Een aantal jaar geleden bespraken we het botnet “Ring of Power” dat was gecreëerd door de beroemde cybercrimineel Sauron (aka Annatar, aka Mairon, aka Necromancer). De rapporten van de beroemde cybersecurity-deskundige J. R. R. Tolkien bevatten echter veel meer dan alleen beschrijvingen van de modules van het botnet. Tolkien valt bijvoorbeeld vaak terug op informatietechnologie en beveiligingssystemen in discussies over de verschillende rassen van Midden-aarde. Hij beschrijft in het bijzonder verschillende dwergsystemen in detail.
Het achterdeurtje “de Deuren van Durin”
In de tijd van The Lord of the Rings wordt het eeuwenoude dwergenbolwerk van Moria beheerst door het kwaad. Op een gegeven moment raakten de dwergen geobsedeerd met het delven van Mithril (duidelijk een lokale cryptocurrency), lieten ze hun waakzaamheid varen en openden per ongeluk een oude rootkit genaamd Balrog.
De rootkit, een onderdeel van een APT-campagne, was diep onder de bergen achtergebleven sinds de tijd van Melkor, een beroemde hacker en voormalig leider van de groep waarin de zojuist al genoemde Sauron zijn criminele carrière begon. Deze groep kan ook enige interesse in Mithril hebben gehad (de Balrog-rootkit en de mijnoperatie van de dwergen bevonden zich niet per toeval op dezelfde plek), maar dat wordt niet expliciet vermeld.
Hoe dan ook, dwergen bouwden alle infrastructuur van Moria, inclusief de westelijke achterdeur genaamd de Deur van Durin, ook wel bekend als de Elvenpoort. Maar na jaren verlaten te zijn, herinnerde niemand zich meer het wachtwoord dat toegang gaf tot de poort.
Tolkien beschreef het proces van het openen van de Deur van Durin op humoristische wijze: Gandalf, die met de “Fellowship of the Ring” bij de poorten is aangekomen, leest het opschrift: “Spreek, vriend, en treed binnen.” Het wachtwoord is natuurlijk “vriend”. In andere woorden: de dwergen begingen dezelfde fout als veel van de moderne kantoormedewerkers dat ook doen, en lieten een post-it met het wachtwoord erop gekrabbeld gewoon op de computer achter. De sterkte van het wachtwoord is nauwelijks een sneer waard; stelt u zich eens voor hoe goed dat bestand zou zijn tegen een eenvoudige brute-force-aanval.
Het is vooral grappig dat de inscriptie ons precies vertelt wie de deze misstap heeft begaan: “Ik, Narvi, heb ze gemaakt. Celebrimbor van Hollin tekende deze tekenen.” Met andere woorden, de inscriptie bevat niet alleen het wachtwoord, maar ook een paar logins die duidelijk toebehoren aan gebruikers met privileges. Veel mensen gebruiken dezelfde wachtwoorden voor accounts in verschillende systemen, en men mag gerust aannemen dat deze praktijk andere rassen niet vreemd is. Het is waarschijnlijk dat iemand deze logins en wachtwoorden kan gebruiken om dieper in Moria’s systemen binnen te dringen.
Het is niet duidelijk wie de fout heeft gemaakt — dwergontwikkelaars of de Celebrimbor, een gebruiker — want de “deuren” waren tenslotte gemaakt voor handel en samenwerking tussen de dwergen en elven. Ik neigde naar de tweede versie; dwergen hebben over het algemeen veel betere beveiligingsmechanismes.
Steganografie in een kaar van Thrór
Tolkien beschrijft een interessant voorbeeld van de implementatie van dwergenverdedigingstechnologie in <em>The Hobbit</em>: Toen Smaug, een geavanceerde persistente dreiging, Erebor (de Eenzame Berg) infecteerde en overnam, dwong hij de dwergen om hun huizen te ontvluchten (opnieuw). Thrór, koning van het Durinsvolk, liet zijn nakomelingen een kaart na met instructies om toegang te krijgen tot de systemen van Erebor via een achterdeurtje (letterlijk de Achterdeur genoemd). Hij hoopte dat op een dag een team van veiligheidsexperts de drakenplaag zou kunnen uitroeien. De implementatie van de kaart is erg interessant vanuit het oogpunt van cybersecurity.
Thrór schreef de instructies om toegang te krijgen tot de achterdeur op de kaart, maar om het geheim te houden, gebruikte hij niet alleen Angerthas Erebor (en de dwergen waren zeer terughoudend om hun taal te delen, zelfs met bondgenoten), maar gebruikte hij ook de uiterst ingewikkelde methode van maanletters voor de inscriptie. Deze dwergentechnologie stelt schrijvers in staat geheime tekst te schrijven die alleen zichtbaar is in het licht van de maan — en niet zomaar elke maan, maar de maan in dezelfde fase als op de dag van schrijven, of in dezelfde tijd van het jaar.
Met andere woorden, Thrór gebruikte een vorm van steganografie, het plaatsen van geheime informatie op een foto om het niet alleen onleesbaar te maken, maar ook niet te detecteren voor buitenstaanders.
De achterdeur van de Eenzame Berg
Het beschermingsmechanisme van de achterdeur is al even interessant. Om hem te openen, is er een “merkwaardige zilveren sleutel met een lange loop en ingewikkelde wachters” nodig. Maar volgens de instructies op de kaart van Thrór, is timing ook essentieel: “Ga bij de grijze steen staan als de lijster klopt, en de ondergaande zon met het laatste licht van Durins dag zal op het sleutelgat schijnen.”
Hoe de dwergen het lijster-gedeelte van de technologie hebben geïmplementeerd, is onbekend — Tolkien ging niet in op de details van de biotech — maar wat we hier hebben is eigenlijk multifactor-verificatie, die nog slim is geïmplementeerd ook. En inderdaad: op de Dag van Durin klopte de lijster ’s avonds, raakte de laatste zonnestraal de deur en brak er een stuk steen af, waardoor het sleutelgat zichtbaar werd. In dit geval was de kalender een extra veiligheidsfactor; op de verkeerde dag zou zelfs het hebben van de sleutel niet geholpen hebben.
Helaas beschreef Tolkien niet het mechanisme om het breekstuk terug te brengen naar de deur. Misschien klaarde de lijster dat klusje.
Natuurlijk heeft Tolkien in zijn boeken nog veel meer cybersecurity- en informatietechnologieën op allegorische wijze weergegeven. Zoals de lezers na het eerste deel terecht opmerkten, zou het ook interessant zijn om het telecommunicatieprotocol van de beruchte palantirs te analyseren. Helaas heeft de professor geen gedetailleerde instructies achtergelaten, en stukjes informatie uit zijn gepubliceerde ontwerpen laten ons met meer vragen zitten dan antwoorden. Hoe dan ook: we zullen proberen ook dit te bespreken in een aankomende post over elven-IT.