De onlangs uitgebrachte Bond-film No Time to Die is de laatste uit het Daniel Craig-tijdperk. Met dat in het achterhoofd kijken we eens naar alle vijf zijn Bond-optredens vanuit het oogpunt van cyberbeveiliging – u zult opgeschud worden, maar hopelijk niet geroerd, door onze bevindingen. Wat de films met elkaar gemeen hebben, afgezien van Craig zelf, is een totaal gebrek aan begrip van de basisbeginselen van cybersecurity bij de MI6-medewerkers in de film.
Of de onoplettendheid opzettelijk is (om de ouderwetsheid van Bond en het hele 00-sectieconcept te benadrukken) of dat het te wijten is aan de onbekwaamheid van de scenarioschrijvers en het gebrek aan cyberconsultants, is niet duidelijk. Hoe dan ook, hier zijn enkele van de absurditeiten die we in de films zagen, in volgorde van verschijning. Pas op, er volgen spoilers!
Casino Royale
In de eerste Bond-film van Craig zien we de volgende scène: Bond breekt in in het huis van zijn directe superieur M in en gebruikt haar laptop om verbinding te maken met een soort spionagesysteem om de bron te achterhalen van een sms-bericht dat naar de telefoon van een schurk is gestuurd. In werkelijkheid zou Bond dat alleen maar kunnen doen als:
- MI6 geen beleid van automatische schermvergrendeling en uitloggen handhaaft, en als M haar laptop permanent aan laat staan en ingelogd blijft;
- MI6 het gebruik van sterke wachtwoorden niet verplicht stelt en de wachtwoorden van M dus gemakkelijk te raden zijn;
- M niet weet hoe ze haar wachtwoorden geheim moet houden voor collega’s, of als ze wachtwoorden gebruikt die gecompromitteerd zijn.
Elk van deze scenario’s is problematisch, maar het derde is het meest waarschijnlijke; iets later in het verhaal logt Bond op afstand opnieuw met M’s gegevens in op een “beveiligde website”.
De houding van Bond zelf ten opzichte van wachtwoorden is geen haar beter. Wanneer hij een wachtwoord (van minstens zes tekens) moet verzinnen voor de geheime rekening waarop zijn pokerwinsten staan, gebruikt hij de naam van collega (en liefdesrelatie) Vesper. Bovendien is het wachtwoord in feite een geheugensteuntje dat overeenkomt met een nummer (zoals de verouderde telefoonwoorden voor het onthouden en kiezen van nummers op alfanumerieke toetsenborden). Het is in feite een 6-cijferig wachtwoord, en ook nog eens gebaseerd op een woord dat in het woordenboek te vinden is.
Quantum of Solace
Quantum of Solace, de minst gecomputeriseerde van de laatste vijf Bond-films, bevat niettemin een moment dat hier de aandacht verdient. Al vroeg in de film komen we te weten dat Craig Mitchell, een MI6-medewerker die al acht jaar in dienst is (waarvan vijf jaar als M’s persoonlijke lijfwacht) eigenlijk een dubbelagent is.
Dat is natuurlijk eerder een ouderwetse veiligheidskwestie in plaats van een cyberkwestie. M’s onvoorzichtigheid met wachtwoorden, zoals in de vorige film, doet vermoeden dat de geheimen van MI6 in handen zijn van superschurken over de hele wereld.
Skyfall
Aan het andere eind van het cyberspectrum hebben we Skyfall, de meest gecomputeriseerde van de vijf. Informatiebeveiliging is hier de kern van het verhaal. De cyberwaanzin is al meteen duidelijk vanaf scène één. Voor het gemak gaan we onze analyse op chronologische wijze af.
Datalek in Istanboel
Een onbekende crimineel steelt een harde schijf van een laptop met daarop “de identiteit van elke NAVO-agent die in terroristische organisaties over de hele wereld is geïnfiltreerd”. Zelfs de partners van MI6 zijn niet op de hoogte van de lijst (die bovendien niet officieel bestaat).
