Johnny Mnemonic in termini di cybersecurity

Il futuro che William Gibson immagina nel racconto che ha ispirato Johnny Mnemonic del 1995 incarna essenzialmente il cyberpunk: tagliente, pericoloso, estremamente avanzato, altamente tecnico. Poiché il film è ambientato all’inizio del 2021, abbiamo deciso di analizzare la versione cinematografica dal punto di vista della sicurezza informatica, confrontando il 2021 immaginario con il nostro, quello che stiamo vivendo.

L’ambientazione del film

Il film si svolge in un mondo piuttosto cupo, controllato da grandi corporation e afflitto da una pericolosa pandemia nota come sindrome da Attenuazione del Sistema Nervoso (NAS). La causa della malattia, nelle parole di uno dei personaggi, è il “sovraccarico di informazioni che riempie l’etere di veleni”.

Grandi corporation, pandemie, teorie di cospirazione sul lancio di nuove tecnologie. Vi ricorda qualcosa? Beh, è solo parzialmente così: in questo 2021 cinematografico, microchip contenenti gigabyte di informazioni possono essere impiantati nel cervello umano. Nella realtà, nonostante i migliori sforzi di Elon Musk, non siamo ancora arrivati a questo punto. Non ci preoccuperemo di sfatare la classica rappresentazione cinematografica degli anni ’80 e ’90 di un Internet equiparabile a uno stravagante universo in realtà virtuale. Non è così che funziona, almeno nel 2021.

Pharmakom Industries

Secondo la trama del film, una cura per la NAS esiste davvero, ma la grande casa farmaceutica la nasconde perché curare i sintomi è molto più redditizio che sbarazzarsi della malattia. Alcuni impiegati della Pharmakom non sono d’accordo e non solo rubano informazioni mediche ma distruggono anche i dati dell’azienda.

Questo rivela una serie di grandi falle nel sistema di sicurezza di Pharmakom:

• I permessi di accesso ai dati dei loro scienziati sono troppo generosi. Certo, chi sviluppa i farmaci ha bisogno di accedere alle informazioni operative e anche per scrivere sul server. Ma perché dare loro il permesso di cancellare per sempre delle informazioni classificate?
• Pharmakom non ha un backup dei dati (almeno, nulla offline). Questo significa che gran parte del resto della trama, che coinvolge il folle inseguimento del “corriere mnemonico” (ne parleremo più avanti) si basa sul fatto che la casa farmaceutica  ha bisogno di rimpossessarsi dei dati. Con un backup, Pharmakom avrebbe potuto semplicemente ripristinare i dati, eliminando la fuga di informazioni e il corriere. Invece, la trama prevedeva che l’azienda cercasse di aprirgli la testa senza danneggiare l’impianto all’interno.

Vale anche la pena di ricordare che la rete di Pharmakom contiene una copia digitale della coscienza del fondatore della società. L’IA non solo possiede libero arbitrio e accesso a tutto Internet, ma tende anche a non essere d’accordo con il modo in cui la corporation si sta trasformando in qualcosa di mostruoso.

I Lo-Tek

Un gruppo noto come Lo-Tek rappresenta la resistenza. Nella storia originale, i Lo-Tek erano anti-tecnologici ma nell’adattamento cinematografico sembrano abbastanza aggiornati.  Con loro vive Jones, un delfino cyborg le cui abilità di hacker lo aiutano a estrarre informazioni preziose, che i Lo-Tek poi trasmettono usando un segnale TV dirottato. Al centro del rifugio del gruppo c’è una montagna di rifiuti con cavi e vecchi televisori a tubo catodico.

Nonostante le stranezze del gruppo in onda, nessuno presta molta attenzione ai Lo-Tek (né provano a localizzarli) finché non entrano in contatto con Johnny.

Comunicazioni online

A metà del film, Johnny cerca di contattare un conoscente. È allora che ci rendiamo conto che gli esperti di Pharmakom, che lavorano con la Yakuza, stanno rintracciando i suoi contatti regolari: la privacy di questo 2021 cinematografico è ancora più flebile di quella della nostra realtà.

