How I Lost and Regained Control of My Microchip Implant
The Weakest Link este cea de-a treia săptămână tematică anuală a Motherboard dedicată viitorului hacking-ului și securității cibernetice. Urmăriți aici.
Ascultați noul podcast de hacking al Motherboard, CYBER, aici.
Era puțin înainte de miezul nopții când am luat decizia impulsivă care mă va transforma în cel mai inutil cyborg din lume.
Amicul meu și cu mine tocmai plecasem de la un concert gratuit de la cea de-a 25-a ediție anuală Def Con, cea mai mare conferință de hackeri din lume, și hoinăream pe holurile Hotelului Caesars din Las Vegas încercând să ne hotărâm ce să facem cu restul nopții. Apoi am primit fatidicul mesaj text de la un prieten: „Satul Biohacking se închide pentru noapte, au mai rămas câteva implanturi.”
Făcusem câteva remarci ocazionale în timpul weekend-ului despre dorința de a-mi fi implantat un cip de comunicare în câmp apropiat (NFC) în mână, dar de fiecare dată când mă duceam să vizitez standul era o așteptare lungă. Aceasta ar fi fost ultima mea șansă de a mi se implanta un cip la conferință, așa că am decis să trecem pe acolo la ieșirea din hotel.
În momentul în care am ajuns la satul de biohacking, mai rămăsese doar un singur cip NFC. M-am simțit ca și cum ar fi fost soarta, așa că am dat 50 de dolari cash și am luat loc la stația de piercing. Mi-am mai făcut câteva piercing-uri înainte, așa că perspectiva de a fi înțepat nu m-a deranjat la fel de mult ca și perspectiva de a mi se injecta un dispozitiv electronic pasiv în mână într-o sală de conferințe de hotel.
Dacă aș avea un singur sfat pentru oricine se gândește să își facă un implant de cip NFC, ar fi să o facă treaz.
Autorul pe cale să își facă un implant NFC la Def Con în 2017. Imagine: Daniel Oberhaus
Cipsurile NFC sunt similare cu cipurile de identificare prin radiofrecvență (RFID) folosite pentru lucruri precum insignele angajaților sau pentru urmărirea mărfurilor în magazine, cu excepția faptului că nu sunt la fel de puternice (de aici și denumirea de câmp apropiat) și permit o comunicare bidirecțională. Cipurile NFC pot fi folosite pentru a stoca cantități mici de informații, cum ar fi parole, informații de contact, o adresă web sau chiar o fotografie.
Când un cip NFC este adus la câțiva centimetri de un cititor NFC (majoritatea smartphone-urilor moderne sunt dotate cu capacitate NFC), datele de pe cip pot fi transferate către cititor. Modul în care funcționează acest lucru este că cititorul generează un curent electric slab care creează un mic câmp magnetic. Atunci când cipul NFC se află în acest câmp magnetic, o mică bobină din cip folosește energia de la telefon pentru a produce propriul câmp, astfel încât datele stocate pe dispozitiv să poată fi transferate către cititor.
Cipul NFC pe care mi l-am injectat în mână a fost realizat de Dangerous Things, o companie de biohacking înființată de Amal Graafstra, care a fost, de asemenea, un pionier al armelor biometrice DIY. Graafstra vinde aceste cipuri de când a strâns 30.000 de dolari într-o campanie de crowdfunding în 2014. Cipul este învelit într-un mic tub de sticlă care are o lungime de puțin sub o jumătate de centimetru și un diametru de doar doi milimetri. Acest tub este injectat în carnea moale dintre degetul mare și arătător, chiar deasupra chingii. Când vă țineți mâna în anumite poziții, conturul cipului abia poate fi văzut împingând împotriva pielii.
O versiune timpurie a cipului xNT NFC implantat în mâna mea. Imagine: Dangerous Things/Vimeo
Procesul propriu-zis de obținere a implantului a decurs fără probleme, dar lucrurile au degenerat rapid după aceea. Chestia cu cipurile NFC este că oricine are un cititor poate, de asemenea, să scrie pe dispozitiv dacă acesta nu este protejat. Deși acest lucru nu este chiar o amenințare uriașă la adresa securității, având în vedere că cineva ar trebui să ajungă cu cititorul la câțiva centimetri de mâna ta pentru a scrie pe cip, atunci când te afli la cea mai mare conferință de hackeri din lume este mai bine să joci în siguranță.
Așa că, la îndemnul tuturor celor de la stația de implant, primul lucru pe care l-am făcut cu implantul meu a fost să-l securizez cu un pin din patru cifre. Nu mă hotărâsem încă ce fel de date voiam să pun pe cip, dar cu siguranță nu voiam ca altcineva să scrie primul pe cipul meu și, eventual, să mă blocheze. Am ales același cod PIN pe care îl foloseam pentru telefon, astfel încât să nu-l uit dimineața – sau cel puțin, așa credeam eu.
