Przeskocz do treści

Hakowanie w polskich serialach i filmach

Logo - osoba w kapturze siedząca przy komputerzeZastanawiałeś się kiedyś ile wspólnego z rzeczywistością mają sceny hakowania prezentowane w polskich serialach i filmach? Czy wykorzystywane przez bohaterów narzędzia i aplikacje pokrywają się z tymi, z których w rzeczywistości korzystają hakerzy oraz walczący z nimi specjaliści ds. cyberbezpieczeństwa? Czy producenci filmowi przykładają uwagę do szczegółów, a może dają ponieść się wodzy wyobraźni?

Poniższy artykuł powstał na bazie prezentacji „Czego o hakowaniu można dowiedzieć się z polskich seriali i filmów?” stworzonej na konferencję Confidence 2019 (organizowaną przez PROIDEA), odbywającą się w dniach 3-4 czerwca 2019 roku w Krakowie. Informacje odnośnie produkcji seriali i filmów zostały zaczerpnięte ze strony http://www.filmpolski.pl

Oprócz lektury samego artykułu zachęcam do obejrzenia nagrania prezentacji.

Emacsem przez Sendmail

Jestem świadomy istnienia takich dzieł jak film „Haker” (który powstał w 2002 roku i został wyreżyserowany przez Janusza Zaorskiego) oraz serialu „Ekstradycja 3” (stworzonego w 1998 roku, wyreżyserowanego przez Wojciecha Wójcika). Ekranizacje poczynań „McFly’a” oraz „Ćmy” mają kolejno 17 i 21 lat, co w obszarze szeroko pojętego IT i technologii informacyjnej oznacza wieki. Opis i analiza scen hakowania z obu dzieł nie zostały umieszczone w poniższym artykule, ale zostaną umieszczone wraz z innymi scenami hakowania w tworzonym przez autorów strony bezpieczny.blog repozytorium scen przedstawiających hakowanie w polskich serialach i filmach.

Na potrzeby tego artykułu ograniczyłem zakres analizowanych scen do polskich seriali i filmów z ostatnich 5 lat. Analizowane dzieła polskiej kinematografii to (w kolejności alfabetycznej):

  • 1983
  • Belfer 2
  • Chyłka-Zaginięcie
  • Nielegalni
  • Prawo Agaty
  • Ultraviolet

Artykuł ma charakter edukacyjny, a jego celem jest analiza prawidłowości wykorzystywanych technik i ocena prawdziwości informacji przekazywanych przez bohaterów ze szklanego ekranu. Mam nadzieję, że wyłapane i omówione błędy przyczynią się do niepowielania ich w przyszłych produkcjach filmowych. Zaprezentowane fragmenty dzieł filmowych nie są własnością strony bezpieczny.blog i wykorzystywane są jedynie jako cytat do omawianych zagadnień.

Czytelniku! Pamiętaj, że hakowanie (przełamywanie zabezpieczeń) bez zgody osoby/firmy, do której należy dany system lub urządzenie jest nielegalne.

Jak włamać się do wifi

Belfer 2 – odcinek 1
Serial fabularny
Reżyseria: Krzysztof Łukaszewicz
Produkcja: Polska
Rok produkcji: 2017
Produkcja: ITI Neovision, Canal+
Źródło: nc+go

Hacker z serialu Belfer 2 to licealista - Tymon Karski, który w wolnym czasie włamuje się na serwery Pentagonu. W przedstawionej scenie informuje swoją koleżankę Luizę o tym, że korzysta z internetu (zamkniętej sieci wifi) Urzędu Transportu Kolejowego. Z rozmowy można wywnioskować, że przełamał zabezpieczenia sieci, a jego działania są nielegalne.

Przedstawiona scena jest realna. Przełamywanie zabezpieczeń sieci wifi jest możliwe, a atakujący mógł zrobić to m.in. poprzez:

  • Uzyskanie hasła do sieci wifi, która jako standard szyfrowania wykorzystuje podatny protokół WEP. [Link]
  • Uzyskanie hasła do sieci wifi, która korzysta z mechanizmu WPS (Wi-Fi Protected Setup) ułatwiającego połączenie urządzenia do routera poprzez podanie 8 cyfrowego PINu. [Link]
  • Poznanie nazwy hasła na podstawie nazwy sieci użytkownika. Jeżeli zarówno nazwa jak i hasło sieci nie zostały zmienione, atakujący może wygenerować z pomocą upublicznionego algorytmu domyślne hasło dla danego routera. [Link]
  • Przeprowadzenie ataku brute force (technika polegająca na łamaniu haseł za pomocą próby stworzenia i wykorzystania ich z wszystkich możliwych kombinacji znaków), licząc na to, że sieć posiada łatwe, słownikowe hasło. [Link]
  • Pozyskanie hasła do sieci z jednego z for internetowych, lub aplikacji do dzielenia się hasłami do sieci wifi.
  • Wyciągnięcie hasła dla konkretnej sieci wifi, z podatnego urządzenia (np. drukarki, żarówki, termometru), które podłączone jest do tej sieci i dostępne jest z internetu.

Gdyby Tymon wtrącił jedno krótkie zdanie o tym, w jaki sposób uzyskał dostęp do sieci wifi urzędu, scena nabrałaby większej wiarygodności.

