Это номер в отеле, вроде того, в котором я остановился.
Мне иногда становится скучно.
В таком номере развлечься особо нечем.
Но для хакера тут есть кое-что интересное. Потому что вот этот телевизор —
это не такой телек, как у вас дома,
это узел в сети. Так?
Это означает, что я могу с этим повозиться.
Если я подсоединю небольшое устройство, вот как это, к моему компьютеру,
а это инфракрасный передатчик, то я смогу посылать коды,
такие же, как посылает пульт от телека и некоторые другие.
И что с этого? Ну, я могу смотреть фильмы на халяву.
(Смех)
Для меня это не особо важно, но я могу и в игрушки поиграть.
Ой, но что это?
Я могу делать это не только с телевизором в моём номере,
я могу контролировать ваш телек в вашем номере.
(Смех)
Я могу наблюдать за вами, если вы заказываете одну из этих,
ну, вы поняли, все этих регистраций через телевизор.
Если вы сёрфите по интернету через ваш телек в номере,
я могу наблюдать за этим.
Иногда попадается что-то интересное.
Перечисление средств куда-нибудь.
Перечисление реально крупных средств.
Мало ли чем люди захотят заняться в интернете
из своих номеров в отеле.
(Смех)
Но дело в том, что я могу решать, смотреть вам сегодня Дисней или порно.
Кто-нибудь ещё остановился в отеле Аффиния?
(Смех)
Вот проект, над которым я работал, когда мы пытались оценить
защищённость беспроводных сетей; проект называется «Хакербот».
Мы построили робота, который мог ездить и искать пользователей Wi-Fi,
подъезжать к ним и показывать их пароли на своём экране.
(Смех)
Мы просто хотели построить робота,
но мы не знали, чем бы его занять.
Мы сделали нечто подобное в виде пистолета.
Это называется «Снайпер Яги».
Он для перехвата паролей на больши́х расстояниях.
Я могу следить за беспроводной сетью с расстояния примерно в милю.
Я работал над этим проектом с Бэном Лори, чтобы показать пассивное наблюдение.
Что это такое? Это карта звонков с конференции под названием
«Компьютеры, свобода и приватность».
И эта конференция проходила в отеле. И что мы сделали?
Ну, понятно, поставили компьютер в каждой комнате на конференции,
который вёл журнал всего Bluetooth трафика.
А так как все приходили со своими телефонами и ноутбуками,
мы могли просто вести логи и сопоставлять их.
И потом я мог распечатать карту, как эта, для каждого на конференции.
Это Ким Кэмерон, главный по архитектуре безопасности в Майкрософт.
(Смех)
Незаметно для него
я мог наблюдать, куда он ходил.
А сопоставив эти данные, я мог показать, с кем он тусуется,
(звук набора номера) когда заскучает,
(звук набора номера) тусуется с кем-то в холле.
Кто-нибудь тут использует мобильники?
(Смех)
(Телефонные гудки)
Итак, мой телефон вызывает…
(Гудки)
Вызывает…
Звуковая почта: У вас 100 сообщений.
Паблос Холман: Ого!
ЗП: Первое непрочитанное сообщение…
ПХ: Куда мне нажать?..
ЗП: Сообщение пропущено. Первое пропущенное сообщение
ПХ: Ого!
ЗП: Главное меню. Чтобы прослушать ваши… Вы нажали неверную кнопку.
У вас есть два пропущенных сообщения. Три сообщения сохранено.
До свидания!
ПХ: Ого! Короче, мы в голосовой почте Брэда.
(Смех)
И я собирался записать ему новое сообщение,
но, похоже, нажал не на ту кнопку.
Что ж, идём дальше.
Я объясню, как это работает в другой раз, сейчас на это нет времени.
Кто-нибудь тут использует MySpace?
Пользователи MySpace? О!
Раньше он был весьма популярным. Это что-то вроде Facebook.
Вот этот парень, наш друг Сэмми, пытался кадрить девушек на MySpace,
для чего, по-моему, он как раз и предназначался.
И вот Сэмми замутил на MySpace страницу о самом себе.
Там есть список всех ваших друзей, и именно по нему вы узнаёте,
настолько крут человек, — по количеству друзей на MySpace.
В общем, у Сэмми не было друзей.
Он написал небольшой код на Javascript и вставил его в свою страницу.
Теперь, зайдя к нему на страницу,
вы просто автоматически добавлялись к нему в друзья.
Причём безо всякой процедуры подтверждения,
когда вас спрашивают: «Сэмми действительно ваш друг?»
И потом этот код копировался в вашу страницу,
и любой, кто заходил к вам,
тоже автоматически добавлялся в список друзей Сэмми.
