02:35
One thing that brings us close to home is we look
52
155047
1880
Aorttan kalbin diğer bölümlerine
02:36
at Dick Cheney's device, he had a device that
53
156927
2705
kan pompalamasını sağlayan alet sayesin de,
02:39
pumped blood from an aorta to another part of the heart,
54
159632
3869
Dick Cheney’nin bu buluşu bizi daha da yakınlaştırdı.
02:43
and as you can see at the bottom there,
55
163501
1183
Alt kısımda da gördüğünüz gibi
02:44
it was controlled by a computer controller,
56
164684
3009
bir bilgisayar tarafından kontrol ediliyordu
02:47
and if you ever thought that software liability
57
167693
2517
ve eğer ki bu yazılımın sorumluluğunu üstleniyorsanız
02:50
was very important, get one of these inside of you.
58
170210
3589
bir tane de siz kullanın.
02:53
Now what a research team did was they got their hands
59
173799
3695
Artık araştırma ekibinin elinde
02:57
on what's called an ICD.
60
177494
1420
ICD adı verilen bir şey bulunmakta.
02:58
This is a defibrillator, and this is a device
61
178914
2070
Bu bir defibrilatördür. Bu cihaz,
03:00
that goes into a person to control their heart rhythm,
62
180984
4336
kullanan kişinin kalp ritmini kontrol eder
ve birçok insanın hayatını kurtarmıştır.
03:05
and these have saved many lives.
63
185320
2338
Cihazı yeniden programlamak veya teşhis yapmak için
03:07
Well, in order to not have to open up the person
64
187658
2472
03:10
every time you want to reprogram their device
65
190130
2194
sürekli insanları ameliyata almak yerine cihazları
03:12
or do some diagnostics on it, they made the thing be able
66
192324
2455
kablosuz olarak kontrol edilebilir yaptılar.
03:14
to communicate wirelessly, and what this research team did
67
194779
3102
Araştırmacılar kablosuz protokolünü
03:17
is they reverse engineered the wireless protocol,
68
197881
2610
tersine mühendislikle tasarladı.
03:20
and they built the device you see pictured here,
69
200491
1872
Ufak bir anten yardımı ile
03:22
with a little antenna, that could talk the protocol
70
202363
2760
aygıtı resimdeki gibi geliştirerek
03:25
to the device, and thus control it.
71
205123
4475
kontrol etmeyi başardılar.
03:29
In order to make their experience real -- they were unable
72
209598
2689
Deneylerini daha gerçekçi yapmak adına
03:32
to find any volunteers, and so they went
73
212287
2472
bir gönüllü bulmadılar ve bu nedenle
03:34
and they got some ground beef and some bacon
74
214759
2144
biraz dana kıyma ve domuz pastırması alıp
03:36
and they wrapped it all up to about the size
75
216903
1788
insan vücudunda kullanacakları
03:38
of a human being's area where the device would go,
76
218691
2798
büyüklüğe ulaşıncaya kadar
cihazı içerisine koyabilecekleri
şekilde rulo yaptılar.
03:41
and they stuck the device inside it
77
221489
1454
Deneyin daha gerçekçi olması için cihazı
03:42
to perform their experiment somewhat realistically.
78
222943
3132
etin içine koyup deneme yapmaya başladılar.
03:46
They launched many, many successful attacks.
79
226075
3020
Birçok defa başarılı ataklar gerçekleştirdiler.
03:49
One that I'll highlight here is changing the patient's name.
80
229095
3056
Burada altını çizceğin tek şey ise hastanın ismini değiştirmek.
03:52
I don't know why you would want to do that,
81
232151
993
Neden yapmak istenir bilmiyorum ama
03:53
but I sure wouldn't want that done to me.
82
233144
2104
eminim bana aynısının yapılmasını istemem.
03:55
And they were able to change therapies,
83
235248
2331
Tedavileri değiştirebiliyorlardı
03:57
including disabling the device -- and this is with a real,
84
237579
2495
buna cihazları etkisiz hale getirmekte dahil.
04:00
commercial, off-the-shelf device --
85
240074
1896
--ve gerçek , ticari ve satışa hazır cihazlarla--
04:01
simply by performing reverse engineering and sending
86
241970
2046
basitçe ters mühendislikle uygulanıp
04:04
wireless signals to it.
87
244016
2989
ve cihaza kablosuz sinyaller gönderilerek.
04:07
There was a piece on NPR that some of these ICDs
88
247005
3580
Sadece yakınına kulaklık getirilerek NPR daki
04:10
could actually have their performance disrupted
89
250585
2422
ICD lerin performansları engellenebiliyor.
04:13
simply by holding a pair of headphones onto them.
90
253007
3651
Kablosuz teknolojisi ve internet
04:16
Now, wireless and the Internet
91
256658
1409
sağlık kalitemizi fazlasıyla iyileştirebilir.
04:18
can improve health care greatly.