Darknet

Belfer 2 – odcinek 5
Serial fabularny
Reżyseria: Maciej Bochniak
Produkcja: Polska
Rok produkcji: 2017
Produkcja: ITI Neovision, Canal+
Źródło: nc+go

Uwaga! Fragment filmu zawiera niecenzuralną scenę.

Ciemna strona internetu wciąż pozostaje zagadką dla dużej części społeczeństwa. Ludzie często swoją wiedzę o darknecie czerpią z programów i seriali telewizyjnych. Czego w takim razie możemy dowiedzieć się oglądając drugi sezon serialu, z Maciejem Szturem w roli głównej?

Interesującą nas postacią z serialu Belfer 2 jest wspomniany już w tym artykule Tymon Karski, który korzysta z sieci TOR w celu kontaktu z tajemniczą osobą o pseudonimie „Wieprz”. Zanim przejdę do analizy sceny z serialu, krótko wyjaśnię jak w rzeczywistości skorzystać ze wspomnianej sieci TOR (tj. wirtualnej sieci komputerowej), która zapewnia swoim użytkownikom prawie całkowicie anonimowy dostęp do różnych zasobów. Ruch pomiędzy użytkownikiem a docelową stroną przechodzi przez kilka serwerów, dzięki czemu każdy z nich ma informacje jedynie o pojedynczym adresie wejścia i wyjścia. Często serwisy dostępne w ramach sieci TOR nazywane są potocznie darknetem.

Aby się do niej dostać należy zainstalować odpowiednią przeglądarkę (np. TOR Browser lub Brave Browser z kartą TOR) i przy jej pomocy połączyć się z jednym z serwisów znajdujących się w darknecie. Adres stron składa się z szesnastu (lub pięćdziesięciu sześciu) losowych cyfr oraz liter i występują w domenie .onion (w przeciwieństwie do stron dostępnych w normalnym internecie, które dostępne są w takich domenach jak np. .pl, .com). Przykładowa strona wyszukiwarki DuckDuckGo dostępnej z sieci TOR to http://3g2upl4pq6kufc4m.onion/.

Powyższa scena prawidłowo pokazuje sam proces dostępu do sieci TOR. Tymek korzysta ze specjalnej przeglądarki (w przedstawionej scenie jest nią fikcyjna przeglądarka THOR), z której pomocą inicjalizuje protokół TOR, dzięki któremu ruch użytkownika przechodzi przez kilka serwerów, w celu jego anonimizacji. Na tym kończy się zgodność z rzeczywistością.

Do korzystania z przeglądarki TOR nie wymagane jest podanie hasła. Paradoksalnie producenci serialu najprawdopodobniej dodali ten element, żeby urealnić scenę. Warto zwrócić uwagę na adres, który Tymon wpisuje w pasku przeglądarki. Jest to: ^&nbsp/hgw/phxx6.onion.to/site/index. W ciągu URL wprowadzonym przez Tymka do wykorzystywanej przeglądarki THOR występują znaki niedozwolone „/”. Zgodnie z założeniem protokołu HTTP, znak „/” nie może wystąpić w pasku adresu jako część subdomeny strony. Występowanie znaku „/” mogłoby oznaczać, że strona, którą odwiedza Tymek znajduje się na jego komputerze (w jednym z folderów). Dodatkowo we wprowadzonym adresie występuje słowo onion, ale nie jest to domena, a jedynie część subdomeny. Prawdziwą domeną jest w tym wypadku domena „.to” występująca po subdomenie .onion. Sam adres strony wpisywanej przez naszego hackera tj. phxx6 jest za krótki (nie zawiera wspomnianych wcześniej  16 lub 56 znaków).

Animacja z wieprzem, która pokazywana jest na filmie, w żaden sposób nie pasuje do stron wystawionych w sieci TOR. W sieci TOR (ze względu na konieczność przepuszczenia ruchu przez kilka serwerów) prędkość połączenia zmniejsza się, a odwiedzane strony są graficznie ubogie (w porównaniu do tych w normalnym internecie), ponieważ osobom tworzącym te serwisy zależy na dostępności stron, bardziej niż na ich wyglądzie. Wrzucanie skomplikowanych mechanizmów graficznych nie jest wskazane, a wręcz niepreferowane.

Darknet wspominany jest również w serialu Ultraviolet.

Ultraviolet – odcinek 7
Serial fabularny
Reżyseria: Sławomir Fabicki
Produkcja: Polska
Rok produkcji: 2017
Produkcja: AXN
Źródło: Netflix

„Piast Kołodziej” jest nastolatkiem, który posiada szeroką wiedzę w obszarze IT oraz bezpieczeństwa IT. Wykorzystuje ją pomagając grupie Ultraviolet w rozwiązywaniu spraw policyjnych. W przedstawionej scenie „Piast” w prostych słowach tłumaczy grupie czym jest darknet. Prawdą jest to, że można uzyskać do niego dostęp po zainstalowaniu odpowiedniej przeglądarki (np. TOR Browser), prawdą również jest przekazana przez niego informacja o tym, że do niektóre strony czy serwisów znajdujących się w darknecie mają dostęp jedynie użytkownicy, którzy uzyskali zaproszenie od innych użytkowników tego serwisu. Jak słusznie tłumaczy „Piast Kołodziej” najpopularniejszym środkiem płatności w darknecie na chwilę obecną pozostaje niezmiennie kryptowaluta Bitcoin.

