Powszechne przyjęcie kultury cyberbezpieczeństwa utrudnia kilka błędnych przekonań. Jeden z mitów — ten, zgodnie z którym hakerzy są naprawdę sprytni, więc walka z nimi jest bezcelowa — został spopularyzowany w szczególności za sprawą filmu pod tytułem „Hakerzy”, który mogliśmy zobaczyć po raz pierwszy dokładnie ćwierć wieku temu. Film był źródłem kilku frazesów, które nadal funkcjonują w branży filmowej.
Rzeczywiście, filmowi bohaterowie i ich przeciwnik, Plague, ekspert ds. bezpieczeństwa informacji w firmie Ellingson Mineral, są przedstawiani jako bardzo inteligentne osoby potrafiące znaleźć i wykorzystać luki w każdym systemie informatycznym.
Na przykład główny bohater z łatwością włamuje się do szkolnej bazy danych i sieci operatora kablowego. Phantom Phreak dzwoni z budek telefonicznych do Wenezueli, nie płacąc ani centa. A Joey, najmłodszy i najmniej doświadczony haker w grupie, uzyskuje dostęp do superkomputera o nazwie Gibson, znajdującego się w firmie Ellingson Mineral. To wszystko wygląda imponująco (jak na 1995 rok), jednak sprawdźmy, jakie te osoby miały osiągnięcia.
Hakowanie stacji telewizyjnej
Główny bohater, Dade (znany również jako Crash Override), włamuje się do sieci stacji telewizyjnej w celu zastąpienia nudnego programu czymś bardziej wciągającym. Dzwoni do strażnika nocnego i przedstawiając się jako pracownik działu księgowości, i informuje, że potrzebuje dostępu do jego komputera. Prosi strażnika o odczytanie numeru telefonu wyświetlanego na modemie telefonicznym.
Z jednej strony to klasyczna socjotechnika. Z drugiej jednak, to czyste szaleństwo ze strony firmy — i nie mówię tu nawet o tym nieszczęsnym strażniku. Dlaczego komputer księgowej jest w tej samej sieci, która steruje transmisją? Dlaczego modem nieustannie oczekuje na połączenia przychodzące? Dlaczego na modemie zapisany jest numer telefonu?
Podczas próby przeniknięcia okazuje się, że w sieci firmy znajduje się już inny haker: Kate, znana również pod pseudonimem Acid Burn. Jak się tam dostała? Cóż, firma najprawdopodobniej ma również inne komputery z podatnymi modemami.
Hakowanie Gibsona
Poczatkujący haker Joey włamuje się do superkomputera Gibson: loguje się za pośrednictwem modemu z domu, używając superbezpiecznego hasła do konta szefa działu PR, god. To dziwne, bo wszystkie postaci w filmie (w tym wspomniany szef działu PR i Plague, który jest odpowiedzialny za bezpieczeństwo w firmie) wiedzą, że najpopularniejszymi hasłami w rzeczywistości filmowej są słowa love, secret, sex i god. Co więcej, nie wiedzieć, z jakiego powodu, szef działu PR ma uprawnienia superużytkownika. „Wielkim” osiągnięciem hakera nie jest więc jego pomysłowość, ale nieudolność firmy.
Podstępny plan Plague
Fabuła filmu kręci się wokół przebiegłego planu hakera Plague, który pracuje w firmie Ellingson Mineral. Napisał on szkodliwe oprogramowanie, które od każdej transakcji firmowej odprowadza kilka centów, a środki przesyła na tajne konto na Bahamach. Pomysł na taką fabułę byłby oryginalny, gdyby podobny schemat nie został opisany 12 lat wcześniej, w filmie Superman III. Co więcej, każdy opisuje szkodliwe oprogramowanie jako robaka, chociaż film nie mówi ani słowa o jego dystrybucji i replikacji.
Czy na podstawie tych informacji naprawdę możemy uznać Plague za cyberprzestępczego geniusza? Raczej nie. Jest on odpowiedzialny za bezpieczeństwo informacji w firmie, w której nikt oprócz niego nie ma pojęcia na ten temat. Ponadto jest w dobrej komitywie z szefem działu PR, więc daje mu wolną rękę. To atak od wewnątrz, więc problem stanowi tu nie tyle kwestia cyberbezpieczeństwa, co polityka rekrutacyjna.