92
258067
1652
04:19
There's several examples up on the screen
93
259719
2087
Ekranda; doktorların
04:21
of situations where doctors are looking to implant devices
94
261806
3107
cihazı insan vücuduna yerleştirdiği zaman
04:24
inside of people, and all of these devices now,
95
264913
2865
yaşadıkları bazı sorunlarla ilgili örnekler var.
04:27
it's standard that they communicate wirelessly,
96
267778
3125
Tüm bu cihazlar artık standart ve kablosuz olarak çalışıyor.
04:30
and I think this is great,
97
270903
1412
Bence bu çok iyi bir şey,
04:32
but without a full understanding of trustworthy computing,
98
272315
3105
ama saldırganların ne yapacağını
04:35
and without understanding what attackers can do
99
275420
2407
ve başlangıçta nasıl bir güvenlik riski taşıdığını
04:37
and the security risks from the beginning,
100
277827
2147
tam olarak anlamadan
04:39
there's a lot of danger in this.
101
279974
2390
çok fazla tehlike içerdiği gayet açık.
04:42
Okay, let me shift gears and show you another target.
102
282364
1477
Peki, şimdi vitesi değiştirip size
04:43
I'm going to show you a few different targets like this,
103
283841
2088
farklı bir hedef göstereceğim.
Benzer farklı hedefler göstermek istiyorum
04:45
and that's my talk. So we'll look at automobiles.
104
285929
2917
Bu yüzden otomobillere göz atacağız.
04:48
This is a car, and it has a lot of components,
105
288846
2896
Bu bir araba ve bir sürü parçası var,
04:51
a lot of electronics in it today.
106
291742
1620
günümüzde birçok elektronik
04:53
In fact, it's got many, many different computers inside of it,
107
293362
4377
cihazda da parçalar var.
Aslına bakılırsa içinde bir sürü
04:57
more Pentiums than my lab did when I was in college,
108
297739
3155
farklı bilgisayar barındırıyor,
üniversite zamanımdaki laboratuvarda
05:00
and they're connected by a wired network.
109
300894
3639
bulunan Pentium’lardan daha fazla
ve birbirlerine kablolu ağ şeklinde bağlanmış.
05:04
There's also a wireless network in the car,
110
304533
3431
Ayrıca araçlarda farklı şekillerde
05:07
which can be reached from many different ways.
111
307964
3233
ulaşabilen kablosuz ağda bulunmakta.
05:11
So there's Bluetooth, there's the FM and XM radio,
112
311197
3701
Bluetooth var, FM ve XM radyo var,
05:14
there's actually wi-fi, there's sensors in the wheels
113
314898
2820
Wi-Fi ve lastiklerdeki basıncı kablosuz
05:17
that wirelessly communicate the tire pressure
114
317718
2153
iletişimle gösteren tekerleklerde
05:19
to a controller on board.
115
319871
1806
sensörler de bulunmakta.
05:21
The modern car is a sophisticated multi-computer device.
116
321677
4918
Modern araç karmaşık çoklu bilgisayardır.
05:26
And what happens if somebody wanted to attack this?
117
326595
3322
Peki biri saldırmak isterse ne olur?
05:29
Well, that's what the researchers
118
329917
1317
Araştırmacıların bugün bu
05:31
that I'm going to talk about today did.
119
331234
1871
konuda yaptıklarını anlatacağım.
05:33
They basically stuck an attacker on the wired network
120
333105
2977
Kablolu ağa ve kablosuz ağa
05:36
and on the wireless network.
121
336082
2322
saldırgan bağlanıyor.
05:38
Now, they have two areas they can attack.
122
338404
2699
Saldırılabilecek iki bölge var.
05:41
One is short-range wireless, where you can actually
123
341103
2038
Birisi yakındaki cihazlardan ulaşılabilen
05:43
communicate with the device from nearby,
124
343141
1781
bluetooth veya Wi-fi üzerinden
05:44
either through Bluetooth or wi-fi,
125
344922
2137
kısa mesafe kablosuz haberleşme,
05:47
and the other is long-range, where you can communicate
126
347059
2174
diğeri ise hücresel ağ veya radyo
05:49
with the car through the cellular network,
127
349233
1782
istasyonları üzerinden olan
05:51
or through one of the radio stations.
128
351015
1960
uzun mesafe haberleşme
05:52
Think about it. When a car receives a radio signal,
129
352975
3049
Bir düşünün; araç radyo sinyali aldığında
05:56
it's processed by software.
130
356024
2201
yazılım tarafından işlenir.
05:58
That software has to receive and decode the radio signal,
131
358225
3061
Yazılım radyo sinyalini almalı, çözmeli ve
ardından ne yapması
06:01
and then figure out what to do with it,
132
361286
1119
06:02
even if it's just music that it needs to play on the radio,
133
362405
3024
gerektiğine karar vermeli.
Bu radyoda çalan müzik dahi olsa
06:05
and that software that does that decoding,
134
365429
2268
çözme işlemini yapan yazılımdaki
06:07
if it has any bugs in it, could create a vulnerability
135
367697
3093
herhangi bir hata arabayı hacklemek(izinsiz erişmek)
06:10
for somebody to hack the car.
