Mr Robot attacchi stagione 4
Anche le cose belle devono (purtroppo) finire. Mr Robot ci ha regalato 4 stagioni piene di emozioni ed è giunta al termine lo scorso Dicembre, lasciando un vuoto che poche altre serie potranno colmare. Oltre a possedere una grande profondità e un’importante componente psicologica, è stata apprezzata dagli appassionati di informatica di tutto il mondo per il modo realistico in cui ha rappresentato il mondo dell’hacking e della cyber security.
Anche questa stagione ci ha regalato dei momenti informatici davvero interessanti, e non potevamo non analizzare i più belli insieme a voi. Come per gli altri articoli dedicati agli attacchi delle precedenti stagioni, ricordiamo che l’articolo non contiene spoiler, né entra nel merito delle situazioni o nomina personaggi che non siano quelli conosciuti dal primo episodio della serie.
Se non lo avete già fatto, vi consigliamo di rivivere gli attacchi della prima stagione, quelli della seconda e quelli della terza prima di tuffarvi in questo articolo. Se invece siete già pronti, non vi resta che continuare a leggere!
Tra i tanti dettagli che apprezziamo di Mr Robot ci sono i titoli degli episodi. Come per le prime tre stagioni, i nomi delle puntate non sono affatto casuali, e quelli della quarta sono forse la “tranche” più interessante tra le stagioni.
Ogni titolo corrisponde a un codice di stato HTTP, partendo dal 401 fino al 410, e ogni episodio riflette, in uno o più personaggi, il significato del codice esplicitato nel titolo. Una cosa che vale la pena sottolineare è che sono tutti codici che si riferiscono a errori client: astraendo, si può attribuire questa scelta al voler porre l’attenzione sull’importanza delle azioni dei personaggi, e come queste comportino una conseguenza sul mondo o sugli altri. Il punto di vista si concentra sul singolo e non sull’esterno, a sottolineare come sia l’uno a plasmare il mondo e non il contrario, e come sia lui il responsabile delle proprie azioni.
Uno dei primi attacchi che vediamo in questa stagione è il 2015 exploit, conosciuto anche come sticky keys exploit. L’hack permette di resettare la password di amministratore della macchina Windows, ottenendo quindi il controllo completo. Per farlo è sufficiente effettuare il boot del sistema da un disco di ripristino, aprire il il prompt dei comandi e rimpiazzare l’eseguibile sethc.exe (sotto C:\Windows\System32) con cmd.exe. A questo punto premendo 5 volte il tasto Shift – che normalmente attiva l’esecuzione di sethc.exe – nella schermata di login, viene lanciato il prompt dei comandi con privilegi di amministratore. L’hacker, in questo caso il nostro Elliot, è in grado quindi di resettare la password e accedere con le nuove credenziali della vittima.
A questo punto vediamo in esecuzione il tool ffpass: scritto in Python, viene utilizzato per importare ed esportare le password dai browser. Elliot lo usa per esportarle sul suo profilo Iceweasel, con l’obiettivo di accedere ad una VPN.
Procedendo nella stagione assistiamo a un episodio di audio sorveglianza. Nell’episodio vediamo l’attaccante che gestisce un ricevitore SDR (RTL Software-Defined Radio). In questo tipo di sistema le componenti quali mixer, amplificatori, modulatori/demodulatori, generalmente implementati come hardware, sono invece implementati come software su un computer o un sistema embedded (ad esempio un Raspberry).
In Mr Robot l’hacker utilizza Gqrx, un software open source per gestire il ricevitore RTL SDR. Il software sfrutta la utility rtl_tcp, che permette appunto il controllo remoto dell’SDR.
In un episodio successivo vediamo la stampa, tramite stampante 3D, di un’impronta digitale, utilizzata poi per accedere ad un’area protetta dello stabile in cui si svolge l’azione. Sebbene non sia esattamente un hack informatico, è interessante approfondire come viene svolto.