Off-topic: Montaż serialu zrobił na mnie duże wrażenie.

Hakowanie smartfonów

Temat hakowania smartfonów pojawia się w takich serialach jak Nielegalni oraz Chyłka-Zaginięcie.

Nielegalni - odcinek 5
Serial fabularny
Reżyseria: Leszek Dawid
Produkcja: Polska
Rok produkcji: 2018
Produkcja: ITI Neovision
Źródło: nc+go

W pokazanym filmie major Aleksander Grygoruk vel Oleg "Travis„ Zubow  (grany przez Filipa Pławiaka) przeszukuje biurko swojego przełożonego, by dobrać się do jego telefonu. Znaleziony w szafce smartfon (iPhone 6s?) jest wyłączony. Nie przeszkadza to jednak naszemu bohaterowi w sklonowaniu w przeciągu 10 sekund znajdujących się na nim danych. W tym celu korzysta ze specjalnej aplikacji zainstalowanej na swoim telefonie przygotowanym przez Wydział Q. Klonowanie zawartości telefonu odbywa się „over the air” (bez podłączenia żadnego kabla), a urządzenie Travisa ma wyłączoną funkcję wifi, NFC oraz Bluetooth.

Jako osoba zajmująca się na co dzień bezpieczeństwem IT mogę śmiało powiedzieć, że nigdy nie spotkałem się z takim rozwiązaniem. Atakowany iPhone był wyłączony, co oznacza, że zawarte w nim dane były zaszyfrowane (odszyfrowanie danych następuje po uruchomieniu i odblokowaniu telefonu pinem). Jeżeli odpowiednik przedstawionego w serialu Wydziału Specjalnego Q Agencji Wywiadu posiada możliwości techniczne do przeprowadzenia ataku przedstawionego w serialu to chapeau bas.

Jeżeli zastanawiacie się co wyświetla się na ekranie telefonu majora Travisa podczas tej sceny to już śpieszę z odpowiedzią. Jest to fragment kodu z popularnego programu http://geektyper.com/scp/ do symulowania działań hakera poprzez naciskanie dowolnych klawiszy na klawiaturze.

Ekran telefonu agenta Travisa w trakcie klonowania iPhone6s
http://geektyper.com/scp/

Ciekawostką jest również UUID (universally unique identifier, czyli w tym wypadku unikatowy identyfikator generowany dla urządzenia) wyświetlany w aplikacji agenta Travisa pod nazwą atakowanego telefonu. Jest to przykładowy UUID podawany w artykule na stronie Wikipedii.

Chyłka-Zaginięcie – odcinek 2
Serial fabularny
Reżyseria: Łukasz Palkowski
Produkcja: Polska
Rok produkcji: 2018
Produkcja: TVN, Player
Źródło: Player

W przedstawionej scenie główna bohaterka zabiera telefon swojej klientki w celu przeszukania go pod kątem ważnych informacji, mogących pomóc jej w toczącej się sprawie sądowej. By przełamać zabezpieczenia Joanna Chyłka kontaktuje się z zatrudnionym w serialowej kancelarii Żelazny&McVay specjalistą ds. informacji (Kormakiem), przed którym obszar IT nie ma tajemnic. Ten zdalnie (z lokalizacji innej niż ta, w której znajduje się mecenas Chyłka) dokonuje odzyskania wiadomości tekstowych z telefonu, znajdującego się obok komputera bohaterki.

Prawdą jest, że da się odzyskać SMSy, które użytkownik skasował na swoim telefonie (jeżeli obszar pamięci, który zajmowały nie został nadpisany przez inne wiadomości). Można skorzystać z programów darmowych lub płatnych, a ogólna procedura dla jednych i drugich jest taka sama. Po zainstalowaniu wybranego oprogramowania na swoim komputerze podłączony do niego kabel podpina się do telefonu, z którego chcemy przywrócić skasowane wiadomości tekstowe. Następnie uruchamia się wcześniej zainstalowane oprogramowania do odzyskiwania SMSów.

Chylka-Zaginiecie hakowanie telefonu
Widok poleceń wykonywanych przez Kormaka na telefonie w celu odzyskania skasowanych smsów

nmap -sT -A localhost

Na powyższym zrzucie ekranu widać, że narzędzie, którego używa Kormak to popularny skaner portów - nmap. Narzędzie to jest codziennie wykorzystywane przez specjalistów ds. bezpieczeństwa IT, ale w tej konkretnej scenie zostało użyte niepoprawnie, gdyż jego przeznaczeniem jest skanowanie otwartych w urządzeniu portów, a nie odzyskiwanie skasowanych SMSów. Wykonywanie pozostałych komend znajdujących się na ekranie również nie ma większego sensu w kontekście odzyskiwania skasowanych wiadomości tekstowych.

Komendy wyświetlane na ekranie hakowanego telefonu możecie zobaczyć w miejscu, z którego zostały zaczerpnięte http://www.icloud-unlock.co/ASSETS/kernels/5.txt

Kod ten również wykorzystywany jest w odmianach wspomnianego wcześniej programu geektyper.