Si potrebbe pensare che un cybercriminale contrabbandiere possa gestire l’anonimato online, invece no, tutti conoscono i contatti di Johnny, e gli esperti di infosecurity lo individuano immediatamente (anche se si collega online da un computer completamente nuovo, rubato e con una specie di modulo stealth) e risalgono alla sua posizione.

Lungo la strada, Pharmakom attiva un “virus” per interferire nelle comunicazioni di Johnny. Come avviene di solito nei film, la terminologia è piuttosto libera, il virus sembra più una sorta di tool per un attacco DoS e non un vero e proprio virus.

Corriere mnemonico

Finalmente arriviamo al tema principale del film, che è collegato direttamente alla sicurezza informatica, tenendo in considerazione la professione del personaggio del titolo. Come corriere mnemonico, la testa di Johnny è letteralmente un dispositivo di archiviazione dati. I corrieri vengono utilizzati per il contrabbando di informazioni di grande valore che non possono essere affidate a Internet. Gli scienziati ribelli scelgono Johnny per trasmettere i dati medici che hanno rubato dalla Pharmakom a un team di medici a Newark.

Come funziona l’impianto

La tecnologia qui è incomprensibile: i dati vengono memorizzati direttamente nel cervello e, per fare spazio, Johnny ha dovuto sacrificare la maggior parte dei suoi ricordi dell’infanzia. La capacità nominale è di 80 GB, espandibile a 160 GB collegandosi brevemente a un dispositivo esterno, ma in realtà è possibile caricare il doppio, aumentando la capacità fino a 320 GB. Ciò risulta davvero complicato, provocando al corriere convulsioni e fuoriuscita di sangue dal naso, e anche le informazioni possono risultare danneggiate.

Nel film, l’impianto non è difficile da rilevare. Per esempio, quando si attraversa un confine, le persone passano per uno scanner e il dispositivo appare nelle scansioni. Ma si tratta di un’analisi comunque piuttosto superficiale: il sistema scambia l’impianto cerebrale per un dispositivo per contrastare la dislessia. Non è chiaro perché il dispositivo non susciti sospetti tra le guardie di frontiera.

Protezione dei dati

Il metodo di protezione dei dati è davvero originale. Durante il caricamento, il client scatta tre screenshot a caso dalla TV. Le immagini si “dissolvono nei dati” e servono come “chiave di download”. Senza di esse, è impossibile non solo scaricare i dati, ma anche cancellarli, quindi gli stessi screenshot devono essere inviati al destinatario. A quanto pare, quindi, questo stratagemma ha a che fare con la cifratura dei dati, ma è anche un meccanismo di accesso all’impianto.

Non appena caricano i dati, gli scienziati vengono attaccati da agenti della Yakuza che lavorano per Pharmakom. Una schermata della chiave viene distrutta nel successivo scontro a fuoco, Johnny ne tiene una e l’altra ce l’ha chi ha perpetrato l’attacco.

L’invio della chiave

La “chiave” viene inviata via fax. Non è così strambo come sembra; anche se nel nostro 2021 si tratta di una tecnologia ormai superata, l’invio della chiave via fax ha un certo senso perché si serve della rete telefonica che, in teoria può essere più sicura di Internet. Sfortunatamente, il fax tende a degradare la qualità dell’immagine. Inoltre, nel film, tutti gli apparecchi fax sono disponibili su Internet, quindi non è che cambi molto.

Dopo essere fuggito dalla Yakuza, Johnny cerca di recuperare gli screenshot mancanti. Trova il fax d’origine e i suoi log nei sistemi informatici di un hotel, la cui password viene craccata al terzo tentativo; la password non doveva essere molto robusta. Questo, va detto, combacia perfettamente con il nostro 2021: per molti hotel, la sicurezza è solo un buttafuori alla porta. In ogni caso, Johnny riesce a ottenere l’indirizzo del fax destinatario.

La connessione al fax non richiede autenticazione. Inoltre, collegandosi a distanza, chiunque può leggere i dati dal buffer, rendendo così questo canale di comunicazione totalmente inadatto all’invio di dati confidenziali.

Estrarre i dati senza la chiave

La situazione sembra senza speranza. Senza la chiave, Johnny non può né scaricare né cancellare i dati dalla sua testa, e con la capacità massima consentita superata due volte, morirà in poco tempo e la cura per la pandemia andrà perduta.

