Uma visão moderna do filme Hackers

Para marcar o aniversário de 25 anos do filme, examinamos Hackers no contexto da segurança da informação atual.

Vários equívocos comuns impedem a adoção generalizada da cultura de cibersegurança. Um mito – o de que hackers são realmente inteligentes, então é inútil combatê-los – foi popularizado em particular pelo filme Hackers, lançado há exatamente um quarto de século. O filme deu origem a um conjunto de clichês ainda usados pela indústria cinematográfica.

Na verdade, os heróis desajustados do filme e seu adversário, Plague, um especialista em segurança da informação na Ellingson Mineral, são retratados como geeks altamente inteligentes, capazes de encontrar e explorar vulnerabilidades em qualquer sistema de informação.

Por exemplo, o personagem principal fica igualmente à vontade para invadir um banco de dados escolar e a rede de uma operadora de cabo. Phantom Phreak faz ligações de telefones públicos para a Venezuela sem pagar um centavo. Até Joey, o hacker mais jovem e menos experiente do grupo, consegue obter acesso ao supercomputador Gibson na Ellingson Mineral. Tudo parece bastante impressionante (para 1995), mas vamos dar uma olhada mais de perto nas realizações da equipe.

Invadindo uma estação de TV

O protagonista, Dade (também conhecido como Crash Override), invade a rede de uma estação de TV para substituir um programa monótono por algo mais cativante. Ele faz isso ligando para o guarda noturno, fingindo ser um contador que precisava acessar seu computador que pede ao funcionário para ler o número de telefone no modem dial-up.

Por um lado, é engenharia social básica. Por outro lado, é uma loucura por parte da empresa – e nem estou falando sobre a infelicidade do guarda. Por que o computador do contador está na mesma rede que controla a transmissão? Por que ele tem um modem esperando constantemente por uma chamada? Por que o número de telefone está escrito no modem?

Enquanto a invasão está acontecendo, outro hacker já está dentro da rede corporativa: Kate, também conhecida como Acid Burn. Como ela chegou lá? Bem, a empresa provavelmente possui outros computadores com modems expostos.

Hackeando o Gibson

O hacker novato Joey invade o supercomputador Gibson. Ou seja, ele se conecta através de um modem doméstico usando a senha super segura da conta do chefe de RP (ai, meu Deus). Isso apesar de todos os personagens do filme (incluindo o referido chefe de RP e Plague, que é responsável pela segurança da empresa) saberem que as senhas mais comuns na realidade deste filme são amor, segredo, sexo e deus. Além do mais, o responsável pela área de relações públicas tem credenciais de superusuário por algum motivo inexplicável. Ao todo, a “grande” conquista dos hackers tem menos a ver com engenhosidade do que com irresponsabilidade corporativa.

A trapaça de Plague

O enredo do filme gira em torno do esquema subversivo do hacker Plague, que trabalha na Ellingson Mineral. Ele desenvolve um malware para cortar alguns centavos de cada transação da empresa e transfere a diferença para uma conta secreta nas Bahamas. Isso poderia ter sido um enredo original, se um esquema semelhante não tivesse sido apresentado 12 anos antes no filme Superman III. Por alguma razão, todos descrevem o malware como um worm, embora o filme não diga nada sobre sua distribuição e replicação.

Com base nessas informações, podemos realmente considerar Plague um gênio do cibercrime? Dificilmente. Ele chefia a segurança da informação em uma empresa onde ninguém além dele tem a menor ideia sobre o assunto. E ele está em conluio com o chefe do departamento de RP, efetivamente fazendo vista grossa? É um ataque interno; o problema não é tanto de um lapso na cibersegurança, mas sim da política de recrutamento da empresa.

Vírus Da Vinci

Quando Joey acidentalmente baixa parte do “worm”, Plague lança um vírus (novamente, não está claro se é realmente um vírus, ou se os escritores apenas gostaram de como o novo termo soava para a maioria dos espectadores em 1995) chamado Da Vinci. O malware se apodera do controle remoto dos petroleiros da empresa, com o potencial de os capotar bombeando água para os tanques de lastro. Na verdade, porém, o “vírus” é uma isca falsa.

Plague está simplesmente o utilizando para (a) desviar a atenção do “worm” que caça dinheiro; (b) acusar Joey e amigos de invadir a empresa e, em última instância, culpá-los pelo “worm”; e (c) entregá-los para o Serviço Secreto, entrar no computador de Joey e descobrir quais informações vazaram – além de ganhar tempo para o malware desviar mais dinheiro.

Na verdade, esse “vírus” é muito futurista para aquela época. Para começar, a própria ideia de uma embarcação em alto mar estar permanentemente conectada aos sistemas de navegação da operadora em 1995 é loucura. Primeiro, a internet não é necessária para a navegação hoje ou naquela época; o sistema GPS já estava totalmente operacional e disponível para os civis.

Em segundo lugar, para um navio estar constantemente online em meados da década de 1990, é brincar com a realidade. A transferência de dados por satélite ainda não existia; teria exigido uma conexão de modem permanente – e proibitivamente cara – por uma linha de voz.

Além disso, os petroleiros (que podem ser classificados como infraestrutura crítica) não possuem sistemas manuais de backup para controle de injeção de água de lastro. O processo é totalmente informatizado. Por falar nisso, um computador é perfeitamente capaz de falhar, mesmo sem malware. Em suma, para que o vírus Da Vinci funcionasse, alguém teria que estabelecer uma base longa e laboriosa para sabotar o navio mercante, inclusive na fase de projeto do navio.

