Abbiamo chiesto a un hacker di commentare le scene di hacking nei film

Il meglio del meglio da 'Hackers' a 'Mr. Robot', passando per 'Codice Swordfish'.
8.5.18
Immagine: Hackers

Se c’è una cosa che Hollywood è riuscita a fare nel corso della sua storia è quella di aver reso l’hacking qualcosa di cool. Ora, questo può anche aver dato un tono a un sacco di nerd, ma chiunque abbia un po’ di dimestichezza del settore sa che nella realtà l’hacking è qualcosa di estremamente difficile e noioso.

L’hacking è sinonimo di ricerca faticosa, pianificazione e ore di lavoro. Violare un sistema richiede ore, se non giorni, di lavoro. Ovviamente, sarebbe folle pensare che un film d’azione o un thriller con Daniel Craig possano riportare esattamente questo tipo d’operazione—d’altronde, se così fosse, dubito esisterebbero persone disposte a guardarlo.

Detto questo, però, ho sempre avuto il desiderio di capire quanto ci fosse di reale dietro a queste scene che vediamo quasi quotidianamente. Per capirlo, ho contattato Ubi, un hacker italiano, membro attivo dell’Italian Hacker Embassy e dell'associazione ad essa collegata IHF APS (Inclusive Hacker Framework). Gli ho sottoposto una serie di video chiedendogli di commentarli rapidamente per noi.

[Da ora in poi le parole sono dell’hacker. Il testo è stato editato e accorciato per motivi di chiarezza]

Hackers (1995)

Parliamo di un film del 1995, ed erano anni in cui le scene di “hacking” erano piene di mirabolanti interfacce 3D. Nonostante questo, credo che si tratti di un ottimo punto di partenza per capire il mondo dell’hacking: il film, infatti, ha i tratti dello spirito dell’hacking tipico degli anni Novanta.

Ci sono dei riferimenti al famoso Manifesto, una pietra miliare della storia dell’hacking e, infatti, se fosse una registrazione audio e non un film con scene tecnologiche strampalate e personaggi un po’ troppo stereotipati, sarebbe un piccolo bignami dell’hacking di una volta.

Ora, senza entrare in dei tecnicismi, vengono mostrati hardware hacking (ragazzi che pimpano i notebook), trashing (la raccolta di informazioni come password e dati sensibili frugando nei bidoni della spazzatura delle grandi company), programmazione e le crew war (le sfide e “le guerre” continue tra gruppi o singoli hacker per decretare una “posizione sociale”).

Ma soprattutto, nella scena specifica, vediamo l’ingegneria sociale. Nel film, il giovane hacker esplorando il network e i suoi sistemi, come spesso accadeva in quegli anni inizia a scoprire di non essere solo, e così da vita una sorta di sfida per chi è il migliore, con fantastiche citazioni a monkey island.

Crea una storia, trova qualcuno che la condivida con lui, millanta nomi altisonanti e con un pizzico di empatia, faccia tosta e carisma arriva all’accesso di informazioni e risorse. Spesso poi si inseriscono tutti gli altri branch del mondo dell’hacking per arrivare ad ottenere l’obiettivo prefissato. Tutto sommato messo a confronto con molti altri film degli anni Novanta è un buon risultato.

The Social Network (2010)

La scena in questione è piuttosto curiosa e sembra di assistere più a un capture the flag di un qualche evento hacker in puro spirito goliardico in cui si fanno esperimenti in notturna fra amici del campus universitario.

Vediamo Mark spiegare ai “candidati” che per partecipare al suo progetto dovrebbero hackare un server web Python. Il linguaggio che Zurckerberg usa per spiegare la procedura—prendere la root del sistema web, metterci dei file all’interno, come una web shell per poter compromettere il sistema, configurare un proxy SSL usando i certificati “recuperati” per accedere al traffico in chiaro e disinibire il layer di criptografia così da vedere tutto il contenuto—suona piuttosto complesso.

Ed effettivamente lo è e proprio per questo, sebbene sia qualcosa che può avere un senso, non è un’operazione da 10 minuti, soprattutto non se ti stai ingollando delle tequile mentre lo fai.

Mr. Robot (2015)

Personalmente non ho mai visto Mr Robot, ma devo dire che fra le proposte questa sembra una delle scene più credibili.

