Trappola di cristallo: errori di cybersecurity al Nakatomi

Analizziamo il primo capitolo della serie di film Die Hard dal punto di vista della sicurezza informatica.

Durante le vacanze natalizie, a molte famiglie piace trascorrere del tempo insieme in casa guardando un film e, in molti casi, ogni volta decidono di vedere sempre lo stesso film, una sorta di tradizione natalizia o di fine anno. Alcuni amano le commedie natalizie, altri i film drammatici. Per quanto mi riguarda, uno dei miei film preferiti di Natale è Die Hard – Trappola di cristallo. Dopotutto, il 60% degli “incontri” di McClane con i terroristi hanno luogo la vigilia di Natale e sicuramente non sono l’unico ad associare questo classico del cinema d’azione con le vacanze natalizie.

È vero, la trama del film Die Hard – Vivere o morire si concentra molto sulla sicurezza informatica delle infrastrutture critiche (e ne parleremo a momento debito); tuttavia, a uno sguardo più attento noteremo la presenza di esempi di cybersecurity (positivi e non) anche nel primo capitolo di questa serie di film di successo.

Dopotutto, ricordiamoci che la Nakatomi Corporation si avvale delle tecnologie più avanzate dell’epoca, come un sistema centrale che si sincronizza con i server a Tokio, un caveau computerizzato e persino un terminale informativo touch-screen nella hall dell’edificio (stiamo parlando del lontano 1988).

La sicurezza fisica al Nakatomi Plaza

I problemi di sicurezza si fanno strada fin dall’inizio. John McClane, il nostro protagonista, entra nel grattacielo e, rivolgendosi alla guardia di sicurezza, dà solo il nome di sua moglie, che ha intenzione di andare a trovare; non rivela il suo nome, né mostra un documento di identità. Neanche il nome di sua moglie avrebbe dovuto aiutarlo a entrare: il loro matrimonio, infatti, è in crisi e sua moglie ha deciso di tornare a utilizzare il suo nome de nubile sul posto di lavoro.

Invece di mettergli i bastoni tra le ruote, la guardia, incurante, semplicemente lo invita a dirigersi presso il terminale delle informazioni e poi a prendere l’ascensore. Insomma, chiunque può entrare nell’edificio. E poi, andando avanti nel film, vediamo che nessun computer dell’edificio è protetto da password e tutti i dispositivi sono suscettibili ad attacchi evil-maid.

Accesso a sistemi di ingegneria

Non passa molto tempo prima che i criminali entrino nell’edificio, uccidano le guardie (ce ne sono solo due la vigilia di Natale) e prendano il controllo del grattacielo. Naturalmente, tutti i sistemi ingegneristici del Nakatomi Plaza sono controllati da un solo computer, che si trova nella stanza della security, proprio vicino all’entrata.

L’unico hacker tra i terroristi, Theo, preme un paio di tasti e, bam, gli ascensori e le scale mobili smettono di funzionare, bloccando anche il garage. Il computer è già accesso (anche se non c’è nessuno nella stanza) e non è attivo alcun tipo di protezione da accessi non autorizzati… nemmeno lo schermo è in stand-by! Un comportamento del genere da parte di un dipendente (che lavora nella sicurezza tra l’altro) è assolutamente inaccettabile.

La sicurezza della rete

Come prima cosa, i terroristi intimano il presidente di Nakatomi Trading di rivelare la password del sistema centrale. Takagi, pensando che i criminali siano alla ricerca di informazioni, offre qualche dato riguardo la condotta della compagnia per quanto concerne la sicurezza: dice loro che il giorno successivo, ora di Tokio, qualsiasi dato a cui avranno accesso sarà modificato, per evitare tentativi di ricatto. Da questa affermazione possiamo trarre due conclusioni:

  1. Il sistema informatico di Nakatomi a Tokio registra gli accessi (orario e a cosa si ha avuto accesso in concreto). Un sistema di sicurezza ben implementato (in ogni caso, è probabile che il signor Takagi stia bluffando);
  2. Takagi non sembra avere molta idea dei fusi orari. A Los Angeles è notte da poco (gli intrusi sono entrati nell’edificio all’imbrunire e, durante la conversazione che stiamo analizzando, possiamo vedere dalla finestra che è buio). Per cui, a Tokio saranno almeno le 10:30 di mattina.

La postazione di sicurezza del Nakatomi

I criminali spiegano che non sono proprio dei terroristi e che vogliono entrare nel caveau, a loro non interessa avere accesso a informazioni. Takagi si rifiuta di dare loro il codice e suggerisce ai malfattori di andare a Tokio e provare fortuna lì, dopodiché viene ucciso.

Omicidio a parte, l’aspetto più interessante è un altro. Se ci concentriamo sulla postazione di lavoro di Takagi, vedremo che il sistema operativo Nakatomi Socrates BSD 9.2 (che è chiaramente il finto discendente della Berkeley Software Distribution) richiede due tipi di password: Ultra-Gate Key e Daily Cypher.

Come suggeriscono I nomi, una password è fissa, l’altra viene cambiata ogni giorno. Ecco a voi un chiaro esempio di autenticazione a due fattori, con gli standard del 1988.