Ma aspettate, di fatto ci sono molti modi per estrarre informazioni senza la chiave (che portano a conseguenze di varia gravità):

• La Yakuza cerca di aprire la testa di Johnny per portarla a un “rilevatore di interferenze quantistiche” ed estrarre i dati;
• Un medico specializzato in impianti ha dei “codici di decifrazione” che, con un po’ di fortuna, dovrebbero permettere il recupero dei dati. Non funziona in questo caso, ma tutto sembra suggerire che a volte può essere la soluzione, il che solleva un sacco di domande sull’affidabilità dell’algoritmo di decifrazione;
• Poi, lo stesso medico propone di estrarre chirurgicamente i dati e l’impianto, anche se questo comporta un rischio considerevole per la vita del paziente (per non parlare dei problemi di salute garantiti);
• Essendo stato addestrato dalla Marina degli Stati Uniti ad ad hackerare a distanza i sottomarini nemici, il delfino cyborg Jones potrebbe provare questa tecnica su Johnny;
• Un agente della Yakuza menziona che, anche dopo il download e la cancellazione, i “sensori mnemonici” possono ancora recuperare tracce residue dei dati.

Riassumendo

L’uso di corrieri mnemonici non è una buona soluzione. Il sistema sembra servirsi della cifratura simmetrica (non importa quanto sia complessa la chiave, deve comunque essere trasferita al destinatario), il trasferimento della chiave avviene su canali non protetti e la capacità di sovraccarico dell’impianto viola tutte le norme di sicurezza, mettendo in pericolo sia la salute del corriere, sia l’integrità dei dati. Ma la principale debolezza del metodo è che lascia spazio a una serie di modi per ottenere i dati senza la chiave.

Inoltre, con solo due degli screenshot Johnny, con l’aiuto della sua spalla acquatica, entra nel suo stesso cervello ed estrae la terza schermata. Ciò significa che la chiave è memorizzata assieme alle informazioni cifrate, una pratica davvero poco sicura.

Nel 2021 reale, sarebbe facile inviare i dati sul web usando un algoritmo di cifratura asimmetrica affidabile. Anche se un trasferimento di dati non potrebbe passare inosservato, la strategia garantirebbe la consegna al destinatario, e poi 320 GB non sarebbe un volume così grande di dati per i nostri standard attuali.

Cosa è davvero avvenuto e cosa no?

Il 2021 reale non è così cupo come i registi avevano immaginato, o almeno per certi aspetti. La sicurezza informatica ha fatto molta strada. Quindi, cosa potrebbe realmente accadere di quanto abbiamo descritto?

• Nel 2021 reale, diversi terabyte di informazioni riservate, compresi i dati sui vaccini, sono oggetto frequente di fughe di dati. Perciò, la fuga di dati di Pharmakom è molto plausibile e possibile;
• Anche gli attacchi interni e i sabotaggi non sono affatto insoliti. Un recente incidente di cui abbiamo parlato, ad esempio, riguardava anche il sistema sanitario;
• L’intelligenza artificiale, con una propria coscienza e che vive  online, non esiste ancora (per quanto ne sappiamo);
• Un delfino cyborg con capacità di hacking è un po’ inverosimile. Contrariamente a molte previsioni fantascientifiche, i delfini non hanno ancora imparato a percepire le informazioni umane e a usare l’elettronica;
• L’intrusione nel segnale di trasmissione, d’altra parte, è reale. Ma di solito avviene in piccolo e chi lo fa viene rapidamente individuato;
• L’identificazione di una persona online sulla base di una connessione a un certo indirizzo è possibile, ma richiede un ampio lavoro di fondo;
• Un attacco DoS al collegamento tra due client di rete esiste ma non avviene con un virus, si disattiva il canale di comunicazione;
• Impiantare un chip nel cervello di una persona non è ancora una realtà. Gli esperimenti attuali si concentrano sulla creazione di un’interfaccia neurale per la comunicazione con un computer, non sulla memorizzazione dei dati;
• Ecco la grande differenza: trasferire dati pompando informazioni direttamente nel cervello di un corriere umano non solo non è realistico ma non ha senso. Grazie alla cifratura, possiamo trasmetterei dati su Internet in modo facile e sicuro.