Blackhat – kogels en teleurstelling

Blakchat film poster

Let op: SPOILERS!

Cybercrime is hip. Dus je verwacht een lading aan films vol bits en bytes. Maar dat valt eigenlijk nogal tegen. De film Blackhat van dit jaar is één van de weinige waarin een flinke scheut hacking is verwerkt.

Helaas gaat de film aan slechte actie en ongeloofwaardigheid ten onder. Eigenlijk alleen het IT-deel heeft iets van een basis in de realiteit. En dat is dan wel weer verrassend.

De film start veelbelovend. Artistiek wordt weergegeven hoe een Chinese kerncentrale  oververhit raakt, doordat een virus de koeling stopt. Vele doden en gewonden zijn het gevolg. Dan komt Chen ten tonele, een Chinese onderzoeker met Amerikaanse roots die de dader moet opsporen. Omdat de Chinezen volgens hem niet capabel zijn, wil hij dit graag in samenwerking met zijn zus (een netwerkbeheerder) en de FBI doen. Dit zal een moment zijn waarop bij velen de eerste fronsen zullen ontstaan.

Maar goed, het lukt om de samenwerking aan te gaan. En gelukkig voor de onderzoekers wordt net dán de Amerikaanse beurs gehackt met hetzelfde virus, waardoor ze lekker aan de slag kunnen. De FBI blijkt toch een stelletje prutsers (waarom kwam Chen ook alweer naar de VS?), maar de basis van het gebruikte Remote Access-virus blijkt heel praktisch ooit geschreven te zijn door de kamergenoot van Chen aan MIT: Hathaway, een veroordeelde hacker. Hathaway wordt dus aan het onderzoek toegevoegd.

En natuurlijk is onze Hathaway geen timide nerd, maar eerder een goeduitziende, allround, supergetrainde actieheld. Hacken, vechten, schieten, vrouwen versieren: deze Hathaway draait er zijn hand niet voor om.

Dat blijkt goed van pas te komen als een boevenlegertje achter de good guys aan komt, terwijl ze de wereld overreizen op zoek naar de opperboef. Goed, het moest duidelijk een actiefilm met een vleugje cyber worden, maar waarom zo’n ontzettend ongeloofwaardig motief?

Stel je voor: je bent een briljante, maar gewetenloze cybercrimineel met een voorliefde voor gaming. Je zoekt geld en aanzien. Zou je dan als “test” een Chinese kerncentrale richting melt-down manipuleren om te testen of je virus wel op dat type pomp werkt? Lijkt mij wat onhandig, qua aandacht enzo.

Vervolgens hack je de beurskoerzen van soja, om zo je zakken te vullen met honderden miljoenen. Ja, goed idee, slim ook wel. Was het dan niet handiger om vervolgens met dat geld zelf zo’n kerncentrale-pompje te kopen en thuis wat onderzoek te doen? Scheelt je een hoop internationale politieaandacht. En helpt ook om tussentijds dichten van de hackbare gaten in de pompsoftware te voorkomen.

Want wat blijkt: de boef wil als magnum opus, als definitieve meesterwerk, als blijk van zijn opperste kunnen, een stel tinmijnen en wat dorpjes in verweggistan onder water laten lopen (met die pompen weet je wel). Want dan kan hij nog méér binnen lopen met het manipuleren van de tinkoersen. Huh??

Wacht, maar hij had de sojakoersen toch al gemanipuleerd zonder al die water-rotzooi? Waarom hier dan zoveel werk voor doen? En hoe gaat dit helpen om het respect van de wereldwijde hackercommunity te krijgen? Soms had ik echt het idee dat cruciale scenes op de snijtafel zijn gesneuveld.

Ik geloof dat ik het nog een beter motief had gevonden als deze gefrustreerde baas de sluizen in Nederland zou openzetten omdat hij gedumpt was door een Nederlands meisje. Of dat hij een bedrijf dat hem onterecht had ontslagen via de beurs te gronde zou richten. Of wie weet een bankrun uitlokken met het platleggen van pinverkeer. Mogelijkheden te over voor een leuk plot. Maar dit…

Gelukkig was het “terughacken” door Hathaway eigenlijk best creatief. En mooi weergegeven. Onze hackerheld komt namelijk niet zo maar overal in met twee tellen willekeurig geroffel op een toetsenbord, hij moet echt moeite doen.

