Hackeando Semáforos: The Italian Job em termos de cibersegurança

Identificamos como a percepção dos hackers evoluiu com base no esquema clássico para hackear semáforos nas três versões (Inglesa, Americana, Indiana) de The Italian Job

Protagonistas, ou seus oponentes, assumindo o controle do sistema de transportes de uma cidade é uma trama clássica de filmes. O objetivo dos personagens é criar um engarrafamento para uma rota de fuga ou parar seus perseguidores. 

Hackers: Piratas de Computador, Duro de matar 4.0 e Táxi, são alguns exemplos de narrativa artísticas desse esquema de ataque. A trama, que antes era original, há muito se tornou clichê de Hollywood.

O arquétipo provavelmente começou com o filme inglês de 1969 Um Golpe à Italiana . Sem surpresa para aquela época, foi o único incidente ciber-relacionado no filme. Mas o ponto da trama da sabotagem do tráfego gerou muitas imitações, incluindo em duas refilmagens do filme original, um de Hollywood ( Uma saída de mestre, 2003) e um de Bollywood ( Players, 2012).

Em suas várias iterações, a cena do semáforo permanece fundamental. Assim, comparando as três versões, podemos rastrear a evolução das atitudes dos cineastas e espectadores sobre os hacks de infraestrutura crítica.

Um Golpe à Italian (1969), a versão inglesa

A Turim do futuro é descrita basicamente como uma cidade inteligente da época. No filme, um supercomputador central controla todos os semáforos, onde os dados das câmeras de tráfego também são coletados.

O cérebro por trás do roubo, que morre cedo, deixa para o personagem principal Charlie Croker um plano detalhado para um assalto ousado, junto com malware para o supercomputador e um dispositivo desconhecido que pode desativar câmeras.

A origem do programa é desconhecida; alguém provavelmente se apossou do código-fonte original e, com o caos em mente, o modificou. Vale notar que em 1969 não só a Internet era inexistente, como também as redes locais não eram devidamente implementadas.

O único jeito de instalar o malware no computador é adentrar o prédio e trocar manualmente as fitas magnéticas no drive. Isso requer os serviços do professor Peach, supostamente o maior especialista em computadores do país.

Para entrar no centro de controle de tráfego e alterar o programa, o computador precisa ser parado. Croker assume a missão, arremessando sua bicicleta em uma subestação de energia e desligando não só o centro de controle, mas também grande parte da cidade (e mergulhando um generoso banquete da máfia na escuridão).

Agora Peach entra no jogo, removendo a fita do drive e carregando uma outra. Afinal, sem energia, isso é tudo que resta fazer. Assim, eles contrataram um especialista apenas para fazer a tarefa de um assistente de laboratório. Caso você tenha perdido esse absurdo, o gênio da tecnologia é interpretado pelo hilário Benny Hill.

A próxima fase do plano é derrubar as câmeras. Para despistar o centro de controle de tráfego e ocultar o roubo, os criminosos colocam alguns dispositivos – provavelmente bloqueadores, mas os detalhes não são revelados – em latas de lixo e telhados nas proximidades das câmeras. Naquela época, as câmeras de trânsito não podiam transmitir sinais sem fio, mas os misteriosos aparelhos conseguem desativar as câmeras.

Resultado: tudo funciona em perfeita sincronia. As câmeras se desligam, os semáforos começam a piscar, as vias da cidade são paralisadas e Peach é preso por comportamento indecente no transporte público (não pergunte).

Versão inglesa: conclusões

Cibersegurança

● O filme apresenta uma atitude bastante desdenhosa em relação à segurança física de infraestruturas críticas. Tanto a subestação de energia quanto o centro de controle de tráfego são praticamente desprotegidos. Os invasores chegam ao drive sem dificuldades e substituem a fita com sucesso.

● O computador aceita o programa substituto sem questionamentos. Essa parte é perdoável, já que assinatura de código só foi inventada muito tempo depois.

Percepção

● Hackear computadores é visto como algo extremamente complexo. Para enganar o computador, a gangue emprega muita energia recrutando o melhor especialista na área (apenas para que ele troque uma fita).