136
370790
3035
isteyen birisi için zafiyet yaratacaktır.
06:13
The way that the researchers did this work is,
137
373825
2952
Araştırmacılar çalışmada araçtaki
06:16
they read the software in the computer chips
138
376777
4223
yazılımı inceleyip üzerinde
06:21
that were in the car, and then they used sophisticated
139
381000
3193
karmaşık tersine mühendislik araçları
kullanarak yazılımın amacını
06:24
reverse engineering tools
140
384193
1414
06:25
to figure out what that software did,
141
385607
2055
analiz etmişler ve bu yazılımda zafiyetler
06:27
and then they found vulnerabilities in that software,
142
387662
3041
bulunmuş ve sonra bu zafiyetlerden
06:30
and then they built exploits to exploit those.
143
390703
3346
yararlanacak yazılım geliştirmişler.
06:34
They actually carried out their attack in real life.
144
394049
2382
Saldırıyı gerçek hayata taşıdılar.
06:36
They bought two cars, and I guess
145
396431
1350
İki araç satın aldılar ve
06:37
they have better budgets than I do.
146
397781
2918
sanırım benden daha iyi imkanları var.
06:40
The first threat model was to see what someone could do
147
400699
2590
İlk tehdit modeli saldırganın araçtaki
06:43
if an attacker actually got access
148
403289
2144
iç ağa erişmesi durumunda
06:45
to the internal network on the car.
149
405433
2053
neler yapabileceği.
06:47
Okay, so think of that as, someone gets to go to your car,
150
407486
2603
Şöyle düşünelim; Birisi aracınıza ulaşıyor
06:50
they get to mess around with it, and then they leave,
151
410089
2904
amaçsızca takılıyor ve sonra bırakıyor.
06:52
and now, what kind of trouble are you in?
152
412993
2368
Bu durum sizi nasıl bir belaya sokar?
06:55
The other threat model is that they contact you
153
415361
2792
Diğer bir tehdit modelindeyse sizinle
06:58
in real time over one of the wireless networks
154
418153
2457
kablosuz haberleşme üzerinden hücresel
07:00
like the cellular, or something like that,
155
420610
2055
ağ gibi aracınıza herhangi bir fiziksel
07:02
never having actually gotten physical access to your car.
156
422665
4000
erişim olmaksızın iletişime geçmeleri.
07:06
This is what their setup looks like for the first model,
157
426665
2824
İlk modeldeki araca erişim planında
07:09
where you get to have access to the car.
158
429489
1683
görüldüğü gibi araçtaki ağ üzerinde
07:11
They put a laptop, and they connected to the diagnostic unit
159
431172
3387
hata bulma ünitesine bağlı dizüstü
07:14
on the in-car network, and they did all kinds of silly things,
160
434559
2939
bilgisayarla her türlü saçma şey denenmiş.
07:17
like here's a picture of the speedometer
161
437498
2783
Park halindeki aracın hız göstergesinin
07:20
showing 140 miles an hour when the car's in park.
162
440281
2816
saatte 140 km yi gösteren resmi gibi.
07:23
Once you have control of the car's computers,
163
443097
2373
Aracın bilgisayar kontrolüne sahip olduğunuzda
07:25
you can do anything.
164
445470
919
her şeyi yapabilirsiniz.
07:26
Now you might say, "Okay, that's silly."
165
446389
1616
"Çok saçma" diyebilirsiniz.
07:28
Well, what if you make the car always say
166
448005
1659
Peki ya aracın olağan hızının
07:29
it's going 20 miles an hour slower than it's actually going?
167
449664
2741
20 km/s daha az göstertseniz?
07:32
You might produce a lot of speeding tickets.
168
452405
2542
Bir sürü aşırı hız cezanız olur.
07:34
Then they went out to an abandoned airstrip with two cars,
169
454947
3856
Daha sonra iki araçla terk edilmiş
uçak pistine gittiler.-Hedef araba ve
07:38
the target victim car and the chase car,
170
458803
2745
takip eden araba olarak- ve burada farklı
07:41
and they launched a bunch of other attacks.
171
461548
2746
saldırılar gerçekleştirdiler.
07:44
One of the things they were able to do from the chase car
172
464294
2766
Takip eden araçtan yapabildiklerinden
07:47
is apply the brakes on the other car,
173
467060
1974
birisi diğer aracı hackleyerek
07:49
simply by hacking the computer.
174
469034
1560
07:50
They were able to disable the brakes.
175
470594
2431
freni aktive etmek
ve etkisiz hale getirebilmek.
07:53
They also were able to install malware that wouldn't kick in
176
473025
3178
Ayrıca araç 20km üstüne çıktığında çalışan
07:56
and wouldn't trigger until the car was doing something like
177
476203
2425
kötü amaçlı yazılım araca yüklenebildi.
07:58
going over 20 miles an hour, or something like that.
