verità
Esistono diverse concezioni errate che ostacolano l’adozione generale delle buone pratiche di sicurezza informatica. Primo mito: gli hacker sono molto, troppo intelligenti, quindi è inutile combatterli, un mito reso particolarmente popolare dal film Hackers, uscito esattamente un quarto di secolo fa. Il film ha dato vita a una serie di cliché ancora oggi utilizzati dall’industria cinematografica.
Infatti, gli eroi disadattati del film e il loro avversario, La Piaga, esperto di sicurezza informatica alla Ellingson Mineral, sono ritratti come geek davvero intelligenti in grado di trovare e sfruttare le vulnerabilità di qualsiasi sistema informatico.
Ad esempio, il personaggio principale è ugualmente a suo agio ad entrare di nascosto in un database scolastico come nella rete di un operatore via cavo. Phantom Phreak effettua chiamate per il Venezuela dalle cabine telefoniche senza pagare un centesimo. Anche Joey, il più giovane e hacker meno esperto del gruppo, riesce ad accedere al supercomputer The Gibson della Ellingson Mineral. Sembra tutto abbastanza impressionante (per il 1995), ma diamo un’occhiata più da vicino alle imprese di questo gruppo di hacker.
Hackeraggio di un’emittente televisiva
Il protagonista, Dade (ossia Crash Override), irrompe nella rete di un’emittente televisiva per sostituire un programma noioso con qualcosa di più accattivante. Lo fa chiamando la guardia notturna, fingendosi un impiegato della contabilità che ha bisogno di accedere al suo computer e chiedendo alla guardia di leggere il numero di telefono sul modem.
Da un lato, è ingegneria sociale di base. Dall’altro, è una follia da parte dell’azienda, e non parlo nemmeno della sfortuna della guardia. Perché il computer del contabile è sulla stessa rete che controlla la trasmissione? Perché ha un modem in costante attesa di una chiamata in arrivo? Perché il numero di telefono è scritto sul modem?
Mentre questa intrusione è in corso, si scopre che un altro hacker è già all’interno della rete aziendale: Kate, alias Acid Burn. Come ci è arrivata? Beh, l’azienda probabilmente ha altri computer con modem vulnerabili.
Hackeraggio di “The Gibson”
Joey, hacker alle prime armi, riesce a entrare nel supercomputer The Gibson. Vale a dire, si connette da casa attraverso un modem utilizzando la password dell’account super sicuro del capo PR (ovvero dio), nonostante ogni personaggio (incluso il suddetto responsabile PR e La Piaga, che è responsabile della sicurezza dell’azienda) sappia che le password più comuni nella realtà di questo film sono amore, segreto, sesso e dio. Inoltre, il responsabile PR ha i diritti di superuser per qualche inspiegabile ragione. Tutto sommato, il “grande” successo degli hacker non è tanto l’ingegno quanto l’inettitudine delle aziende.
I sotterfugi di La Piaga
La trama del film ruota attorno all’astuto progetto dell’hacker La Piaga, che lavora alla Ellingson Mineral. Ha scritto un malware per prendere qualche centesimo da ogni transazione aziendale e trasferisce il ricavato su un conto segreto alle Bahamas. Questa sarebbe potuta essere una trama originale se un simile piano non fosse stato messo in atto 12 anni prima nel film Superman III. Per qualche ragione, tutti descrivono il malware come un worm, anche se il film non dice nulla sulla sua distribuzione e replica.
Sulla base di queste informazioni, possiamo davvero considerare La Piaga un genio della criminalità informatica? Difficilmente. Dirige la sicurezza delle informazioni in un’azienda dove nessuno, a parte lui, ha la minima idea di cosa sia la sicurezza informatica. Ed è in combutta con il capo del dipartimento PR, che gli dà carta bianca? Si tratta di un attacco interno; il problema non è tanto la mancanza di sicurezza informatica quanto la politica delle assunzioni in azienda.
