How I Lost and Regained Control of My Microchip Implant
The Weakest Link er Motherboards tredje årlige temauge, der er dedikeret til fremtiden for hacking og cybersikkerhed. Følg med her .
Lyt til Motherboards nye hacker-podcast, CYBER, her.
Det var lige før midnat, da jeg tog den impulsive beslutning, der skulle forvandle mig til verdens mest ubrugelige cyborg.
Min ven og jeg havde netop forladt en gratis koncert på den 25. årlige Def Con, verdens største hackerkonference, og strejfede rundt i hallerne på Las Vegas Caesars Hotel i forsøget på at beslutte, hvad vi skulle bruge resten af vores aften til. Så modtog jeg den skæbnesvangre sms fra en ven: “Biohacking village lukker ned for natten, der er et par implantater tilbage.”
Jeg havde i løbet af weekenden gjort et par tilfældige bemærkninger om, at jeg gerne ville have en NFC-chip (near-field communications) implanteret i min hånd, men hver gang jeg besøgte standen, havde der været lang ventetid. Dette ville være min sidste chance for at få en chip på konferencen, så vi besluttede at kigge forbi på vej ud af hotellet.
Men da jeg ankom til biohacking-landsbyen, var der kun en enkelt NFC-chip tilbage. Det føltes som skæbnen, så jeg smed 50 dollars i kontanter og tog plads ved piercingsstationen. Jeg har fået et par piercinger før, så udsigten til at blive prikket generede mig ikke så meget som udsigten til at få en passiv elektronisk enhed sprøjtet ind i min hånd i et hotelkonferenceværelse.
Hvis jeg havde et enkelt råd til alle, der overvejer at få et NFC-chipimplantat, ville det være at gøre det ædru.
Forfatteren om at få et NFC-implantat på Def Con i 2017. Billede: Daniel Oberhaus
NFC-chips ligner de RFID-chips (Radio Frequency ID), der bruges til ting som medarbejdermærker eller sporing af varer i butikker, bortset fra at de ikke er helt så kraftige (derfor nærfelt) og giver mulighed for tovejskommunikation. NFC-chips kan bruges til at gemme små mængder oplysninger, f.eks. adgangskoder, kontaktoplysninger, en webadresse eller endda et foto.
Når en NFC-chip bringes inden for få centimeter af en NFC-læser (de fleste moderne smartphones er udstyret med NFC-funktion), kan dataene på chippen overføres til læseren. Det fungerer på den måde, at læseren genererer en svag elektrisk strøm, der skaber et lille magnetfelt. Når NFC-chippen befinder sig inden for dette magnetfelt, bruger en lille spole i chippen energien fra telefonen til at skabe sit eget felt, så de data, der er gemt på enheden, kan overføres til læseren.
Den NFC-chip, jeg fik sprøjtet ind i min hånd, blev fremstillet af Dangerous Things, et biohacking-firma startet af Amal Graafstra, der også har været pioner inden for DIY-biometriske pistoler. Graafstra har solgt disse chips, siden han rejste 30.000 dollars i en crowdfunding-kampagne i 2014. Chippen er indkapslet i et lille glasrør, der er lidt under en halv tomme i længden og kun to millimeter i diameter. Dette rør sprøjtes ind i det bløde kød mellem din tommelfinger og pegefinger lige over svangen. Når du holder din hånd i visse stillinger, kan man lige akkurat se omridset af chippen, der skubber sig mod huden.
En tidlig version af xNT NFC-chippen, der er implanteret i min hånd. Image: Dangerous Things/Vimeo
Den egentlige proces med at få implantatet forløb uden problemer, men tingene udviklede sig hurtigt herefter. Sagen med NFC-chips er, at alle med en læser også kan skrive til enheden, hvis den ikke er beskyttet. Selv om det ikke ligefrem er en stor sikkerhedstrussel, da nogen skal have læseren inden for flere centimeter af din hånd for at skrive til chippen, er det bedre at være på den sikre side, når man er til verdens største hackerkonference.
Så på opfordring fra alle på implantatstationen var det første, jeg gjorde med mit implantat, at sikre det med en firecifret pin-kode. Jeg havde ikke besluttet, hvilken slags data jeg ville lægge på chippen, men jeg ville sgu ikke have, at andre skulle skrive på min chip først og potentielt låse mig ude. Jeg valgte den samme pinkode, som jeg brugte til min telefon, så jeg ikke ville glemme den om morgenen – eller det troede jeg i hvert fald, at jeg gjorde.