Dopo aver ottenuto l’impronta digitale tramite social engineering, Darlene utilizza la tecnica del fuming. Questa tecnica consiste nell’utilizzare una fonte di calore (in questo caso un fornello), della supercolla posta su di esso (o in generale, un Cinoacrilato) e un bicchiere d’acqua e chiuderli in un contenitore. Il vapore generato dall’operazione fa sì che l’impronta aderisca alla superficie su cui si trova e possa essere utilizzata. Terminato ciò, Darlene la scansiona e la invia al pc sul quale Elliot utilizza Photoshop per fare estrusione 3D dell’immagine. In seguito esporta il file in .GCODE e, con la stampante 3D, ottiene l’impronta “fisica” da cui poi fa il calco.
Se vi sembra irrealistico, sappiate che c’è chi lo ha fatto davvero. Lo scorso anno un utente ha postato un video in cui mostrava come, tramite la stampa della sua impronta digitale, fosse riuscito a sbloccare il suo Galaxy S10.
Una volta nella stanza dei server, Darlene accede a una console e cerca l’indirizzo del server di autenticazione per potersi aggiungere come utente amministratore, così da poter accedere da remoto quando ne avrà bisogno. Nel frattempo Elliot riesce ad hackerare il sistema PLC che controlla anche le luci. Tramite l’IP riesce ad accedere alla console di amministrazione del sistema e programma lo spegnimento delle luci per permettere a lui e Darlene di scappare senza essere visti.
Nel sesto episodio assistiamo al vishing (voice phishing). È sostanzialmente il phishing, ma portato avanti attraverso una linea telefonica e non tramite email o link. Tramite il vishing Elliot, utilizzando un’app di monitoraggio di sessioni SSL, è in grado di accedere all’email e password della vittima che è stata appena indotta ad aprire una sessione.
Nell’episodio vediamo anche l’app Signal, una piattaforma di messaggistica open source che fornisce crittografia end-to-end sia per i messaggi testuali che vocali. Una feature interessante dell’app è la possibilità di specificare un certo lasso di tempo dopo il quale un messaggio o un’intera conversazione vengono cancellati definitivamente, senza che il destinatario possa fare qualcosa.
Un’altra feature interessante, utilizzata anche nella serie, è quella delle safety words scambiate quando avviene una chiamata tra due persone. Quando un utente chiama l’altro i due telefoni comunicano per autenticarsi e scambiarsi una chiave tramite il protocollo ZRTP (N.B.: attualmente Signal non utilizza più questo protocollo. Nel 2015, anno in cui la serie è ambientata, era invece ancora in uso). Storicamente il primo standard per la sicurezza della comunicazione telefonica, si basa sulla verifica verbale di un codice di sicurezza. Questo codice, chiamato SAS (Short Authentication String), altro non è che due parole che vengono comunicate ai due interlocutori. La pratica più comune prevede che uno dei due partecipanti dica la prima parola, il secondo verifichi che sia quella, e poi a sua volta dica la seconda parola. Se anche questa è corretta procedono con la chiamata, cifrata col protocollo SRTP.
Elliot si connette a un ripetitore per controllare il traffico telefonico e individuare l’IMSI delle vittime. La sigla, che sta per International Mobile Subscriber Identity, indica un numero univoco che identifica ogni utente di telefonia mobile, ed è memorizzato nella SIM. Per fare ciò il protagonista fa uso di un IMSI Catcher, ovvero un dispositivo utilizzato per intercettare il traffico telefonico e altri dati dei device. Questo agisce come un “finto ripetitore”, simulandone il comportamento e facendo connettere i telefoni ad esso. Affinché i dispositivi mobile si connettano ad esso il Catcher necessita di trasmettere un segnale più forte dei ripetitori vicini. Il traffico dei telefoni viene poi redirezionato verso la cella più vicina, in modo che continui a funzionare.