Het bestaan van zo’n schijf alleen al betekent een enorme kwetsbaarheid. Laten we aannemen dat de database van vitaal belang is voor MI6 (dat is zo). Wat deed die dan in een onderduikadres in Istanboel, beschermd door slechts drie agenten? Zelfs als de drive, zoals ons verteld is, versleuteld is en MI6 waarschuwt voor elke poging tot decryptie?
Cyberterroristische aanval op SIS
Het eerste echte cyberincident doet zich iets later voor: een cyberterroristische aanval op het hoofdkwartier van de Britse geheime inlichtingendienst. De aanvaller probeert de gestolen schijf te decoderen (schijnbaar, volgens het beveiligingssysteem, vanaf M’s persoonlijke computer). De verdedigers proberen wanhopig de computer uit te schakelen, maar de boosdoeners blazen het SIS-gebouw aan de oever van de Theems op.
Uit het daaropvolgende onderzoek blijkt dat de aanvallers het milieucontrolesysteem hebben gehackt, de veiligheidsprotocollen hebben uitgeschakeld en het gas hebben aangezet; maar eerst hebben ze M’s bestanden gehackt, waaronder haar agenda, en er codes uitgehaald waardoor het ontcijferen van de gestolen schijf een kwestie is van wannéér dat lukt, en niet óf dat lukt.
Laten we aannemen dat de waarschuwing van de gestolen schijf op M’s computer een poging tot desinformatie of trolling was (de schijf kan immers niet in het gebouw zijn geweest). En laten we vragen over de gasvoorziening van het gebouw negeren – wie weet, misschien werden MI6-gangen verlicht met gaslantaarns uit het Jack-the-Ripper-tijdperk; Groot-Brittannië is per slot van rekening een land van tradities.
Hoe dan ook, het hacken van de technische controlesystemen is perfect te doen. Maar hoe kwamen de technische controlesystemen en de computer van M (naar verluidt “het best beveiligde computersysteem in Groot-Brittannië”) op hetzelfde netwerk terecht? Dit is duidelijk een segmentatieprobleem. En dan hebben we het nog niet eens over het opslaan van de schijf-decryptiecodes op M’s computer, wat een ander voorbeeld van pure nalatigheid is. Ze hadden op zijn minst gebruik kunnen maken van een wachtwoordmanager.
Cyberpesten van M
De daders pesten M door periodiek de namen van agenten in het publieke domein te plaatsen. Door dit te doen, zijn ze op een of andere manier in staat om hun berichten op haar laptop te laten knipperen. (Er lijkt sprake te zijn van een soort backdoor, want hoe zouden ze anders binnen kunnen komen?) Maar de experts van MI6 zijn niet geïnteresseerd in het controleren van de laptop, alleen in het traceren van de bron van de berichten.
Zij concluderen dat die zijn verzonden door een asymmetrisch beveiligingsalgoritme dat het signaal over de hele wereld heeft gekaatst, via meer dan duizend servers. Een dergelijke tactiek kan bestaan, maar wat ze in deze context bedoelen met een “asymmetrisch veiligheidsalgoritme” is volstrekt onduidelijk. In de echte wereld is een asymmetrisch encryptie-algoritme een term uit de cryptografie; het heeft niets te maken met het verbergen van een berichtbron.
Aanval van insiders op MI6
Bond lokaliseert en arresteert de hacker (een voormalige MI6-agent met de naam Silva), en neemt hem en zijn laptop mee naar het nieuwe hoofdkwartier van MI6, niet wetende dat Silva hem bespeelt. En dan is daar Q: eigenlijk een kwartiermeester, functioneel MI6’s hoofdhacker, en in werkelijkheid een clown.