Læs mere: 72 Hours of Pwnage: Hvis jeg havde et enkelt råd til alle, der overvejer at få en NFC-chipimplantat, ville det være at gøre det ædru. Til at starte med vil pierceren sandsynligvis ikke engang give dig implantatet, hvis de har mistanke om, at du er beruset af hensyn til samtykke og sikkerhed (alkohol fortynder dit blod, hvilket også er grunden til, at du ikke bør få en tatovering, mens du er beruset). Men endnu vigtigere er det, at du ikke vil vågne op næste morgen med en splittende hovedpine og absolut ingen idé om, hvordan du skal låse din hånd op.
Et skærmbillede af NFC Shell, en Android-app, som jeg måtte sideloade for at sende kommandoer til mit NFC-implantat. Her indtaster jeg forskellige adgangskodekombinationer i hexadecimalkode (f.eks. 303030303030 = “0000”). Shell’en returnerer “NAK”, hvilket betyder, at kombinationerne er forkerte.
Jeg brugte det meste af min første dag som cyborg på desperat at cykle gennem de forskellige pin-muligheder, der gjorde det umuligt for mig at låse NFC-chippen i min hånd op og tilføje data til den. Jeg prøvede alle de åbenlyse kandidater-0000, 1234, 6969-og de forskellige pins, som jeg bruger til andre dele af mit liv. Jeg prøvede NFC-læsere på forskellige telefoner såvel som dedikerede NFC-enheder. Jeg brugte alt for lang tid på at læse om de protokoller, der bruges til at sikre chippen, men konklusionen syntes uundgåelig: Jeg havde uigenkaldeligt ejet mig selv.
Hvordan jeg genvandt adgangen til min hånd
Men da jeg forlod Def Con, havde jeg accepteret min skæbne som en totalt ubrugelig cyborg. Det er selvfølgelig muligt at fjerne NFC-implantater. Processen involverer en mindre operation, og efter hvad jeg har læst, er det virkelig ikke så stort et problem. Men da dette års hackeruge kom, virkede det dog som en god mulighed for at prøve at låse min hånd op en sidste gang. Så jeg skrev til forummet Dangerous Things i håb om, at andre havde oplevet lignende problemer med deres NFC-chip.
Graafstra svarede og sagde, at det sandsynligvis havde noget at gøre med, at jeg havde brugt en tredjeparts NFC-app til at indstille adgangskoden, da jeg først fik chippen. Dangerous Things anbefaler, at man sikrer sine chipimplantater ved hjælp af sin egen NFC-app. Derefter kan enhver tredjeparts-app bruges til at tilføje eller læse indholdet af implantatet. Problemet er dog, hvis du bruger en af disse apps til at indstille adgangskoden i første omgang.
Selv uden at gå ind i de tekniske detaljer om, hvorfor dette er et problem, ændrer disse apps en specifik del af chipens sikkerhedsmekanisme, så den kun kan ændres af den samme app. Med andre ord skulle jeg for at låse min hånd op ikke kun huske kodeordet, men også hvilken NFC-applikation jeg havde brugt til at indstille det.
Jeg var ikke helt sikker på det kodeord, som jeg brugte til at sikre min hånd, men jeg havde et halvt dusin ledende kandidater, så det var mest et spørgsmål om at finde ud af, hvilken app der var blevet brugt til at beskytte chippen. Jeg begyndte med at bruge en app kaldet NFC Shell, der giver brugerne mulighed for at sende kommandoer i hexadecimalt format direkte til NFC-chippen. Appen var blevet fjernet fra Google Play-butikken et par måneder tidligere af ukendte årsager, så jeg var nødt til at sideloade appen på min telefon. Efter flere forsøg på at finde ud af kodeordet ved hjælp af shell’en begyndte jeg at prøve forskellige kommercielle apps.
Efter at have prøvet en app kaldet NFC Tools uden held, gik jeg videre til NXP TagWriter. Jeg prøvede fem eller seks forskellige pin-kombinationer, men ingen af dem virkede. Jeg var ved at give op med denne app, da jeg besluttede mig for at prøve en sidste pin-kombination – og det virkede. Alt i alt tog det nok fem timer at læse tekniske dokumenter og prøve forskellige kombinationer af adgangskoder, NFC-apps og NFC-læsere for at få adgang til mit implantat igen.
Det er en mærkelig følelse at have adgang til chippen i min hånd for første gang, siden jeg fik den implanteret for over et år siden. Nu skal jeg bare beslutte, hvad jeg skal gemme på de ca. 900 bytes hukommelse, der er implanteret i min hånd. Måske vil jeg lægge en GIF-fil eller mine kontaktoplysninger ind, men en del af mig har lyst til at lade den være tom. Efter at have levet et år med et totalt ubrugeligt NFC-implantat er jeg begyndt at kunne lide det. Den lille, næsten umærkelige bule på min venstre hånd var en konstant påmindelse om, at selv de mest sofistikerede og idiotsikre teknologier ikke kan hamle op med den menneskelige inkompetence.