waarheid
Er zijn tal van veelvoorkomende misvattingen die de grootschalige aanvaarding van cybersecurity-cultuur in de weg staan. Een van die mythes, “hackers zijn zo enorm slim, dus het is nutteloos om ze te bestrijden”, werd populair door de film Hackers, die precies een kwart eeuw geleden uitkwam. De film gaf aanleiding tot een reeks clichés die nog altijd door de filmindustrie wordt gebruikt.
Inderdaad, de zonderlinge helden en hun vijand, Plague, een infosec-expert bij Ellingson Mineral, worden afgebeeld als zeer intelligente nerds die kwetsbaarheden in elk soort informatiesysteem kunnen vinden en benutten.
Het hoofdpersonage breekt bijvoorbeeld met hetzelfde gemak in op de database van een school als op het netwerk van een kabelmaatschappij. Phantom Preak belt vanuit telefooncellen naar Venezuela zonder een cent te betalen. Zelfs Joey, de jongste en minst ervaren hacker van de groep, slaagt erin om toegang te krijgen tot de Gibson-supercomputer bij Ellingson Mineral. Het ziet er allemaal indrukwekkend uit (voor 1995), maar laten we eens wat beter kijken naar de prestaties van deze groep.
Het hacken van een tv-zender
Het hoofdpersonage, Dade (oftewel Crash Override) breekt in bij een tv-station om een saaie tv-show over te schakelen op iets boeienders. Hij doet dat door de nachtwaker te bellen, zich voor te doen als iemand van accounting die toegang tot zijn computer nodig heeft, en hij vraagt de bewaker om het telefoonnummer op de inbelmodem hardop voor te lezen.
Aan de ene kant is dit basic social engineering. Aan de andere kant is het waanzin van de kant van het bedrijf, en dan heb ik het nog niet eens over de naïviteit van de bewaker. Waarom zit de computer van de accountant op hetzelfde netwerk als het netwerk dat de uitzendingen beheert? Waarom heeft het een modem die constant wacht op een inkomend gesprek? Waarom staat er een telefoonnummer op de modem genoteerd?
Tijdens dit proces, blijkt dat een andere hacker het netwerk van het bedrijf al binnen is: Kate, oftewel Acid Burn. Hoe is zij binnengeraakt? Ach, het bedrijf heeft waarschijnlijk nog wel meer computers met kwetsbare modems.
Gibson hacken
Joey, de beginnende hacker, breekt in op de Gibson-supercomputer. Nou ja, hij logt vanuit huis in via een modem met gebruik van het superveilige wachtwoord van het hoofd van PR, god. Dit gebeurt ondanks dat elk personage in de film (inclusief het zojuist genoemde hoofd van PR en Plague, die verantwoordelijk is voor de beveiliging van het bedrijf) weet dat de meest voorkomende wachtwoorden in de realiteit van deze film love, secret, sex en god zijn. Bovendien heeft het hoofd van PR om een onbegrijpelijke reden supergebruikersrechten. Hoe dan ook, de “geweldige” prestatie van de hackers is meer te danken aan de lamlendigheid van het bedrijf dan hun eigen vindingrijkheid.
De bedriegerij van Plague
Het plots van de film draait om het bedrieglijke plan van de hacker Plague, die bij Ellingson Mineral werkt. Hij schrijft een malware-programma om een paar centen van elke bedrijfstransactie te ontvangen, en hij maakt deze opbrengsten weer over naar een geheime rekening op de Bahama’s. Dat had een originele verhaallijn kunnen zijn als die niet al 12 jaar eerder was gebruikt in de film Superman III. Om de een of andere reden beschrijft iedereen de malware als een worm, hoewel er in de film met geen woord wordt gerept over de verspreiding en replicatie.
Kunnen we Plague op basis van die informatie nou echt als cybergenie beschouwen? Niet echt. Hij is het hoofd informatiebeveiliging bij een bedrijf waar niemand behalve hijzelf ook maar enig verstand van dit onderwerp heeft. En hij werkt stiekem samen met het hoofd van de PR-afdeling, die hem dus eigenlijk vrij baan geeft. Het is een insider-aanval; het probleem is niet zozeer een kwetsbaarheid in de beveiliging van het bedrijf, maar in eerder het rekruteringsbeleid.
