The Italian Job in termini di cybersicurezza

Una scena piuttosto comune nei film: i protagonisti, o i loro avversari, prendono il controllo del sistema di gestione dei trasporti di una città. L’obiettivo dei personaggi è quello di creare un ingorgo che ostacoli gli inseguitori o una via di fuga per sé stessi. Hackers, Die Hard – vivere o morire e Taxi sono solo degli esempi di questa tecnica di hacking in versione cinematografica. Una scena inizialmente originale ma che si è trasformata poco a poco in un cliché hollywoodiano.

Molto probabilmente tutto è iniziato con il film britannico del 1969, Un colpo all’italiana (titolo originale, The Italian Job). Non sorprende, data l’epoca, che sia stato l’unico incidente informatico del film. Tuttavia, la trama del sabotaggio del traffico ha generato molte imitazioni, anche in due remake del film originale, uno di Hollywood (The Italian Job, 2003) e uno di Bollywood (Players, 2012).

Nei remake, la scena del semaforo rimane centrale. Così, confrontando le tre versioni, possiamo tracciare l’evoluzione degli atteggiamenti dei cineasti e degli spettatori nei confronti degli hacker delle infrastrutture critiche.

The Italian Job (Un colpo all’italiana, 1969), versione inglese

La Torino del futuro è rappresentata fondamentalmente come una smart city dell’epoca. Nel film, un supercomputer controlla ogni semaforo da un unico centro, dove vengono raccolti anche i dati delle telecamere del traffico. La mente dietro la rapina, che muore prematuramente, lascia in eredità al protagonista Charlie Croker un piano dettagliato per un furto audace, insieme a un malware per il supercomputer e a un gadget inspiegabile che può disattivare le telecamere.

L’origine del programma è sconosciuta; qualcuno probabilmente si è impossessato del codice sorgente originale e lo ha modificato con l’intenzione di seminare il caos. Naturalmente, nel 1969 non solo non c’era Internet, ma anche le reti locali non erano state implementate correttamente.  L’unico modo per installare il malware sul computer consiste nell’intrufolarsi nell’edificio e scambiare manualmente il nastro magnetico nell’unità. Ciò richiede la presenza del professor Peach, presumibilmente il miglior esperto di computer del paese.

Per entrare nel centro di controllo del traffico e cambiare il programma, il computer deve essere fermato. Croker assume la missione, lanciando la sua bicicletta in una sottostazione elettrica, provocando il blackout che non solo colpisce il centro di controllo del traffico, ma anche la maggior parte della città (facendo sprofondare nel buio una sontuosa festa mafiosa).

Ora Peach entra in gioco, togliendo la bobina dal disco e caricandone un’altra. Senza corrente, in ogni caso, non è che si possa fare altro. Per farla breve, hanno preso un esperto di computer solo per svolgere un compito da assistente di laboratorio. Nel caso vi foste persi questo dettaglio, il genio della tecnologia è interpretato da quel simpaticone di Benny Hill.

La fase successiva del piano è quella di mettere fuori uso le telecamere. Per distogliere l’attenzione dal centro di controllo del traffico e far passare inosservata la rapina, i criminali collocano dei dispositivi (probabilmente dei disturbatori ma non vengono rivelati i dettagli) sui bidoni della spazzatura e sui tetti in prossimità delle telecamere. Le telecamere del traffico a quei tempi non potevano trasmettere segnali wireless, ma i misteriosi dispositivi riescono a disabilitare le telecamere.

Risultato: va tutto liscio come l’olio. Le telecamere si spengono, i semafori iniziano a lampeggiare, le strade della città sono paralizzate e Peach viene arrestato per comportamento indecente sui mezzi pubblici (meglio non chiedere perché).

Versione inglese in pillole

Cybersicurezza

• Il film mostra un atteggiamento piuttosto sprezzante nei confronti della sicurezza fisica delle infrastrutture critiche. Sia la sottostazione elettrica, sia il centro di controllo del traffico sono praticamente incustoditi. I cybercriminali raggiungono il drive senza problemi e sostituiscono il nastro con successo;
• Il computer accetta il programma di sostituzione senza problemi. Questo è in realtà giustificabile: la firma del codice è stata inventata solo molto più tardi.

