Johnny Mnemonic op het gebied van cybersecurity

Zou de cybersecurity van Johnny Mnemonic in het echte jaar 2021 geloofwaardig zijn?

De toekomst die William Gibson voor zich ziet in het korte verhaal dat is geïnspireerd op de film Johnny Mnemonic uit 1995 belichaamt in feite cyberpunk: gedurfd, gevaarlijk, extreem geavanceerd en zeer technisch. Aangezien de film begin 2021 plaatsvindt, besloten wij om de cinematografische versie te analyseren vanuit een cybersecurity-perspectief, waarin we het fictieve 2021 met ons jaar 2021 vergelijken.

De setting van de film

De film speelt zich in een nogal mistroostige wereld af die wordt beheerd door megabedrijven en geplaagd door een gevaarlijke pandemie: het Nerve Attenuation Syndrome (NAS). De oorzaak van de ziekte is in de woorden van een van de personages “Overdosis aan informatie! Alle elektronica om je heen vergiftigt de luchtgolven.”

Megabedrijven, pandemieën, complottheorieën over nieuwe technologische ontwikkelingen. Klinkt dat u bekend in de oren? Het komt slechts gedeeltelijk overeen: in dit cinematografische 2021 kunnen er namelijk microchips die gigabytes met informatie bewaren in het menselijk brein worden geïmplanteerd. In werkelijkheid zijn we nog niet zo ver, ondanks de inspanningen van Elon Musk. We zullen niet de moeite nemen om de klassieke filmweergave van de jaren 80/90 van het internet als een waanzinnig VR-universum te ontmantelen. Zo werkt het internet niet, in ieder geval niet in 2021.

Pharmakom Industries

Volgens het verhaal van de film bestaat er een geneesmiddel voor NAS, maar de grote farmaceuten houden dit geheim, aangezien het behandelen van de symptomen veel winstgevender is om de symptomen te behandelen dan om de ziekte helemaal de wereld uit te helpen. Sommige werknemers van Pharmakom zijn het hier niet mee eens en stelen niet alleen medische informatie, maar vernietigen ook de data van het bedrijf.

Dat onthult een aantal enorme gebreken in het beveiligingssysteem van Pharmakom:

  • De machtigingen voor toegang tot gegevens voor wetenschappers worden veel te makkelijk uitgegeven. Natuurlijk, de ontwikkelaars van geneesmiddelen hebben toegang nodig om operationele informatie te lezen, en ook om naar de server te kunnen schrijven. Maar waarom zouden ze toestemming krijgen om geheime informatie permanent te kunnen verwijderen?
  • Pharmakom heeft geen back-ups (in ieder geval niet offline). Dat betekent dat een groot gedeelte van de rest van het verhaal — met daarin de waanzinnige achtervolging van de “mnemonische koerier” (hier later meer over) — vooral leunt op het feit dat het bedrijf de gegevens terug wil krijgen. Als ze back-ups hadden gehad, zou Pharmakom de gegevens simpelweg kunnen herstellen en vervolgens het lek en de koerier elimineren. In plaats daarvan was het nodig dat het bedrijf zijn hoofd afzaagde zonder daarbij het implantaat erin te beschadigen.

Het is ook de moeite waard om te vermelden dat het Pharmakom-netwerk een digitale kopie van het bewustzijn van de oprichter van het bedrijf bevat. De AI beschikt niet alleen over vrije wil en toegang tot het volledige internet, maar neigt er ook eens naar om het oneens te zijn met de manier waarop het bedrijf in iets monsterachtigs verandert.

Lo Teks

Een groep die bekend staat als de Lo Teks vertegenwoordigt het verzet. In het originele verhaal waren de Lo Teks anti-technologie, maar in de filmversie lijken ze behoorlijk bij de tijd te zijn. Een van hen is Jones, een cyborg-dolfijn wiens hackerskunsten hem helpen om waardevolle informatie te onderscheppen, die de Lo Teks vervolgens verzenden met gebruik van een gekaapt tv-signaal. In het hart van de schuilplaats van de groep zien we een berg afval met draden, kabels en oude kathodestraalbuis-tv’s.

Ondanks de capriolen van de groep op tv, schenkt niemand veel aandacht aan de Lo Teks (of weet ze zelfs maar te vinden) tot ze in contact komen met Johnny.

Online communicatie

Halverwege de film probeert Johnny contact te leggen met een kennis. Dat is het moment waarop we ons realiseren dat de experts van Pharmakom, die met de Yakuza samenwerken, zijn reguliere contacten in de gaten houden. Het is nog slechter gesteld met de privacy in het fictieve 2021 dan in onze hedendaagse realiteit.

Men zou kunnen denken dat een hacker/smokkelaar er wel in slaagt om online anonimiteit te bewaren, maar nee, iedereen kent Johnny’s connecties en infosec-experts hebben hem onmiddellijk door (ook al gaat hij online vanaf een volledig nieuwe, gestolen computer met een soort van stealth-modus) en vinden zijn locatie.