Tekst hakowania z programu geektyper
http://www.icloud-unlock.co/scp/index.html

Kormakowi polecam aktualizację wykorzystywanego oprogramowania. Używana przez niego wersja nmapa v3.00 jest od 2002 nieaktualna (obecnie wykorzystywaną wersją jest wersja 7.7).

Namierzanie

1983 - odcinek 4
Serial fabularny
Reżyseria: Agnieszka Holland, Kasia Adamik
Produkcja: Polska, USA
Rok produkcji: 2018
Produkcja: The Kennedy/Marshall Company, House Media Company
Źródło: Netflix

Serial 1983 opowiada o alternatywnej wersji rzeczywistości, której odmienny bieg nadały wydarzenia, mające miejsce w tytułowym roku 1983. W serialowej codzienności Polacy nie posiadają Samsungów czy iPhonów, a „Traszki” czyli smartfony, które okazują się doskonałym narzędziem szpiegującym.

Thahn namierza telefon głównego bohatera serialu (Kajetana Skowrona), poprzez wpisanie w polu wyszukiwarki jego imienia i nazwiska. System informuje Thana o lokalizacji Kajetana oraz tym, do kogo i jaką wiadomość wysłał.

Panel systemu MDM Traszka
Panel systemu MDM (Mobile Device Management) traszka.

Prezentowany widok narzędzia do wyszukiwania urządzeń wygląda wiarygodnie, podane koordynaty GPS odpowiadają faktycznej warszawskiej lokalizacji. Przedstawione ciągi znaków zakodowanych algorytmem base64 dekodują się do swoich odpowiedników, które znajdują się nad nimi (tj. Kajetan Skowroński oraz SB.SYSTEM.MONIT). W rzeczywistości funkcję namierzania urządzenia mobilnego posiada m.in. usługa Google "Find My Device" lub większość wdrażanych w firmach rozwiązań typu MDM (Mobile Device Management).

Producenci serialu bardzo łatwo mogliby wytłumaczyć ewentualną niezgodność w scenach przełamywania zabezpieczeń, namierzania czy hakowania, ponieważ serial opowiada o alternatywnej wersji rzeczywistości, w której rozwój technologii mógł obrać inny kierunek. Cieszę się, że tego nie zrobili. Prezentowana scena wygląda wiarygodnie, a producenci serialu zadbali w niej o szczegóły nadające jej autentyczności (kodowanie base64, właściwe koordynaty).

Belfer 2 – odcinek 5
Serial fabularny
Reżyseria: Maciej Bochniak
Produkcja: Polska
Rok produkcji: 2017
Produkcja: ITI Neovision, Canal+
Źródło: nc+go

Ekran z namierzoną lokalizacją użytkownika "Wieprz"
Ekran przedstawiający namierzoną lokalizacją użytkownika "Wieprz".

Nie jest wytłumaczone jak Tymon namierzył spotkanego w darknecie „Wieprza”. W dalszej części serialu uzyskujemy informację, że dokonał on tego z wykorzystaniem tzw. „doxingu” (co w praktyce oznacza przeszukiwanie publicznie dostępnych zbiorów danych w celu zebrania jak największego materiału informacyjnego na temat danej osoby). Takie przedstawienie sprawy wciąż mało wyjaśnia widzowi. Koniec końców, w jednej ze scen monitor Tymka wyświetla mapę z koordynatami GPS, prawidłowo wskazującymi na miasto Wałbrzych.

Można się przyczepić do tego, że koordynaty wyświetlane na ekranie to nie konkretna lokalizacja lokalu mieszkalnego, a lokalizacja jaką otrzymujemy wyszukując koordynaty GPS miasta Wałbrzych w Google. Jest to mały szczegół, ale w mojej opinii mógłby uwiarygodnić scenę. Tymon mógłby uzyskać konkretne koordynaty wskazujące na mieszkanie „Wieprza”. Pokazanie nawet fikcyjnego adresu obok zidentyfikowanych koordynatów zwiększyłoby według mnie realizm sceny.

Niebezpieczne pendrive’y

Nielegalni – odcinek 3
Serial fabularny
Reżyseria: Leszek Dawid
Produkcja: Polska
Rok produkcji: 2018
Produkcja: ITI Neovision
Źródło: nc+go

W scenie z trzeciego odcinka serialu Nielegalni Sara Korska (oficer Wydziału Q) odwiedza żonę „Travisa”. By monitorować jej aktywność na komputerze potrzebuje uzyskać zdalny dostęp do jej peceta. W tym celu podłącza do jej komputera pendrive.

ekran instalacji oprogramowania socat
Ekran instalacji oprogramowania socat

Przyglądając się terminalowi otwartemu na komputerze ofiary można zauważyć, że Sara instaluje na nim oprogramowanie socat (najprawdopodobniej w celu uzyskania reverse shella, czyli połączenia zwrotnego, z maszyny ofiary do maszyny osoby atakującej. Jest to jedynie domysł, ponieważ podczas sceny widzimy tylko jak oprogramowanie jest pobierane i instalowane). Oprogramowanie to pozwala zapewnić kanał komunikacji między dwoma komputerami.