Accesso al caveau

Il caveau è protetto da 7 serrature. La prima è computerizzata, 5 sono meccaniche e l’ultima è elettromagnetica. Se crediamo alle parole dell’hacker Theo, avrà bisogno di mezz’ora per craccare il codice della prima serratura, e poi 2 ore o 2 ore e mezza per aprire quelle meccaniche. La settima si attiva automaticamente proprio in quest’ultima fase e i circuiti non possono essere tagliati sul posto.

Mettiamo da parte quest’ultimo aspetto che ci lascia alquanto perplessi (magari non abbiamo grandi nozioni di fisica ma l’elettricità di solito passa attraverso dei cavi, che possono sempre essere tagliati), e passiamo al successivo grande controsenso: se il sistema di sicurezza del caveau può inviare un segnale per attivare una serratura, perché non può avvisare la polizia che sta avendo luogo un tentativo di accesso non autorizzato? Perché non c’è almeno un allarme che suona? È vero, I criminali possono aver tagliato le linee telefoniche ma l’allarme anti incendio è in grado di avvisare il 911.

Anche ignorando tutto ciò, vale la pena soffermarsi sul modo in cui Theo riesce a craccare il codice. In modo inesplicabile, dal primo computer che prova a usare riesce ad accedere alla scheda personale di un capo non ben identificato del gruppo di investitori, e anche informazioni sul suo servizio militare. Ricordiamo che, nel 1988, non esisteva Internet e il mondo a cui siamo abituati, il che vuol dire che questi dati si trovano nella rete interna di Nakatomi e in una cartella condivisa.

In base alle informazioni nel file, questo militare senza nome ha prestato servizio nel 1940 sull’Akagi (una portaerei giapponese realmente esistita) e ha preso parte a diverse operazioni militari, tra cui l’attacco a Pear Harbor. Per quale motivo queste informazioni dovrebbero trovarsi su una rete aziendale, alla mercé di tutti? Tutto molto strano, soprattutto perché il nome della portaerei è un indizio per risalire alla password del caveau!

Il computer traduce prontamente il nome Akagi in inglese, Red Castle e, ovviamente, si tratta della password. Theo forse si è sforzato molto e ha avuto persino fortuna ma, anche se lasciamo correre, il tutto avviene troppo velocemente e non possiamo capire come l’hacker abbia potuto prevedere che ci avrebbe messo mezz’ora per portare a termine il suo compito.

E poi gli sceneggiatori devono essersi dimenticati della Daily Cypher, la password che cambia regolarmente che è, soprattutto, una seconda password. La serratura, infatti, si apre direttamente dopo la prima password.

Ingegneria sociale

Ogni tanto I criminali impiegano tecniche di ingegneria sociale per ingannare la sicurezza, i vigli del fuoco o la polizia. Dal punto di vista della cybersecurity, la chiamata al 911 cattura particolarmente la nostra attenzione. McClane usa l’allarme anti incendio ma gli intrusi a loro volta chiamano il servizio di emergenza, si fanno strada spacciandoci per la sicurezza e disattivano l’allarme.

Poco dopo, alcune informazioni sul Nakatomi Plaza (numeri di telefono e un codice che dovrebbe servire per disattivare l’allarme anti incendio) compaiono su uno schermo del 911. Se i criminali sono stati in grado di richiamare i pompieri, avranno pur preso quel codice da qualche parte. Le guardie di sicurezza sono già tutte morte, per cui il codice doveva essere stato scritto e conservato da qualche parte nelle vicinanze (a giudicare dalla veloce richiamata). Una cattiva abitudine, come tutti sappiamo.

Consigli pratici

Non fate entrare sconosciuti, nemmeno la vigilia di Natale, soprattutto se l’edificio è pieno di computer che contengono informazioni di grande valore;

Ricordate di tanto in tanto ai dipendenti di mettere in stand-by il proprio computer; meglio ancora, impostate il sistema affinché il computer si blocchi automaticamente passato un breve periodo di inattività. Inoltre, non sarebbe affatto male che i dipendenti prendessero parte a dei corsi di cybersecurity awareness, per comprendere i rischi e le condotte migliori in termini di sicurezza informatica:

  • Non condividete documenti che contengono password, né custoditeli in ubicazioni condivise;
  • Per l’accesso a dati importanti, utilizzate password create in modo casuale e difficili da indovinare;
  • Custodite le password (e i codici per disattivare gli allarmi) in modo sicuro, non su dei foglietti di carta.

P.S.

All’inizio avevamo intenzione di analizzare entrambi I film natalizi di questa serie; tuttavia, dopo aver riguardato Die Hard 2 (58 minuti per morire), siamo giunti alla conclusione che questo film si basa su un errore fondamentale nell’architettura dell’infrastruttura delle informazioni dell’aeroporto. I terroristi si infiltrano nei condotti sotto una chiesa nelle vicinanze e riescono a prendere il controllo di tutti i sistemi dell’aeroporto, torre di controllo compresa. Nel 1990, alcuni di questi sistemi potevano anche non essere informatizzati; purtroppo, non è possibile addentrarsi in questo argomento senza dare una spiegazione dettagliata del film, ma per questa volta possiamo soprassedere.

Consigli