Stoplichten hacken: The Italian Job op het gebied van cybersecurity

We kijken hoe de perceptie van hackers is geëvolueerd op basis van het klassieke plan om verkeerslichten te hacken in de drie versies (Brits, Amerikaans en Indiaas) van The Italian Job.

Hoofdrolspelers of hun tegenstanders die het verkeerscontrolesysteem van een stad overnemen is geen onbekende kost in films. Het doel is om ofwel een verkeersopstopping voor achtervolgers te veroorzaken of om juist een vluchtroute voor zichzelf te creëren. Hackers, Live Free or Die Hard en Taxi zijn een aantal voorbeelden van de artistieke uitvoeringen van deze hack. Deze ooit zo originele opzet is inmiddels al lang verworden tot een Hollywood-cliché.

De stijlfiguur begon naar alle waarschijnlijkheid in de Britse film uit 1969 The Italian Job. Het is voor die tijd geen verrassing dat dit het enige cyber-gerelateerde incident in de film was. Maar de verhaallijn waarbij het verkeer gesaboteerd werd leidde tot tal van imitaties, zoals ook in de twee remakes van de originele film, waarvan een keer in de Hollywood-film (The Italian Job, 2003) en een keer in Bollywood, namelijk in (Players, 2012).

In de verschillende versies bleef de scene met de gehackte verkeerslichten essentieel. Door deze drie verschillende versies met elkaar te vergelijken, kunnen we de evolutie van de houding van filmmakers en bioscoopgangers ten opzichte van hacks van kritieke infrastructuren nagaan.

The Italian Job (1969), op zijn Brits

Het toekomstgerichte Turijn wordt in feite weergegeven als de smart city van die tijd. In de film beheert een supercomputer elk verkeerslicht vanuit één locatie, waar ook de gegevens van verkeerscamera’s wordt verzameld. Het meesterbrein achter de overval, die al vroeg sterft, laat een gedetailleerd plan voor een gedurfde overval na aan het hoofdpersonage Charlie Crooker, samen met malware voor de supercomputer en gadget die camera’s kan uitschakelen maar die niet verder wordt uitgelegd.

De herkomst van het programma is onbekend; iemand heeft waarschijnlijk de originele broncode in handen gekregen en deze aangepast om chaos te creëren. In 1969 was er natuurlijk nog geen internet, maar zelfs lokale netwerken werden nog niet behoorlijk toegepast. De enige manier om de malware op de computer te installeren is door het gebouw binnen te glippen en de magnetische tape in de drive handmatig om te wisselen. Daar zijn de diensten van Professor Peach voor nodig, zogenaamd de beste computerexpert in het land.

Om het verkeerscontrolecentrum binnen te komen en het programma te wijzigen, moet de computer gestopt worden. Croker neemt de missie op zich, gooit zijn fiets in een transformatorhuisje en snijdt zo niet alleen het verkeerscontrolecentrum af, maar ook een groot gedeelte van de rest van de stad (en stort zo dus een weelderig maffiafestijn in de duisternis).

Nu is het de beurt aan Peter, die de tape uit de drive verwijdert die door een andere vervangt. Nu er geen stroom meer is, is dat immers het enige dat nog moet gebeuren. Ze hebben dus eigenlijk een computerexpert ingeschakeld om de taak van een lab-assistent te volbrengen. Als u deze absurditeit trouwens gemist hebt: dit tech-genie wordt gespeeld door de komiek Benny Hill.

De volgende fase van het plan is om de camera’s uit te schakelen. Om het verkeerscontrolecentrum op het verkeerde spoor te zetten en de daadwerkelijke overval te verdoezelen, planten de criminelen een aantal apparaten (waarschijnlijk stoorzenders, maar hier zijn geen details over) op vuilnisbakken in de buurt van de camera’s. Verkeerscamera’s konden in die tijd geen draadloze signalen verzenden, maar de mysterieuze gadgets slagen er wel in om de camera’s uit te schakelen.

Het resultaat: alles loopt gesmeerd. De camera’s vallen uit, de verkeerslichten beginnen te knipperen, de straten van de stad zijn lamgelegd en Peach wordt gearresteerd voor onzedelijk gedrag in het openbaar vervoer (vraag maar niets).

Britse versie: geleerde lessen

Cybersecurity

  • De film toont een nogal afkeurende houding ten opzichte van de fysieke beveiliging van kritieke infrastructuur. Zowel het transformatorhuisje als het verkeerscontrolecentrum zijn praktisch onbewaakt. De aanvallers bereiken de drive zonder enig probleem en kunnen de tape zomaar vervangen.
  • De computer accepteert het vervangende programma zonder verdere vragen. Dat is nog vergeeflijk; code signing werd pas veel later uitgevonden.