178
478628
3746
Konuşmayı yaptıklarında konferanstakiler
08:02
The results are astonishing, and when they gave this talk,
179
482374
2758
08:05
even though they gave this talk at a conference
180
485132
1716
bilgisayar güvenliği araştırmacıları
08:06
to a bunch of computer security researchers,
181
486848
1726
olmasına rağmen sonuçlar
08:08
everybody was gasping.
182
488574
1700
herkesi şaşırtmıştı.
08:10
They were able to take over a bunch of critical computers
183
490274
3699
Araçtaki birçok kritik bilgisayarın
08:13
inside the car: the brakes computer, the lighting computer,
184
493973
3761
yönetimini ele geçirebildiler: Fren,
08:17
the engine, the dash, the radio, etc.,
185
497734
2827
aydınlatma bilgisayarı, motor, radyo vb.
08:20
and they were able to perform these on real commercial
186
500561
2293
Satın alınan ticari araçlarda radyo ağı
08:22
cars that they purchased using the radio network.
187
502854
3027
üzerinden bu senaryolar uygulanabildi.
08:25
They were able to compromise every single one of the
188
505881
3003
Aracın kablosuz iletişim kapasitesi
08:28
pieces of software that controlled every single one
189
508884
2466
kapsamında yazılımın kontrol ettiği
08:31
of the wireless capabilities of the car.
190
511350
3015
her bir parçayla iletişime geçilebildi.
08:34
All of these were implemented successfully.
191
514365
2513
Hepside sorunsuz uygulanabildi.
08:36
How would you steal a car in this model?
192
516878
2352
Bu modelde aracı nasıl çalabilirsiniz?
08:39
Well, you compromise the car by a buffer overflow
193
519230
3680
Yazılımdaki arabellek aşımı zafiyetiyle
08:42
of vulnerability in the software, something like that.
194
522910
2527
ya da vb. yöntemle ele geçirilebilir.
08:45
You use the GPS in the car to locate it.
195
525437
2203
Araçtaki GPS ile yer tespiti yapılır.
08:47
You remotely unlock the doors through the computer
196
527640
2195
Bilgisayar aracılığıyla uzaktan kapılar
08:49
that controls that, start the engine, bypass anti-theft,
197
529835
3138
açılır, motor çalıştırılır hırsızlık önleme
08:52
and you've got yourself a car.
198
532973
1668
atlatılır ve araç sizin!
08:54
Surveillance was really interesting.
199
534641
2487
Gözetleme anı gerçekten ilginçti.
08:57
The authors of the study have a video where they show
200
537128
3209
Çalışmayı yapanların videolarında GPS ile
09:00
themselves taking over a car and then turning on
201
540337
2549
haritadan takip edilen aracın yönetimini
09:02
the microphone in the car, and listening in on the car
202
542886
2761
ele geçirmeleri,mikrofonunu açmaları
09:05
while tracking it via GPS on a map,
203
545647
3351
ve dinlemeleri izlenebilmekte.
09:08
and so that's something that the drivers of the car
204
548998
1713
Tüm bu olanlardan aracın sürücüsünün
09:10
would never know was happening.
205
550711
2168
haberi bile olmuyor.
09:12
Am I scaring you yet?
206
552879
2134
Şimdiden korkuttum mu?
09:15
I've got a few more of these interesting ones.
207
555013
1943
Bir kaç tane daha ilginç durum var.
09:16
These are ones where I went to a conference,
208
556956
1833
Bir tanesi konferansta aklımı
09:18
and my mind was just blown, and I said,
209
558789
1933
başımdan almıştı ve "Bunu paylaşmalıyım"
09:20
"I have to share this with other people."
210
560722
1826
demiştim. Bu North Carolina
09:22
This was Fabian Monrose's lab
211
562548
1623
Üniversitesinde Fabian Monrose'nin
09:24
at the University of North Carolina, and what they did was
212
564171
3456
laboratuvarında yaptıkları ve
09:27
something intuitive once you see it,
213
567627
2075
baktığınızda sezgisel bir şey
09:29
but kind of surprising.
214
569702
1714
ama şaşırtıcı türde.
09:31
They videotaped people on a bus,
215
571416
2259
Otobüsteki insanları kameraya almışlar
09:33
and then they post-processed the video.
216
573675
2840
ve sonradan videodakileri işlemişler.
09:36
What you see here in number one is a
217
576515
2463
İlk resimde görülen
09:38
reflection in somebody's glasses of the smartphone
218
578978
4383
telefondaki yazının birinin
09:43
that they're typing in.
219
583361
1425
gözlüğüne yansıması
09:44
They wrote software to stabilize --
220
584786
1975
Stabilize etmek program geliştirilmiş
09:46
even though they were on a bus
221
586761
1365
--Otobüste olmalarına rağmen
09:48
and maybe someone's holding their phone at an angle --
222
588126
3211
veya telefonu açılı tutabilirler--
09:51
to stabilize the phone, process it, and
223
591337
2370
telefonu stabilize etmek, işlemek için ve
09:53
you may know on your smartphone, when you type
224
593707
1885
bilirsiniz telefonunuzda şifre girerken
09:55
a password, the keys pop out a little bit, and they were able
225
595592
2939
harfler kısa bir süre görünür.