(Смех)
И ваша страница менялась: появлялась надпись, что Сэмми ваш герой.
[Сэмми — мой герой] (Смех)
Так вот, суток не прошло, а Сэмми приобрёл более миллиона друзей на MySpace.
(Смех)
Эй, он только что отмотал 3 года условно за это.
(Смех)
А вот история покруче: Кристофер Абад — ещё один хакер.
Тоже пытается знакомиться на MySpace, но результаты у него были так себе.
Некоторые из этих свиданий проходили не очень удачно.
Поэтому Абад написал небольшой код,
который подключал MySpace к Spam Assassin, спам-фильтру с открытым исходным кодом.
Это работает прямо как спам-фильтр в вашем имейле.
Вы тренируете его, давая ему немного спама,
тренируете его, давая немного нормальных писем,
и он с помощью искусственного интеллекта
учится их различать. Так?
Абад помечал профили девушек, с которыми встречался
и которые ему нравились, как нормальные письма,
а профили девушек, с которыми встречался и те ему не нравились, как спам.
И запустил эту штуку на каждом профиле на MySpace.
(Смех)
Вычислил девушек, с которыми имело смысл сходить на свидание.
Что я могу сказать о Абаде… Думаю, что тут сразу три стартапа.
Я не знаю, зачем нам Match.com, если мы можем отсеивать свидания как спам?
Вы знаете, это инновация.
У него была проблема — он нашёл решение.
Кто-нибудь пользуется этим — бип — ключами, чтобы издалека открыть машину?
Они популярны, ну, может, не в Чикаго. Окей.
Так вот, современные детишки катаются по стоянке Wal-Mart,
кликая: «открыть, открыть, открыть, щёлк».
Наконец находится ещё одна машина Jetta или вроде того, такая же как ваша,
может быть, другого цвета, которая использует тот же самый код.
Детишки просто ограбят её, закроют и смотаются.
Ваша страховая компания свалит всё на вас,
потому что тут нет следов взлома.
Мы выяснили, как манипулировать таким ключом одного производителя,
что бы открыть любую выпущенную им машину.
(Смех)
Тут можно сделать вывод обо всём этом, на который у меня нет времени,
но ваша машина теперь компьютер, ваш телефон — тоже компьютер,
ваш тостер, если он ещё не компьютер, то скоро им будет. Так?
И я на самом деле не шучу.
И всё это сводится к тому, что когда это случится,
вы унаследуете все проблемы безопасности, присущие компьютерам.
И их достаточно много.
Запомните это, мы поговорим об этом чуть позже.
Кто-нибудь пользуется замкóм вроде этого во входной двери?
Oкей, хорошо.
Я тоже пользуюсь таким.
Это замóк Шлаге.
Он в половине входных дверей в Америке.
Я принёс один для демонстрации.
В общем, вот мой замóк Шлаге.
Это ключ к замку, но он неправильно вырезан и не поворачивается.
Кто-нибудь пытался вскрывать замки́ такими инструментами?
Отлично, тут есть несколько гнусных вскрывателей замкóв.
В общем, это для парней с обсессивно-компульсивным расстройством.
Вы должны вставить их внутрь и пошерудить там,
потратить часы, чтобы идеально выстроить штифты.
Но для ребят с синдром дефицита внимания есть способ попроще.
Я вставлю мой волшебный ключик сюда,
слегка надавлю здесь, чтобы его повернуть…
ударю пару раз этой специальной колотушкой,
и я просто открыл замок. Мы внутри.
Это просто.
И по правде говоря, я знаю об этом не больше вашего.
Это очень-очень просто.
Я создал связку таких же ключей
для всех остальных замкóв в Америке.
И если вам интересно, я купил машинку для изготовления ключей,
теперь я могу нарезать такие ключи, и я сделал несколько для вас, друзья.
(Смех)
(Аплодисменты)
Это мой вам подарок, подойдите потом, и я покажу,
как вскрывать замóк, и дам вам один такой ключ с собой
чтобы вы смогли испытать его на своей двери́.
Кто-нибудь использовал такие USB-флешки?
Ага, «распечатай мой документ Word»!
Они очень популярны.
Моя работает почти как ваша. Вы можете распечатать мне документ Word.
Но пока вы это делаете, незаметно и волшебно на заднем фоне
она делает резервную копию вашей папки «Мои документы»
и вашей браузерной истории, куков, регистрационных данных, базы паролей
и всех тех вещей, которые вам могут понадобится однажды в случае проблем.
В общем, мы любим создавать такие штуки и раздавать их на конференциях.