Ondertussen activeert Pharmakom een “virus” om Johnny’s communicatie te verstoren. Zoals wel vaker in films, wordt er niet moeilijk gedaan over terminologie, en het virus lijkt eerder een soort tool voor DoS-aanvallen te zijn dan een daadwerkelijk virus.

Mnemonische koerier

Laten we het nu eindelijk eens hebben over het hoofdonderwerp van de film, dat rechtstreeks met informatiebeveiliging te maken heeft — gezien het beroep van het hoofdpersonage. Als mnemonisch koerier is Johnny’s hoofd letterlijk een apparaat voor gegevensopslag. Dit soort koeriers wordt gebruikt om zeer waardevolle informatie te smokkelen die niet aan het internet kan worden toevertrouwd. De rebelse wetenschappers kiezen Johhny om de medische gegevens die ze van Pharmakom hebben gestolen over te dragen aan een team van dokters in Newark.

Hoe het implantaat werkt

Deze technologie is onbegrijpelijk: de gegevens worden rechtstreeks in het brein opgeslagen, en om ruimte te maken, heeft Johnny het grootste gedeelte van zijn jeugdherinneringen op moeten offeren. De nominale capaciteit is 80 GB, uit te breiden tot 160 GB door kort verbinding te maken met een externe box, maar in werkelijkheid is het mogelijk om twee keer zo veel te uploaden, waardoor de capaciteit op 320 komt te liggen. Dit drukt op het brein, waardoor de koerier aan beroertes en bloedneuzen leidt, en de informatie kan zo ook nog eens beschadigd raken.

In de film is het implantaat niet moeilijk te detecteren. Bij het overgaan van een grens worden mensen bijvoorbeeld gescand en het apparaat verschijnt in die scans. Maar de scans lijken vrij oppervlakkig: het systeem rapporteert het hersenimplantaat foutief als een apparaat tegen dyslexie. Waarom het apparaat geen argwaan wekt bij de grensbewaking is niet helemaal duidelijk.

Gegevensbescherming

De gegevensbeschermingsmethode is in ieder geval origineel. Tijdens de upload, neemt de client op willekeurige wijze drie tv-screenhots. De afbeeldingen “lossen op in de gegevens” en dienen als de “downloadsleutel”. Zonder de afbeeldingen is het niet alleen onmogelijk om de gegevens te downloaden, maar ook om die te verwijderen. De screenshots moeten dus naar de ontvanger worden verzonden. Het lijkt er vervolgens op dat deze beveiliging iets te maken heeft met de versleuteling van de daadwerkelijke data, maar het is ook een mechanisme voor toegang tot het implantaat.

Zodra de gegevens worden geüpload, worden de wetenschappers aangevallen door Yakuza-schurken die voor Pharmakom werken. Eén screenshot voor de sleutel wordt vernietigd in het daaropvolgende vuurgevecht, Johnny behoudt er één en er gaat er ook één naar de aanvallers.

De sleutel verzenden

Deze “sleutel” wordt per fax verzonden. Dat is niet zo grappig als het klinkt; hoewel deze technologie verouderd is in het echte jaar 2021, is het faxen van de sleutel zo raar nog niet, omdat er direct gebruik wordt gemaakt van het telefoonnetwerk, dat in theorie veiliger kan zijn dan het internet. Helaas wordt de kwaliteit van afbeeldingen vaak minder bij faxen. In de film zijn alle faxapparaten ook nog eens beschikbaar vanaf het internet, dus daar gaat die veiligheid al.

Na aan de Yakuza te zijn ontsnapt, probeert Johnny de ontbrekende screenshots terug te krijgen. Hij vindt het oorspronkelijke faxapparaat en de logboeken ervan in de informatiesystemen van een hotel. Het wachtwoord hiervoor verkrijgt hij bij de derde poging van zijn brute-force-aanval. Het wachtwoord kan nooit erg sterk zijn geweest. Er moet wel gezegd worden dat dat goed overeenkomt met ons 2021: voor veel hotels betekent beveiliging nog altijd een bewaker aan de deur. Hoe dan ook, Johnny slaagt erin om het adres van het faxapparaat van de ontvanger te achterhalen.

Voor het verbinden van de fax is geen authenticatie nodig. Sterker nog: door op afstand verbinding te maken kan iedereen de gegevens van de buffer lezen, waardoor dit communicatiekanaal volledig ongeschikt is voor vertrouwelijke gegevens.

De gegevens onderscheppen zonder de sleutel

De situatie lijkt hopeloos. Zonder de sleutel kan Johnny de gegevens niet van zijn hoofd downloaden noch verwijderen, en nu de maximale capaciteit ruim overschreven is, zal hij spoedig sterven en raakt het geneesmiddel voor de pandemie dus verloren.