Citește mai mult: 72 de ore de Pwnage: A Paranoid Noob Goes to Def Con
Dacă aș avea un singur sfat pentru oricine se gândește să își facă un implant de cip NFC, acesta ar fi să o facă treaz. Pentru început, piercerul probabil că nici măcar nu-ți va face implantul dacă suspectează că ești în stare de ebrietate, din motive care implică consimțământul și siguranța (alcoolul îți subțiază sângele, acesta fiind și motivul pentru care nu ar trebui să-ți faci un tatuaj în stare de ebrietate). Dar, mai important, nu vă veți trezi a doua zi dimineața cu o durere de cap și fără să știți cum să vă deblocați mâna.
O captură de ecran a NFC Shell, o aplicație Android pe care a trebuit să o încarc lateral pentru a trimite comenzi către implantul meu NFC. Aici introduc diferite combinații de parole în cod hexazecimal (de exemplu, 303030303030 = „0000”). Shell-ul care returnează „NAK” înseamnă că combinațiile sunt incorecte.
Am petrecut cea mai mare parte din prima mea zi ca cyborg parcurgând cu disperare diferitele posibilități de pin care mă împiedicau să deblochez cipul NFC din mână și să adaug date în el. Am încercat toți candidații evidenți-0000, 1234, 6969 și diversele pin-uri pe care le folosesc pentru alte părți ale vieții mele. Am încercat cititoare NFC pe diverse telefoane, precum și dispozitive NFC dedicate. Am petrecut mult prea mult timp citind despre protocoalele utilizate pentru a securiza cipul, dar concluzia părea inevitabilă: Mă însușisem irevocabil.
CUM AM RECUPERAT ACCESUL LA MÂNA MEA
Până când am plecat de la Def Con, îmi acceptasem soarta de cyborg total inutil. Este posibil să îndepărtezi implanturile NFC, bineînțeles. Procesul implică o intervenție chirurgicală minoră și, din câte am citit, nu este chiar atât de mare lucru. Totuși, când a venit săptămâna hacking-ului din acest an, mi s-a părut o bună ocazie să încerc să-mi deblochez mâna pentru ultima oară. Așa că am postat pe forumul Dangerous Things (Lucruri periculoase) în speranța că altcineva a mai avut probleme similare cu cipul NFC.
Graafstra a răspuns și a spus că probabil are legătură cu faptul că am folosit o aplicație NFC de la o terță parte pentru a seta parola atunci când am primit prima dată cipul. Dangerous Things recomandă securizarea implanturilor sale cu cip folosind propria aplicație NFC. După aceea, orice aplicație terță parte poate fi folosită pentru a adăuga sau citi conținutul implantului. Problema, însă, este dacă folosești una dintre aceste aplicații pentru a seta parola în primul rând.
Fără a intra în detaliile tehnice ale motivelor pentru care aceasta este o problemă, aceste aplicații modifică o anumită parte a mecanismului de securitate al cipului, astfel încât aceasta să poată fi modificată doar de aceeași aplicație. Cu alte cuvinte, pentru a-mi debloca mâna ar trebui să-mi amintesc nu numai parola, ci și ce aplicație NFC am folosit pentru a o seta.
Nu eram pe deplin sigur de parola pe care am folosit-o pentru a-mi securiza mâna, dar aveam o jumătate de duzină de candidați principali, așa că a fost în mare parte o chestiune de a afla ce aplicație a fost folosită pentru a proteja cipul. Am început prin a folosi o aplicație numită NFC Shell, care permite utilizatorilor să emită comenzi în format hexazecimal direct către cipul NFC. Aplicația fusese eliminată din magazinul Google Play cu câteva luni înainte din motive necunoscute, așa că a trebuit să o încarc în mod secundar pe telefon. După mai multe încercări de a încerca să aflu parola folosind shell-ul, am început să încerc diverse aplicații comerciale.
După ce am încercat fără succes o aplicație numită NFC Tools, am trecut la NXP TagWriter. Am încercat cinci sau șase combinații diferite de pin-uri, dintre care niciuna nu a funcționat. Eram pe punctul de a renunța la această aplicație când am decis să încerc o ultimă combinație de pin – și a funcționat. În total, probabil că a fost nevoie de cinci ore de citit documente tehnice și de încercat diferite combinații de parole, aplicații NFC și cititoare NFC pentru a redobândi accesul la implantul meu.
Este un sentiment ciudat să am acces la cipul din mâna mea pentru prima dată de când mi l-am implantat în urmă cu peste un an. Acum tot ce trebuie să fac este să decid ce să stochez pe cei aproximativ 900 de octeți de memorie implantați în mâna mea. Poate că voi pune un GIF sau datele mele de contact, dar o parte din mine vrea să îl las gol. După un an în care am trăit cu un implant NFC total inutil, a început să-mi placă. Acea mică umflătură aproape imperceptibilă de pe mâna mea stângă mi-a reamintit constant că nici măcar cele mai sofisticate și infailibile tehnologii nu se potrivesc cu incompetența umană.
.