A questo punto, poiché non solo i cellulari delle vittime si connettono al Catcher ma anche tutti quelli nelle vicinanze, è necessario individuare quali sono gli IMSI cercati. Darlene esegue uno script Python che, per ogni numero intercettato dal Catcher, ricerca la corrispondenza nel database dove si trovano le informazioni delle vittime.
Una volta individuato l’account tramite il numero di telefono Darlene recupera l’indirizzo email delle vittime, alle quali invia una mail di phishing per ottenere le credenziali di login dell’account bancario e i codici 2FA (2-Factor Authentication) delle vittime. L’obiettivo? Effettuare uno spostamento di denaro dal conto. Sullo schermo vediamo il seguente comando:
sendph1shemail -f procliamse@riseup.net -r gallatin.txt -s URGENT: a flaw in SSL has been detected, VPN login required
Lo script viene lanciato passandogli procliamse@riseup.net come argomento, che sarà l’indirizzo email del mittente. La mail viene inviata a tutti gli indirizzi presenti nel file gallatin.txt con l’oggetto specificato.
A questo punto le vittime iniziano il processo di login al proprio account, avvertite dalla mail. Grazie all’IMSI Catcher, Darlene entra in possesso dei token MFA delle vittime e li utilizza per dare il via allo spostamento di denaro.
Nel corso della serie assistiamo anche al Doxxing (o Doxing). Questa è una pratica diffusa su Internet che consiste nel rendere pubbliche informazioni personali e private di un singolo o di un’organizzazione, in modo che la vittima sia identificabile. È conseguenza di azioni quali hacking o social engineering, utilizzato per social shaming o anche come forma di hacktivism nei confronti di criminali. Lo scopo, in ogni caso, è quello di perseguire e denigrare pubblicamente qualcuno.
Un altro attacco a cui assistiamo è quello che fa utilizzo di una “rubber ducky”, ovvero un device utilizzato per fare keystroke injection. È una chiavetta USB che, una volta inserita nel PC, si registra come tastiera ed è in grado di eseguire un payload maligno sulla macchina. È uno degli attacchi più semplici, ma non per questo meno pericoloso di altri. In Mr Robot Elliot utilizza una Digispark come rubber ducky, ovvero un microcontrollore ATtiny85, simile a un Arduino.
Per finire vogliamo soffermarci su un “pezzo d’antiquariato” che vediamo nella serie. Stiamo parlando dell’Apple IIe, il terzo modello della serie di PC Apple II. Distribuito a partire dal 1983, questo modello si è guadagnato il titolo di PC più longevo nella storia di Apple: è stato venduto per ben 11 anni di seguito.
Tra le feature troviamo l’aggiunta del set ASCII completo e della tastiera, oltre che la possibilità di inserire e visualizzare anche le lettere minuscole.
In Mr Robot nulla è lasciato al caso, neanche il più piccolo particolare. Nel caso di Apple IIe abbiamo scoperto un easter egg molto simpatico: nel 1983 venne pubblicato un gioco per PC chiamato Mr Robot and his Robot Factory. Il gioco era stato implementato per il Commodore 64 e… per l’Apple IIe.
Salutare Mr Robot non è facile. Ci sono tante ragioni per cui ci siamo sentiti vicini ai personaggi e alla storia, e adesso che è finita lascerà un vuoto nei cuori dei fan di tutto il mondo.
Il mondo dell’hacking è riuscito a riscattarsi, dopo anni di film e serie in cui vedevamo il solito schermo nero con scritte verdi prive di senso. A noi informatici ha lasciato tanti spunti di riflessione sugli attacchi, voglia di imparare e di mettersi in gioco.
Vi lasciamo con un invito: riprendete in mano la serie e osservatela con un occhio diverso. Analizzate gli attacchi, studiateli, individuatene i difetti e poi tornate a parlarcene. Vi aspettiamo!
Thanks to vice.com