09:58
to use that to reconstruct what the person was typing,
226
598531
2840
Kişinin yazdıklarına ulaşmak ve
10:01
and had a language model for detecting typing.
227
601371
4321
hangi dilde yazıldığını algılamak için
bu görüntülerden kullanılmış.
10:05
What was interesting is, by videotaping on a bus,
228
605692
2335
İlginçtir ki otobüste çekim yaparak
10:08
they were able to produce exactly what people
229
608027
2129
insanların telefonlarında yazdıklarına
10:10
on their smartphones were typing,
230
610156
2151
10:12
and then they had a surprising result, which is that
231
612307
2260
ulaşabildiler. Şaşırtıcı sonuç ise
10:14
their software had not only done it for their target,
232
614567
2764
yazılım sadece hedefin yazdıklarını değil
10:17
but other people who accidentally happened
233
617331
1403
kazara kareye girenlerinde
10:18
to be in the picture, they were able to produce
234
618734
2086
yazdıklarına ulaşabildi. Bu da yazılımın
10:20
what those people had been typing, and that was kind of
235
620820
2727
10:23
an accidental artifact of what their software was doing.
236
623547
3617
bir tür şans eseri diyebiliriz.
10:27
I'll show you two more. One is P25 radios.
237
627164
4303
İki tane daha göstericem.
Birisi P25 radyo.
10:31
P25 radios are used by law enforcement
238
631467
2800
P25 radyolarını emniyet teşkilatı,
10:34
and all kinds of government agencies
239
634267
3407
her türlü resmi kurumlar ve
10:37
and people in combat to communicate,
240
637674
1736
askerler birbirleriyle iletişimde
10:39
and there's an encryption option on these phones.
241
639410
2833
kullanıyor. Telefonlarda şifreleme mevcut
10:42
This is what the phone looks like. It's not really a phone.
242
642243
2728
Telefonun görünüşü bu şekilde. Tam olarak
10:44
It's more of a two-way radio.
243
644971
1206
telefon değil aslında daha çok alıcı/verici radyo.
10:46
Motorola makes the most widely used one, and you can see
244
646177
3322
En çok kullanılanı Motorola'nın ürünü.
10:49
that they're used by Secret Service, they're used in combat,
245
649499
2649
Görüldüğü gibi Gizli Serviste,
10:52
it's a very, very common standard in the U.S. and elsewhere.
246
652148
3102
askeriyede kullanılıyor. Amerika'da ve
başka yerlerde standartlaşmış durumda
10:55
So one question the researchers asked themselves is,
247
655250
2305
Araştırmacıların merak ettikleri ise
10:57
could you block this thing, right?
248
657555
2704
Bu şeyi bloke edebilir misiniz?
11:00
Could you run a denial-of-service,
249
660259
1583
11:01
because these are first responders?
250
661842
1824
İlk cevap veren bunlar olduğu için
11:03
So, would a terrorist organization want to black out the
251
663666
1801
hizmeti engelleme saldırısını
çalıştırabilir misin?
11:05
ability of police and fire to communicate at an emergency?
252
665467
4488
Ya bir terör örgütü polisin yeteneklerini
engellemek ister ve tehlike anında iletişimi engellerse?
11:09
They found that there's this GirlTech device used for texting
253
669955
3072
P25 ile aynı frekansta olan ve mesajlaşma
11:13
that happens to operate at the same exact frequency
254
673027
2718
11:15
as the P25, and they built what they called
255
675745
2271
için kullanılan GirlTech aygıtını bulmuşlar
ve buna "İlk Jammer'ım" demişler.(Kahkahalar)
11:18
My First Jammer. (Laughter)
256
678016
4334
11:22
If you look closely at this device,
257
682350
2378
Cihazı yakından incelerseniz,
11:24
it's got a switch for encryption or cleartext.
258
684728
3630
şifreli ve şifresiz metin için düğmesi var.
11:28
Let me advance the slide, and now I'll go back.
259
688358
3050
Sunumu ilerletiyim ve şimdi geri dönüyorum.
11:31
You see the difference?
260
691408
2547
Farkı buldunuz mu?
11:33
This is plain text. This is encrypted.
261
693955
2557
Bu şifresiz metin. Bu şifrelenmiş olan.
11:36
There's one little dot that shows up on the screen,
262
696512
2557
Ekranda görülen küçük bir nokta ve
11:39
and one little tiny turn of the switch.
263
699069
2085
küçük bir düğme döndürme işlemi mevcut.
11:41
And so the researchers asked themselves, "I wonder how
264
701154
1904
Araştırmacılar "Bu radyolarda olan
11:43
many times very secure, important, sensitive conversations
265
703058
4257
hassas, gizli ve önemli görüşmelerin
kaç tanesinde şifreleme unutuldu
11:47
are happening on these two-way radios where they forget
266
707315
1623
11:48
to encrypt and they don't notice that they didn't encrypt?"