● Não há tentativa de explicar o lado técnico das coisas; em vez disso, os dispositivos da caixa preta milagrosamente desativam as câmeras.

Uma saída de mestre (2003), a versão Americana

A versão de Hollywood, na minha visão, não pode ser considerada um remake direto do filme inglês . Claro, as personagens têm o mesmo objetivo (roubar barras de ouro) e a cena da perseguição é praticamente uma cópia da original, mas as motivações são muito diferentes.

Psicologia e moral de lado, eles ainda têm de bagunçar com as câmeras e semáforos. Porém, esses criminosos não têm de procurar um especialista. Eles já têm um gênio dos computadores no time: Lyle, cujo trabalho principal envolve modelagem 3D de edifícios para planejamento e coordenação de roubos. Essa é sua transformação digital no trabalho. Em 2003, ter um especialista no time é algo considerado bem normal.

Além disso, a versão americana requer um pouco mais de hacking. Primeiro, os criminosos tentam hackear o sistema de monitoramento remoto de uma companhia telefônica, convencer seus empregados de que se trata de uma operação de grampo telefônico e, por fim, redirecionar o fluxo de áudio para seu próprio posto de escuta. Lyle tem experiência com a última parte, tendo passado anos espionando sua ex.

Entretanto, o principal hack é inalterado. Adentrar no Centro de Operações de Vigilância e Controle Automatizado de Tráfego de Los Angeles em 2003 é muito mais fácil do que foi entrar no sistema de Turim em 1969 – o centro está conectado à Internet e ainda tem uma interface gráfica de usuário (GUI).

Lyle se senta em seu laptop e tenta descobrir a senha – manualmente. Ele insere senha após senha sem sucesso até que as palavras mágicas “Acesso concedido” finalmente apareçam na tela.

O centro de operações prevê o fluxo do tráfego e altera automaticamente os semáforos com base em imagens das câmeras. Mas também tem um modo manual, e Lyle o usa para controlar as luzes. Como demonstração, ele muda todas as luzes em um cruzamento para verde, causando um acidente. Porém, ele rapidamente muda as luzes de volta e o centro descreve o incidente como uma falha.

O plano da gangue é criar uma onda verde que permita que eles acelerem enquanto congestionam o resto de Los Angeles. No dia do roubo, um Lyle meio atordoado senta em um carrossel de bagagens na Union Station armado com um laptop e roteador, monitorando a situação nas estradas, mudando os semáforos (não só na estrada, mas também no metrô) e paralisando o centro de controle exibindo a mensagem “Vocês nunca fecharão o verdadeiro Napster” em todas as telas.

(Como elemento cômico da trama, Lyle afirma que inventou a rede ponto a ponto do Napster e que Shawn Fanning roubou sua ideia. Lyle gosta de se chamar de Napster. Para ser justo, ele se parece mesmo com o estereotípico garoto prodígio dos computadores).

Graças à operação bem coordenada, o ouro é roubado, todos se safam e o covarde vilão cai nas mãos da máfia ucraniana, cujo caminho ele cruza.

Versão Americana: Conclusões

Cibersegurança

● Se a senha para acesso remoto a um sistema puder ser escolhida manualmente, é uma senha ruim.

● A infraestrutura crítica precisa usar uma conexão segura com a Internet e não deve ser controlável por meio de uma GUI online. E nem é preciso dizer que os funcionários não devem ficar olhando fixamente uma mensagem idiota em vez de tentar fazer algo a respeito. Até mesmo os italianos fictícios de 34 anos antes eram mais antenados!

Percepção

● Em 2003, hackear comum, portanto, a execução do assalto depende de algo a mais do que apenas desativar alguns semáforos. Neste “não-remake”, penetrar no centro de controle de tráfego é uma operação padrão que surge naturalmente durante a fase de planejamento.

● Lyle / Napster está sempre explicando como e o que está fazendo. O que ele diz é bobagem, é claro, mas o ponto é que os cineastas queriam enraizar os eventos na tela em alguma versão da realidade.