Hij phisht zich bijvoorbeeld de NSA in (oké, die was misschien niet zo geloofwaardig), in combinatie met een besmet pdf’je. De onvermijdelijke lover social engineert zich een banknetwerk binnen met een USB-stick. En om toegang te krijgen tot een goed beveiligde server regelen ze fysieke toegang (door een auto door het dak te laten vallen, dat dan weer wel), want als je de server eenmaal in handen hebt, gaan veel opties open. En het hacken zelf gebeurt command line op een linux machine! Ongelooflijk.

Kortom: mocht je wat leuke scenes willen laten zien van mooi geensceneerde “hacking in progress”, dan is Blackhat best een aanrader. Het is alleen jammer dat je je -om die scenes te vinden- door dik twee uur slechte actiefilm heen moet vervelen.

 

 

 

 

Aaibare hackers: Kingpin en DarkMarket

De afgelopen weken heb ik twee fascinerende boeken gelezen over hacking en creditcardfraude: Kingpin van Kevin Poulsen en Dark Market van Misha Glenny. Beide zijn in roman-stijl geschreven waargebeurde verhalen over online forums voor creditcardfraude en identiteitsdiefstal, zoals CardersMarket en DarkMarket.

Kingpin focust op de briljante hacker Max Vision en zijn megalomane website CardersMarket, die de wereldwijde top moest worden als het ging om allerhande online kwaad. Een meeslepend, maar ook treurig verhaal over een getalenteerde jongen, die door zijn persoonlijkheid en allerlei omstandigheden ondanks zijn goede wil het slechte pad op is geraakt en nu al jaren vastzit.

Dark Market brengt een heel netwerk van hackers, cybercriminelen en rechercheurs in kaart, van de Oekraïne tot Turkije, van Rusland tot de Verenigde Staten. Het gaat over hoe zware (cyber)criminelen op forums contacten leggen met onnozele schooljongens. En over hoe de opsporing bemoeilijkt wordt door geografie en internationale politiek. Dark Market is minder een spannend jongensboek, maar beter geschikt om een goed beeld te krijgen van de enorme dreigingen waar we wereldwijd mee te maken hebben als het gaat om (vooral) de veiligheid van ons betalingsverkeer.

In allebei de boeken is er een heldenrol weggelegd voor Keith Mularski, de FBI-agent die een tijdlang onder zijn alterego Master Splyntr de website DarkMarket runde en zo mede gezorgd heeft voor de aanhouding van een aantal van de deelnemers.

Maar toch komt in Kingpin de hacker er het beste vanaf. De hoofdpersoon Max Vision wordt zo aansprekend beschreven dat ik het wel zou weten als ik een 14-jarige jongen zou zijn: ik zou ook gaan hacken!

Natuurlijk kunnen we op dit moment elke hacker gebruiken. Mensen die begrijpen hoe beveiliging van computersystemen werkt, zijn absoluut noodzakelijk om onze ICT-verslaafde samenleving veiliger te maken.

Maar wat Dark Market duidelijk laat zien, is hoe dun de lijn is tussen nieuwsgierig kunnen rondneuzen op plekken waar je niet hoort en het misbruiken van die kennis voor eigen gewin. Om vervolgens door een strafblad voor altijd uitgesloten te zijn van het werk waar je zo geschikt voor zou zijn geweest, in de IT-security. De 17-jarige KPN-hacker laat zien hoe treurig dit soort verhalen kunnen aflopen. Ook hij lijkt een belangrijke rol te hebben gespeeld op een carders-forum. Misschien wel geïnspireerd door Kingpin?

Betere begeleiding van dit soort jongens op school, ouders die begrijpen hoe internet werkt en die met hun kinderen hierover praten: het zijn absolute open deuren. Maar in dit geval de enige oplossing voor deze kinderen én voor onze veilige digitale samenleving. En we kunnen allemaal helpen door regelmatig dit soort boeken te lezen om ons met de neus op de feiten te blijven drukken. Helemaal geen onplezierige taak in het geval van deze twee boeken.