Perceptie

  • Het hacken van computers wordt gezien als iets zeer complex. Om de computer om de tuin te leiden besteedt de bende veel energie aan het rekruteren van de beste computerexpert in het land (ook al hoeft hij vervolgens alleen maar de tape te vervangen).
  • Er wordt niet getracht om de technische kant te belichten, en in plaats daarvan schakelen kleine zwarte gadgets zomaar de camera’s uit.

The Italian Job (2003), op zijn Amerikaans

De Hollywood-versie kan naar mijn mening niet als een rechtstreekse remake van de Britse film worden beschouwd. Natuurlijk, de hoofdpersonages hebben hetzelfde doel (goudstaven stelen) en de achtervolgingsscène is in feite een exacte kopie van het origineel, maar de drijfveren zijn heel anders. Psychologie en moraliteit terzijde, ze moeten nog altijd met camera’s en verkeerslichten sjoemelen. Maar deze criminelen hoeven niet op zoek naar een specialist; ze hebben al een computergenie in hun team: Lyle, wiens normale baan toevallig het ontwerpen van 3D-modellen van gebouwen voor stadsplanning en het coördineren van overvallen omvat. Daar ziet u uw digitale transformatie aan het werk. In 2003 werd het hebben van een computerspecialist in je team als vrij normaal beschouwd.

Bovendien was er in de Amerikaanse versie van de film wat meer hacking nodig. Eerst proberen de criminelen in het monitorsysteem op afstand van een telefoonbedrijf te hacken, de werknemers ervan te overtuigen dat het een legale afluisteroperatie is, en ten slotte herleiden ze de audiostroom naar hun eigen luisterpost. Lyle heeft ervaring met dat laatste, aangezien hij jarenlang zijn ex afluisterde.

Maar de belangrijkste hack blijft onveranderd. Het binnenkomen van het Los Angeles Automated Traffic Surveillance and Control Operations Center in 2003 is veel eenvoudiger dan dat het was voor het systeem van Turijn in 1969 — het centrum is verbonden met het internet en heeft zelfs een grafische gebruikersomgeving (Graphical User Interface of GUI). Lyle zit aan zijn laptop en probeert het wachtwoord te kraken — handmatig. Hij voert zonder succes het ene na het andere wachtwoord in, tot uiteindelijk de magische woorden “Access Granted” op het beeldscherm verschijnen.

Het operatiecentrum voorspelt de verkeersstroom en wijzigt verkeerslichten automatisch op basis van camerabeelden. Maar er is ook een handmatige modus, en Lyle gebruikt die om de controle over de verkeerslichten over te nemen. Als demonstratie zet hij alle lichten op één kruispunt op groen, wat een ongeluk tot gevolg heeft. Maar hij zet de stoplichten snel terug, en het centrum wijt dit incident aan een storing.

De bende is van plan om door alle stoplichten op groen te zetten snel door Los Angeles te razen, terwijl de rest vast komt te zitten. Op de dag van de overval zit een enigszins verwarde Lyle op een bagagetransportband in Union Station, gewapend met een laptop en router om de situatie op de weg in de gaten te houden. Hij verandert de verkeerslichten (niet alleen op de weg maar ook in de metro) en legt het controlecentrum lam door het bericht “You’ll never shut down the real Napster” op elk scherm weer te geven. (Als komisch element in de verhaallijn beweert Lyle dat hij het peer-to-peer-netwerk Napster heeft uitgevonden en dat Shawn Fanning zijn idee heeft gestolen. Lyle noemt zichzelf graag Napster. Hij lijkt eerlijk gezegd ook wel op het stereotype computerwonderkind.)

Dankzij de goed gecoördineerde operatie wordt het goud gestolen, slaagt iedereen erin te ontsnappen en valt de lafhartige schurk in handen van de Oekraïense maffia, wiens pad hij kruist.

Amerikaanse versie: geleerde lessen

Cybersecurity

  • Als het wachtwoord voor afstand op toegang tot een systeem handmatig kan worden gekraakt, is het een slecht wachtwoord.
  • Kritieke infrastructuur moet een beveiligde internetverbinding gebruiken en mag niet te beheren zijn via een web-gebaseerde GUI. En het spreekt voor zich dat werknemers zich niet op een belachelijk bericht moeten focussen, maar in plaats daarvan er iets aan moeten proberen te doen. Zelfs de fictionele Italianen van 34 jaar eerder wisten dit al!

Perceptie

  • In 2003 is hacken inmiddels al een redelijk gewoon verschijnsel, dus het laten slagen van de overval hangt van meer af dan het uitschakelen van een aantal verkeerslichten. In deze remake die geen remake is, is het penetreren van het verkeerscontrolecentrum een standaardoperatie die op natuurlijke wijze ontstaat tijdens de fase van het plannen van de overval.
  • Lyle/Napster legt keer op keer uit wat hij doet en hoe dat in zijn werk gaat. Wat hij precies zegt raakt kant noch wal, maar het punt is natuurlijk dat de filmmakers de gebeurtenissen op het scherm een soort basis wilden geven in een bepaalde versie van de werkelijkheid.