Il virus Da Vinci
Quando Joey scarica per sbaglio una parte del “worm”, La Piaga lancia un virus chiamato Da Vinci (anche in questo caso, non è chiaro se si tratta effettivamente di un virus o se agli autori piaceva solo il suono di ciò che nel 1995 era un nuovo termine per la maggior parte dei cinefili). Il malware si impadronisce del controllo remoto delle petroliere della compagnia con il potenziale obiettivo di capovolgerle pompando acqua nelle cisterne di zavorra. In realtà, però, il “virus” è una falsa pista.
La Piaga lo usa semplicemente per (a) distogliere l’attenzione dal “worm” che ruba i soldi, (b) accusare Joey e i suoi amici di aver hackerato l’azienda e alla fine incolparli del “worm”, e (c) consegnare i falsi colpevoli ai Servizi Segreti, entrare nel computer di Joey e scoprire quali informazioni sono trapelate, e ovviamente anche guadagnare tempo per far sì che il malware sottragga ancora più denaro.
In realtà, un tale “virus” era troppo futuristico per quel periodo. Tanto per cominciare, l’idea stessa di una flotta in alto mare che nel 1995 fosse permanentemente collegata ai sistemi di navigazione della società di gestione è folle. In primo luogo, Internet non serve per la navigazione, non serviva ai tempi né serve oggi: il sistema GPS era già pienamente operativo e disponibile per i civili.
In secondo luogo, una nave che a metà degli anni ’90 fosse costantemente collegata a Internet era in contrasto con la realtà dei tempi. Il trasferimento dei dati via satellite non esisteva e avrebbero dovuto utilizzare una connessione costante, e dai costi proibitivi, via modem su una linea voce.
Inoltre, nel film le petroliere (che potrebbero essere classificate come infrastrutture critiche) non hanno sistemi manuali di backup per il controllo dell’acqua di zavorra. Il processo è completamente computerizzato. Del resto, un computer è perfettamente in grado di smettere di funzionare anche senza un malware. In breve, perché il virus Da Vinci funzioni, qualcuno avrebbe dovuto porre delle basi lunghe e laboriose per sabotare la nave mercantile, fin dalla fase di progettazione della nave stessa.
Prepararsi alla resa dei conti
I protagonisti decidono di fermare il vile Da Vinci e di ottenere il codice completo del “worm” per scoprire dove viene trasferito il denaro rubato. I loro preparativi non sono affatto accurati. E il film comincia a deragliare.
L’hacker Cereal Killer si spaccia per un impiegato della compagnia telefonica, si infiltra nell’edificio dei servizi segreti americani e piazza una cimice (perché nessuno degli impiegati, presumibilmente professionisti, non si insospettisca a veder girare un adolescente con i pantaloni a vita bassa è un mistero, così come la sua punizione di stare alla larga da qualsiasi schermo di un computer).
Dade e Kate setacciano la spazzatura di Ellingson Mineral e rubano dei documenti. Questa parte è credibile, ancora oggi non tutte le aziende controllano come e dove viene gettata la spazzatura.
Ma uno sguardo ai documenti cestinati fornisce con facilità 50 password che possono essere utilizzate per penetrare nei sistemi aziendali. Più che una fuga di dati è proprio una voragine.
La battaglia finale per The Gibson
I protagonisti chiedono aiuto alla comunità degli hacker e insieme bombardano il supercomputer di virus. A questo punto, il film ha perso qualsiasi collegamento con la realtà. Purtroppo non sappiamo nulla dell’architettura dei sistemi informatici di Ellingson Mineral, e quindi non riusciamo a capire come una folla di cybercriminali possa connettersi contemporaneamente a The Gibson, caricare un assortimento di virus e scaricare il “worm”.
Non è nemmeno chiaro se abbiano agito via Internet o se in qualche modo si siano collegati direttamente ai modem interni dell’azienda. In ogni caso, La Piaga individua in qualche modo la fonte degli attacchi.