Scena w sposób prawidłowy przedstawia możliwość uzyskania przez hakera trwałego dostępu do komputera ofiary. Producenci mogliby wprowadzić ewentualne poprawki do scenariusza, dodając wcześniej dodatkową scenę, w której bohaterowie omawiają w jaki sposób taki dostęp zamierzają uzyskać (takie zabiegi wykorzystywany były m.in. w utrzymującym dużą wiarygodność serialu Mr.Robot). Nietechniczny widz serialu Nielegalni może mieć problem ze zrozumieniem co zaszło podczas omawianej sceny.

Włamania na serwery policji

Belfer 2 – odcinek 5
Serial fabularny
Reżyseria: Maciej Bochniak
Produkcja: Polska
Rok produkcji: 2017
Produkcja: ITI Neovision, Canal+
Źródło: nc+go

Śmieszy Cię temat hakowania drukarek? A nie powinien. Drukarka to urządzenie, które tak jak komputer posiada procesor i system operacyjny. Czy wiedziałeś, że podłączając nowoczesną drukarkę do swojej sieci wifi mogłeś nieświadomie wystawić ją do internetu? W ten sposób Twoja drukarka może być osiągalna z publicznego adresu IP nadanego Ci przez operatora. Dodatkowo, jeżeli Twoja wystawiona do internetu drukarka posiada nieaktualne oprogramowanie, może zostać zaatakowana, a dostęp do niej uzyskać mogą osoby nieupoważnione.

Serwis shodan (nazywany również Googlem dla urządzeń sieciowych) umożliwiający przeszukiwanie sieci w poszukiwaniu m.in. drukarek dostępnych z poziomu internetu. Na dzień 3.06.2019 w Polsce z poziomu internetu dostępne były 693 drukarki (w tym 9 z Krakowa).

zrzut ekranu z narzędzia shodan
https://www.shodan.io/search?query=device%3Aprinter+country%3Apl

Żeby hakować drukarki nie trzeba być wcale geniuszem zła. Istnieją gotowe rozwiązania agregujące skrypty pozwalające na przełamywanie zabezpieczeń i uzyskanie dostępu do urządzenia. Jednym z nich jest PRET (Printer exploitation toolkit).

Zrzut ekranu z narzędzia PRET
Printer Exploitatiin Toolkit https://github.com/RUB-NDS/PRET

Po do wstępie teoretycznym wróćmy do rozmowy pomiędzy naszymi bohaterami:

- Już dawno zauważyłem, że na małych placówkach to oni kupują tylko jedną drukarkę.
- Podpinają do niej kompy z internetem i z tej ich sieci wewnętrznej też.
- Jak będziemy mieli szczęście to im wejdziemy do brzucha przez bufor drukarki, Panie kolego.”

Na podstawie powyższego dialogu stworzyłem prosty schemat infrastruktury sieciowej małego posterunku policji, o którym mówią bohaterowie, w celu zobrazowania występujących połączeń i zależności.

schemat infrastruktury sieciowej małego posterunku policji
schemat infrastruktury sieciowej małego posterunku policji

Rozmowa naszych bohaterów w żaden sposób nie sugeruje, by cel ataku (omawiana drukarka) wystawiony był bezpośrednio do internetu. Dyskusja Tymka i "Wieprza" ogranicza się jedynie do stwierdzenia, że zarówno urządzenia będące w sieci głównej oraz w sieci intranet, mogą korzystać z tej samej drukarki, dzięki czemu staje się ona łącznikiem między obydwiema sieciami.

Podstawowym błędem omawianej sceny jest wybranie przez „Wieprza” wektora ataku przed przeprowadzeniem rekonesansu atakowanej placówki. Bohater nie wiedział przecież, o jakiej placówce mówi Tymek, z góry założył jednak, że musi zaatakować drukarkę by osiągnąć swój cel. W rzeczywistości osoba lub grupa osób chcących przeprowadzić atak skupiłaby się w pierwszej części zadania na zebraniu informacji o atakowanej organizacji (w tym danych o czułych punktach oraz słabościach w mechanizmach zabezpieczających).

Drugą nieścisłością występującą w przeprowadzonym dialogu jest brak informacji o tym, w jaki sposób nasi bohaterowie uzyskali dostęp do policyjnego komputera podpiętego do internetu w sieci posterunku. Dopiero z tego miejsca mogli wykonywać kolejne etapy ataku na drukarkę.

Ciekawy pomysł na atak został bardzo spłycony oraz niejasno wytłumaczony przez producentów serialu pozostawiając tym samym więcej pytań i niedopowiedzeń, niż odpowiedzi.

Prawo Agaty, sezon 7 – odcinek 3
Serial fabularny
Reżyseria: Maciej Migas
Produkcja: Polska
Rok produkcji: 2015
Produkcja: TVN
Źródło: Player

W siódmym sezonie serialu Prawo Agaty asystentka Aniela Bylińska proponuje tytułowej Agacie pomoc w uzyskaniu informacji odnośnie pewnej osoby, sugerując jednocześnie że informacje pozyskane zostaną z policyjnego intranetu (Aniela sugeruje, że zna kogoś kto może mieć tam dostęp). Agata kategorycznie sprzeciwia się takiemu rozwiązaniu, a Aniela i tak przeprowadza wcześniej zaplanowane działania dostarczając następnego dnia komplet informacji na temat poszukiwanego.

