Cybersecurity-fouten bij Nakatomi

We bekijken de eerste film in de Die Hard-reeks vanuit een cybersecurity-perspectief.

Veel gezinnen kijken tijdens de feestdagen gezamenlijk hun favoriete films, in veel gevallen elk jaar weer dezelfde, wat het tot een soort kerst- en nieuwjaarstraditie maakt. Sommige mensen zijn dol op kerstkomedies, anderen geven de voorkeur aan melodrama’s. Mijn favoriete kerstfilm is Die Hard. Want 60% van John McClane’s confrontaties met terroristen vindt immers op kerstavond plaats en ik ben echt niet de enige die actiefilms met de feestdagen associeert.

Natuurlijk, met Live Free or Die Hard (oftewel Die Hard 4.0) kregen we een verhaallijn waarin de focus echt lag op de cybersecurity van kritieke infrastructuur — en daar komen we zo op terug — maar als u beter kijkt, ziet u ook tal van voorbeelden van zowel goede als schandalig slechte cybersecurity in de eerste film.

Nakatomi Corporation gebruikt immers hypermoderne technologieën voor die tijd: een centrale computer die met in Tokio gebaseerde servers synchroniseert, een gecomputeriseerd slot op de kluis en zelfs een informatieterminal met touchscreen in de lobby (let wel, we hebben het hier over 1988).

Fysieke beveiliging bij Nakatomi Plaza

Beveiligingsproblemen zijn er eigenlijk al meteen vanaf het begin. John McClane, ons hoofdpersonage, gaat een gebouw in en richt zich tot de bewaker terwijl hij alleen de naam van zijn vrouw noemt die daar werk en die hij is komt bezoeken. Hij zegt nooit zijn eigen naam en laat geen enkel soort ID zien. Eigenlijk zou zelfs het noemen van de naam van zijn vrouw hem geen toegang moeten verlenen, want hun huwelijk is kapot en op haar werk is ze haar meisjesnaam weer gaan gebruiken.

In plaats van de indringer verder te bevragen, wijst de achteloze bewaker hem zomaar de weg naar de informatieterminal en vervolgens de liften. Dus eigenlijk kan iedereen zomaar het gebouw in. Bovendien zien we als de actie vordert herhaaldelijk computers die niet met een wachtwoord zijn beveiligd in het gebouw, allemaal open voor evil-maid-aanvallen.

Toegang tot technische systemen

Het duurt niet lang voordat de criminelen het gebouw binnenkomen, de bewakers doden (alleen de twee die er op kerstavond waren) en het gebouw overnemen. Alle technische systemen van Nakatomi Plaza worden natuurlijk vanaf één computer bediend, en die bevindt zich in de beveiligingskamer, vlak naast de ingang.

De enige hacker onder de terroristen, Theo, drukt op wat toetsen en boem, de liften en roltrappen werken niet meer en de garage is geblokkeerd. De computer staat al aan (hoewel de kamer leeg is) en heeft geen bescherming tegen ongeautoriseerde toegang — zelfs het scherm is niet vergrendeld! Het niet vergrendelen van een scherm (op de beveiligingsafdeling) is voor een bedrijfsmedewerker onvergeeflijk.

Netwerkbeveiliging

Het eerste dat de terroristen van de president van Nakatomi Trading eisen is het wachtwoord voor de centrale computer van het bedrijf. Takagi, die denkt dat de schurken op informatie uit zijn, komt met interessante informatie over de beveiligingspraktijken van zijn bedrijf: zodra het ochtend is in Tokio, zegt hij, zullen alle gegevens waar de aanvallers toegang tot krijgen veranderd zijn, waardoor chantagepogingen nutteloos zijn. We kunnen op basis van deze informatie twee conclusies trekken:

Nakatomi’s informatiesystemen in Tokio houden bij wie waar en wanneer toegang tot krijgt. Dat is een redelijk goed geïmplementeerd beveiligingssysteem. (Het is natuurlijk mogelijk dat Mr. Takagi bluft).

Takagi lijkt absoluut geen idee te hebben van tijdzones. In Los Angeles is de nacht net gevallen (de indringers komen bij schemering het gebouw binnen en tijdens het gesprek in kwestie zien we door de ramen dat het buiten donker is). Dat betekent dat is het op zijn minst 10.30 uur ’s ochtends is in Tokio.

Nakatomi’s workstation-beveiliging

De gangsters leggen uit dat ze niet echt terroristen zijn en dat ze geïnteresseerd zijn in de kluis, niet in informatie. Takagi weigert ze de code te geven, stelt voor dat de schurken naar Tokio vliegen om het daar eens te proberen en bekoopt dit met de dood.

Afgezien van de moord is het interessante gedeelte iets anders. Bij een close-up van Takagi’s workstation zien we dat het besturingssysteem, Nakatomi Socrates BSD 9.2 (duidelijke een fictieve afstammeling van Berkeley Software Distribution), twee wachtwoorden vereist: een Ultra-Gate Key en een Daily Cypher.

Zoals de namen al suggereren, is het ene wachtwoord statisch en verandert het ander dagelijks. Dat is een geweldig voorbeeld van tweestapsverificatie, in ieder geval voor de norm van 1988.

