Johnny Mnemonic a cyberbezpieczeństwo

Przyszłość, jaką William Gibson wyobrażał sobie i przedstawił w krótkiej historii, która była inspiracją dla filmu pt. „Johnny Mnemonic” (1995 rok), to zasadniczo cyberpunk: ryzykowna, niebezpieczna, niezwykle zaawansowana i w dużym stopniu związana z techniką. Akcja filmu dzieje się na początku 2021 roku, więc postanowiliśmy ocenić wersję kinową z puntu widzenia cyberbezpieczeństwa, porównując przy tym fikcyjny rok 2021 z prawdziwym.

Miejsce akcji filmu

Akcja filmu dzieje się w dość ponurym świecie, kontrolowanym przez megakorporacje i nękanym przez niebezpieczną pandemię NAS (Nerve Attenuation Syndrome), czyli syndrom osłabienia neuronów. Jak mówi jeden z bohaterów, przyczyną choroby jest: „Przeciążenie informacyjne! Cała otaczająca nas elektronika zatruwa fale radiowe”.

Megakorporacje, pandemia, teorie spiskowe dotyczące wdrażania nowych technologii… Brzmi znajomo? Cóż, po części to prawda, są jednak istotne różnice: zgodnie z wersją kinową w roku 2021 mikroczipy przechowywały już gigabajty informacji i można je było umieścić w mózgu człowieka; w rzeczywistości — mimo usilnych starań Elona Muska — jeszcze tak się nie dzieje. Co więcej, w filmach z przełomu lat 1980/90 internet był przedstawiany jako zwariowany świat rzeczywistości wirtualnej i nasz przypadek nie odbiega od tej normy; dziś wydaje się, że to wciąż przed nami.

Pharmakom Industries

W filmie dowiadujemy się, że lekarstwo na chorobę NAS istnieje, lecz koncern Big Pharma nie ujawnia tej informacji światu — leczenie objawów jest znacznie bardziej dochodowe niż uwolnienie ludzkości od zarazy. Niektórzy pracownicy firmy Pharmakom potępiają takie podejście i nie tylko kradną informacje medyczne, ale także niszczą dane firmowe.

Ujawnia to istnienie wielu poważnych luk w systemie bezpieczeństwa w firmie Pharmakom:

• Uprawnienia dostępowe do danych, nad którymi pracują naukowcy w firmie, są zbyt szerokie. Oczywiście twórcy leków potrzebują dostępu do odczytu informacji operacyjnej, a nawet do zapisu na serwerze; ale dlaczego mogli nieodwracalnie usuwać informacje niejawne?
• Firma Pharmakom nie ma kopii zapasowych (a przynajmniej nie w postaci offline). W związku z tym dalsza część filmu — w tym szalona pogoń za „mnemonicznym kurierem” (więcej o tym piszemy poniżej) — pokazuje próby odzyskania przez firmę danych. Dzięki kopiom zapasowym Pharmakom mógłby zwyczajnie przywrócić dane, a następnie wyeliminować wyciek i kuriera. Jednak w tej sytuacji firma musiała odciąć mu głowę, nie niszcząc przy tym umieszczonego w środku implantu.

Warto również wspomnieć, że w sieci firmy Pharmakom znajduje się cyfrowa kopia świadomości założyciela firmy. Sztuczna inteligencja nie tylko ma wolną wolę i dostęp do całego internetu, ale także lubi nie zgadzać się z rozwojem korporacji w niewłaściwym kierunku.

Lo Teks

Po drugiej stronie barykady znajduje się ugrupowanie znane pod nazwą Lo Teks. W oryginalnej historii Lo Teks składało się z osób, które były przeciwne technologiom, lecz w adaptacji filmowej są ona przedstawione jako mniej radykalne w tej kwestii. Wśród nich żyje Jones, delfin będący cyborgiem. Jego umiejętność przechwytywania informacji pomaga mu w zdobyciu cennych danych, które następnie Lo Teks przesyła za pomocą zhakowanego sygnału telewizyjnego (w kryjówce ugrupowania znajduje się sporo śmieci takich jak kable czyi stare telewizory z kineskopami).

Pomimo wybryków na antenie, nikt nie zwraca uwagi na Lo Teks (ani nawet go nie namierza) — do czasu, aż ugrupowanie to nawiąże kontakt z Johnnym.

Komunikacja przez internet

W połowie filmu Johnny próbuje skontaktować się ze znajomym. W tym wątku widzowie uświadamiają sobie, że eksperci z firmy Pharmakom współpracują z mafią o nazwie Yakuza i śledzą jego kontakty — taka fantazja dotycząca prywatności w 2021 roku jest znacznie gorsza niż dzisiejsza rzeczywistość.