A questo punto si sente la curiosa frase “Virus multipli GPI e FSI”. GPI sta per General Purpose Infectors, un nome ormai obsoleto per i virus che possono essere incorporati in qualsiasi file eseguibile. Gli FSI, o File Specific Infectors, sono virus che prendono di mira file di un certo formato. In altre parole, la frase significa fondamentalmente che il team di sicurezza può vedere molti virus.
Chiamate internazionali
Per tutto il film, l’hacker noto come Phantom Phreak utilizza gratuitamente i telefoni pubblici. La tecnica, che sembra la meno plausibile nel 2020, è in realtà la più credibile. A quei tempi, il phreaking, l’irruzione nei sistemi telefonici, era una parte fondamentale della cultura hacker, da cui il nome di Phantom Phreak.
Per effettuare chiamate gratuite, usa un dispositivo che genera toni per simulare l’inserimento di monete nel telefono, uno stratagemma noto come red boxing. Funzionava davvero, e le istruzioni erano ampiamente diffuse nelle comunità di hacker anche nell’era pre-Internet. Pensando che le monete fossero state inserite, i telefoni segnalavano al sistema quanti minuti di chiamata concedere al phreaker.
Nel 1995, il red boxing era già sulla via del tramonto. Le compagnie telefoniche, consapevoli della vulnerabilità, erano impegnate nell’implementazione di tecnologie di protezione come filtri di frequenza, duplicazione su canali digitali e modi per verificare fisicamente il numero di monete inserite. Ma il red boxing era ancora una realtà al momento dell’uscita del film.
Dispositivi
Di particolare interesse sono le apparecchiature utilizzate dagli hacker. Kate, che proviene da una famiglia benestante, lavora su un portatile P6, che lei dice essere “tre volte più veloce di un Pentium”. Questo è un riferimento al Pentium Pro, il primo dei microprocessori x86 Intel di sesta generazione. A quei tempi era davvero il chip più potente del mondo ed era stato lanciato sul mercato, come il film, nel 1995. Inoltre, il modem di Kate era in grado di navigare a una velocità di 28.800 kbps, una delle migliori per quell’epoca.
Tuttavia, un esame più attento rivela che quando si connette attraverso le cabine telefoniche pubbliche, i protagonisti usano quello che sembra un accoppiatore acustico, che converte i segnali acustici in digitali. Si trattava di un apparecchio estremamente inaffidabile che supportava solo 1.200 kbps, e nel 1995 era già irrimediabilmente obsoleto. Insomma, una bella impresa.
Pura fantasia
Ci sono anche altri momenti del film dove l’immaginazione la fa da padrona. Tra le altre cose, gli hacker danno la caccia a un agente del governo e si trovano a dover:
- bloccare la sua carta di credito;
- aggiunger alla sua fedina penale violazioni fasulle al codice della strada;
- dichiararlo morto nel database dei Servizi Segreti.
Non è chiaro come riescano a fare tutto questo ma, ancora una volta, è più una prova dell’incompetenza della banca, della polizia e dei servizi segreti che dell’ingegnosità degli hacker. L’unico trucco convincente degli hacker è quello di pubblicare un annuncio volgare su un sito di incontri. Ma questo non richiede abilità da hacker, solo un particolare senso dell’umorismo.
E il finale non sarebbe completo senza il caos scatenato dai nostri antieroi quando hackerano i semafori della città. Un classico.
Conclusioni
Anche gli hacker sullo schermo non hanno capacità sovrumane: si limitano a sfruttare gli errori e la stupidità degli altri. E la maggior parte dei cybercriminali della vita reale è ancora meno esperta, non stiamo parlando di geni del male. La nostra piattaforma di formazione Kaspersky Automated Security Awareness aiuta a chiarire questo e molti altri malintesi, insegnando ai dipendenti a evitare errori evidenti.
Consigli