Percezione

• L’hacking informatico è percepito come qualcosa di molto complesso. Per ingannare il computer, il gruppo dedica molte energie per reclutare il miglior esperto di computer del paese (solo per fargli cambiare una bobina);
• Non c’è alcun tentativo di spiegare il lato tecnico dell’operazione e così i dispositivi della scatola nera disattivano miracolosamente le telecamere.

The Italian Job (2003), versione americana

La versione hollywoodiana, a nostro avviso, non può essere considerata un remake diretto del film britannico. Certo, i personaggi hanno lo stesso obiettivo (rubare dei lingotti d’oro), e la scena dell’inseguimento è praticamente una copia dell’originale, ma le motivazioni sono molto diverse. Psicologia e morale a parte, i rapinatori devono comunque armeggiare con le telecamere e i semafori. Tuttavia, i criminali non devono cercare uno specialista, hanno già un genio del computer nella squadra: Lyle, il cui lavoro quotidiano prevede la creazione di modelli in 3D degli edifici per la pianificazione e il coordinamento delle rapine. La trasformazione digitale è ormai un dato di fatto: nel 2003, avere uno specialista informatico nel team è considerato abbastanza normale.

Inoltre, la versione americana del film richiede un po’ più di hacking. In primo luogo, i criminali cercano di infiltrarsi nel sistema di monitoraggio remoto di una compagnia telefonica, per convincere i dipendenti che si tratta di un’operazione di intercettazione legale e, infine, per reindirizzare le conversazioni verso il proprio posto di ascolto. Lyle ha esperienza da questo punto di vista, avendo passato anni a origliare le conversazioni della sua ex.

Tuttavia, il sistema di hackeraggio è rimasto invariato. Entrare nel Centro Operativo Automatico di Sorveglianza e Controllo del Traffico di Los Angeles nel 2003 è molto più facile che entrare nel sistema di Torino nel 1969, il centro è collegato a Internet e ha persino un’interfaccia grafica utente (GUI). Lyle si siede al suo portatile e cerca di ottenere la password, manualmente. Inserisce una password dopo l’altra senza successo, finché finalmente sullo schermo appaiono le parole magiche: “accesso consentito”.

Il centro operativo prevede il flusso del traffico e cambia automaticamente i semafori in base alle riprese delle telecamere. Ma ha anche una modalità manuale, e Lyle la usa per prendere il controllo dei semafori. A titolo dimostrativo, cambia in verde tutti i semafori di un incrocio, causando un incidente. Ma poi riaccende rapidamente i semafori, e il centro sminuisce l’incidente come un guasto.

Il piano della squadra è quello di creare un’ondata di semafori verdi che permetta loro di accelerare mentre bloccano il resto di Los Angeles. Il giorno della rapina, un Lyle un po’ stordito si siede su un nastro trasportatore di bagagli alla Union Station armato di portatile e router, monitorando la situazione delle strade, cambiando le luci di segnalazione (non solo sulla strada, ma anche nella metropolitana), e paralizzando il centro di controllo con la visualizzazione del messaggio “Non chiuderete mai il vero Napster” su ogni schermo (come elemento comico della trama, Lyle sostiene di aver inventato la rete peer-to-peer di Napster e che Shawn Fanning gli abbia rubato l’idea. A Lyle piace chiamarsi Napster. A dire il vero, assomiglia allo stereotipo del mago del computer).

Grazie all’operazione ben coordinata, l’oro viene rubato, tutti scappano, e il vile cattivo cade nelle mani della mafia ucraina.

Versione americana in pillole

Cybersicurezza

• Se la password per l’accesso remoto a un sistema può essere indovinata manualmente, si tratta di una password non sicura;
• L’infrastruttura critica deve utilizzare una connessione Internet sicura e non dovrebbe essere gestita attraverso un’interfaccia grafica sul web. E dovrebbe venire da sé che il personale non dovrebbe fissare lo sguardo su uno stupido messaggio invece di cercare di fare qualcosa. Anche i finti italiani di 34 anni prima erano più svegli!

Percezione

• Nel 2003, l’hacking è un fenomeno comune, quindi per portare a termine la rapina non basta disabilitare qualche semaforo. In questo “remake – non remake”, penetrare nel centro di controllo del traffico è un’operazione standard che si fa strada naturalmente durante la fase di pianificazione;
• Lyle/Napster spiega sempre cosa sta facendo e come. Quello che dice è una sciocchezza, naturalmente, ma il punto è che i cineasti volevano dare una parvenza di realismo agli eventi sullo schermo.

