The Mandalorian op het gebied van informatiebeveiliging

Lang, lang geleden, in een sterrenstelsel ver hier vandaan leed een Mandaloriaanse strijder onder cybersecurity-problemen, wat zowel de schuld was van anderen als van hemzelf.

Het Keizerrijk is verslagen (niet helemaal). De macht is in handen van de Nieuwe Republiek (ook niet helemaal). Het sterrenstelsel is hierdoor tot een western vol wapengekletter en cybercriminelen verworden. Wij beschrijven hoe het ervoor staat vanuit het oogpunt van informatiebeveiliging.

Privacy

Allereerst wat woorden over privacy. Nou ja, drie woorden: die bestaat niet. Premiejagers beschikken nu over een apparaat dat bekend staat als een tracking fob waarmee ze op hun quarries kunnen jagen. Hoewel dit apparaat in de ruimte niet lijkt te werken, laat het op een planeet duidelijk de weg naar het doelwit zien. De technologie achter dit apparaat is onbekend.

Zit er een zender in het doelwit ingebouwd? Die verklaring lijkt logisch als ontsnapte criminelen op die manier worden gevolgd. Maar het gilde aan premiejagers beperkt zich niet tot bekende criminelen. Maar wie heeft er een zender in een baby van Yoda’s ras kunnen implanteren, en wanneer? En waarom is er niemand op het idee gekomen om de zenders te verwijderen of op zijn minst te blokkeren? En als het niet om een zender gaat, hoe kan het tracking-apparaat het doelwit dan vinden? Met gebruik van een soort biologische handtekening? Hoe dan ook: als iemand een gadget kan maken om welk levend wezen dan ook te tracken, dan kan er geen sprake van privacy zijn.

Als u nog twijfelt of privacy verleden tijd is, denk dan aan de optische lens op het Mandaloriaanse geweer, waardoor infraroodstraling door muren kan worden gezien en ze zelfs gesprekken binnen het huis van mensen kunnen afluisteren (al zij het met ruis).

Razor Crest

Din Djarin, meestal eenvoudigweg aangeduid als The Mandalorian, reist op een tamelijk oud keizerlijk patrouille-wapenschip dat de Razor Crest wordt genoemd. Een aantal van de beveiligingsproblemen op het schip zijn zelfs voor het blote oog zichtbaar.

Ten eerste gebruikt de wapenkast een elektronisch slot, maar elke voorbijganger kan hem openen. Tot minstens tweemaal toe lukt het personages waarvan u normaal gesproken niet zou verwachten dat ze over geweldige hackersvaardigheden beschikken om het te openen door simpelweg een paar knoppen in te drukken. Het lijkt alsof ze de “oude intercommethode” hebben gebruikt om te zien welke knoppen zichtbaar versleten zijn om zo via een brute force-aanval achter het wachtwoord te komen. Dat betekent ook dat het wachtwoord zwak was en waarschijnlijk al jaren niet gewijzigd.

En dat is nog niet alles, want de computer aan boord slaat alle gegevens van holografische berichten op, zonder dat daarbij sprake is van enige speciale beveiliging. De droid Zero stuit op een van deze computers tijdens een oppervlakkige analyse van de systemen van het schip, en krijgt er toegang toe zonder dat hier enig hack-werk aan te pas komt.

Zowel de wapenkast als het communicatiesysteem bevinden zich natuurlijk aan boord. Het kan zijn dat hun lage beveiligingsniveau wordt gecompenseerd door de superbeveiliging van het schip zelf. Maar nee, The Mandalorian laat het schip altijd open achter en keert vervolgens terug om eenmaal binnen een hinderlaag te vinden. In andere woorden: in principe kan iedereen toegang verkrijgen tot de wapens en datalogs.

IG-11

De moord-droid IG-11, die tevens als premiejager actief is, beschikt over een interessante beschermingstechnologie: een mechanisme voor zelfvernietiging. In het geval van gevaar verklaart hij het volgende: “Fabrieksprotocol dicteert dat ik niet gevangen kan worden. Ik moet mezelf vernietigen,” waarna het aftellen begint.