Maar wacht, er zijn in werkelijkheid meer manieren om informatie te verkrijgen zonder de sleutel (die tot consequentie van verschillende ernst leiden):

  • De Yakuza proberen Johnny’s hoofd af te zagen zodat ze hem naar een “quantum interference detector” kunnen meenemen om de gegevens in bezit te krijgen.
  • Een dokter die is gespecialiseerd in implantaten heeft bepaalde “decryptiecodes” die met wat geluk de gegevens zouden kunnen herstellen. Het werkt in dit geval niet, maar alles lijkt erop te wijzen dat het soms wél lukt, wat tal van vragen oproept over de betrouwbaarheid van het encryptie-algoritme.
  • Vervolgens stelt dezelfde dokter voor om de gegevens en het implantaat chirurgisch te extraheren, hoewel dat riskant is voor het leven van de patiënt (plus gegarandeerde gezondheidsproblemen).
  • Jones de cyborg-dolfijn, die door de Amerikaanse marine is getraind om vijandelijke onderzeeërs op afstand te hacken, kan deze techniek uitproberen op de Johnny’s schedel.
  • Een lid van de Yakuza beweert dat “mnemonische sensors” zelfs na het downloaden en verwijderen nog overblijvende sporen van de gegevens kunnen herstellen.

Conclusie

Het gebruik van mnemonische koeriers lijkt nutteloos. Deze technologie gebruikt blijkbaar symmetrische encryptie (hoe complex de sleutel ook is, hij moet nog altijd worden overgedragen aan de ontvanger), de overdracht van de sleutel vindt plaats over onbeveiligde kanalen, en de capaciteit van het implantaat schendt alle veiligheidsregels, waardoor zowel de gezondheid van de koerier als de integriteit van de gegevens in gevaar komt. Maar de belangrijkste kwetsbaarheid van deze methode is dat er tal van manieren lijken te bestaan om de gegevens ook zonder sleutel te verkrijgen.

Bovendien hackt Johnny met slechts twee van de screenhots en met behulp van zijn aquatische handlanger zijn eigen hersenen en extraheert zo een derde screenshot. Dat betekent dat de sleutel is opgeslagen met versleutelde informatie, wat een zeer onveilige praktijk is.

In het echte jaar 2021 zou het verzenden van gegevens over het internet met gebruik van een betrouwbaar asymmetrisch encryptie-algoritme eenvoudiger zijn. Zelfs als het feit van een gegevensoverdracht niet kan worden verborgen, zou deze strategie de bezorging van de gegevens aan de geadresseerde garanderen. En 320 GB is echt niet zo veel in ons 2021.

Wat is er werkelijkheid geworden en wat niet?

Het echte jaar 2021 is niet zo somber als de filmmakers het zich voorstelden. Of in ieder geval niet op dezelfde manier. Cybersecurity heeft een lange weg afgelegd. Dus wat zou er echt kunnen gebeuren van het bovenstaande?

  • In het echte jaar 2021 worden er bijna regelmatig bestanden van meerdere terabytes met vertrouwelijke informatie gelekt, inclusief gegevens over vaccins. Het Pharmakom-gegevenslek is geloofwaardig en zeker mogelijk.
  • Aanvallen van insiders en sabotage zijn ook niet ongebruikelijk. Dit recente incident is bijvoorbeeld ook aan de zorg gerelateerd.
  • Zelfbewuste kunstmatige intelligentie die online leeft bestaat (voor zover we weten) nog niet.
  • Een cyborg-dolfijn die kan hacken is wat vergezocht. Ondanks de vele sciencefiction-voorspellingen hebben dolfijnen nog niet geleerd om menselijke informatie te begrijpen en elektronica te gebruiken.
  • Inbreken op uitzendsignalen is echter wel echt. Maar dit gebeurt normaal gesproken op kleinere schaal, en de indringers worden al snel geïdentificeerd.
  • Het identificeren van een persoon online op basis van een verbinding en deze persoon vastpinnen op een bepaald adres kan inderdaad, maar dat is niet zo eenvoudig.
  • Een DoS-aanval op de link tussen twee netwerkcliënten kan echt, maar wordt niet met een virus gedaan, maar eerder door het uitschakelen van het communicatiekanaal.
  • Het implanteren van een chip in iemands hersenen is vooralsnog geen realiteit. Huidige experimenten focussen op het creëren van een neurale interface voor communicatie met een computer, niet op gegevensopslag.
  • Dit is de belangrijkste: Het overdragen van gegevens door informatie rechtstreeks in de hersenen van een menselijke koerier te pompen is niet alleen onrealistisch maar slaat ook nog eens nergens op. Dankzij encryptie kunnen we op eenvoudige en veilige wijze gegevens over het internet verzenden.

Tips