It's not a bug, it's a feature

Mr. Robot: gli attacchi della prima stagione

Mr. Robot è una delle serie più seguite degli ultimi tempi, con un record di ascolti già dalla prima stagione. È difficile non averla sentita almeno nominare, e sebbene può non essere il genere di chiunque, è indubbio che la robustezza della trama, i momenti di alta tensione e la cura per i dettagli rendono questa serie un vero gioiello.

Oltre ad essere un ottimo thriller, Mr. Robot contiene tanti riferimenti al mondo dell’informatica, il quale per tutte e tre le stagioni, è rimasto la colonna vertebrale della serie.

In occasione del termine della terza stagione, abbiamo preparato una lista di alcuni attacchi portati avanti nella serie, fornendone una spiegazione, in modo da essere comprensibili anche ai non addetti ai lavori. In generale, negli episodi non viene mai spiegato nei dettagli il come, e l’attacco viene solo nominato. In questo articolo troverete gli attacchi della prima stagione.

Leggete quindi se volete approfondire, o semplicemente rivivere, i momenti informatici più salienti della serie tv. Abbiamo volutamente evitato di spiegare situazioni o nominare altri personaggi oltre al protagonista, sia perché ciò esula dall’obiettivo dell’articolo, sia per evitare qualsiasi tipo di spoiler.

I primi episodi: l’attacco DDOS, il Trojan Horse e il tracking software

Iniziamo innanzitutto col dire che Elliot Alderson, protagonista della serie, utilizza per la maggior parte degli attacchi una particolare distribuzione di Linux che si chiama Kali, pensata per l’informatica forense e i cosiddetti “penetration testing.Si tratta sostanzialmente di attacchi autorizzati simulati sul sistema con l’obiettivo di testarne la sicurezza. Questa distribuzione offre accesso ad una larga collezione di tool per la sicurezza informatica, dal port scanning ai password cracker.

Kali Linux, la distribuzione pensata per l’informatica forense e i penetration testing. Credits: wikimedia.org

Il primo episodio di Mr. Robot si apre con un attacco DDOS ai danni della E-Corp, la multinazionale cliente della ditta per cui lavora Elliot. Il Denial Of Service (DoS) è un attacco che mira a rendere inutilizzabile una macchina o una rete all’utente (o agli utenti), interrompendo la fornitura del servizio all’host connesso a Internet. Tipicamente viene portato avanti inondando la macchina o la risorsa di richieste superflue, causando un overload del sistema e rendendo difficoltoso, se non impossibile, soddisfare le richieste legittime. Il DDOS è una variante di questo attacco in cui il traffico illegittimo proviene da diverse sorgenti (Distributed DoS(per maggiori approfondimenti, vi ricordiamo il nostro articolo su DoS e DDoS).  In questo caso fermare la minaccia è più complesso, in quanto non è sufficiente identificare e bloccare una sorgente singola.

Nel primo episodio Elliot usa anche un tool chiamato elpscrk, creato apposta per la serie, con il quale riesce a scoprire le password più banali. Lo strumento genera una lista di password e poi le prova una ad una, realizzando quindi il cosiddetto attacco brute force.

Il tool elpscrk in azione, usato da Elliot per scoprire le password più banali. Credits: codenstein

Nel secondo episodio vediamo un Trojan Horse in azione. Questo è un malware che nasconde il suo funzionamento in un programma apparentemente innocuo: installandolo, viene installato ed eseguito anche il codice malevolo. In questo caso è nascosto in un CD che viene acquistato dalla vittima, ingannata che sia un CD di musica autoprodotto. In realtà  contiene del codice che permette all’attaccante di avere accesso remoto al computer del malcapitato.

Nel terzo episodio uno dei protagonisti installa un tracking software nello smartphone della vittima. Il programma di tracking non viene specificato: può essere uno qualsiasi di quelli disponibili sul web. La cosa da notare è che viene scaricato ed installato tramite accesso fisico al device. In questo caso il software si trova in una scheda SD che viene inserita nel cellulare, che per di più fornisce i privilegi di root all’attaccante.