267
708938
2910
ve fark edilmedi?" sorusunu sordular.
11:51
So they bought a scanner. These are perfectly legal
268
711848
3339
Bir tarama cihazı aldılar. Bu cihazlar yasal
11:55
and they run at the frequency of the P25,
269
715187
3458
ve P25 ile aynı frekansta çalışıyorlar.
11:58
and what they did is they hopped around frequencies
270
718645
1767
Bundan sonra yaptıkları ise
12:00
and they wrote software to listen in.
271
720412
2510
frekanslarda gezinip
bu frekansları dinleyen bir yazılım programlamak oldu.
12:02
If they found encrypted communication, they stayed
272
722922
2634
Şifreli bir iletişim bulurlarsa
12:05
on that channel and they wrote down, that's a channel
273
725556
1686
o kanalda kaldılar
12:07
that these people communicate in,
274
727242
1788
ve bu kanalda şifreli iletişim var
12:09
these law enforcement agencies,
275
729030
1622
şeklinde not aldılar.
12:10
and they went to 20 metropolitan areas and listened in
276
730652
3391
Daha sonra 20 metropol alanda
12:14
on conversations that were happening at those frequencies.
277
734043
3475
bu frekanslarda olan görüşmeler dinlendi.
12:17
They found that in every metropolitan area,
278
737518
3239
Bu alanların her birinde günlük 20 dakikanın üstünde
12:20
they would capture over 20 minutes a day
279
740757
2154
şifresiz konuşmanın yakalanabildiği belirlendi.
12:22
of cleartext communication.
280
742911
2375
12:25
And what kind of things were people talking about?
281
745286
2000
Peki bu insanlar
nelerden bahsediyordu?
12:27
Well, they found the names and information
282
747286
1484
Bu konuşmalardan isimler
12:28
about confidential informants. They found information
283
748770
2852
ve gizli kimlikler
hakkında bilgilere ulaştılar.
Gizlice dinlenen telefonlara ait kayıtlar,
12:31
that was being recorded in wiretaps,
284
751622
2202
birçok suç hakkında yapılan tartışmalar
12:33
a bunch of crimes that were being discussed,
285
753824
2710
ve hassas bilgiler elde edildi.
12:36
sensitive information.
286
756534
1162
Çoğunlukla emniyet teşkilatı ve
12:37
It was mostly law enforcement and criminal.
287
757696
3363
suçlular hakkındaydı.
12:41
They went and reported this to the law enforcement
288
761059
1834
Anonimleştirdikten sonra bu bilgileri
12:42
agencies, after anonymizing it,
289
762893
2023
emniyet teşkilatına raporladılar.
12:44
and the vulnerability here is simply the user interface
290
764916
3000
Buradaki zafiyet ise kullanıcı arayüzünün
12:47
wasn't good enough. If you're talking
291
767916
1394
yeterince iyi olmaması.
12:49
about something really secure and sensitive, it should
292
769310
2816
Eğer önemli ve hassas bir konu hakkında konuşuyorsanız
12:52
be really clear to you that this conversation is encrypted.
293
772126
3293
konuşmanın şifreli olması gerektiği açık.
12:55
That one's pretty easy to fix.
294
775419
1886
Bunu ayarlamak kolay.
12:57
The last one I thought was really, really cool,
295
777305
1669
Sonuncusu bence çok daha havalı
12:58
and I just had to show it to you, it's probably not something
296
778974
2813
ve kesinlikle bunu göstermeliyim.
13:01
that you're going to lose sleep over
297
781787
1005
Şok cihazı ya da arabalar kadar
13:02
like the cars or the defibrillators,
298
782792
1791
uykunuzu kaçıracak bir şey değil ama
13:04
but it's stealing keystrokes.
299
784583
3023
bu da hangi tuşlara basıldığını çalıyor.
13:07
Now, we've all looked at smartphones upside down.
300
787606
2747
Hep akıllı telefonlara tersten baktık.
13:10
Every security expert wants to hack a smartphone,
301
790353
2190
Her güvenlik uzmanı
akıllı telefonu hacklemek ister
13:12
and we tend to look at the USB port, the GPS for tracking,
302
792543
4612
ve biz de USB portuna, takip için GPS e,
13:17
the camera, the microphone, but no one up till this point
303
797155
3208
kameraya, mikrofona bakmaya daha
13:20
had looked at the accelerometer.
304
800363
1580
yakındık ama daha önce kimse
13:21
The accelerometer is the thing that determines
305
801943
1647
ivme ölçer sensörüne bakmadı.
13:23
the vertical orientation of the smartphone.
306
803590
3494
İvme ölçer akıllı telefonun dikey
yönelmesini saptayan şeydir.
13:27
And so they had a simple setup.
307
807084
1417
Basit bir kurulum planladılar.
13:28
They put a smartphone next to a keyboard,
308
808501
2758
Klavyenin yanına akıllı telefon koyup
13:31
and they had people type, and then their goal was
309
811259
2712
klavyede yazı yazdırdılar, buradaki amaçları ise
13:33
to use the vibrations that were created by typing
310
813971
2856
yazarken oluşan titreşimlerle
13:36
to measure the change in the accelerometer reading
311
816827
4240
ivmeölçer sensöründe oluşan değişimleri
13:41
to determine what the person had been typing.