Players (2012), op zijn Indiaas

De Indiase filmmakers probeerden de beste gedeeltes van beide versies van The Italian Job te filteren en hier wat Bollywood-glamour aan toevoegen, waaronder racen, zingen, dansen, hoogmoedige moraliteit en natuurlijk hacken. De verhaallijn is behoorlijk wild: Rusland geeft goud terug aan Roemenië dat de Roemeense regering in Rusland had verstopt voor de Duitse inval in 1915. Gemene Russische legerofficieren vervoeren dit goud, en de nog gemenere Russische maffia is op datzelfde goud uit. Dan is er ook nog een groep nobele Indiase overvallers die het goud wil stelen en het willen gebruiken om een school voor wezen te bouwen.

Voor deze operatie is natuurlijk de beste hacker in de wereld nodig. Hij moet ook een echte hackersnaam hebben, en in dit geval is dat Spider. Er is echter één probleem: niemand weet waar ze hem kunnen vinden. Gelukkig heeft de vriendin van het hoofdpersonage een master in computers plus een gouden medaille en een master in ethisch hacken (natuurlijk, waarom niet?). Ze breekt in op het systeem van de “beste hacker ter wereld” en ontdekt dat hij ook nog eens in de buurt woont. Na hem te hebben ontvoerd, halen ze hem over om deel uit te maken van het team voor de overval.

Volgens het plan heeft de ontvoerde hacker twee taken. Ten eerste moet hij de website van het Russische leger hacken en informatie over de officieren die de lading vervoeren achterhalen. Ten tweede moet hij een satelliet hacken die de bewegingen van de trein met het goud erin in real-time volgt (en het controlecentrum lamleggen).

Hij voert beide taken met gemak uit door een aantal toetsen op zijn laptop in te drukken — maar vervolgens keert hij zich tegen de bende en jat het goud voor zichzelf en vlucht. Hierdoor ligt de taak van het uitschakelen van de verkeerslichten bij de geniale ethische hacker. Ze doet dat toevallig op precies dezelfde manier, met een aantal snelle aanslagen op het toetsenbord.

Indiase versie: geleerde lessen

Cybersecurity

  • Er is helemaal geen sprake van cybersecurity. Alle systemen kunnen op afstand gehackt worden zonder enige voorbereiding en met alleen wat aanslagen op een toetsenbord. Hoe sneller hoe beter.

Perceptie

  • Hackers zijn tovenaars.

The Italian Job: Conclusie

In alle drie de films proberen de criminelen bloedvergieten te voorkomen, en in de laatste twee versies worden ze zelfs (gedeeltelijk) gedreven door nobele intenties: wraak voor de moord op een leraar en de wens om een school voor wezen te bouwen. Ze denken echter nooit aan de consequenties van het verstoppen van een enorme stad, inclusief de gevolgen voor bijvoorbeeld de brandweer, ambulances, enzovoorts. En daar komen natuurlijk burgerslachtoffers van. Hoewel de overvallers worden geportretteerd als de helden, is het onmogelijk om sympathie voor ze op te brengen.

Wat betreft cybersecurity is het beeld van de “geniale hacker” in 50 jaar radicaal veranderd. Terwijl de hacker vroeger nog een getalenteerd maar vreemd en bijna buitenaards individu was, wordt deze nu weergegeven als een zelfverzekerde bijna almachtige tech-tovenaar. Het overnemen van de controle van verkeerslichten is van een complexe technische operatie veranderd in een standaardtrucje dat voor lief wordt genomen. In werkelijkheid is dat natuurlijk heel anders. Het hacken van een verkeerscontrolesysteem van een stad is veel moeilijker dan dat het op het witte doek lijkt.

De almachtigheid van de hackers in films heeft een negatief effect op de perceptie van de dreiging van hacks van kritieke infrastructuren. Volgens onze collega’s bij Kaspersky Security Awareness is het cinematografische stereotype van de geniale hacker slecht voor de beveiliging van echte bedrijven. Mensen zijn er hierdoor zo zeker van dat slechte acteurs werkelijk álles kunnen dat ze geen moeite meer doen voor maximale bescherming, en waardoor er dus onnodige kwetsbaarheden blijven bestaan.

Daarom raden we sterk aan om een bewustzijnstraining over cybersecurity voor uw personeel te organiseren om ze te laten zien hoe dit soort zaken in de echte wereld werkt. Ons Kaspersky Automated Security Awareness Platform biedt bijvoorbeeld lessen die feiten van fictie onderscheiden.

Tips