Dat lijkt een geweldige functie, maar het werkt niet. Als de fabrikant dit nodig achtte, zou het logischer zijn geweest om hem van zijn besturingssysteem te scheiden. Om de droid te vangen hoef je immers alleen maar zijn elektronische brein te beschadigen (wat eigenlijk ook is wat er gebeurt: The Mandalorian schiet IG-11 in zijn hoofd en hij sluit simpelweg af, waarna Kuiil hem opnieuw programmeert). Het zelfvernietigingsmechanisme was een goed idee, maar de implementatie ervan was ronduit matig.

Een andere vraag is: hoe het mogelijk is dat zomaar iedereen de droid opnieuw kan programmeren? Maar IG-11 is in dit opzicht niet uniek. We stelden al vast dat Star Wars-droids, net als andere IoT-apparaten, uitgerust zouden moeten zijn met een veilig besturingssysteem dat op een enkele manier kan worden gewijzigd, behalve door de aangewezenen door de ontwikkelaars.

Het gevangenenschip van de Nieuwe Republiek.

In één aflevering meldt Din Djarin zich aan om een gevangene te redden die aan boord van een gevangenenschip wordt vervoerd. Het plan ziet er als volgt uit: de Razor Crest voert een reeks manoeuvres uit om het schip te naderen, blokkeert een soort waarschuwingscode, maskeert het signaal en legt vervolgens aan. Hierna gaat het team van boord, vindt het de controlekamer, komt het achter het celnummer, breekt in en bevrijdt het doelwit.

Laten we ervan uitgaan dat een soort unieke feature ervoor zorgt dat het oude schip van The Mandalorian zomaar onopgemerkt in de buurt kan komen van het rebellenschip. Laten we ervan uitgaan dat Zero weet hoe hij het signaal moet blokkeren en maskeren zodat het gevangenenschip het aanleggen van een vreemd object niet detecteert. Laten we ervan uitgaan dat hij echt in staat is om het beveiligingssysteem te penetreren (hoewel het hele idee van het maken van externe verbinding waanzin lijkt). En laten we er ook van uitgaan dat als gevolg hiervan de beveiligingssystemen geen alarm slaan als er in het externe luik wordt ingebroken, en dat als er wél alarm wordt geslagen vanwege een schermutseling met beveiligingsdroids, Zero de versterkingen naar een ander gedeelte van het schip kan sturen.

Maar als we uitgaan van al deze scenario’s, hoe is het in godsnaam mogelijk dat er een slot in een gevangeniscel zit dat van binnenuit kan worden geopend? En waarom is het mogelijk om dat te doen met gebruik van de arm van een beveiligingsdroid, zonder enige elektronische systemen? En boven al: waarom beschrijft Din Djarin dit vliegende gekkenhuis als “maximaal beveiligd transport”?! God mag weten hoe een minimaal beveiligd transport er dan uitziet.

Deze aflevering toont ook een tamelijk dubieus beveiligingsapparaat in de vorm van een aanvliegbaken, dat een patrouille-eenheid van Republikeinse sterrenjagers oproept. Oké, dus dan komen die. En dan? De vijand is al aan boord; gaan de Republikeinse jagers het schip zomaar opblazen samen met alle gevangenen? Of gaan de drie piloten aan boord en vechten ze het binnen uit? Het apparaat lijkt in ieder geval te werken.

Andere kleine details in de reeks zijn ook een ramp vanuit een informatiebeveiligingsperspectief. In de laatste aflevering communiceert The Mandalorian (zogezegd een ervaren strijder en premiejager) met Kuiil via een open kanaal, dat de stormtroopers afluisteren om vervolgens Kuiil te vangen. En vergeet de Star Wars-klassieker niet: elektronische sloten die opengaan als erop wordt geschoten.

Kortom: lang, lang geleden in een sterrenstelsel hier ver vandaan, was de cybersecurity heel, heel slecht.

Tips