Da Vinci-virus
Als Joey per ongeluk een gedeelte van de “worm” downloadt, lanceert Plague een virus met de naam Da Vinci (nogmaals, het is niet duidelijk of dit inderdaad een virus is of dat de schrijvers dit gewoon een interessante term vonden, die in 1995 nog nieuw was voor de meeste bioscoopbezoekers). De malware krijgt op afstand controle over de olietankers van het bedrijf en kan deze laten kapseizen door water in de ballasttanks te pompen. Dit “virus” is in feite echter een afleidingsmanoeuvre.
Plague gebruikt het simpelweg om (a) de aandacht van de geld-stelende “worm” af te leiden, (b) om Joey en zijn vrienden te beschuldigen van het hacken van het bedrijf en ze uiteindelijk op te laten draaien voor de “worm”, en (c) om ze uit te leveren aan de geheime dienst, in Joey’s computer te raken en zo uit te vinden welke informatie er is gelekt. En natuurlijk om meer tijd te winnen zodat de malware nog meer geld kan overhevelen.
In werkelijkheid is zo’n “virus” veel te futuristisch voor die tijd. Om te beginnen is het hele idee van een zeegaand schip in 1995 dat permanent verbonden is met de navigatiesystemen van het bedrijf al waanzin. Ten eerste is er geen internet nodig voor de navigatie, vandaag niet en destijds ook niet; het GPS-systeem was al volledig operationeel en beschikbaar voor burgers.
Ten tweede is het stellen dat een schip constant online kon zijn halverwege de jaren 90 nogal vergezocht. Gegevensoverdracht via satelliet bestond destijds nog niet; er zou een permanente (en peperdure) modemverbinding over een voice line voor nodig zijn geweest.
Bovendien hebben tankers (die aangemerkt zouden kunnen worden als kritieke infrastructuur) geen handmatige systemen voor de injectiecontrole van ballastwater als back-up. Het proces is volledig gecomputeriseerd. Wat dat betreft kan een computer prima falen, ook zonder malware. Kortom: om ervoor te zorgen dat het Da Vinci-virus werkt, zou iemand allereerst het lange en tijdverslindende werk moeten verrichten van het saboteren van het schip, en dat al tijdens de ontwerpfase van het schip.
Voorbereiding op de confrontatie
Het hoofdpersonage besluit het lafhartige Da Vinci-virus te stoppen en de volledige code van de “worm” te verkrijgen om uit te vinden waar het gestolen geld naartoe gaat. Hun voorbereidingen zijn in ieder geval grondig. Maar de film begint te ontsporen.
De hacker Cereal Killer doet zich voor als werknemer van een telefoonbedrijf, infiltreert het gebouw van de geheime dienst van de V.S., en plant daar een afluisterapparaat. (Waarom niemand van de werknemers, zogenaamde professionals, een tiener in een uitgezakte broek als verdacht beschouwt is een mysterie, net als zijn straf buiten beeld).
Dade en Kate doorzoeken het afval van Ellingson Mineral en stelen wat papieren. Dat stukje is wel geloofwaardig: zelfs vandaag de dag controleert niet elk bedrijf hoe en waar hun afval wordt gedumpt. Maar de inzage van de weggegooide documenten geeft ze zomaar 50 wachtwoorden cadeau die gebruikt kunnen worden om de bedrijfssystemen binnen te raken. Eerder een stortvloed dan een “lek”.
De laatste slag voor Gibson
De hoofdpersonages vragen de hackergemeenschap om hulp, en samen bombarderen ze de supercomputer met virussen. Op dit verliest de film werkelijk alle geloofwaardigheid. Helaas weten we niets over de architectuur van Ellingson Minerals informatiesystemen en daarom kunnen we niet precies bedenken hoe een hele menigte aan aanvallers tegelijkertijd verbinding kan maken met Gibson, een hoop virussen kan uploaden en de “worm” kan downloaden.
Het is niet eens duidelijk of ze dit via het internet deden of op de een of andere manier rechtstreeks met de interne modems van het bedrijf verbonden waren. Hoe dan ook: het lukt Plague om de bron van de aanvallen te lokaliseren.