Preparando para o confronto

Os protagonistas decidem parar o ataque covarde do Da Vinci e obter o código completo do “worm” para descobrir para onde o dinheiro roubado está sendo transferido. Seus preparativos são minuciosos. Mas aqui o filme começa a sair dos trilhos.

O hacker Cereal Killer se faz passar por um funcionário da companhia telefônica, se infiltra no prédio do Serviço Secreto dos Estados Unidos e planta um bug lá. (Por que nenhum dos funcionários, supostamente profissionais, suspeita de um adolescente com calças compridas é um mistério, assim provoca incredulidade fora das telas.)

Dade e Kate vasculham o lixo do Ellingson Mineral e roubam alguns papéis. Isso é verossímil – até hoje nem todas as empresas monitoram como e onde seu lixo é jogado. Mas uma leitura atenta dos documentos descartados fornece com folga até 50 senhas que podem ser usadas para penetrar nos sistemas corporativos. Isso não é um vazamento, é uma inundação.

A batalha final por Gibson

Os personagens principais pedem ajuda à comunidade hacker e, juntos, bombardeiam o supercomputador com vírus. Nesse ponto, o filme finalmente perdeu toda a conexão com a realidade. Infelizmente, não sabemos nada sobre a arquitetura dos sistemas de informação do Ellingson Mineral e, portanto, não conseguimos entender como uma multidão de invasores pode se conectar simultaneamente ao Gibson, fazer upload de uma variedade de vírus e baixar o “worm”.

Não está nem mesmo claro se eles agiram por meio de uma conexão à internet ou diretamente aos modems internos da empresa. De qualquer maneira, Plague consegue identificar a origem dos ataques.

Nesse ponto, a curiosa frase “Vírus múltiplos GPI e FSI” é ouvida. GPI significa General Purpose Infectors, um nome há muito desatualizado para vírus que podem ser incorporados em qualquer arquivo executável. FSIs, ou File Specific Infectors, são vírus que atacam arquivos de um determinado formato. Em outras palavras, a frase basicamente significa que a equipe de segurança pode detectar muitos vírus.

Chamadas internacionais

Ao longo do filme, o hacker conhecido como Phantom Phreak usa telefones públicos gratuitamente. A técnica, que parece menos plausível do ponto de vista de 2020, é na verdade a mais confiável. Naquela época, o phreaking – invadir sistemas de telefonia – era uma parte essencial da cultura hacker, daí o nome Phantom Phreak.

Para fazer ligações gratuitas, ele usa um dispositivo que gera tons para simular moedas sendo inseridas no telefone, uma manobra conhecida como red boxing. Realmente funcionou, e as instruções circularam amplamente nas comunidades de hackers, mesmo na era pré-Internet. Pensando que moedas haviam sido jogadas, os telefones públicos sinalizavam para o sistema de cobrança quantos minutos deviam dar ao phreaker.

Em 1995, o red boxing já estava em declínio. As companhias telefônicas, cientes da vulnerabilidade, estavam ocupadas implementando tecnologias de proteção como filtros de frequência, duplicação em canais digitais e maneiras de verificar fisicamente o número de moedas inseridas. Mas o red boxing ainda estava em jogo na época do lançamento do filme.

Equipamento

O equipamento usado pelos hackers é de especial interesse. Kate, vindo de uma família rica, trabalha em um laptop P6, que ela diz ser “três vezes mais rápido do que um Pentium”. Essa é uma referência ao Pentium Pro, o primeiro microprocessador x86 de sexta geração da Intel. Naquela época, era realmente o chip mais poderoso do mundo e foi lançado, como o filme, em 1995. E o modem de Kate podia atingir uma velocidade de 28.800 kbps – outro dispositivo que era o melhor da época.

Porém, um exame mais atento revela que, ao se conectar por meio de cabines telefônicas públicas, os protagonistas utilizam o que parece ser um acoplador acústico, que converte os sinais acústicos em digitais. Essa é uma engenhoca extremamente não confiável que suportava apenas 1.200 kbps e em 1995 estava irremediavelmente desatualizada. Ainda assim, parece impressionante.

Pura fantasia

Outros momentos do filme também levam a imaginação a outro patamar. Entre outras coisas, os hackers perseguem um agente do governo e conseguem:

  • bloqueiam seu cartão de crédito;
  • adicionam multas de trânsito falsas ao seu registro;
  • o declaram como morto na base de dados do Serviço Secreto.

Não está claro como eles conseguem fazer tudo isso, porém é mais uma prova da incompetência do banco, da polícia e do Serviço Secreto do que da engenhosidade dos hackers. O único truque convincente que usam é postar um anúncio obsceno em um site de relacionamento. Mas isso não requer habilidades de hacker, apenas um senso de humor particular.

E o final não estaria completo sem os anti-heróis causando o caos ao hackear os semáforos da cidade. Clássico.

Resultado final

Mesmo os hackers das telas não são super humanos; eles simplesmente exploram os erros e a estupidez dos outros. E a maioria dos invasores da vida real são ainda menos sofisticados, dificilmente gênios do mal. Nossa plataforma de treinamento Kaspersky Automated Security Awareness  ajuda a esclarecer isso e muitos outros equívocos, ensinando os funcionários a evitar erros óbvios.

Dicas