Można by się spodziewać, że haker będący równocześnie przemytnikiem może zarządzać anonimowością w internecie, jednak tak nie jest — wszyscy wiedzą o powiązaniach Johnny’ego, a eksperci od bezpieczeństwa informacji natychmiast go odnajdują (mimo że łączy się z internetem z całkowicie nowego, skradzionego komputera i za pomocą czegoś w rodzaju tajnego modułu).

Firma Pharmakom aktywuje „wirusa” w celu zakłócania komunikacji z Johnnym. Jak to zwykle w filmach bywa, użyta terminologia nie jest dokładna — rzekomy wirus jest raczej pewnym narzędziem służącym do przeprowadzania ataku DoS, a nie prawdziwym wirusem.

Mnemoniczny kurier

Teraz wreszcie możemy przejść do głównego wątku w filmie, który jest bezpośrednio związany z bezpieczeństwem informacji. Jako mnemoniczny kurier, Johnny ma głowę, która dosłownie jest urządzeniem do przechowywania danych. Tacy kurierzy są używani do przemycania bardzo cennych informacji, których nie można przesłać przez internet. Zbuntowani naukowcy zlecają Johnnemu przekazanie danych medycznych, jakie ukradli firmie Pharmakom, zespołowi lekarzy w Newark.

Jak działa implant

Działanie tej filmowej technologii nie jest przedstawione w sposób zrozumiały: dane są przechowywane bezpośrednio w mózgu, ale aby zrobić nowe miejsce, Johnny musi usunąć większość wspomnień z dzieciństwa. Nominalna pojemność wynosi 80 GB, można ją rozszerzyć do 160 GB poprzez podłączenie jej na krótko do skrzynki zewnętrznej, ale w rzeczywistości można przesłać dwa razy więcej, zwiększając pojemność do 320 GB. Takie działanie jednak ściska mózg, wywołując u kuriera cierpienie w postaci drgawek i krwawień z nosa, a ponadto grozi zniszczeniem informacji.

W filmie implant nietrudno jest wykryć. Na przykład podczas przekraczania granicy ludzie są skanowani, a w obrazie widać wspomniane urządzenie. Jednak skany te wydają się być raczej powierzchowne; w naszym przypadku system klasyfikuje implant mózgu jako urządzenie do przeciwdziałania dysleksji i nie wiadomo, dlaczego nie wzbudza to podejrzeń u strażników granicznych.

Ochrona danych

Metoda ochrony danych jest dość oryginalna: podczas przesyłania danych klient losowo wykonuje trzy zrzuty ekranu telewizora. Obrazy te „rozpuszczają się w danych” i służą jako „klucz umożliwiający pobranie”. Ponieważ bez nich nie można pobrać danych ani ich usunąć, muszą one również wysłane do odbiorcy. Wydaje się, że to zabezpieczenie ma związek z szyfrowaniem rzeczywistych danych, jednak jest to również mechanizm dostępowy do implantu.

Tuż po wysłaniu danych naukowcy zostają zaatakowani przez agentów mafii Yakuza działających dla firmy Pharmakom. Jeden zrzut ekranu dla klucza zostaje zniszczony w późniejszej wymianie ognia, drugi zostaje w posiadaniu Johnnego, a trzeci trafia w ręce atakujących.

Wysyłanie klucza

„Klucz” jest wysyłany faksem. Może to brzmi zabawnie, ale mimo że technologia ta jest obecnie przestarzała, faksowanie kluczy ma sens, ponieważ do tego celu używana jest sieć telefoniczna, która w teorii może być bezpieczniejsza niż internet. Niestety przesyłanie faksem często skutkuje pogorszeniem jakości obrazu, a ponadto w filmie wszystkie urządzenia faksowe są dostępne przez internet.

Po ucieczce od Yakuzy Johnny próbuje odzyskać stracone zrzuty ekranu. Odnajduje faks, z którego pochodziły, a następnie uzyskuje dostęp do jego rejestrów w systemach informacyjnych hotelu, do których hasło złamał metodą siłową przy trzeciej próbie. Hasło nie mogło być bardzo silne i ten aspekt doskonale koresponduje z naszymi realiami: dziś dla wielu hoteli bezpieczeństwo to nadal straż przy drzwiach. W każdym razie Johnny zdobywa adres faksu odbiorcy.

Połączenie się z faksem nie wymaga autoryzacji. Co więcej, poprzez połączenie zdalne każda osoba może odczytać dane z jego bufora, przez co ten kanał komunikacji nie nadaje się do transmisji danych poufnych.

Zdobywanie danych bez klucza

Sytuacja wydaje się być beznadziejna. Nie mając klucza, Johnny nie może ani pobrać, ani usunąć danych ze swojej głowy, a przez to, że jej pojemność została dwukrotnie powiększona, aż do granic możliwości, wkrótce umrze i lekarstwo na pandemię zostanie stracone.

