fbpx

SEGUICI SU:

DELLO STESSO AUTORE

INSTAGRAM

CORRELATI

Mr Robot: gli attacchi della quarta stagione

Anche le cose belle devono (purtroppo) finire. Mr Robot ci ha regalato 4 stagioni piene di emozioni ed è giunta al termine lo scorso Dicembre, lasciando un vuoto che poche altre serie potranno colmare. Oltre a possedere una grande profondità e un’importante componente psicologica, è stata apprezzata dagli appassionati di informatica di tutto il mondo per il modo realistico in cui ha rappresentato il mondo dell’hacking e della cyber security.

Anche questa stagione ci ha regalato dei momenti informatici davvero interessanti, e non potevamo non analizzare i più belli insieme a voi. Come per gli altri articoli dedicati agli attacchi delle precedenti stagioni, ricordiamo che l’articolo non contiene spoiler, né entra nel merito delle situazioni o nomina personaggi che non siano quelli conosciuti dal primo episodio della serie.

Se non lo avete già fatto, vi consigliamo di rivivere gli attacchi della prima stagione, quelli della seconda e quelli della terza prima di tuffarvi in questo articolo. Se invece siete già pronti, non vi resta che continuare a leggere!

Prima di cominciare: i titoli degli episodi

Tra i tanti dettagli che apprezziamo di Mr Robot ci sono i titoli degli episodi. Come per le prime tre stagioni, i nomi delle puntate non sono affatto casuali, e quelli della quarta sono forse la “tranche” più interessante tra le stagioni.

Credits: lowendguide.com

Ogni titolo corrisponde a un codice di stato HTTP, partendo dal 401 fino al 410. E ogni episodio riflette, in uno o più personaggi, il significato del codice esplicitato nel titolo. Una cosa che vale la pena sottolineare è che sono tutti codici che si riferiscono a errori client: astraendo, si può attribuire questa scelta al voler porre l’attenzione sull’importanza delle azioni dei personaggi, e come queste comportino una conseguenza sul mondo o sugli altri. Il punto di vista si concentra sul singolo e non sull’esterno, a sottolineare come sia l’uno a plasmare il mondo e non il contrario, e come sia lui il responsabile delle proprie azioni.

2015 exploit

Uno dei primi attacchi che vediamo in questa stagione è il 2015 exploit, conosciuto anche come sticky keys exploit. L’hack permette di resettare la password di amministratore della macchina Windows, ottenendo quindi il controllo completo. Per farlo è sufficiente effettuare il boot del sistema da un disco di ripristino, aprire il il prompt dei comandi e rimpiazzare l’eseguibile sethc.exe (sotto C:\Windows\System32) con cmd.exe. A questo punto premendo 5 volte il tasto Shift – che normalmente attiva l’esecuzione di sethc.exe – nella schermata di login, viene lanciato il prompt dei comandi con privilegi di amministratore. L’hacker, in questo caso il nostro Elliot, è in grado quindi di resettare la password e accedere con le nuove credenziali della vittima.

Credits: cyphar on Reddit

A questo punto vediamo in esecuzione il tool ffpass: scritto in python, viene utilizzato per importare ed esportare le password dai browser. Elliot lo usa per esportarle sul suo profilo Iceweasel, con l’obiettivo di accedere ad una VPN.

Audio sorveglianza e SDR

Procedendo nella stagione assistiamo a un episodio di audio sorveglianza. Nell’episodio vediamo l’attaccante che gestisce un ricevitore SDR (RTL Software-Defined Radio). In questo tipo di sistema le componenti quali mixer, amplificatori, modulatori/demodulatori, generalmente implementati come hardware, sono invece implementati come software su un computer o un sistema embedded (ad esempio un Raspberry).

Il software GQRX utilizzato per monitorare la cimice attaccata alla vittima. Credits: rtl-sdr.com
Il software GQRX utilizzato per monitorare la cimice attaccata alla vittima. Credits: rtl-sdr.com

In Mr Robot l’hacker utilizza Gqrx, un software open source per gestire il ricevitore RTL SDR. Il software sfrutta la utility rtl_tcp, che permette appunto il controllo remoto dell’SDR.

Stampanti 3D, fuming e hack di PLC

In un episodio successivo vediamo la stampa, tramite stampante 3D, di un’impronta digitale, utilizzata poi per accedere ad un’area protetta dello stabile in cui si svolge l’azione. Sebbene non sia esattamente un hack informatico, è interessante approfondire come viene svolto.