Wirus Da Vinci
Gdy Joey przez przypadek pobiera część „robaka”, Plague uruchamia wirus (tu także nie jest wiadomo, czy naprawdę jest to wirus, czy autorzy po prostu lubili to słowo — w 1995 roku było to nowe określenie dla kinomaniaków) o nazwie Da Vinci. Złośliwe oprogramowanie przejmuje zdalną kontrolę nad zbiornikowcami atakowanej firmy z możliwością wywrócenia ich do góry dnem poprzez wpompowanie wody w zbiorniki balastowe. W rzeczywistości jednak „wirus” ten jest fałszywym tropem.
Plague używa go do (a) odwrócenia uwagi od kradnącego pieniądze „wirusa” (b) oskarżenia Joey i jej kolegów o włamanie się do firmy i obwinienia ich o umieszczenie „robaka” i (c) przekazania ich tajnym służbom, przedostania się do komputera Joey i uzyskania informacji, jakie informacji wyciekły — nie wspominając o zyskaniu czasu na wyłudzenie przez szkodliwy program większej ilości gotówki.
Tak naprawdę taki „wirus” był jak na tamte czasy zbyt futurystyczny. W 1995 roku sama idea statku morskiego posiadającego stałe połączenie z systemami nawigacyjnymi operatora firmy była szalona. Po pierwsze dlatego, że internet nie przydaje się w nawigacji ani teraz, ani wtedy; a w tamtych czasach system GPS był w pełni sprawny i dostępny dla cywili.
Po drugie, stałe połączenie statku z internetem w połowie lat 90. jest dość naciągane. Wtedy przesyłanie danych drogą satelitarną nie istniało; wymagałoby to stałego — i zbyt drogiego — połączenia modemowego przez linię głosową.
Co więcej, zbiornikowce (które można uznać za infrastrukturę krytyczną) nie mają zapasowych systemów sterowania ręcznego wtryskiem wody balastowej. Proces ten jest w pełni skomputeryzowany. Zresztą komputer może ulec awarii nawet bez udziału szkodliwego programu. Mówiąc w skrócie, aby wirus Da Vinci zadziałał, ktoś musiałby długo i mocno się napracować, aby przeprowadzić sabotaż statku handlowego — i zacząć już na etapie samego projektowania statku.
Przygotowanie do godziny zero
Bohaterowie postanawiają zatrzymać nikczemny wirus Da Vinci i zdobywają pełny kod „robaka”, aby dowiedzieć się, gdzie przesyłane są skradzione pieniądze. Muszą przy tym być bardzo dokładni. Tu w filmie pojawia się chaos.
Haker Cereal Killer podszywa się pod pracownika firmy telefonicznej, przedostaje się do budynku tajnych służb Stanów Zjednoczonych i umieszcza tam pluskwę (dlaczego dziwny nastolatek w obwisłych spodniach nie wzbudził podejrzeń u żadnego z pracowników, podobno zawodowców?).
Dade i Kate przeglądają kosz na śmieci w firmie Ellingson Mineral i kradną kilka dokumentów. To dość wiarygodne — nawet dziś nie każda firma monitoruje, w jaki sposób i gdzie trafiają jej śmieci. Ale lektura zdobytych dokumentów pozwala im poznać 50 haseł, które mogą pozwolić w przedostaniu się do firmowych systemów. To bardziej był gejzer niż wyciek.
Ostateczna bitwa o Gibson
Główni bohaterowie proszą o pomoc społeczność hakerów i razem bombardują superkomputer wirusami. W tym momencie film całkowicie traci kontakt z rzeczywistością. Niestety nic nie wiemy o architekturze systemów informatycznych w Ellingson Mineral, a w efekcie nie wiemy, w jaki sposób tak wiele osób mogło równocześnie połączyć się z komputerem Gibson, przesłać zestaw wirusów i pobrać „robaka”.
Nie wiadomo nawet, czy działali oni przez internet, czy w jakiś sposób połączyli się bezpośrednio z modemami wewnętrznymi firmy. Tak czy inaczej, Plague w jakiś sposób identyfikuje źródło ataków.
