A cibersegurança em ‘Johnny Mnemonic, o ciborgue do futuro’

A cibersegurança de Johnny Mnemonic, o ciborgue do futuro, seria plausível no atual 2021?

O futuro que William Gibson imagina no conto que inspirou o Johnny Mnemonic, o ciborgue do futuro de 1995 essencialmente resume o cyberpunk: intrigante, perigoso, extremamente avançado, altamente tecnológico. Com o filme ambientado no início de 2021, decidimos analisar a versão cinematográfica do ponto de vista da cibersegurança, comparando o mundo da ficção com a realidade atual.

O cenário do filme

O filme se passa em um mundo bastante sombrio, controlado por megacorporações e atormentado por uma perigosa pandemia conhecida como Síndrome de Atenuação Nervosa (NAS, sigla em inglês). A causa da doença, nas palavras de uma das personagens, é: “Sobrecarga de informação! Todos os eletrônicos ao seu redor envenenando as ondas de rádio. ”

Megacorporações, pandemias, teorias da conspiração sobre o lançamento de novas tecnologias. Soa familiar? Bem, essa “realidade” é apenas parcialmente precisa: neste 2021 cinematográfico, microchips contendo gigabytes de informação podem ser implantados no cérebro humano, mas infelizmente, apesar dos melhores esforços de Elon Musk, ainda não chegamos lá. Não vamos nos incomodar em desmontar a clássica representação cinematográfica dos anos 1980/90 da Internet como um universo estranho de realidade virtual. Isso não é a Internet, pelo menos em 2021.

Indústrias Pharmakom

De acordo com o enredo do filme, uma cura para NAS existe, mas a indústria farmacêutica está mantendo-a guardada a sete chaves – tratar os sintomas é muito mais lucrativo do que livrar a humanidade da doença. Alguns funcionários da Pharmakom desaprovam e não apenas roubam informações médicas, mas também destroem os dados da empresa.

Isso revela uma série de falhas importantes no sistema de segurança da Pharmakom:

  • As permissões de acesso aos dados de seus cientistas são muito abrangentes. Claro, os desenvolvedores de medicamentos precisam de acesso para ler informações operacionais e até mesmo para escrever no servidor. Mas por que dar permissão para excluir permanentemente informações confidenciais?
  • Pharmakom não tem backups (pelo menos, nada offline). Isso significa que muito do resto do enredo – envolvendo a busca louca do “transportador mnemônico” (mais sobre isso abaixo) – é basicamente sobre a empresa precisar dos dados de volta. Com os backups implementados, a Pharmakom poderia simplesmente ter restaurado os dados e eliminado o vazamento e o transportador. Em vez disso, a trama exigia que a empresa tentasse abrir sua cabeça sem danificar o implante interno.

Também vale a pena mencionar que a rede Pharmakom contém uma cópia digital da consciência do fundador da empresa. A IA não só possui livre arbítrio e acesso a toda a Internet, mas também tende a discordar da maneira como a corporação está seguindo um caminho monstruoso.

Lo Teks

Um grupo conhecido como Lo Teks representa a resistência. Na história original, os Lo Teks eram anti tecnologias, mas na adaptação para o cinema eles parecem bastante atualizados. Morando com eles está Jones, um golfinho ciborgue cujas habilidades de hacker o ajudam a extrair informações valiosas, que os Lo Teks então transmitem usando um sinal de TV hackeado. No centro do QG do grupo está uma montanha de lixo com fios e velhas TVs de tubo de raios catódicos.

Apesar das travessuras do grupo no ar, ninguém presta muita atenção aos Lo Teks (ou mesmo os localiza) até que eles entrem em contato com Johnny.

Comunicação online

No meio do filme, Johnny tenta entrar em contato com um conhecido. É quando percebemos que os especialistas da Pharmakom, trabalhando com a Yakuza, estão rastreando seus contatos regulares – a privacidade da fantasia 2021 é ainda pior do que a realidade atual.

Alguém pode pensar que um hacker contrabandista pode dominar o anonimato online, mas não, todo mundo conhece as conexões de Johnny, e os especialistas em segurança da informação imediatamente o detectam (embora ele esteja online de um computador roubado completamente novo e com algum tipo de módulo furtivo) e encontram sua localização.