Players (2012), a versão Indiana

Os cineastas indianos tentaram extrair os melhores pedaços de ambas as versões de The Italian Job e apimentá-la com o glamour de Bollywood, incluindo corrida, canto, dança, princípios morais e, é claro, formas de hackear. O enredo é reconhecidamente bem selvagem: a Rússia está devolvendo à Romênia o ouro que o governo romeno escondeu na Rússia antes da invasão alemã em 1915.

Oficiais do exército russo estão transportando o ouro, a horrível máfia russa está no encalço do grupo, e um bando de nobres ladrões indianos querem roubar o ouro e usar os fundos para construir uma escola para órfãos.

Naturalmente, a operação de assalto relâmpago precisa do melhor hacker do mundo. E ele precisa do portador do hack: neste caso, é o Spider. O problema é que ninguém sabe onde encontrá-lo.

Felizmente, a namorada do personagem principal tem mestrado em computadores com medalha de ouro e mestrado em hacking ético (claro, por que não?). Ela invade os sistemas do “melhor hacker do mundo” e descobre que ele mora nas proximidades. Depois de sequestrá-lo, eles o persuadem a participar do ataque.

De acordo com o plano, o hacker sequestrado tem duas tarefas a cumprir. Primeiro, ele deve invadir o site do exército russo para obter informações sobre os oficiais que transportam a carga. Segundo ele tem que hackear um satélite monitorando os movimentos do trem com o ouro em tempo real (e paralisar o centro de controle).

Ele lida com ambas as tarefas facilmente pressionando algumas teclas em um laptop – mas ele se vira contra a gangue, pega o ouro para si mesmo e foge. Isso deixa o trabalho de desativar os semáforos para a mestre hacker ética. Aliás, ela o faz exatamente da mesma maneira, com um rápido dedilhado no teclado para obter o controle dos semáforos.

Versão Indiana: Conclusões

Cibersegurança

● Não há o que falar em termos de segurança cibernética. Todos os sistemas podem ser hackeados remotamente, sem preparação preliminar – basta explorar o teclado, quanto mais rápido, melhor.

Percepção

● Hackers são bruxos.

The Italian Job: Conclusão

Nos três filmes, os criminosos tentam evitar o derramamento de sangue e, nos dois últimos, são até guiados (em parte) por intenções nobres: vingança pelo assassinato de um professor e desejo de construir uma escola para órfãos.

No entanto, eles nunca param para pensar nas consequências do congestionamento de uma grande cidade, incluindo bombeiros, ambulâncias e assim por diante. E isso significa vítimas civis. Mesmo que os ladrões sejam retratados como mocinhos, é difícil simpatizar com eles.

Quanto à segurança cibernética, a imagem do “hacker genial” mudou drasticamente ao longo de meio século. Se antes o hacker era um cara talentoso, mas estranho, do outro mundo, agora um hacker é descrito como um mago da tecnologia, autoconfiante e quase onipotente.

Assumir o controle dos semáforos evoluiu de uma operação técnica complexa para um truque padrão que é dado como certo. A realidade, claro, é muito diferente. Hackear o sistema de controle de tráfego de uma cidade é muito mais difícil do que parece na telona. italian

A onipotência dos hackers nos filmes afeta negativamente a percepção da ameaça de invasões de infraestrutura crítica. De acordo com nossos colegas do Kaspersky Security Awareness, o estereótipo cinematográfico do hacker genial prejudica a segurança de empresas reais.

As pessoas têm tanta certeza de que os atores mal-intencionados podem fazer qualquer coisa que não se preocupam com a proteção máxima, deixando brechas desnecessárias.

É por isso que recomendamos um treinamento de conscientização de segurança para os funcionários, mostrando a eles como as coisas são no mundo real. Por exemplo, nossa plataforma Kaspersky Automated Security Awareness oferece lições que separam os fatos das dramas de cinema.

Fonte: Kaspersky Daily

Hackers vazam 400 GB de dados de empresa italiana que quebra criptografia para governos

A Cybersecurity Checklist For 2021: 6 Ways To Help You Protect Yourself In Coming Year

Kaspersky: 360 mil ameaças por dia foram criadas em 2020