312
821067
3176
ölçerek yazılanları bulmak
13:44
Now, when they tried this on an iPhone 3GS,
313
824243
2576
IPhone 3GS üzerinde denediklerinde
13:46
this is a graph of the perturbations that were created
314
826819
2769
yazarken oluşan sarsımlara ait grafik
13:49
by the typing, and you can see that it's very difficult
315
829588
3241
gördüğünüz gibi kişinin ne zaman yazdığı ya da
13:52
to tell when somebody was typing or what they were typing,
316
832829
3078
ne yazdığını söylemek güç ama
13:55
but the iPhone 4 greatly improved the accelerometer,
317
835907
3090
IPhone 4'te ivmeölçer fazlasıyla gelişmiş durumda.
13:58
and so the same measurement
318
838997
3480
Aynı ölçümler IPhone 4 te
14:02
produced this graph.
319
842477
1832
bu grafiği oluşturdu.
14:04
Now that gave you a lot of information while someone
320
844309
2486
Bu size yeterince bilgi vermiştir.
14:06
was typing, and what they did then is used advanced
321
846795
3241
Daha sonra ise öğrenme aşaması için
14:10
artificial intelligence techniques called machine learning
322
850036
3007
ileri yapay zeka tekniklerinden
14:13
to have a training phase,
323
853043
1431
olan makine öğrenmesi kullanıldı
14:14
and so they got most likely grad students
324
854474
2236
ve yazma aşamasını ise yüksek lisans
14:16
to type in a whole lot of things, and to learn,
325
856710
3789
öğrecileri yaptı. Öğrenmek için öğrencilere
14:20
to have the system use the machine learning tools that
326
860499
2768
yazdırılanları çözmek ve ivme ölçerde
14:23
were available to learn what it is that the people were typing
327
863267
2863
yapılan ölçümlerle örtüştürmek için
14:26
and to match that up
328
866130
2827
sistemin öğrenme için uygun makina öğrenmesi
14:28
with the measurements in the accelerometer.
329
868957
2477
aracını kullanabilmesi sağlandı.
14:31
And then there's the attack phase, where you get
330
871434
1635
Daha sonra saldırı fazına geçiyoruz,
14:33
somebody to type something in, you don't know what it was,
331
873069
2811
bu kısımda kişi birşeyler yazıyor ancak
14:35
but you use your model that you created
332
875880
1297
ne yazdığını bilmiyoruz.
14:37
in the training phase to figure out what they were typing.
333
877177
3442
Ne yazıldığını çözebilmek
için öğrenme fazında oluşturulan
14:40
They had pretty good success. This is an article from the USA Today.
334
880619
3484
modeli kullanıyoruz.
Bu şekilde oldukça
iyi başarı elde ettiler.
USA Today'de olan bir yazıda:
14:44
They typed in, "The Illinois Supreme Court has ruled
335
884103
2609
"Illinois mahkemesi Rahm Emanuel'in Chicago başkan
14:46
that Rahm Emanuel is eligible to run for Mayor of Chicago"
336
886712
2962
seçimlerine adaylığını koymasının
14:49
— see, I tied it in to the last talk —
337
889674
1354
uygun olduğuna karar vermiştir"
—bakın, son konuşmaya ekledim —
14:51
"and ordered him to stay on the ballot."
338
891028
2118
"ve oy pusulasında kalmasına hükmetti."
14:53
Now, the system is interesting, because it produced
339
893146
2771
Durum ilginç çünkü sistem ilk önce "Illinois Yüce"
14:55
"Illinois Supreme" and then it wasn't sure.
340
895917
2886
kısmını üretti ancak sonrasından emin olamadı.
14:58
The model produced a bunch of options,
341
898803
1950
Model bir sürü seçenekler üretti
15:00
and this is the beauty of some of the A.I. techniques,
342
900753
2709
Yapay zeka tekniklerindeki güzellik ise
15:03
is that computers are good at some things,
343
903462
2250
bilgisayarların bazı şeylerde iyi
15:05
humans are good at other things,
344
905712
1534
insanların ise diğer şeylerde iyi olması.
15:07
take the best of both and let the humans solve this one.
345
907246
1931
ikisininde iyi yönlerini al ve
bunun çözümünü de insanlara bırak.
15:09
Don't waste computer cycles.
346
909177
1382
Boş yere bilgisayarla uğraşmayın.
15:10
A human's not going to think it's the Supreme might.
347
910559
2136
İnsan, Yüce kelimesinin
ne olabileceğini düşünmez.
15:12
It's the Supreme Court, right?
348
912695
1740
Yüksek Mahkemedir değil mi?
15:14
And so, together we're able to reproduce typing
349
914435
2530
Böylelikle ivme ölçerle ölçerek
15:16
simply by measuring the accelerometer.