Il tracking software installato nello smartphone, utilizzato anche per ottenere i privilegi di root. Credits: null-byte.wonderhowto.com

Raspberry Pi, Social Engineering e Honeypot per una mid season coi fiocchi

Nel quinto episodio di Mr. Robot le cose si fanno davvero interessanti. Per prima cosa viene utilizzato un RFID (Radio Frequency Identification) che utilizza i campi elettromagnetici per ottenere le informazioni digitali delle ID Card. I protagonisti, per poter entrare nella struttura dove perpetreranno l’attacco, mettono l’RFID nella borsa di un impiegato, ottenendo i dati necessari dalla sua ID Card. Creando una copia della carta gli attaccanti sono poi in grado di accedere alla struttura. Una volta dentro connettono un Raspberry Pi al sistema di climatizzazione, con l’obiettivo di effettuare l’override dei comandi.

L’RFID utilizzato, nascosto in una borsa, per ottenere le informazioni digitali della carta dell’impiegato.

Elliot toglie il termostato dalla parete e inserisce il Raspberry. Se pensate che ciò possa essere difficile, se non addirittura un’utopia, vi sbagliate: in questo video viene infatti spiegato che i sistemi di controllo del clima sono privi di qualsiasi misura di sicurezza (o sono comunque molto basse), quindi non è difficile inviare dei comandi al termostato. Nel video viene inoltre spiegato che gli hacker della serie tv sono in grado di accedere al sistema compromesso semplicemente accedendo ad un sito web. Anche questo è plausibile: il sito da loro sfruttato è SHODAN (realmente esistente) che consente ad un utente di trovare sistemi di controllo del clima (e non solo) connessi ad Internet.

Il Raspberry Pi viene utilizzato per incrementare la temperatura interna inviando dei comandi ai sensori, con l’obiettivo di danneggiare il materiale presente nelle stanze.

L’installazione del Raspberry Pi, inserito nel buco dietro il termostato e collegato ad esso. Credits: github.com/AnarchoTechNYC

In questo episodio si fa utilizzo anche del social engineering, conosciuto anche come human hacking. Questo tipo di attacco mira ad ottenere informazioni utili di una persona studiandone il comportamento, in modo da fare leva sulle sue debolezze, particolarità e relazioni per ottenere qualcosa. Proprio come si farebbe con un computer, si sfruttano le vulnerabilità della vittima. Nell’episodio vengono inviati dei messaggi tramite il tool social engineering toolkit, fingendosi uno specifico mittente vicino alla vittima. In questo modo gli attaccanti allontanano un dipendente scomodo che gli avrebbe impedito di proseguire con il loro piano di intrusione.

Nel sesto episodio vengono utilizzate delle chiavette USB. Non sono USB normali: si tratta delle cosiddette BadUSB, che si connettono come se fossero una tastiera e scrivono e inviano comandi malevoli al computer della vittima. Elliot utilizza questo espediente collegandosi tramite bluetooth all’USB e invia i comandi al computer designato. Il protagonista utilizza un tool chiamato bluesniff, utilizzato per scoprire device bluetooth, sia visibili che nascosti.

Bluesniff, il tool utilizzato in Mr Robot per scoprire device bluetooth. Credits: hackertarget.com

Nell’ ottavo episodio viene utilizzato un honeypot che, sebbene non venga usato generalmente per attacchi informatici, è interessante da analizzare. L’honeypot è un sistema o componente (hardware o software) che viene usato come trappola per proteggersi dagli attacchi. Generalmente è un computer o un sito che sembra contenere informazioni preziose ed essere parte della rete. In realtà il sistema è isolato e ben monitorato, e i dati che possiede fungono soltanto da esca per gli attaccanti.

Gran finale di stagione per Mr. Robot: crittografia AES-128

Negli episodi finali vediamo l’AES-128 encryption per criptare una grande quantità di dati. La chiave di decifrazione viene poi distrutta, rendendo le informazioni inaccessibili: ciò è chiaramente molto peggio della cancellazione dei dati. AES sta per Advanced Encryption Standard ed è un algoritmo di cifratura a blocchi. Il nome deriva dal modo in cui opera: usa infatti gruppi di bit di lunghezza predefinita, organizzati in blocco. È un tipo di crittografia simmetrica in quanto utilizza la stessa chiave sia per cifrare che per decifrare i dati. La lunghezza dei blocchi è di 128 bit così come, generalmente, la chiave, la quale però può anche aumentare a 192 o 256 bit.

Con la fine della prima stagione si conclude l’articolo. Vi diamo appuntamento ai prossimi con l’analisi dei restanti attacchi presenti nelle ultime due stagioni di Mr. Robot.

Published by
Marina Londei