(Смех)
Кто-нибудь пользуется кредитными картами?
(Смех)
О, хорошо!
Ага, в общем, они популярны и дико защищены.
(Смех)
Итак, есть новые кредитные карты, которые вы, возможно, получали по почте
с письмом, объясняющим, что это ваша новая «безопасная кредитная карта».
У кого-нибудь есть такая?
Вы знаете, она безопасна, потому что в неё встроен чип, RFID-тег,
и вы можете использовать её в такси и Старбаксе.
Я принёс одну, чтобы показать, всего лишь коснувшись ридера.
Кто-нибудь раньше видел такую?
Окей, у кого есть такая?
Принесите её сюда.
(Смех)
В ней есть для вас приз.
Я просто хочу показать вам кое-что, что нам о них известно.
Я получил эту кредитную карту по почте.
Мне нужны несколько волонтёров, на самом деле нужны.
Раз, два, три, четыре, пять волонтёров, потому что победители
получат эти крутые бумажники из нержавейки,
защищающие от тех проблем, которые, как вы догадались, я собираюсь показать.
Принесите вашу кредитку сюда, и я вам покажу.
Я хочу испытать это на одной из этих крутых новых кредиток.
Oкей.
Здесь есть организатор конференции?
Кто-нибудь, кто может склонить людей к сотрудничеству?
(Смех)
Это по вашей собственной воле, потому что…
Сейчас демонстрация становится реально крутой.
Я уверен, что вы никогда такого не видели…
(Вопрос неразборчиво)
Что это?
Это реально клёвые кошельки, сделанные из нержавеющей стали.
Раньше кто-нибудь видел код на экране на конференции TED?
Ага, это очень круто.
(Смех)
Окей, отлично, у нас есть волонтёры.
Так, у кого есть одна из этих замечательных кредитных карт?
Oкей, поехали.
Я собираюсь поделиться номером вашей кредитки
всего с 350 близкими друзьями.
Слышите «бип»?
Это значит, что кто-то хакает вашу кредитку.
Oкей, что мы получили?
Ценный клиент, номер кредитной карты и срок годности.
Получается, ваша новая защищённая кредитка не такая уж и защищённая.
Кто-нибудь ещё хочет проверить свои карты, пока мы здесь?
Мужчина: Можете установить защиту от перерасхода?
ПХ: Бип… посмотрим, что тут у нас?
Так, мы об этом разболтали, и American Express внёс изменения,
теперь больше имя не показывает.
Уже прогресс. Вы сможете увидеть моё имя, если он покажет.
Ага, показывает моё имя. Ну, это так меня мама называет, не суть.
Вашего имени у него нет.
В любом случае, когда в следующий раз вы полýчите по почте что-нибудь,
утверждающее, что оно защищено, пошлите это мне.
(Смех)
О, подождите, один из них пустой.
Я думаю вот этот, да, вот он.
Вы получаете распакованный.
Вот так, отлично.
(Аплодисменты)
У меня ещё осталось несколько минут, поэтому ещё кое-что вам покажу.
(Смех)
О, чёрт! [Я полный засранец]
Это моё послание к вашему подсознанию, оно должно было промелькнуть быстрее.
Вот это — самый потрясающий слайд из всех, когда-либо показанных на TED.
Это диаграмма протокола SSL,
который является системой шифрования в вашем веб-браузере.
Он защищает ваши кредитки, когда вы покупаете что-нибудь в интернете.
Очень впечатляюще, я знаю, но дело в том,
что хакеры будут атаковать каждую точку в этом протоколе, так?
Я вышлю два ответа, когда сервер ожидает один.
Я пошлю ноль, когда он ожидает единицу.
Я буду посылать в два раза больше данных, чем он ожидает.
Я буду посылать ответы в два раза медленнее, чем он ожидает.
Просто попробую кучу всего. И посмотрю, где он сломается.
Посмотрим, что попадёт мне в руки.
А найдя дыру вроде этой, я начну искать, как этим воспользоваться.
Вот ещё SSL, как его видит хакер, но это скучно.
Этот малый убивает миллионы африканцев в год.
Это Anopheles stephensi, комар, который разносит малярию.
Может быть, я перепутал выступления?
(Смех)
Это диаграмма протокола для возбудителя малярии.
В наших лабораториях мы занимаемся тем, что атакуем этот протокол
в каждой точке, которую можем найти.
У возбудителя сложный жизненный цикл, я не буду в него углубляться,
но он проводит некоторое время в организме человека, некоторое время в комарах,
и то, что мне нужно, — это хакеры.
Потому что у хакеров ум оптимизирован для исследований.
Их ум оптимизирован для выявления того, что возможно.