Znajomą osobą, o której mówi Aniela, okazuje się być ona sama (!). Jeżeli w tak szybkim tempie uzyskała dostęp do policyjnej bazy danych, mogłoby to oznaczać, że nie było to jej „pierwsze rodeo” i posiada zaawansowane umiejętności w obszarze wyszukiwania podatności i przełamywania zabezpieczeń komputerowych. Czy to możliwe? Oczywiście. Zdarza się, że osoby posiadające i wykorzystujące swoją specjalistyczną wiedzę w obszarze bezpieczeństwa zajmują się na co dzień zajęciami z zupełnie innej branży. Nie wychylają się i nie chwalą się swoimi umiejętnościami by nie zwracać na siebie uwagi m.in. organów ścigania.

Co w takim razie jest nie tak? Jeżeli Aniela posiada wspomniane umiejętności i jest tak dobra jak zakładam to powinna jednocześnie posiadać wiedzę i doświadczenie w zachowaniu anonimowości swoich działań i zacieraniu śladów w celu ukrycia swojej aktywności. W tym samym odcinku, w którym Aniela włamuje się na serwer policji, zostaje aresztowana w związku ze swoimi działaniami.

Widz nie dowiaduje się jak policja namierzyła Anielę. Jeżeli zawiodły mechanizmy bezpieczeństwa mające zapewnić anonimowość naszej bohaterki (tzw. Opsec) to dla uwiarygodnienia sceny twórcy powinni poinformować widza co się wydarzyło. Czy Aniela w tej samej sesji VPN/TOR, w której atakowała serwery policji, zalogowała się na swoje konto do serwisu zakupowego, a policja otrzymała logi z tego serwisu i skorelowała oba wydarzenia? Tego się już nie dowiemy. Szkoda.

Żargon, narzędzia i komendy

Chyłka-Zaginięcie – odcinek 2
Serial fabularny
Reżyseria: Łukasz Palkowski
Produkcja: Polska
Rok produkcji: 2018
Produkcja: TVN, Player
Źródło: Player

Kormak jak na specjalistę ds. IT przystało posługuje się żargonem, którego Kordian nie do końca rozumie. Czy jednak to co mówi Kormak byłoby logiczne i zrozumiałe dla innych specjalistów z branży?

Powiedz jej, że przez porty 21 i 80 nikt nie wszedł, bo nawet w takiej firmie ochroniarskiej są zabezpieczenia, więc jeżeli pozostałe TCP i UDP były odpowiednio ustawione to mógł zostać ślad, więc trzeba sprawdzić 22, otwarty port, czyli ssh. Inaczej ktoś mógł wprowadzić brute force.

Poprawna w scenie jest poszczególna nomenklatura. Kormak mówi o portach i usługach, z których na co dzień korzystają zwykli ludzie (port 80, usługa HTTP) oraz ludzie mający większą styczność z IT (port 21 – usługa FTP, port 22 – usługa SSH). Kormak wymienia również prawdziwe protokoły komunikacyjne TCP/UDP.

Całość wypowiedzi, mimo że używa prawidłowych sformułowań, jest dziwna i słuchając jej można się zastanowić czy osoba, która wypowiada te słowa, wie o czym mówi, czy czyta nauczony tekst. Zamiast mówić „TCP/UDP” Kormak mógł spokojnie użyć słowa „porty”. Nie do końca pasuje też słowo „inaczej”. Ostatnia część zdanie, by brzmieć wiarygodnie, powinna być prosta i zrozumiała, dla osoby nietechnicznej, której Kormak tłumaczy, co zostało do sprawdzenia. O ile lepiej brzmi zdanie:

Trzeba sprawdzić czy ktoś nie przeprowadzał ataku brute force na otwarty port 22 - ssh

Dodatkowo, założenie Kormaka by nie sprawdzać usług na portach 80 i 21 jest błędne. Zarówno osoby przeprowadzające rekonesans na potrzeby ataku oraz osoby wykonujące analizę powłamaniową weryfikują każdy możliwy wektor umożliwiający przeprowadzenie i powodzenie ataku. Zakładanie przez Kormaka, że firma ochroniarska posiada zabezpieczenia na tych portach (działają tam usługi nieszyfrowane) sprawia, że osoba techniczna może stracić zaufanie do umiejętności naszego specjalisty ds. IT.

Jak to się robi w USA

Powstało wiele zestawień i opracowań scen hakowania, występujących w zagranicznych produkcjach filmowych. Ja osobiście polecam film Hacker Breaks Down 26 Hacking Scenes From Movies & TV. Realistyczne przedstawienie scen związanych z przełamywaniem zabezpieczeń IT można zobaczyć m.in. w takich filmach i serialach jak Matrix czy Mr. Robot. Fikcję kinową można natomiast podziwiać w scenach z serialu Castle i CSI. Obie grupy scen (poprawnych oraz niepoprawnych) omawiane są szeroko w gronie osób zajmujących się cyberbezpieczeństwem. Jedne z uznaniem, drugie z uśmiechem na ustach.

Podsumowanie

Rozumiem, że szklany ekran to przede wszystkim rozrywka, a jego głównym celem jest to by kino było atrakcyjne. Warto jednak zauważyć, że polskie społeczeństwo jest coraz bardziej świadome technologicznie, a mało realistyczne sceny wykorzystujące nowe rozwiązania IT i przedstawiające przełamywanie ich zabezpieczeń mogą sprawić, że dobry serial traci na autentyczności. Zamiast dobrej fabuły może zostać zapamiętany głównie z błędnie prezentowanych scen, które pokazuje.