W tym miejscu słychać ciekawe stwierdzenie: „Wiele wirusów GPI i FSI”. Skrót GPI oznacza General Purpose Infectors, jest to dawno już przestarzała nazwa dla wirusów, które można osadzić w dowolnym pliku wykonywalnym. Tymczasem FSI to File Specific Infectors, czyli wirusy, które atakują pliki w określonym formacie. Innymi słowy, zespół ds. bezpieczeństwa dostrzegł wiele wirusów.
Połączenia międzynarodowe
Przez cały film haker znany jako Phantom Phreak korzysta z telefonów za darmo. Technika ta, która wydaje się najmniej prawdopodobna nawet z perspektywy 2020 roku, w rzeczywistości jest najbardziej wiarygodna. Phreaking — czyli włamywanie się do systemów telefonicznych — było wtedy podstawowym zajęciem hakerów (i do tego terminu nawiązuje pseudonim Phantom Phreak).
Aby wykonywać bezpłatne połączenia, bohater używa urządzenia, które generuje dźwięki symulujące monety umieszczane w telefonie — chwyt ten znany jest również pod nazwą red boxing. Działał on naprawdę, a instrukcje były szeroko rozpowszechnione w społecznościach hakerów nawet w erze sprzed internetu. Myśląc, że monety zostały wrzucone, telefony sygnalizowały systemowi rozliczeniowemu, ile minut dać na rozmowę phreakerowi.
Do roku 1995 red boxing działał. Jednak świadome tej luki firmy telefoniczne zaczęły wdrażać technologie ochronne takie jak filtry częstotliwości, powielanie kanałów cyfrowych, a także sposoby fizycznej weryfikacji liczby włożonych monet. Jednak w chwili premiery filmu red boxing nadal działał.
Sprzęt
Szczególnie interesujący jest używany przez hakerów sprzęt. Pochodząca z zamożnej rodziny Kate używa laptopa P6, który jest według niej „trzy razy szybszy niż Pentium”. Nawiązuje w ten sposób do Pentium Pro, pierwszego z rodziny Intela mikroprocesorów szóstej generacji x86. Wówczas naprawdę był to najpotężniejszy czip na świecie i po raz pierwszy pojawił się w sprzedaży w roku emisji filmu, czyli w 1995 roku. Modem Kate mógł taktować z prędkością 28 800 kb/s — też najlepszą jak na tamten czas.
Jednak podczas korzystania z publicznej budki telefonicznej bohaterowie używają czegoś, co wygląda jak konwerter akustyczny, który zamienia sygnały akustyczne na cyfrowe. To dość zawodny przyrząd, który obsługiwał tylko 1 200 kb/s i jeszcze przed rokiem 1995 był już beznadziejnie przestarzały. Mimo to wygląda to imponująco.
Czysta fantazja
Inne momenty w filmie również są naciągane do granic możliwości. Hakerzy między innymi idą po agenta rządowego, a w trakcie:
- blokują jego kartę kredytową,
- dodają fałszywe wykroczenie drogowe na jego koncie,
- oznaczają go w bazie tajnych służb jako osobę martwą.
Nie wiadomo, w jaki sposób udało im się tego wszystkiego dokonać, ale jest to bardziej świadectwem niekompetencji banku, policji i tajnych służb niż pomysłowości hakerów. Jedyną przekonującą sztuczką hakerów jest opublikowanie sprośnego ogłoszenia w serwisie randkowym. Jednak do tego nie trzeba żadnych umiejętności hakerskich, lecz szczególne poczucie humoru.
Z kolei inni antybohaterowie wywołali chaos poprzez zhakowanie sygnalizacji świetlnej w mieście. Klasyka.
Wnioski
Nawet hakerzy na ekranie nie są nadludźmi. Zwyczajnie wykorzystują oni błędy i głupotę innych. W życiu prawdziwym większość osób atakujących jest raczej gorszymi ekspertami, a nie złymi geniuszami. Nasza platforma szkoleniowa Kaspersky Automated Security Awareness pomaga uporządkować to i wiele innych nieporozumień, ucząc pracowników, jak unikać popełniania oczywistych błędów.