Ook hier is de redenering niet geheel duidelijk. Is hij een clown omdat dat grappig is? Of was die beslissing een gevolg van het gebrek aan cyberkennis van de scriptschrijvers? Het eerste wat Q doet is Silva’s laptop verbinden met het interne netwerk van MI6 en vervolgens begint hij onzin uit te kramen, die we zullen proberen te ontcijferen:
- “[Silva] heeft noodprotocollen ingesteld om het geheugen te wissen als er geprobeerd wordt om bepaalde bestanden te openen” Maar als Q dat weet, waarom blijft hij dan Silva’s gegevens analyseren op een computer waarop dergelijke protocollen zijn geïnstalleerd? Wat als het geheugen wordt gewist?
- “Het is zijn omega-site. Het hoogste encryptieniveau dat hij heeft. Het lijkt op een versluierde code om zijn ware doel te verbergen. Veiligheid door onduidelijkheid.” Dit is eigenlijk een stroom van willekeurige termen zonder enige logica. Sommige code wordt versluierd (gewijzigd om analyse te bemoeilijken) met behulp van encryptie – en waarom ook niet? Maar om de code uit te voeren, moet iets die eerst ontcijferen, en nu is een goed moment om uit te zoeken wat dat iets is. Security through obscurity is inderdaad een echte benadering van de beveiliging van een computersysteem waarbij, in plaats van robuuste beveiligingsmechanismen, de beveiliging berust op het voor mogelijke aanvallers moeilijk te doorgronden maken van gegevens. Dat is niet de beste strategie. Wat Q precies probeert over te brengen aan de kijkers is niet helemaal duidelijk.
- “Hij gebruikt een polymorfe engine om de code de muteren. Telkens als ik toegang probeer te krijgen, verandert het.” Dit is nog meer nonsens. Waar de code is, en hoe Q er toegang toe probeert te krijgen, is voor iedereen een raadsel. Als hij het over bestanden heeft, bestaat het risico dat het geheugen wordt gewist (zie het eerste punt). En het is niet duidelijk waarom ze deze mythische motor niet kunnen stoppen en zich ontdoen van de “code-mutatie” voordat ze het proberen uit te zoeken. Wat het polymorfisme betreft: dit is een verouderde methode om kwaadaardige code te wijzigen bij het maken van nieuwe kopieën van virussen in de strengste zin van het woord. Dat hoort hier niet thuis.
Visueel wordt alles wat er op Silva’s computer gebeurt voorgesteld als een soort spaghetti-diagram van duivelse complexiteit besprenkeld met wat lijkt op hexadecimale code. De alerte Bond ziet een bekende naam in de alfanumerieke soep rondzwemmen: Granborough, een niet meer gebruikt metrostation in Londen. Hij stelt voor om dat als sleutel te gebruiken.
Een paar ervaren inlichtingenofficieren zouden toch moeten beseffen dat een vitaal stuk informatie dat in het volle zicht wordt achtergelaten – juist in de interface – bijna zeker een valstrik is. Waarom zou een vijand dat anders daar achterlaten? Maar de onwetende Q voert de sleutel in zonder een kik te geven. Het resultaat is dat deuren opengaan, berichten met de melding “systeembeveiligingsinbreuk” knipperen, en alles wat Q kan doen is zich omdraaien en vragen: “Kan iemand mij vertellen hoe hij in godsnaam in ons systeem is gekomen?!” Een paar seconden later besluit de “expert” eindelijk dat het zinvol zou zijn om Silva’s laptop van het netwerk los te koppelen.
Al met al luidt onze belangrijkste vraag: Hebben de schrijvers Q expres afgeschilderd als een stuntelende amateur, of hebben ze het scenario gewoon volgepropt met willekeurige cyberbeveiligingstermen in de hoop dat Q zou overkomen als een geniale nerd?
Spectre
In theorie was Spectre bedoeld om de wettigheid, de ethiek en de veiligheid van het wereldwijde bewakings- en inlichtingenprogramma Nine Eyes als antiterrorisme-instrument aan de orde te stellen. In de praktijk is het enige nadeel van een systeem zoals dat in de film wordt getoond, als het hoofd van de Joint Secret Service (na de fusie van MI5 en MI6) corrupt is – dat wil zeggen, als, net zoals voorheen, toegang tot de informatiesystemen van de Britse regering wordt verkregen door een ingewijde schurk die werkt voor Blofeld, de gezworen vijand van Bond. Andere potentiële nadelen van een dergelijk systeem worden in het geheel niet in aanmerking genomen.