Polscy programiści cenieni są nie tylko w Europie, ale i na świecie. Polskie drużyny CTF (Capture The Flag - zawody komputerowe polegające rozwiązywaniu zadań, m.in. z programowania czy kryptografii, w określonym czasie) takie jak Dragon Sector czy P4 przodują w rankingach tych zawodów. Dlaczego w takim razie sceny hakowania w polskich serialach i filmach nie miałyby trzymać wysoki poziom realizmu i odwzorowywać rzeczywistości?

Merytoryczny język, prawidłowo użyte narzędzia i komendy sprawiają, że serial postrzegany będzie nie tylko przez branżowych profesjonalistów, ale przez wszystkich widzów jako wiarygodny i godny polecenia.

Zachęcam wszystkich producentów by przed kręceniem scen filmowych odrobili pracę domową z zakresu bezpieczeństwa IT i konsultowali tworzone sceny ze specjalistami z tej branży.

Chcesz pomóc?

Znasz inne seriale i filmy, w których występują sceny związane z hakowaniem, bezpieczeństwem w sieci lub przełamywaniem mechanizmów obronnych IT? Przyczyń się do rozwoju serwisu i zgłoś je na [email protected], a my po weryfikacji dodamy je do tworzonego repozytorium. Możesz liczyć na podziękowania oraz umieszczenie Twojego nicka przy znalezisku.

Byłeś konsultantem do spraw bezpieczeństwa IT w serialu lub filmie?

Bardzo chętnie z Tobą porozmawiam lub przeprowadzę wywiad. Interesuje mnie zakres oraz sposób konsultacji, którą wykonywałeś oraz to, jaki wpływ miała Twoje opinia na finalną wersję sceny w serialu czy filmie. Jeżeli chcesz Twoja tożsamość pozostanie anonimowa.

Jest nam niezwykle miło, że dotarłeś aż tutaj! Jeżeli uważasz, że powyższy tekst jest wartościowy, będziemy wdzięczni za udostępnienie go dalej, bo być może dzięki temu trafi do innej osoby, która również potrzebuje go przeczytać.

Wiktor

Wiktor

Z zawodu bezpiecznik, szukający dziury w całym. Sympatyk dzielenia się wiedzą, maniak planszówek, miłośnik książek i filmów szpiegowskich. Prywatnie mąż i tata.

19 myśli na “Hakowanie w polskich serialach i filmach

  1. AvatarBrzoz

    Mam 62 więc nie z tej bajki.
    Nie chcę jednak czuć się zagubiona w PIN ACH, LOGINACH itp.
    Pana spojrzenie na migawki z filmów
    pod kątem, czy to na pewno tak - mega interesujące. Choć pewnie 80% oglądających nie pamięta, że takie sceny wogóle były.!
    Pozdrawiam Autora

    Odpowiedz
    1. WiktorWiktor

      Jest mi niezmiernie miło, że trafiła Pani na naszego bloga. Cieszę się, że artykuł przypadł do gustu.

      Odpowiedz
  2. AvatarjacekEs

    Ciekaw jestem, czy faktycznie ktoś, oprocz autora 😉 zwraca uwagę na takie rzeczy. Ciekawi mnie też, skąd pomysł na tekst. Widziałeś te sceny, bo oglądałeś te seriale, czy ktoś Ci podpowiedział, że trzeba szukać w tych konkretnych produkcjach?

    Odpowiedz
    1. WiktorWiktor

      Z tego co wiem, to zwracają na to uwagę głównie osoby, które interesują się bezpieczeństwem albo ogólnie pojętą technologią IT. Pomysł na tekst i prezentację zrodził się 13 listopada 2018 roku w trakcie jednej z konferencji. Podczas lunchu rozmowa zeszła na serial Mr.Robot i autentyczność scen przedstawionych w serialu. Tego samego dnia obejrzałem kilka kompilacji scen hakowania przedstawionych w zagranicznych filmach i postanowiłem zrobić podobne zestawienie dla rodzimego kina 🙂 Research robiłem sam, poszukując i oglądając seriale i filmy, w których jednym z bohaterów był "hacker" lub "specjalista ds. informacji". Oprócz sceny z serialu Prawo Agaty, wszystkie sceny znalazłem oglądając poszczególne seriale. Szczerze liczę na to, że po tym artykule kilku czytelników podrzuci swoje znaleziska 🙂

      Odpowiedz
  3. Pingback: Jak to jest z tymi hakerami w polskich serialach? - mobiRANK.pl

    1. WiktorWiktor

      Nie znałem tego 🙂 Szukam jakichś screenów albo filmiku, ale nie mogę nic znaleźć. Wiesz może który sezon i odcinek?

      Odpowiedz
  4. AvatarProsty ubek

    "Zgodnie z założeniem protokołu HTTP, znak „/” nie może wystąpić w pasku adresu jako część subdomeny strony. Występowanie znaku „/” mogłoby oznaczać, że strona, którą odwiedza Tymek znajduje się na jego komputerze (w jednym z folderów). " - on ma kopię internetu na dyskietkach, więc oczywistym jest, że kopię darknetu też ma na dyskietkach.