Вы знаете, я часто иллюстрирую это так:
если вы возьмёте какие-нибудь новые гаджеты и покажете их своей маме,
она может сказать: «Что эта штука делает?» И вы ответите: «Мам, это телефон».
И она мгновенно сообразит, для чего это нужно.
Но в случае хакера, он поставит вопрос немного по-другому.
Вопрос будет: «Для чего это можно использовать?»
Я выверну все винтики, сниму заднюю крышку
и разберу это на множество маленьких кусочков.
Но потом я выясню, что я могу построить из этой кучи.
Это исследование, и мы должны так делать, занимаясь наукой и технологиями,
чтобы выяснить, что возможно.
Итак, в лаборатории я пытаюсь применить такого рода мышление
к некоторым самым серьёзным проблемам, стоя́щим перед человечеством.
Мы изучаем малярию благодаря Биллу Гейтсу, который попросил об этом.
Вот так мы когда-то боролись с малярией.
Это настоящая реклама 40-ых годов.
Мы искоренили малярию в США, разбрызгивая повсюду ДДТ.
В лаборатории мы усердно работаем, пытаясь понять суть проблемы.
Это замедленная съёмка, а у нас чумовая видеокамера,
для изучения полёта комаров.
И вы можете видеть, что это больше похоже на плавание в воздухе.
Мы на самом деле понятия не имеем, как они летают.
Но у нас клёвая видеокамера, так что…
(Смех)
Ага. Стóит дороже Феррари.
Короче, мы нашли способы позаботиться о комарах.
Давайте сбивать их лазерными лучами.
Вот что случается, если собрать в одной комнате разных учёных
и фанатов лазеров.
В общем, поначалу решили, что это просто забавно,
но сообразили: понимаете, мы можем сделать это из домашних электроприборов.
Можно использовать матрицу из веб-камеры,
лазер из привода Bluray,
гальванометр из лазерного принтера.
Определять движение с помощью процессоров видеокарт,
которые есть во всяких игровых приставках.
Это всё вещи, которые следуют закону Мура.
Так что сборка не должна быть дорогой.
Идея в том, что мы установим
эти лазерные системы по периметру вокруг здания или деревни
и просто замочим всех комаров, летящих полакомиться человечинкой.
И мы могли бы сделать такую штуку для вашего двора.
Мы также могли бы сделать это для защиты урожая.
Наша команда прямо сейчас работает
над характеристиками системы, которую необходимо будет сделать
для борьбы с вредителем, уничтожившим около двух третей
апельсиновых рощ во Флориде.
Короче, люди поначалу смеялись.
Это видео нашей системы в действии.
Мы отслеживаем живых комаров, когда они летают вокруг.
Эти перекрестья наложены нашим компьютером.
Он просто наблюдает за ними, находя по движениям,
затем он нацеливает на них лазер для определения частоты взмахов крыльев.
Выясняет: комар это или нет?
Это Anopheles stephensi? Это самка?
И если всё сошлось, мы бьём их смертельным лазером.
(Смех)
Вот так это работает в лаборатории.
Сейчас мы работаем над переносом этого проекта в полевые условия.
И все это происходит в Intellectual Ventures Lab в Сиэтле, где я работаю,
и мы занимаемся некоторыми из самых сложных проблем человечества.
Это в увеличенном масштабе.
Вы можете видеть, как мы только что поджарили его крылья УФ-лазером.
Он больше не вернётся.
(Аплодисменты)
Тут его крылья как будто испарились.
Им это в кайф. Я имею в виду, ну…
Никто не позвонит защитникам животных в PETA или куда-нибудь ещё.
Я имею в виду, это идеальный враг.
Просто никто не придёт спасать комаров.
Иногда мы перебарщиваем.
В общем, мне пора освобождать сцену.
Это лаборатория Intellectual Ventures Lab, где я работаю.
Обычно у нас вместе работают много разных учёных,
и мы используем разные штуки в своих проектах для безумных изобретений.
You think your wireless and other technology is safe? From Blue Tooth to automobile remotes, PCs, and «secure» credit cards, Hacker extraordinaire shows how nearly every secure system is vulnerable.
In the spirit of ideas worth spreading, TEDx is a program of local, self-organized events that bring people together to share a TED-like experience. At a TEDx event, TEDTalks video and live speakers combine to spark deep discussion and connection in a small group. These local, self-organized events are branded TEDx, where x = independently organized TED event. The TED Conference provides general guidance for the TEDx program, but individual TEDx events are self-organized.* (*Subject to certain rules and regulations)
Top hacker shows us how it’s done | Pablos Holman | TEDxMidwest