Dopo aver ottenuto l’impronta digitale tramite social engineering, Darlene utilizza la tecnica del fuming. Questa tecnica consiste nell’utilizzare una fonte di calore (in questo caso un fornello), della supercolla posta su di esso (o in generale, un Cinoacrilato) e un bicchiere d’acqua e chiuderli in un contenitore. Il vapore generato dall’operazione fa sì che l’impronta aderisca alla superficie su cui si trova e possa essere utilizzata. Terminato ciò, Darlene la scansiona e la invia al pc sul quale Elliot utilizza Photoshop per fare estrusione 3D dell’immagine. In seguito esporta il file in .GCODE e, con la stampante 3D, ottiene l’impronta “fisica” da cui poi fa il calco.

La tecnica del fuming.

Se vi sembra irrealistico, sappiate che c’è chi lo ha fatto davvero. Lo scorso anno un utente ha postato un video in cui mostrava come, tramite la stampa della sua impronta digitale, fosse riuscito a sbloccare il suo Galaxy S10.

Una volta nella stanza dei server, Darlene accede a una console e cerca l’indirizzo del server di autenticazione per potersi aggiungere come utente amministratore, così da poter accedere da remoto quando ne avrà bisogno. Nel frattempo Elliot riesce ad hackerare il sistema PLC che controlla anche le luci. Tramite l’IP riesce ad accedere alla console di amministrazione del sistema e programma lo spegnimento delle luci per permettere a lui e Darlene di scappare senza essere visti.

Il pannello di amministrazione del sistema PLC. Nel dettaglio, gli scheduler delle luci.

Vishing e Signal

Nel sesto episodio assistiamo al vishing (voice phishing). È sostanzialmente il phishing, ma portato avanti attraverso una linea telefonica e non tramite email o link. Tramite il vishing Elliot, utilizzando un’app di monitoraggio di sessioni SSL, è in grado di accedere all’email e password della vittima che è stata appena indotta ad aprire una sessione.

Il dettaglio della sessione SSL della vittima, con le credenziali cercate da Elliot.
Il dettaglio della sessione SSL della vittima, con le credenziali cercate da Elliot.

Nell’episodio vediamo anche l’app Signal, una piattaforma di messaggistica open source che fornisce crittografia end-to-end sia per i messaggi testuali che vocali. Una feature interessante dell’app è la possibilità di specificare un certo lasso di tempo dopo il quale un messaggio o un’intera conversazione vengono cancellati definitivamente, senza che il destinatario possa fare qualcosa.

L’app signal utilizzata in Mr Robot. Credits: Reddit@MI8201

Un’altra feature interessante, utilizzata anche nella serie, è quella delle safety words scambiate quando avviene una chiamata tra due persone. Quando un utente chiama l’altro, i due telefoni comunicano per autenticarsi e scambiarsi una chiave tramite il protocollo ZRTP (N.B.: attualmente Signal non utilizza più questo protocollo. Nel 2015, anno in cui la serie è ambientata, era invece ancora in uso). Storicamente il primo standard per la sicurezza della comunicazione telefonica, si basa sulla verifica verbale di un codice di sicurezza. Questo codice, chiamato SAS (Short Authentication String) altri non è che due parole che vengono comunicate ai due interlocutori. La pratica più comune prevede che uno dei due partecipanti dica la prima parola, il secondo verifichi che sia quella, e poi a sua volta dica la seconda parola. Se anche questa è corretta procedono con la chiamata, cifrata col protocollo SRTP.

IMSI Catcher, Phishing e trasferimenti di denaro

Elliot si connette a un ripetitore per controllare il traffico telefonico e individuare l’IMSI delle vittime. La sigla, che sta per International Mobile Subscriber Identity, indica un numero univoco che identifica ogni utente di telefonia mobile, ed è memorizzato nella SIM. Per fare ciò il protagonista fa uso di un IMSI Catcher, ovvero un dispositivo utilizzato per intercettare il traffico telefonico e altri dati dei device. Questo agisce come un “finto ripetitore”, simulandone il comportamento e facendo connettere i telefoni ad esso. Affinché i dispositivi mobile si connettano ad esso il Catcher necessita di trasmettere un segnale più forte dei ripetitori vicini. Il traffico dei telefoni viene poi redirezionato verso la cella più vicina, in modo che continui a funzionare.

A questo punto, poiché non solo i cellulari delle vittime si connettono al Catcher ma anche tutti quelli nelle vicinanze, è necessario individuare quali sono gli IMSI cercati. Darlene esegue uno script Python che, per ogni numero intercettato dal Catcher, ricerca la corrispondenza nel database dove si trovano le informazioni delle vittime.