Als aanvulling op het insider-thema geven Q en Moneypenny gedurende de hele film geheime informatie door aan de officieel geschorste Bond. O ja, en ze liegen tegen de autoriteiten over zijn verblijfplaats. Hun acties zijn misschien voor het algemeen belang, maar wat het inlichtingenwerk betreft, lekken ze geheime gegevens en maken ze zich op zijn minst schuldig aan beroepsfouten.
No Time To Die
In de laatste film uit het Craig-tijdperk ontwikkelt MI6 in het geheim een zeer geheim wapen genaamd Project Heracles, een biowapen dat bestaat uit een zwerm nanobots die zijn gecodeerd op het individuele DNA van de slachtoffers. Met Heracles is het mogelijk doelwitten uit te schakelen door nanobots in dezelfde ruimte te spuiten, of door ze in te brengen in het bloed van iemand die zeker met het doelwit in contact zal komen. Het wapen is het geesteskind van MI6-wetenschapper en dubbelspion (of drievoudig, wie telt er?) Valdo Obruchev.
Obruchev kopieert geheime bestanden op een flash drive en slikt die in, waarna agenten (het handjevol dat nog niet was afgemaakt in de vorige film) van de nu niet-zo-geheime organisatie Spectre inbreken in het lab, enkele nanobot-monsters stelen en de verraderlijke wetenschapper ontvoeren. We weten al van de problemen met het antecedentenonderzoek van personeel, maar waarom is er geen data loss prevention (DLP)-systeem (voor de preventie van gegevensverlies) in een lab dat geheime wapens ontwikkelt – vooral op de computer van iemand met een Russische achternaam, Obruchev? (De Russen zijn immers altijd de schurken, zoals iedereen wel weet.)
In de film wordt ook kort vermeld dat, als gevolg van het veelvuldig uitlekken van grote hoeveelheden DNA-gegevens, het wapen effectief tegen iedereen kan worden gekeerd. Dat gedeelte is toevalligerwijs niet helemaal ongeloofwaardig. Maar dan horen we dat die lekken ook gegevens bevatten over MI6-agenten, en dat is wel weer ongeloofwaardig. Om de gelekte DNA-gegevens te matchen met die van MI6-werknemers, zouden lijsten van die agenten openbaar moeten worden gemaakt. Dat is nogal vergezocht.
De kers op de taart is Blofelds kunstmatige oog, dat, terwijl de eigenaar ervan jarenlang in een zwaarbeveiligde gevangenis zat, 24 uur per dag een videoverbinding onderhield met een soortgelijk oog in een van zijn handlangers. Laten we gul zijn en aannemen dat het mogelijk is om een bio-implantaat in een gevangene over het hoofd te zien. Maar het oog zou regelmatig opgeladen moeten worden, wat moeilijk discreet te doen zou zijn in een zwaarbeveiligde gevangenis. Wat doen de bewakers daar? Bovendien wordt Blofeld in de finale gearresteerd zonder het oogapparaat, dus iemand moet het hem gegeven hebben ná zijn arrestatie. Nog een insider?
Het is geen epiloog
Men zou graag geloven dat al deze absurditeiten het resultaat zijn van lui schrijfwerk, en niet een echte weerspiegeling van de cyberbeveiligingspraktijken bij MI6. Laten we op zijn minst hopen dat de echte dienst geen topgeheime wapens lekt of topgeheime codes in klare tekst opslaat op apparaten die niet eens automatisch vergrendeld worden. Concluderend kunnen we de scriptschrijvers alleen maar aanraden hun cyberbeveiligingsbewustzijn te vergroten, bijvoorbeeld door een cursus cyberbeveiliging te volgen.