Toegang tot de kluis

De kluis is beveiligd met zeven sloten. Het eerste slot is gecomputeriseerd, vijf zijn mechanisch en het laatste slot is elektromagnetisch. Als hacker Theo geloofd moet worden, heeft hij een halfuur nodig om de code van het eerste slot te kraken, dan tweeënhalf uur om door de mechanische sloten te raken. Het zevende slot wordt vervolgens automatisch geactiveerd, en de circuits van dit slot kunnen niet lokaal worden doorgesneden.

Afgezien van die zeer dubieuze informatie (natuurkunde is misschien lang geleden voor me, maar elektriciteit komt normaal gesproken via bedrading, en die kan altijd doorgesneden worden), gaan we verder naar de volgende flagrante fout: als het beveiligingssysteem van de kluis een signaal kan sturen om een slot te activeren, waarom kan het de politie dan niet waarschuwen dat er een poging tot ongeautoriseerde toegang plaatsvindt? Of op zijn minst een geluidsalarm? Natuurlijk, de boosdoeners hebben de telefoonleidingen doorgesneden, maar het brandalarm kan wel een signaal naar 911 versturen.

Als we dit even negeren, is het interessant om te zien hoe Theo de code kraakt. Op de eerste computer die hij probeert krijgt hij op onverklaarbare wijze toegang tot het persoonlijke bestand van de (naamloze) voorzitter van de investeringsgroep, inclusief informatie over zijn militaire dienst. Onthoud dat het internet zoals we dat nu kennen in 1988 nog niet bestond, dus deze informatie stond waarschijnlijk opgeslagen in een gedeelde map op het interne netwerk van Nakatomi.

Volgens de informatie in het bestand, diende deze naamloze militair in 1940 aan boord van de Akagi (een echt Japans vliegdekschip) en nam hij deel aan verschillende militaire operaties, waaronder de aanval op Pearl Harbor. Waarom zou dit soort informatie publiekelijk op het bedrijfsnetwerk staan opgeslagen? Vreemd — zeker omdat het vliegdekschip ook als hint dient voor het wachtwoord van de kluis!

Dezelfde computer vertaalt Akagi naar het Engels als Red Castle, en je raadt het al: dat is het wachtwoord. Misschien had Theo echt zijn huiswerk gedaan en had hij daar nog wat geluk bij, maar zelfs als dat zo was, ging dit proces wel héél snel. Het is niet duidelijk hoe hij vooraf wist dat hij het klusje in een halfuur zou klaren.

Hier moeten de scriptschrijvers de Daily Cypher zijn vergeten, het tweede wachtwoord dat regelmatig verandert en dus een stuk interessanter is. Het slot gaat zonder dit wachtwoord open.

Social engineering

De criminelen gebruiken zo nu en dan social engineering-technieken bij de bewakers, de brandweer en de politie. Vanuit een cybersecurity-perspectief verdient het telefoontje naar 911 speciale aandacht. McClane triggert het brandalarm, maar de indringers bellen ter preventie zelf de brandweer, zeggen dat ze bewakers zijn en annuleren het alarm.

Iets later verschijnt er informatie over Nakatomi Plaza — telefoonnummers en een code die waarschijnlijk dient om het brandalarm te annuleren — op een 911-computerscherm. Als de aanvallers de brandweer rechtstreeks konden bellen, hadden ze die code ergens gezien. En de bewakers waren al dood, dus de code moest ergens genoteerd staan en zich in de buurt hebben bevonden (gezien de snelheid van het telefoontje). Dat is niet erg verstandig.

Praktische adviezen

  • Laat geen vreemden binnen, ook niet op kerstavond, en vooral niet als het gebouw vol computers met waardevolle informatie erop staat.
  • Herinner werknemers er regelmatig aan om hun schermen te vergrendelen. Of beter nog: stel systemen zo in dat ze na een korte periode automatisch vergrendeld worden. Deelnemen aan een cursus cybersecurity-bewustzijn is ook een uitstekend idee.
  • Deel geen documenten waar hints voor wachtwoorden instaan en sla deze ook niet op gedeelde locaties op.
  • Gebruik willekeurig gegenereerde, moeilijk te raden wachtwoorden voor toegang tot waardevolle informatie.
  • Sla wachtwoorden (en annuleringscodes voor alarmen) veilig op, niet op papieren briefjes.

Postscript

We zouden in eerste instantie naar beide kerstfilms in de reeks kijken, maar na het opnieuw bekijken van Die Hard 2, kwamen we tot de conclusie dat dat eigenlijk over een fundamentele fout in de architectuur van de informatie-infrastructuur van de luchthaven gaat. De terroristen graven de leidingen op die onder een nabijgelegen kerk lopen en nemen de controle over alle luchthavensystemen over, inclusief de verkeerstoren. In 1990 konden sommige van die systemen nog helemaal niet gecomputeriseerd zijn. Het is jammer genoeg niet mogelijk om dit tot op de bodem uit te zoeken zonder een gedetailleerde uitleg in de film zelf, maar iedereen heeft het in de film veel te druk met doodgaan om zo’n uitleg te kunnen geven.

Tips
Meld u aan om onze headlines in uw inbox te ontvangen
  • Voor alle andere landen