Ao longo da trama, a Pharmakom ativa um “vírus” para interferir na comunicação de Johnny. Como de costume nos filmes, a terminologia é um tanto solta, o vírus parece mais algum tipo de ferramenta de ataque DoS do que um vírus como entendemos atualmente.

Transportador Mnemônico

Por fim, vamos ao tema principal do filme, que está relacionado diretamente à segurança da informação – considere a profissão do personagem-título. Como um transportador mnemônico, a cabeça de Johnny é literalmente um dispositivo de armazenamento de dados. Esses transportadores são usados para contrabandear informações altamente valiosas que não podem ser confiadas à Internet. Os cientistas rebeldes escolheram Johnny para transmitir os dados médicos que roubaram da Pharmakom para uma equipe de médicos em Newark.

Como funciona o implante

A tecnologia aqui não faz sentido algum: os dados são armazenados diretamente no cérebro e, para abrir espaço, Johnny teve que sacrificar a maior parte de suas memórias de infância. A capacidade nominal é de 80GB, expansível para 160GB conectando brevemente a uma caixa externa, mas na verdade é possível fazer upload do dobro, aumentando a capacidade para até 320GB. Isso comprime o cérebro, fazendo com que o transportador sofra convulsões e sangramento pelo nariz, e a informação também pode ser danificada.

No filme, o implante não é difícil de detectar. Por exemplo, ao cruzar uma fronteira, as pessoas são examinadas e o dispositivo aparece nessas verificações. Mas as varreduras parecem um tanto superficiais; o sistema relata falsamente o implante cerebral como um dispositivo para neutralizar a dislexia. Porque o dispositivo não levanta suspeitas entre os guardas de fronteira não está claro.

Proteção de dados

O método de proteção de dados não é nada senão original. Durante o upload, o cliente tira três fotos de telas da TV aleatoriamente. As imagens “se dissolvem nos dados” e servem como a “chave de download”. Sem elas, é impossível não só baixar os dados, mas até mesmo excluí-los, portanto, as mesmas imagens devem ser enviadas ao destinatário. Ao que parece, então, esta proteção tem a ver com criptografar os dados reais, mas também é um mecanismo de acesso ao implante.

Assim que carregam os dados, os cientistas são atacados por agentes da Yakuza que trabalham para a Pharmakom. Uma das chaves é destruída no tiroteio que se segue, Johnny mantém uma e a outra vai para os mafiosos.

Enviando a chave

A “chave” é enviada por fax. Isso não é tão engraçado quanto parece; embora a tecnologia esteja desatualizada no verdadeiro 2021 de envio de fax, a chave faz algum sentido porque faz uso direto da rede telefônica, que pode, em teoria, ser mais segura do que usar a Internet. Infelizmente, o envio de fax tende a impactar a qualidade da imagem. Além disso, no filme, todas as máquinas de fax estão disponíveis na Internet.

Depois de escapar da Yakuza, Johnny tenta recuperar as imagens perdidas. Ele encontra a máquina de fax de origem e seus registros nos sistemas de informação de um hotel, para a senha, ele usa força bruta e a encontra em sua terceira tentativa. A senha provavelmente não é muito forte. Isso, é preciso dizer, corresponde perfeitamente ao nosso 2021: para muitos hotéis, segurança ainda significa um guarda na porta. De qualquer maneira, Johnny consegue obter o endereço da máquina de fax do destinatário.

A conexão com o fax não requer autenticação. Além disso, ao se conectar remotamente, qualquer pessoa pode ler os dados do buffer, tornando este canal de comunicação totalmente inadequado para dados confidenciais.

Extraindo os dados sem a chave

A situação parece desesperadora. Sem a chave, Johnny não pode baixar nem excluir dados de sua cabeça e, com a capacidade máxima permitida duas vezes excedida, ele morrerá em breve e a cura para a pandemia será perdida.