Lo script Python con sqlcmd utilizzato per individuare il numero di telefono della vittima.
Lo script Python con sqlcmd utilizzato per individuare il numero di telefono delle vittime e ottenere le informazioni su di esse.

Una volta individuato l’account tramite il numero di telefono Darlene recupera l’indirizzo email delle vittime, alle quali invia una mail di phishing per ottenere le credenziali di login dell’account bancario e i codici 2FA (2-Factor Authentication) delle vittime. L’obiettivo? Effettuare uno spostamento di denaro dal conto. Sullo schermo vediamo il seguente comando:

sendph1shemail -f procliamse@riseup.net -r gallatin.txt -s URGENT: a flaw in SSL has been detected, VPN login required

Lo script viene lanciato passandogli procliamse@riseup.net come argomento, che sarà l’indirizzo email del mittente. La mail viene inviata a tutti gli indirizzi presenti nel file gallatin.txt con l’oggetto specificato.

A questo punto le vittime iniziano il processo di login al proprio account, avvertite dalla mail. Grazie all’IMSI Catcher, Darlene entra in possesso dei token MFA delle vittime e li utilizza per dare il via allo spostamento di denaro.

Lo script python che utilizza il token MFA intercettato e invia una richiesta di trasferimento di denaro al sito della banca.

Doxxing, Rubber Ducky e Apple IIe

Nel corso della serie assistiamo anche al Doxxing (o Doxing). È una pratica diffusa su Internet che consiste nel rendere pubbliche informazioni personali e private di un singolo o un’organizzazione, in modo che la vittima sia identificabile. È conseguenza di azioni quali hacking o social engineering, utilizzato per social shaming o anche come forma di hacktivism nei confronti di criminali. Lo scopo, in ogni caso, è quello di perseguire e denigrare pubblicamente qualcuno.

Un altro attacco a cui assistiamo è quello che fa utilizzo di una “rubber ducky”, ovvero un device utilizzato per fare keystroke injection. È una chiavetta USB che, una volta inserita nel PC, si registra come tastiera ed è in grado di eseguire un payload maligno sulla macchina. È uno degli attacchi più semplici, ma non per questo meno pericoloso di altri. In Mr Robot, Elliot utilizza una Digispark come rubber ducky, ovvero un microcontrollore ATtiny85, simile a un Arduino.

Il microcontrollore ATtiny 85. Credits: vice.com

Per finire vogliamo soffermarci su un “pezzo d’antiquariato” che vediamo nella serie. Stiamo parlando dell’Apple IIe, il terzo modello della serie di PC Apple II. Distribuito a partire dal 1983, questo modello si è guadagnato il titolo di PC più longevo nella storia di Apple: è stato venduto per ben 11 anni di seguito.

L’apple IIe nella serie Mr Robot. Credits: Reddit@antdude

Tra le feature troviamo l’aggiunta del set ASCII completo e della tastiera, oltre che la possibilità di inserire e visualizzare anche le lettere minuscole.

In Mr Robot nulla è lasciato al caso, neanche il più piccolo particolare. Nel caso di Apple IIe abbiamo scoperto un easter egg molto simpatico: nel 1983 venne pubblicato un gioco per PC chiamato Mr Robot and his Robot Factory. Il gioco era stato implementato per il Commodore 64 e… per l’Apple IIe.

Il videogioco Mr Robot and his Robot Factory. Credits: qwant.com

Goodbye, friend

Salutare Mr Robot non è facile. Ci sono tante ragioni per cui ci siamo sentiti vicini ai personaggi e alla storia, e adesso che è finita lascerà un vuoto nei cuori dei fan di tutto il mondo.

Il mondo dell’hacking è riuscito a riscattarsi, dopo anni di film e serie in cui vedevamo il solito schermo nero con scritte verdi prive di senso. A noi informatici ha lasciato tanti spunti di riflessione sugli attacchi, voglia di imparare e di mettersi in gioco.

Vi lasciamo con un invito: riprendete in mano la serie e osservatela con un occhio diverso. Analizzate gli attacchi, studiateli, individuatene i difetti e poi tornate a parlarcene. Vi aspettiamo!

Thanks to vice.com

CUE FACT CHECKING

Grazie per essere arrivato fin qui

Per garantire lo standard di informazione che amiamo abbiamo dato la possibilità ai nostri lettori di sostenerci, dando la possibilità di:
- leggere tutti gli articoli del network (10 siti) SENZA banner pubblicitari
- proporre ai nostri team le TEMATICHE da analizzare negli articoli

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here

Marina Londei
Laureata in Ingegneria e Scienze Informatiche, unisco la passione per la scrittura al mio lavoro.