The Weakest Link on Motherboardin kolmas, vuosittainen teemaviikko, joka on omistettu hakkeroinnin ja kyberturvallisuuden tulevaisuudelle. Seuraa mukana täällä .

Kuuntele Motherboardin uutta hakkerointipodcastia, CYBERiä, täällä.

Oli juuri ennen puoltayötä, kun tein impulsiivisen päätöksen, joka muuttaisi minut maailman hyödyttömimmäksi kyborgiksi.

Olimme ystäväni kanssa juuri lähteneet ilmaiskonsertista 25. vuotuisessa Def Conissa, maailman suurimmassa hakkerikonferenssissa, ja vaeltelimme Las Vegasin Caesars-hotellin käytävillä yrittäen päättää, mitä tekisimme loppuillasta. Sitten sain kohtalokkaan tekstiviestin ystävältäni: ”Biohacking village sulkeutuu yöksi, muutama implantti on vielä jäljellä.”

Olin tehnyt viikonlopun aikana muutaman satunnaisen huomautuksen siitä, että halusin saada käteeni implantoitua lähikenttäkommunikaatiosirun (Near Field Communications, NFC), mutta joka kerta, kun menin käymään kojulla, odotusaika oli ollut pitkä. Tämä olisi viimeinen tilaisuuteni saada siru konferenssin aikana, joten päätimme piipahtaa siellä matkalla ulos hotellista.

Kun saavuin biohakkerikylään, siellä oli jäljellä vain yksi NFC-siru. Se tuntui kohtalolta, joten haarukoin 50 dollaria käteistä ja istahdin lävistysasemalle. Olen ottanut muutaman lävistyksen aiemminkin, joten piikittelyn mahdollisuus ei häirinnyt minua yhtä paljon kuin mahdollisuus saada passiivinen elektroninen laite ruiskutettua käteeni hotellin kokoushuoneessa.

Jos minulla olisi yksi ainoa neuvo kenelle tahansa, joka miettii NFC-siru-implantin ottamista, se olisi se, että se kannattaa tehdä selvin päin.

>Kirjoittaja saamassa itselleen NFC-kiipin implantin Def Conissa vuonna 2017. Kuva: Daniel Oberhaus

NFC-sirut ovat samankaltaisia kuin radiotaajuustunnistussirut (Radio Frequency ID, RFID), joita käytetään esimerkiksi työntekijöiden virkamerkkeihin tai tavaroiden seurantaan kaupoissa, paitsi että ne eivät ole aivan yhtä tehokkaita (siksi lähikenttäsirut) ja mahdollistavat kaksisuuntaisen viestinnän. NFC-siruja voidaan käyttää pienten tietomäärien, kuten salasanojen, yhteystietojen, verkko-osoitteen tai jopa valokuvan tallentamiseen.

Kun NFC-siru tuodaan muutaman senttimetrin päähän NFC-lukijasta (useimmissa nykyaikaisissa älypuhelimissa on NFC-ominaisuus), sirun tiedot voidaan siirtää lukijalle. Tämä toimii siten, että lukija tuottaa heikon sähkövirran, joka luo pienen magneettikentän. Kun NFC-siru on tämän magneettikentän sisällä, sirussa oleva pieni kela käyttää puhelimesta tulevaa energiaa tuottaakseen oman kenttänsä, jotta laitteeseen tallennetut tiedot voidaan siirtää lukijalle.

mainos

NFC-sirun, jonka sain ruiskutettua käteeni, teki Dangerous Things, Amal Graafstran perustama biohakkerointiyritys, joka on myös ollut edelläkävijä DIY-biometristen aseiden kehittäjänä. Graafstra on myynyt näitä siruja siitä lähtien, kun hän keräsi 30 000 dollaria joukkorahoituskampanjassa vuonna 2014. Siru on koteloitu pieneen lasiputkeen, jonka pituus on hieman alle puoli tuumaa ja halkaisija vain kaksi millimetriä. Tämä putki ruiskutetaan pehmeään lihaan peukalon ja etusormen väliin, juuri verkkokalvon yläpuolelle. Kun pidät kättäsi tietyissä asennoissa, sirun ääriviivat näkyvät juuri ja juuri painautumassa ihoa vasten.

Käteeni istutetun xNT NFC-sirun varhainen versio. Kuva: Dangerous Things/Vimeo

Varsinainen implantin saaminen sujui ongelmitta, mutta sen jälkeen asiat kehittyivät nopeasti. NFC-siruissa on se, että kuka tahansa, jolla on lukulaite, voi myös kirjoittaa laitteeseen, jos sitä ei ole suojattu. Vaikka tämä ei varsinaisesti ole valtava turvallisuusuhka, kun otetaan huomioon, että jonkun pitäisi saada lukulaite useiden senttimetrien päähän kädestäsi kirjoittaakseen sirulle, kun olet maailman suurimmassa hakkerikonferenssissa, on parempi pelata varman päälle.

Kaikkien implanttiasemalla olleiden kehotuksesta tein implantilleni ensimmäisenä toimenpiteenä sen suojaamisen nelinumeroisella pin-koodilla. En ollut vielä päättänyt, millaisia tietoja halusin laittaa sirulle, mutta en missään nimessä halunnut, että joku muu kirjoittaisi ensin sirulleni ja mahdollisesti lukitsisi minut ulos. Valitsin saman pinin, jota käytin puhelimessani, jotta en unohtaisi sitä aamulla – tai ainakin luulin niin.

Lue lisää: 72 Hours of Pwnage: A Paranoid Noob Goes to Def Con

Jos minulla olisi yksi neuvo kaikille, jotka harkitsevat NFC-siru-implantin hankkimista, se olisi tehdä se selvin päin. Ensinnäkin lävistäjä ei luultavasti edes anna implanttia, jos epäilee sinun olevan päihtynyt suostumukseen ja turvallisuuteen liittyvistä syistä (alkoholi ohentaa verta, minkä takia ei myöskään pitäisi ottaa tatuointia humalassa). Vielä tärkeämpää on kuitenkin se, ettet herää seuraavana aamuna päänsärkyisenä etkä tiedä yhtään, miten avata kätesi lukitus.

Kuvakaappaus NFC Shellistä, Android-sovelluksesta, jonka jouduin lataamaan sivulatauksena, jotta voin lähettää komentoja NFC-implanttiini. Tässä syötän erilaisia salasanayhdistelmiä heksadesimaalikoodina (esim. 30303030 = ”0000”). Kuori palauttaa ”NAK”, mikä tarkoittaa, että yhdistelmät ovat virheellisiä.

Vietin suurimman osan ensimmäisestä päivästä kyborgina käyden epätoivoisesti läpi erilaisia pin-vaihtoehtoja, joiden vuoksi minun oli mahdotonta avata kädessäni olevan NFC-sirun lukitusta ja lisätä siihen tietoja. Kokeilin kaikkia ilmiselviä ehdokkaita – 0000, 1234, 6969 – ja erilaisia pinnejä, joita käytän muissa elämäni osissa. Kokeilin NFC-lukijoita eri puhelimissa sekä erityisiä NFC-laitteita. Vietin aivan liian kauan lukiessani sirun suojaamiseen käytetyistä protokollista, mutta johtopäätös tuntui väistämättömältä: Olin peruuttamattomasti omistanut itseni.

Miten sain käteni takaisin

Kun lähdin Def Conilta, olin hyväksynyt kohtaloni täysin hyödyttömänä kyborgina. NFC-implantit on toki mahdollista poistaa. Prosessi sisältää pienen leikkauksen, ja lukemani perusteella se ei todellakaan ole kovin suuri juttu. Kun tämänvuotinen hakkeriviikko kuitenkin koitti, se tuntui hyvältä tilaisuudelta yrittää avata käteni lukitus vielä kerran. Niinpä kirjoitin viestiä Dangerous Things -foorumille siinä toivossa, että joku muu olisi kokenut samanlaisia ongelmia NFC-sirunsa kanssa.

Graafstra vastasi ja sanoi, että se johtui todennäköisesti siitä, että olin käyttänyt kolmannen osapuolen NFC-sovellusta salasanan asettamiseen, kun sain sirun ensimmäisen kerran. Dangerous Things suosittelee siruimplanttiensa suojaamista omalla NFC-sovelluksella. Sen jälkeen mitä tahansa kolmannen osapuolen sovellusta voidaan käyttää implantin sisällön lisäämiseen tai lukemiseen. Ongelmana on kuitenkin se, jos käytät jotakin näistä sovelluksista salasanan asettamiseen alun perin.

Menemättä teknisiin yksityiskohtiin siitä, miksi tämä on ongelma, nämä sovellukset muuttavat tiettyä osaa sirun turvamekanismista niin, että sitä voi muuttaa vain sama sovellus. Toisin sanoen, avatakseni käteni lukituksen minun olisi muistettava salasanan lisäksi myös se, mitä NFC-sovellusta olin käyttänyt sen asettamiseen.

En ollut täysin varma salasanasta, jota käytin käteni suojaamiseen, mutta minulla oli puoli tusinaa johtavaa ehdokasta, joten kyse oli lähinnä sen selvittämisestä, mitä sovellusta oli käytetty sirun suojaamiseen. Aloitin käyttämällä NFC Shell -nimistä sovellusta, jonka avulla käyttäjät voivat antaa komentoja heksadesimaalimuodossa suoraan NFC-sirulle. Sovellus oli poistettu Google Play -kaupasta muutamaa kuukautta aiemmin tuntemattomista syistä, joten minun oli ladattava sovellus puhelimeeni. Kun olin yrittänyt useita kertoja selvittää salasanaa kuoren avulla, aloin kokeilla erilaisia kaupallisia sovelluksia.

Kokeiltuani NFC Tools -nimistä sovellusta tuloksetta, siirryin NXP TagWriteriin. Kokeilin viittä tai kuutta eri pin-yhdistelmää, joista yksikään ei toiminut. Olin jo luovuttamassa tämän sovelluksen kanssa, kun päätin kokeilla vielä yhtä viimeistä pin-kombinaatiota – ja se toimi. Kaiken kaikkiaan teknisten asiakirjojen lukemiseen ja erilaisten salasanojen, NFC-sovellusten ja NFC-lukijoiden yhdistelmien kokeilemiseen kului luultavasti viisi tuntia, ennen kuin sain takaisin pääsyn implanttiini.

On outo tunne päästä käsiksi kädessäni olevaan siruun ensimmäistä kertaa sen jälkeen, kun se implantoitiin yli vuosi sitten. Nyt minun on vain päätettävä, mitä tallennan käteeni istutettuun noin 900 tavun muistiin. Ehkä laitan sinne GIF-kuvan tai yhteystietoni, mutta osa minusta haluaa jättää sen tyhjäksi. Kun olin vuoden verran elänyt täysin hyödyttömän NFC-implantin kanssa, aloin tavallaan pitää siitä. Tuo pieni, lähes huomaamaton kuoppa vasemmassa kädessäni oli jatkuva muistutus siitä, että kehittyneimmätkään ja typerimmät teknologiat eivät pärjää ihmisen epäpätevyydelle.