Mas espere, existem, de fato, muitas maneiras de extrair informações sem a chave (levando a consequências de gravidade variável):

  • A Yakuza tenta abrir a cabeça de Johnny para que eles possam levá-la a um “detector de interferência quântica” para extrair os dados.
  • Um médico especialista em implantes possui alguns “códigos de descriptografia” que, com um pouco de sorte, devem permitir a recuperação dos dados. Não funciona neste caso, mas tudo parece sugerir que às vezes funciona, o que levanta uma tonelada de questões sobre a confiabilidade do algoritmo de criptografia.
  • Em seguida, o mesmo médico propõe extrair os dados e o implante cirurgicamente, embora isso acarrete um risco considerável para a vida do paciente (sem falar em problemas de saúde).
  • Tendo sido treinado pela Marinha dos EUA para hackear submarinos inimigos remotamente, Jones, o golfinho ciborgue, pode tentar a técnica no crânio de Johnny.
  • Um agente da Yakuza menciona que mesmo após o download e a exclusão, “sensores mnemônicos” ainda podem recuperar traços residuais dos dados.

Conclusão

Usar transportadores mnemônicos parece inútil. O esquema aparentemente usa criptografia simétrica (não importa o quão complexa seja a chave, ela ainda precisa ser transferida para o destinatário), a transferência da chave ocorre por canais desprotegidos e a capacidade de sobrecarga do implante viola todas as normas de segurança, prejudicando a saúde do transportador e a integridade dos dados.

Mas a principal fraqueza do método é que ele deixa uma infinidade de maneiras de obter os dados sem a chave.

Além disso, com apenas duas das imagens e a ajuda de seu companheiro aquático, Johnny hackeia seu próprio cérebro e extrai a terceira. Isso significa que a chave é armazenada com as informações criptografadas, uma prática altamente insegura.

No ano 2021 real, enviar os dados pela Web usando um algoritmo de criptografia assimétrica confiável seria fácil. Mesmo que o fato de uma transferência de dados não possa ser ocultado, a estratégia garantiria a entrega ao destinatário. E 320GB não é um volume tão grande para nossos padrões atuais.

O que se tornou realidade e o que não?

O 2021 real não é tão sombrio quanto os cineastas imaginaram – ou, pelo menos, não é tão sombrio da mesma forma que os cineastas imaginaram. A cibersegurança já percorreu um longo caminho. Então, qual das opções acima poderia realmente acontecer?

  • No nosso ano de 2021, arquivos com vários terabytes de informações confidenciais, incluindo dados de vacinas, vazam quase regularmente. A brecha de segurança da Pharmakom que permite acesso à informações pessoais e confidenciais é plausível e muito possível.
  • Ataques internos e sabotagem também não são incomuns.Por exemplo, este recente incidente também está relacionado à saúde.
  • A inteligência artificial, autoconsciente e que vive online, ainda não existe (até onde sabemos).
  • Um golfinho ciborgue com habilidades de hacker é um pouco fora da realidade demais. Ao contrário de muitas previsões de ficção científica, os golfinhos ainda não aprenderam a perceber as informações humanas e usar tecnologias como a eletrônica.
  • A invasão do sinal de transmissão, por outro lado, é real. Mas geralmente é feita em pequena escala e os intrusos são rapidamente identificados.
  • Identificar uma pessoa online com base em uma conexão com um determinado endereço é uma coisa real, mas requer um amplo trabalho de base.
  • Um ataque DoS no link entre dois clientes da rede é real, mas não feito com um vírus, e sim com a desativação do canal de comunicação.
  • Implantar um chip no cérebro de uma pessoa ainda não é realidade. Os experimentos atuais se concentram na criação de uma interface neural para comunicação com um computador, não no armazenamento de dados.
  • Aqui está o grande problema: transferir dados bombeando informações diretamente para o cérebro de um humano não é apenas irreal, mas sem sentido. Graças à criptografia, podemos transmitir dados com facilidade e segurança pela Internet.
Dicas

Como proteger a segurança doméstica

As empresas de segurança oferecem tecnologias inteligentes, principalmente câmeras, para proteger a casa contra roubos, incêndios e outros incidentes. Mas que tal proteger esses sistemas de segurança contra intrusos? É o que faremos para preencher essa lacuna.