License to kill

Het aloude UNIX-insiders grapje gaat dat James
Bond zijn AT&T representative vraagt om een source
license to kill.  De Bond films staan bekend om de
onmogelijke verhalen, onmogelijke stunts en
onmogelijke technische snufjes.  Waar we via de
media kennis kunnen nemen van vergiftigingen met
radioactieve preparaten, zijn de schrijvers van de
007 serie heel wat creatiever.

De aandacht voor de Bond film Skyfall deed me
denken aan een wetenschappelijk stuk met naar mijn
mening zowel een hoog Bond gehalte als ook
pijnlijke werkelijkheidswaarde.  Het gaat om het
volgende.  In de medische hoek kunnen we steeds
meer, willen we steeds meer en doen we steeds
meer.  Een interne medicijnen pomp, geimplanteerde
defibrillatoren en natuurlijk de pacemaker zijn
allen voorbeelden van prachtige technologische
hoogstandjes waarbij de kwaliteit van leven
doordat je je vrijer kunt bewegen hoger is dan aan
een bed gekluisterd met allerlei apparatuur om je
heen.

Is de bloedsuiker te hoog, dan een beetje
bijpompen.  Slaat het hart op hol, dan wordt de
cardioloog automatisch gebeld.  Bij controle kan
de specialist een log uitdraaien.  Maar dat wil je
natuurlijk wel doen zonder extra ingreep.  Dus om
de conditie van de patienten te monitoren
communicieren die apparaten communiceren via radio
signalen.  Deze draadloze apparaatjes kun je dus
van een afstand bedienen.

Een aantal wetenschappers kwam op het idee om te
onderzoeken in hoeverre je privacygevoelige
gegevens kunt lichten uit dergelijke apparaten.
Wat bleek?  Een zogenaamde implantable
cardioverter defibrillator (ICD) kon men gewoon
afluisteren omdat de communicatie niet versleuteld
was.  Men voerde ook een reprogramming attack uit.
Daarmee kon men ervoor zorgen dat een ICD de hele
tijd bleef communiceren met een niet
geautenticeerd apparaat.  Als zo'n ICD maar blijft
communiceren, loopt de batterij versneld leeg en
dat kan gevaarlijke situaties opleveren voor de
patient.  Als dat te lang duurt of te weinig
zekerheid geeft over het resultaat dan is er een
alternatief:  ``the unauthorized radio transmitter
can also make the ICD issue a commanded electrical
shock''.  Met een loopje is het 007-scenario dan
zo gepiept.

Als we optimaliseren naar security dan zorg je dat
je alleen via erkende apparaten kunt communiceren,
of via een wachtwoord.  Dan kun je niet zomaar
schokken toedienen en wellicht die logs weggooien
zodat de perfecte moord ontstaat.

Aan de andere kant, een patient met een
implantaat, dus een cybernetic organism, ofwel
cyborg, is natuurlijk niet voor niets uitgevoerd
met al die elektronica.  Dus voor de veiligheid
zal er ook via die radio signalen spoedeisende
hulp moeten kunnen worden verleend.  Dus het is
wel goed dat andere, onbekende, apparaten toegang
kunnen krijgen tot de implantaten.

Het ICD voorbeeld legt mooi bloot dat integraal
ontwerpen van cruciaal belang is.  Alleen vanwege
het hoge James Bond gehalte kun je nog denken dat
dit een esoterische bezigheid is.  Daarom heb ik
bij de uitleg van safety/security aspecten voor
Tweede Kamerleden een heel simpel voorbeeld
gebruikt.  De automobiel.  Als een voertuig te
water raakt wil je dat de elektrische ramen
automatisch opengaan en niet door kortsluiting
dicht blijven. Maar tegelijkertijd wil je ook niet
dat door die voorziening de auto gevoeliger wordt
voor inbraak. Dat door water in een deur te gieten
het raampje vanzelf opengaat.

Ook hier bijten security en safety elkaar flink,
alleen is een veilige auto die je niet zomaar
steelt net iets dichterbij dan met een remote
control een hartpatient voorgoed ``afschakelen''.

Voor beide voorbeelden geldt dat security en
safety elkaar flink bijten en moet je alles uit de
kast trekken om hier met creatieve oplossingen te
komen.  Integraal ontwerpen heet dat.  Safety en
security worden dan in concert ontworpen uiteraard
tesamen met de andere o zo belangrijke aspecteisen
zoals betrouwbaarheid, beschikbaarheid, en meer.

Het zal duidelijk zijn dat dit soort ontwerp
uitdagingen meer en meer in onze samenleving
zullen binnendringen.  Zoals het nu gaat: een kat
en muis spel waarin het ene kamp misstanden aan de
kaak stelt terwijl het andere kamp zich er zo min
mogelijk van aantrekt.  Dat zal minder en minder
geaccepteerd worden.

Wie gaat nu eisen opleggen aan te bouwen
producten?  Hoe gaan we controleren of die eisen
gestand zijn gedaan?  Wie mag er nog aan dit soort
software en dito ontwerpen zitten?  Kortom, wie
verstrekt de license to kill?

X

Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in de AG.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.