Players (2012), The Italian job versione indiana

I registi indiani hanno cercato di prendere le parti migliori di entrambe le versioni di The Italian Job e di aggiungere il glamour di Bollywood, tra cui le corse, il canto, il ballo, la morale elevata e, naturalmente, l’hacking. La trama è, in effetti, piuttosto movimentata: la Russia sta restituendo alla Romania dell’oro che il governo rumeno aveva nascosto in Russia prima dell’invasione tedesca del 1915. I cattivi ufficiali dell’esercito russo trasportano l’oro; la mafia russa, ancora più cattiva, vuole l’oro e un gruppo di nobili ladri indiani vuole rubarlo e usare i fondi per costruire una scuola per orfani.

Naturalmente, l’operazione ha bisogno del miglior hacker del mondo. E ha bisogno di un vero e proprio genio: in questo caso, si tratta di Spider. Un problema, nessuno sa dove trovarlo. Per fortuna, la ragazza del protagonista ha un master in informatica con lode e un master in hacking etico (certo, perché no?). Si introduce nei sistemi del “miglior hacker del mondo” e scopre che in realtà vive nelle vicinanze. Dopo averlo rapito, lo convincono a partecipare al piano.

Secondo questo piano, l’hacker rapito ha due compiti da svolgere. In primo luogo, deve entrare nel sito dell’esercito russo per ottenere informazioni sugli ufficiali che trasportano il carico. In secondo luogo, deve hackerare un satellite che controlla i movimenti in tempo reale del treno che trasporta l’oro (e paralizzare il centro di controllo).

Per far fronte a entrambi i compiti è sufficiente premere qualche tasto su un computer portatile, ma poi l’hacker si mette contro la squadra, ruba l’oro per sé e scappa. Infine, lascia il compito di disabilitare i semafori a colei che ha il master in hacking etico. Per inciso, lo fa esattamente nello stesso modo, con un rapido rullo di tamburi sulla tastiera e ottiene così il controllo dei semafori.

Versione indiana in pillole

Cybersicurezza

• Non c’è nessuna cybersicurezza di cui parlare. Tutti i sistemi possono essere manomessi a distanza, senza una preparazione preliminare, basta scrivere velocemente sulla tastiera.

Percezione

• I cybercriminali sono dei maghi.

The Italian Job: conclusioni

In tutti e tre i film, i criminali cercano di evitare lo spargimento di sangue, e negli ultimi due, sono addirittura guidati (in parte) da nobili intenzioni: vendetta per l’omicidio di un insegnante e desiderio di costruire una scuola per orfani. Tuttavia, non si fermano mai a pensare alle conseguenze dell’ingorgo di una città enorme, anche per i vigili del fuoco, le ambulanze eccetera. E questo comporta delle vittime tra i civili. Anche se i rapinatori sono ritratti come bravi ragazzi, è difficile mettersi dalla loro parte.

Per quanto riguarda la sicurezza informatica, l’immagine dell'”hacker genio” è cambiata radicalmente nel corso di mezzo secolo. Se prima l’hacker era un tipo talentuoso ma strano, un po’ fuori dal mondo, ora l’hacker è una sorta di tecnico-mago sicuro di sé, quasi onnipotente. Il controllo dei semafori si è evoluto da un’operazione tecnica complessa a un trucco standard che viene dato per scontato. La realtà, ovviamente, è molto diversa. Manomettere il sistema di controllo del traffico di una città è molto più difficile di quanto sembri sul grande schermo.

L’onnipotenza degli hacker nei film influisce negativamente sulla percezione della minaccia di penetrare nelle infrastrutture critiche. Secondo i nostri colleghi di Kaspersky Security Awareness, lo stereotipo cinematografico dell’hacker-genio danneggia la sicurezza delle aziende reali. La gente è così sicura che i cattivi possono fare di tutto, che non si preoccupano di procurarsi una protezione, lasciando molti punti esposti inutilmente.

Ecco perché consigliamo vivamente ai dipendenti una formazione sulla sicurezza, che mostri loro come stanno le cose nel mondo reale. Ad esempio, la nostra Kaspersky Automated Security Awareness Platform fornisce nozioni che consentono di separare i fatti reali dalla finzione cinematografica.