Nella clip si opera in modo corretto sin dall'inizio. Si studia il substrato di attacco, si trovano servizi e punti della rete potenzialmente vulnerabili per capire come poterli sfruttare. Una volta trovato il modo di entrare nel suo obiettivo, Elliott aggiunge una backdoor e tutto il necessario per espandere il “perimetro” e mantenerlo. Poco da dire, sicuramente rispetto alle altre, questa scena si attiene quanto più possibile al vero: si respira lo spirito e il modo di operare tipico di un attaccante “reale”.

Codice Swordfish (2001)

Che dire? Una tipa che ti fa del sesso orale mentre rischi la vita nel tentativo di trovare una password?

Su due piedi direi che in una situazione del genere le cose che possono succedere sono due: o piangendo supplichi il cattivo di turno di risparmiarti o decidi di goderti il momento aspettando la dolce morte. Ecco, l’unica cosa che non puoi metterti di fare è tentare in 60 secondi di fare un qualsiasi Hack.

A occhio, il protagonista prova un po’ di password a caso, tentando un brute force — attacco a forza bruta o anche detto “attacco al dizionario” in quanto viene utilizzato di base un dizionario, con ulteriori modifiche delle parole in corso d’opera —, aggiungendo maiuscole, numeri e caratteri “speciali”, attraverso un software che usa tali “pseudo password” per violare il sistema. Un’operazione che richiede da poco a moltissimo tempo ma di certo non 60 secondi.

Castle (2015)

Questa scena è decisamente imbarazzante. Sorvoliamo sui classici effetti 3d o sulla percentuale di hack di un firewall, che banalmente sarebbe impossibile da ottenere, e andiamo dritti a uno dei grandi miti dei film con scene di hacking: la localizzazione dell’indirizzo dall’IP sorgente.

Ovviamente questo non richiede quel poco tempo scandito dalla barra di avanzamento del “super computer”, ma se il provider ha fatto bene i “compiti a casa” e se l’IP in oggetto è riservato ad una personalità giuridica, dovrebbe essere stato registrato presso i Database competenti. Se si trattasse invece di un indirizzo IP dinamicamente assegnato, l’unico modo è entrare in contatto con l’ISP, che non ha un sistema automatizzato e pubblicamente consultabile.

A questo punto, dopo un attacco che riporta un countdown sui firewall di perimetro relativo a una decrittografia sconosciuta, trovano un tracciamento della localizzazione del cellulare. Una cosa che, seppur difficile è possibile ottenere tramite modi diversi: malware installati sul cellulare e “bachi” della rete GSM, conditi da un database delle principali base station.

In poche parole è un'accozzaglia di fantasie tecniche romanzate con qualche sprazzo di veridicità—ottenuto, secondo me, per puro caso.

Blackhat (2015)

Ecco un’altra scena dove social engineering e phishing regnano incontrastati. L’attacker in questo caso ha inviato una fake mail all’apparenza innocua, con qualche accortezza per renderla credibile così da carpire la fiducia del bersaglio: banalmente inviando le nuove linee guida sulla politica delle password—cosa che capita spesso nei reparti IT. L’attaccante ha provveduto a forgiare il pdf in modo da essere un file malevolo, e nella fattispecie un keylogger che permetterà di ricevere tutto ciò che viene digitato nel sistema o porzioni di esso.

Anche in questo caso, la vittima stessa è il suo inconsapevole “buco” di sicurezza. In sostanza, al di là delle interfacce del sistema operativo sempre improbabili, la scena rappresenta abbastanza realisticamente il processo di un attacco di questo tipo.

Snowden (2016)

Questa scena risulta assolutamente priva di senso, suona come qualcosa di simile a “avete 5 ore per costruire una botnet, cancellarla e fare un recovery della stessa” e anche se è una prova, è qualcosa che non ha molta utilità.

Creo una botnet, la distruggo e la ricostruisco, ma prima di iniziare vado a muovere un po’ di cavi di rete a caso dietro ad un rack. Peccato averla gestita così, senza contare che un’operazione del genere per essere efficace ed estesa, ma soprattutto non avendola mai fatta prima, richiederebbe mesi probabilmente. Sempre ammesso io abbia capito esattamente cosa intendevano, vista la confusionaria richiesta iniziale della scena.

Segui Leon su Twitter: @letweetbenz