    "Jeżeli odpowiednik przedstawionego w serialu Wydziału Specjalnego Q Agencji Wywiadu posiada możliwości techniczne do przeprowadzenia ataku przedstawionego w serialu to chapeau bas." - oni odczytają nawet dane z iPhone przejechanego walcem i resztkami rozpuszczonymi w wodzie królewskiej. W tym przypadku zajmuje im to 19,5 sekundy.

    Prawdą jest, że da się odzyskać SMSy, które użytkownik skasował na swoim telefonie (jeżeli obszar pamięci, który zajmowały nie został nadpisany przez inne wiadomości). Można skorzystać z programów darmowych lub płatnych, a ogólna procedura dla jednych i drugich jest taka sama. " - tylko trzeba jeszcze podłączyć telefon do kompa i go zsynchronizować. Jaka jest szansa, że na kompie Chyłki jest odpowiednie oprogramowanie? Jaka jest szansa, taki smartfon, tzn. żony jednego z najbogatszych Polaków nie jest zabezpieczony odciskiem palca?

    "Całość wypowiedzi, mimo że używa prawidłowych sformułowań, jest dziwna i słuchając jej można się zastanowić czy osoba, która wypowiada te słowa, wie o czym mówi, czy czyta nauczony tekst. "- Przecież Kormak chodzi ciągle naćpany, więc klepie bzdety. Jakie ma znaczenie co robi i co będzie robić? To tak jakby mechanik samochodowy wymieniając pasek rozrządu dokładnie opisywał klientowi co będzie robił, podawał nr klucza oraz jego typ. Techniczny bełkot zawsze robi wrażenie na ignorantach. Szkoda że na smartfona nie włamał się Emacsem przez Sendmail, bo to jak wiadomo łamie wszystko i to zawsze od 30 lat.

    "O ile lepiej brzmi zdanie:

    Trzeba sprawdzić czy ktoś nie przeprowadzał ataku brute force na otwarty port 22 - ssh" - nie. Brzmi głupio. Powinien powiedzieć że się tym zajmie, a później powiedzieć, że to zrobił i efekt był pozytywnym bo znalazł coś tam.
    "O ile lepiej brzmi zdanie:

    Sprawdziłem czy ktoś nie przeprowadzał ataku brute force na otwarty port ssh. Mają słabe hasło, więc każdy je przełamie tak jak ja."

    "Byłeś konsultantem do spraw bezpieczeństwa IT w serialu lub filmie?" - ci konsultanci to znajomi informatycy od stawiania windowsów i konfiguracji poczty. Za konsultacje eksperta, trzeba zapłacić i to sporo, znajomy pan Henio zrobi to za free i będzie szczęśliwy że go umieszczą na liście płac na końcu filmu.

    PS.
    Ciekawe jakim cudem Kormak nie mógł zlokalizować FIRMOWEGO telefony asystenta Chyłki, mimo iż ten był włączony.

    PS.2
    Trzeba być ciężkim frajerem, żeby nie powiedzieć ignorantem do kewadratu, aby korzystać z Tora przy pomocy tor browsera.

    Odpowiedz
  5. AvatarDarek

    > Trzeba być ciężkim frajerem,
    > żeby nie powiedzieć ignorantem
    > do kewadratu, aby korzystać z
    > Tora przy pomocy tor browsera.

    Dlaczego? Uczono mnie że lepiej korzystać z gotowej przeglądarki która ma poblokowane możliwości połączenia się z internetem bez tora niż samemu robić tunelowanie, zawsze może coś się omsknąć.

    Możesz rozwinąć swoją wypowiedź?

    Odpowiedz
  6. Pingback: Jak domorosły haker, dzięki poczcie e-mail i prostym sztuczkom, włamał się na konto bankowe. | bezpieczny.blog

  7. AvatarUczestnik SBS

    Hej Wiktor, fajnie że rozwijasz prezentację, SBSowa wyszła jeszcze fajniej, niż Confidence'owa. Mógłbyś przypomnieć, jaki jeszcze serial dołączył do oryginalnej listy (poza Ultraviolet 2)?

    Odpowiedz
    1. WiktorWiktor

      Dzięki 🙂
      Na prezentacji pokazywanej na SecurityBSides_2019_Warsaw dodałem fragment serialu "Służby Specjalne" (odcinek 1, około 14:40).
      Na jednym ze slajdzie przedstawiłem seriale, co do których wiem, że występują w nich sceny hakowania, ale nie miałem czasu oglądać tych seriali - "Ślad", "UltraViolet 2".
      Dostałem info, że różnego rodzaju sceny hakowania występują również w takich produkcjach jak "Na Bank się Uda" oraz "Septagon" - może w wolnym czasie uda mi się rzucić okiem 🙂
      Jeżeli kiedyś będę jeszcze występował z tą prezentacją to za sugestią uczestnika SBS2019 dodam dla porównania w sekcji DarkNet sceny z zagranicznego serialu dostępnego na Netflixie "How to Sell Drugs Online (Fast)".

      Odpowiedz
  8. Pingback: Relacja z Security BSides Warsaw 2019 | Katarzyna Javaheri-Szpak

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *