The Weakest Link is Motherboards derde jaarlijkse themaweek over de toekomst van hacken en cyberbeveiliging. Volg het hier.

Luister hier naar de nieuwe hacking-podcast van Motherboard, CYBER.

Het was vlak voor middernacht toen ik de impulsieve beslissing nam die me zou veranderen in ’s werelds meest nutteloze cyborg.

Mijn vriend en ik hadden net een gratis concert verlaten op de 25e jaarlijkse Def Con, ’s werelds grootste hackersconferentie, en zwierven door de zalen van het Las Vegas Caesars Hotel in een poging te beslissen wat we de rest van onze avond zouden doen. Toen kreeg ik de noodlottige sms van een vriend: “Biohacking Village sluit voor de nacht, er zijn nog een paar implantaten over.”

Ik had in het weekend een paar terloopse opmerkingen gemaakt over het feit dat ik een near-field communications (NFC) chip in mijn hand geïmplanteerd wilde krijgen, maar elke keer als ik naar de stand ging, was er een lange wachttijd geweest. Dit zou mijn laatste kans zijn om me te laten chippen op de conferentie, dus we besloten er langs te gaan op weg naar de uitgang van het hotel.

Toen ik bij het biohacking-dorp aankwam, was er nog maar één NFC-chip over. Het voelde als het lot, dus ik gaf $50 contant en nam plaats bij het piercingstation. Ik heb al een paar piercings gehad, dus het vooruitzicht om geprikt te worden stoorde me niet zo erg als het vooruitzicht om een passief elektronisch apparaat in mijn hand geïnjecteerd te krijgen in een conferentiezaal van een hotel.

Als ik één advies zou hebben voor iedereen die erover denkt om een NFC-chip te laten implanteren, dan zou het zijn om het nuchter te doen.

NFC-chips zijn vergelijkbaar met de RFID-chips (Radio Frequency ID) die worden gebruikt voor bijvoorbeeld personeelspassen of het volgen van goederen in winkels, behalve dat ze niet zo krachtig zijn (vandaar near-field) en communicatie in twee richtingen mogelijk maken. NFC-chips kunnen worden gebruikt om kleine hoeveelheden informatie op te slaan, zoals wachtwoorden, contactinformatie, een webadres of zelfs een foto.

Wanneer een NFC-chip binnen een paar centimeter van een NFC-lezer wordt gebracht (de meeste moderne smartphones hebben NFC), kunnen de gegevens op de chip naar de lezer worden overgebracht. De lezer genereert een zwakke elektrische stroom die een klein magnetisch veld creëert. Wanneer de NFC-chip zich binnen dat magnetische veld bevindt, gebruikt een kleine spoel in de chip de energie van de telefoon om zijn eigen veld te produceren, zodat de gegevens die op het apparaat zijn opgeslagen, naar de lezer kunnen worden overgebracht.

De NFC-chip die ik in mijn hand kreeg ingespoten, is gemaakt door Dangerous Things, een biohackingbedrijf dat is opgericht door Amal Graafstra en dat ook pionierswerk heeft verricht op het gebied van doe-het-zelf-biometrische wapens. Graafstra verkoopt deze chips sinds hij in 2014 30.000 dollar ophaalde in een crowdfundingcampagne. De chip zit in een glazen buisje van iets minder dan een halve centimeter lang en slechts twee millimeter in diameter. Dit buisje wordt geïnjecteerd in het zachte vlees tussen uw duim en wijsvinger, net boven de singel. Wanneer u uw hand in bepaalde posities houdt, kunt u nog net de omtrek van de chip tegen de huid zien drukken.

Het eigenlijke implantatieproces verliep probleemloos, maar daarna ging het snel bergafwaarts. Het probleem met NFC-chips is dat iedereen met een lezer ook naar het apparaat kan schrijven als het niet beveiligd is. Dat is niet echt een groot gevaar, want iemand moet de lezer binnen een paar centimeter van je hand krijgen om de chip te kunnen beschrijven, maar als je op ’s werelds grootste hackersconferentie bent, kun je maar beter op veilig spelen.

Dus, op aandringen van iedereen bij het implantatiestation, was het eerste wat ik met mijn implantaat deed, het beveiligen met een viercijferige pin. Ik had nog niet besloten wat voor gegevens ik op de chip wilde zetten, maar ik wilde zeker niet dat iemand anders eerst op mijn chip kon schrijven en me mogelijk zou buitensluiten. Ik koos dezelfde pincode die ik ook voor mijn telefoon gebruikte, zodat ik hem ’s ochtends niet zou vergeten – althans, dat dacht ik.

Lees meer: 72 uur Pwnage: A Paranoid Noob Goes to Def Con

Als ik één advies mocht geven aan iedereen die erover denkt om een NFC-chip te laten implanteren, dan zou ik zeggen: doe het nuchter. Om te beginnen zal de piercer je waarschijnlijk niet eens een implantaat geven als hij vermoedt dat je onder invloed bent, om redenen die te maken hebben met toestemming en veiligheid (alcohol verdunt je bloed, wat ook de reden is waarom je geen tatoeage moet laten zetten als je dronken bent). Maar nog belangrijker is dat je de volgende ochtend niet wakker wordt met barstende hoofdpijn en absoluut geen idee hebt hoe je je hand moet ontgrendelen.

Ik ben het grootste deel van mijn eerste dag als cyborg wanhopig bezig geweest met het doornemen van de verschillende pinmogelijkheden, waardoor ik de NFC-chip in mijn hand niet kon ontgrendelen en er geen gegevens op kon zetten. Ik probeerde alle voor de hand liggende kandidaten-0000, 1234, 6969-en de verschillende pins die ik gebruik voor andere delen van mijn leven. Ik heb NFC-lezers op verschillende telefoons geprobeerd, maar ook speciale NFC-apparaten. Ik heb veel te lang gelezen over de protocollen die worden gebruikt om de chip te beveiligen, maar de conclusie leek onontkoombaar: Ik had mezelf onherroepelijk bezeten.

Hoe IK DE TOEGANG TOT MIJN HAND HERHAL

Toen ik Def Con verliet, had ik mijn lot als totaal nutteloze cyborg aanvaard. Het is natuurlijk mogelijk om NFC-implantaten te verwijderen. Er komt een kleine operatie aan te pas en voor zover ik heb gelezen, is het niet zo’n groot probleem. Maar toen de hackingweek van dit jaar eraan kwam, leek het me een goede gelegenheid om nog één keer te proberen mijn hand te ontgrendelen. Dus postte ik op het forum van Dangerous Things in de hoop dat iemand anders soortgelijke problemen had ondervonden met hun NFC-chip.

Graafstra reageerde en zei dat het waarschijnlijk te maken had met het feit dat ik een NFC-app van derden had gebruikt om het wachtwoord in te stellen toen ik de chip voor het eerst kreeg. Dangerous Things raadt aan om zijn chipimplantaten te beveiligen met behulp van zijn eigen NFC-app. Daarna kan elke app van een derde partij worden gebruikt om de inhoud van het implantaat toe te voegen of te lezen. Het probleem is echter als je een van die apps gebruikt om het wachtwoord in te stellen.

Zonder in de technische details te treden waarom dit een probleem is, veranderen deze apps een specifiek deel van het beveiligingsmechanisme van de chip, zodat het alleen kan worden gewijzigd door diezelfde app. Met andere woorden, om mijn hand te ontgrendelen zou ik niet alleen het wachtwoord moeten onthouden, maar ook welke NFC-applicatie ik had gebruikt om het in te stellen.

Ik was niet helemaal zeker van het wachtwoord dat ik gebruikte om mijn hand te beveiligen, maar ik had een half dozijn leidende kandidaten, dus het was vooral een kwestie van uitzoeken welke app was gebruikt om de chip te beschermen. Ik begon met het gebruik van een app genaamd NFC Shell, waarmee gebruikers commando’s in hexadecimaal formaat rechtstreeks aan de NFC chip kunnen geven. De app was een paar maanden geleden om onbekende redenen uit de Google Play store verwijderd, dus moest ik de app sideloaden op mijn telefoon. Na verschillende pogingen om het wachtwoord te achterhalen met behulp van de shell, begon ik verschillende commerciële apps te proberen.

Nadat ik een app genaamd NFC Tools zonder geluk had geprobeerd, ging ik verder met NXP TagWriter. Ik probeerde vijf of zes verschillende pin-combinaties, waarvan geen enkele werkte. Ik stond op het punt om die app op te geven toen ik besloot om nog een laatste pincombinatie te proberen, en die werkte. Alles bij elkaar duurde het waarschijnlijk vijf uur van het lezen van technische documenten en het proberen van verschillende combinaties van wachtwoorden, NFC-apps en NFC-lezers om weer toegang tot mijn implantaat te krijgen.

Het is een vreemd gevoel om voor het eerst toegang te hebben tot de chip in mijn hand sinds ik hem meer dan een jaar geleden geïmplanteerd kreeg. Nu moet ik alleen nog beslissen wat ik op de 900 bytes geheugen in mijn hand ga zetten. Misschien zet ik er een GIF op of mijn contactinformatie, maar een deel van mij wil het leeg laten. Na een jaar te hebben geleefd met een totaal nutteloos NFC-implantaat, begon ik het eigenlijk wel leuk te vinden. Die kleine, bijna onmerkbare bult op mijn linkerhand was een constante herinnering dat zelfs de meest geavanceerde en onfeilbare technologieën niet opkunnen tegen menselijke incompetentie.