Het is op dit moment dat de vreemde zin “Multiple GPI and FSI viruses” gehoord kan worden. GPI staat voor General Purpose Infectors, een verouderde naam voor virussen die geïntegreerd kunnen worden in welk uitvoerbaar bestand dan ook. FSIs, of File Specific Infectors, zijn virussen die zich op bestanden met een bepaalde indeling richten. In anderen woorden: de zin betekent eigenlijk dat het beveiligingsteam een hoop virussen ziet.
Internationale telefoontjes
Gedurende de film gebruikt de hacker die bekend is als Phantom Phreak regelmatig gratis telefooncellen. De techniek, die het minst plausibel lijkt van uit een 2020-perspectief, is eigenlijk nog het geloofwaardigst. In die tijd was phreaking, het inbreken op telefoonsystemen, een belangrijk onderdeel van de hackerscultuur, vandaar ook de naam Phantom Phreak.
Om gratis te kunnen bellen, gebruikt hij een apparaat dat tonen genereert om het geluid van muntjes die in de telefoon worden gedaan te simuleren, een truc die bekend staat als red boxing. Het werkte echt, en de instructies hiervoor circuleerden volop in hackersgemeenschappen, zelfs in het pre-internettijdperk. Denkende dat er munten binnenvielen, gaven telefooncellen een signaal af aan het betaalsysteem met hoeveel minuten de phreaker moest krijgen.
In 1995 was red boxing al bijna ouderwets. Telefoonmaatschappijen waren zich bewust van de kwetsbaarheid en dus ook druk bezig met het implementeren van beschermingstechnologieën zoals frequentiefilters, duplicatie over digitale kanalen en manieren om het aantal ingevoerde munten fysiek te controleren. Maar red boxing gebeurde nog wel toen deze film uitkwam.
Apparatuur
De apparatuur die de hackers gebruiken trok ook onze aandacht. Kate, die van een welvarende familie komt, werkt op een P6-laptop, waarvan ze zegt dat die “drie keer zo snel als een Pentium is”. Dat is een referentie naar de Pentium Pro, de eerste van Intels x86 microprocessor van de zesde generatie. In die tijd was dit daadwerkelijk de krachtigste chip ter wereld, en hij kwam net als de film in 1995 beschikbaar. Daarnaast kon Kate’s modem een snelheid van 28.800 kpbs bereiken, nog een record voor die tijd.
Als we echter wat beter kijken, zien we dat het hoofdpersonage bij het verbinding maken via openbare telefooncellen iets gebruikt dat lijkt op een akoestische koppeling, die akoestische signalen in digitale signalen omzet. Dat is een zeer onbetrouwbaar uitvindsel dat slechts 1.200 kbps ondersteunde, en in 1995 was dit al hopeloos verouderd. Maar goed, het ziet er indrukwekkend uit.
Pure fantasie
Ook bij andere momenten in de film is er behoorlijk wat verbeelding nodig. Zo zitten de hackers bijvoorbeeld achter een overheidsagent aan, en tijdens die achtervolging:
- blokkeren ze zijn creditcard;
- voegen ze valse verkeersovertredingen aan zijn dossier toe;
- verklaren ze hem dood in de database van de geheime dienst.
Het is niet duidelijk hoe ze dit precies allemaal doen, maar nogmaals: het is eerder een getuigenis van de incompetentie van de bank, de politie en de geheime dienst dan van de vindingrijkheid van de hackers. De enige overtuigend truc van de hackers is het posten van een obscene advertentie op een datingsite. Maar daar zijn geen hacker-skills voor nodig, maar alleen een bepaald gevoel voor humor.
En het einde van de film zou niet compleet zijn zonder de antihelden die chaos creëren door de verkeerslichten van de stad te hacken. Een klassieker.
Kortom
Zelfs hackers op het witte doek zijn geen supermensen; ze maken simpelweg gebruik van de fouten en domheid van anderen. En de meeste hackers in het echte leven zijn zelfs nog minder deskundig, en nauwelijks kwaadaardige genieën. Ons trainingsplatform Kaspersky Automated Security Awareness kan helpen om deze en andere misvattingen uit de wereld te helpen en leert werknemers om onnodige fouten te voorkomen.
Tips