Jednak istnieje też wiele innych sposobów na zdobycie informacji bez użycia klucza (jednak wiążą się one z różnymi konsekwencjami):

• Yakuza próbuje odpiłować głowę Johnny’ego, tak aby możliwe było zabranie jej do „kwantowego detektora interferencji” w celu wydobycia danych.
• Specjalizujący się w implantach lekarz posiada kilka „kodów deszyfrujących”, które przy odrobinie szczęścia powinny umożliwić odzyskanie danych. Niestety w tym przypadku okazały się one nieprzydatne, ale fakt ten rodzi wiele pytań na temat niezawodności algorytmu szyfrowania.
• Następnie ten sam lekarz proponuje zdobycie danych i wyjęcie implantu w sposób chirurgiczny, chociaż wiąże się to z ryzykiem utraty życia przez pacjenta (nie wspominając o gwarantowanych problemach ze zdrowiem).
• Dzięki szkoleniu w amerykańskiej marynarce wojennej, w którym nauczył się zdalnie hakować łodzie podwodne wroga, Jones będący delfinem-cyborgiem może wypróbować tę technikę na czaszce Johnny’ego.
• Pracownik Yakuzy wspomina, że nawet po pobraniu i usunięciu danych „mnemoniczne czujniki” nadal mogą przywrócić pozostałości po danych.

Wnioski

Używanie mnemonicznych kurierów wydaje się bezcelowe. Chociaż wygląda na to, że wykorzystywane jest tu szyfrowanie symetryczne (bez względu na to, jak skomplikowany jest klucz, musi on zostać przesłany do odbiorcy), przekazanie klucza odbywa się poprzez niezabezpieczone kanały, a przekroczona pojemność implantu narusza wszystkie regulacje bezpieczeństwa i zagraża nie tylko zdrowiu kuriera, ale i integralności danych. Jednak największą wadą tej metody jest to, że nawet nie mając klucza, dane można zdobyć na wiele sposobów.

Co więcej, dzięki zaledwie dwóm zrzutom ekranu Johnny, z pomocą swojego wodnego pomocnika, włamuje się do własnego mózgu i zdobywa trzeci. Oznacza to, że klucz jest przechowywany z zaszyfrowanymi informacjami, co jest skrajnie niebezpieczne.

W prawdziwym 2021 roku wysyłanie danych przez internet za pomocą niezawodnego algorytmu szyfrowania asymetrycznego byłoby łatwe. Nawet jeśli samego faktu przesłania danych nie można ukryć, taka strategia zapewniłaby dostarczenie go do adresata. Jak na standardy 2021 roku, pojemność 320 GB nie jest aż tak wielka.

Co stało się prawdą, a co pozostało fikcją?

Prawdziwy rok 2021 nie jest tak ponury, jak wyobrażali sobie filmowcy — a przynajmniej nie w ten sposób. Cyberbezpieczeństwo przeszło długą drogę ewolucji. A zatem, które z powyższych sytuacji mogłyby się wydarzyć?

• W prawdziwym 2021 roku terabajtowe archiwa zawierające informacje poufne, w tym dane na temat szczepionek, wyciekają niemal regularnie. Wyciek danych z firmy Pharmakom jest więc dość realistyczny i możliwy.
• Ataki z wewnątrz i sabotaż również nie należą do rzadkości. Zarejestrowany niedawno incydent również miał związek ze służbą zdrowia.
• Sztuczna inteligencja, samoświadomość i życie w internecie jeszcze nie istnieją (o ile nam wiadomo).
• Cybernetyczny delfin posiadający umiejętności hakerskie jest trochę naciągany. W przeciwieństwie do wielu prognoz fantastycznonaukowych delfiny jeszcze nie nauczyły się odczytywać informacji używanych przez ludzi ani używać urządzeń elektronicznych.
• Z drugiej strony zakłócenie sygnału transmisji jest realne. Jednak jest to zwykle dokonywane na niewielką skalę, a intruzi są szybko identyfikowani.
• Zidentyfikowanie osoby w internecie na podstawie konkretnego adresu jest realne, ale wymaga wielu prac przygotowawczych.
• Atak DoS na połączenie między dwoma klientami sieciowymi jest realne, ale nie przy użyciu wirusa, lecz poprzez wyłączenie kanału komunikacji.
• Implementacja czipu w mózg człowieka jeszcze nie jest realna. Póki co eksperymenty obejmują tworzenie interfejsu neuronowego do komunikacji z komputerem i nie uwzględniają pamięci danych.
• A teraz coś ekstra: przesyłanie danych poprzez wpompowanie informacji bezpośrednio w mózg kuriera będącego człowiekiem jest nie tylko nierealistyczne, ale też nie ma sensu. Dzięki szyfrowaniu możemy z łatwością i bezpiecznie przesyłać dane przez internet.