350
916965
2949
yazılanları yeniden üretebildik.
15:19
Why does this matter? Well, in the Android platform,
351
919914
3502
Bu neden önemli? Android platformunda örneğin
15:23
for example, the developers have a manifest
352
923416
4133
mikrofon vs gibi aygıtların erişim izinlerinin olduğu
15:27
where every device on there, the microphone, etc.,
353
927564
2584
bir dosya vardır. Erişim izini için dosyada kayıt olması
15:30
has to register if you're going to use it
354
930148
1956
15:32
so that hackers can't take over it,
355
932104
2316
gerekir böylelikle hackerların
15:34
but nobody controls the accelerometer.
356
934420
3108
erişimi kısıtlanmış olur
ama ivmeölçeri kimse kontrol etmiyor.
15:37
So what's the point? You can leave your iPhone next to
357
937528
2216
Peki amaç ne? IPhonenunuzu birinin
15:39
someone's keyboard, and just leave the room,
358
939744
2106
klavyesinin yanına bırakıp odayı terkedebilir
15:41
and then later recover what they did,
359
941850
1639
ve sonrasında mikrofonu bile kullanmadan
15:43
even without using the microphone.
360
943489
1711
klavye ile ne yazıldığını elde edebilirsiniz.
15:45
If someone is able to put malware on your iPhone,
361
945200
2174
Biri telefonunuza kötücül yazılım
15:47
they could then maybe get the typing that you do
362
947374
2848
yükledi diyelim, her ne zaman birinin klavyesinin
yanına telefonunuzu koysanız
15:50
whenever you put your iPhone next to your keyboard.
363
950222
2321
yazılanları elde edebilecek.
15:52
There's several other notable attacks that unfortunately
364
952543
2271
Daha birçok dikkate değer saldırı şekilleri var
15:54
I don't have time to go into, but the one that I wanted
365
954814
2131
ama ne yazık ki incelemek için vakit yok şu an
15:56
to point out was a group from the University of Michigan
366
956945
2277
ama göstermek istediğim bir tane var.
15:59
which was able to take voting machines,
367
959222
2441
Michigan Üniversitesi'nden bir grup New Jersey
16:01
the Sequoia AVC Edge DREs that
368
961663
2498
seçimlerinde kullanılıp sonrasında koridorda
16:04
were going to be used in New Jersey in the election
369
964161
1555
bırakılan Sequoia AVC Edge DRE oylama makinelerini
16:05
that were left in a hallway, and put Pac-Man on it.
370
965716
2161
alıp Pac-Man yüklediler.
16:07
So they ran the Pac-Man game.
371
967877
3623
Yani Pac-Man oylama makinesinde çalıştı.
16:11
What does this all mean?
372
971500
1747
Tüm bunlar ne anlama geliyor?
16:13
Well, I think that society tends to adopt technology
373
973247
3647
Bence toplum teknolojiye hızlı
16:16
really quickly. I love the next coolest gadget.
374
976894
2824
uyum sağlıyor. Yeni cihazlara bayılıyorum.
16:19
But it's very important, and these researchers are showing,
375
979718
2614
Araştırmacıların gösterdiği, bu şeylerin geliştiricileri
16:22
that the developers of these things
376
982332
1360
güvenliği en başından itibaren
16:23
need to take security into account from the very beginning,
377
983692
2865
hesaba katmalılar ve tehdit modeli oluşturmuş
16:26
and need to realize that they may have a threat model,
378
986557
2785
olsalar da, saldırganların kendilerini
16:29
but the attackers may not be nice enough
379
989342
2462
tehdit modeliyle sınırlayacak kadar
16:31
to limit themselves to that threat model,
380
991804
1777
nazik olmayacaklarının farkına varmalılar.
16:33
and so you need to think outside of the box.
381
993581
2537
Yani farklı açılardan düşünmek lazım.
16:36
What we can do is be aware
382
996118
1578
Yapabileceğimiz ise cihazlarımızın hacklenebileceğinin
16:37
that devices can be compromised,
383
997696
2479
farkına varmak ve yazılımı olan herşeyin
16:40
and anything that has software in it
384
1000175
1699
zafiyetinin ve yazılımsal hatalarının
16:41
is going to be vulnerable. It's going to have bugs.
385
1001874
2649
olabileceğinin farkına varmak.
16:44
Thank you very much. (Applause)
386
1004523
3497
Teşekkürler.
Bu web sitesi hakkında

Bu site size İngilizce öğrenmek için yararlı olan YouTube videolarını tanıtacaktır. Dünyanın dört bir yanından birinci sınıf öğretmenler tarafından verilen İngilizce derslerini göreceksiniz. Videoyu oradan oynatmak için her video sayfasında görüntülenen İngilizce altyazılara çift tıklayın. Altyazılar video oynatımı ile senkronize olarak kayar. Herhangi bir yorumunuz veya isteğiniz varsa, lütfen bu iletişim formunu kullanarak bizimle iletişime geçin.

https://forms.gle/WvT1wiN1qDtmnspy7