¿Max the Hacker manipuló autocues y semáforos?

Como lo demuestran los comentarios y la actual falta de respuestas sobre esta pregunta similar , los videos como este son intrínsecamente difíciles de desacreditar porque, si bien pueden haber sido falsos, los actos que representan son teóricamente posibles.

En primer lugar, quizás sea más importante señalar que parece ser una campaña de marketing viral para una empresa de formación en TI de los Países Bajos . El usuario RedGrittyBrick señaló en el otro hilo que una " guía de marketing de videos en línea " explica que "una de las formas más populares para que las marcas lleguen a grandes audiencias con videos en línea es crear un clip que plantee la pregunta: '¿Fue real o falso? ?'" En otras palabras, este tipo de videos son más efectivos en la publicidad y se falsifican de manera rutinaria. Editar: Meses después de que inicialmente escribí esta respuesta, la compañía que produjo el video emitió un comunicado admitiendo que era un engaño. SQBinforma sobre eso en otra respuesta .

En segundo lugar, es importante tener en cuenta que no hay evidencia de que Max the Hacker haya tenido problemas legales por sus payasadas. Seguramente, al menos uno de estos hacks debe haber violado al menos una ley en los Países Bajos, y publicarlo en una serie de videos de YouTube con millones de visitas colectivas seguramente habría llamado la atención de las autoridades. Sin embargo, no ha habido noticias sobre su arresto.

En tercer lugar, Max the Hacker es completamente desconocido para la comunidad de seguridad. No pude encontrar un solo artículo o conferencia atribuida al tipo. Mire cuánta prensa y, lo que es más importante, la financiación que personas como Charlie Miller han obtenido de su investigación sobre la piratería de automóviles . Si Max the Hacker tuviera realmente los conocimientos técnicos suficientes para controlar un Porsche de forma remota, casi con toda seguridad sería consciente de los incentivos económicos para proporcionar esa investigación a la comunidad y/o contratar a los fabricantes de automóviles en lugar de arriesgarse a ser arrestado por requisar un automóvil. para el lulz".

Específicamente en los videos, no hay trenes directos desde ninguna estación en los Países Bajos a Alicante . Aunque lo hubiera, los tableros de llegada en las estaciones no son digitales; son flip-boards mecánicos:

Entonces, la única explicación es que Max abrió físicamente el tablero y agregó manualmente una nueva etiqueta para Alicante, lo cual es muy poco probable, o que parte del video se editó en el procesamiento posterior. Editar: Hugo Zink afirma en los comentarios que desde al menos 2010 los tableros de llegada a los Países Bajos han sido digitales. No he montado un tren allí desde antes de 2010, así que no puedo confirmarlo. Sin embargo, incluso si eso es cierto, solo respalda el hecho de que estos videos fueron un engaño, porque el primer video muestra claramente los tableros estilo flip a los 6 minutos y 14 segundos en .

El Porsche que Max controla de forma remota parece ser un 996 o un 997 Cabriolet. Si bien el control remoto de un automóvil es teóricamente posible (consulte la investigación de Charlie Miller vinculada anteriormente y el trabajo más reciente en el Tesla Model S), siempre debe haber algún mecanismo para que el control remoto accione los frenos y gire el volante. Esto es posible en autos como Prius o Tesla que tienen asistencia de mantenimiento de carril (que anula la entrada de la dirección) o asistencia de frenado de emergencia (que aplica automáticamente los frenos si el auto detecta un choque inminente). Ni el 996 ni el 997 tenían ninguna de estas características. Por lo tanto, como mínimo, Max habría tenido que forzar físicamente el vehículo y conectar actuadores manuales controlados a distancia para operar la dirección y los frenos. Posible, pero muy improbable si el objetivo del video fuera simplemente impresionar a sus amigos y a los espectadores de YouTube.

Hay un hilo relevante con alguna evidencia anecdótica en este foro de seguridad . El consenso es que, si bien los hackeos en sí son teóricamente posibles, los videos en sí son falsos; como investigador de seguridad profesional, estoy de acuerdo. También hay algunas afirmaciones de evidencia de que Max es un actor a tiempo parcial, sin embargo, no pude encontrar evidencia sólida para respaldar esas afirmaciones.

Editar: hubo una solicitud específica para una explicación de la plausibilidad del hackeo del mensaje de texto del teléfono celular. Hubo una charla en la conferencia DEFCON del año pasado que demostró una tecnología bien conocida para hacer eso: los ataques de hombre en el medio (MITM) de femtoceldas.. La idea es que usted puede configurar una pequeña mini-torre celular (que hoy en día están disponibles a bajo precio como artículos de consumo comercial estándar) y piratearla para obligar a todos los teléfonos celulares dentro de su rango a asociarse con ella en lugar de con la real. torres de telefonía móvil del proveedor de telefonía móvil. Luego puede enviar llamadas de voz falsas, mensajes de texto, etc., a todos los teléfonos celulares conectados a él. Incluso puede alterar los datos que se envían desde la torre celular "real", sobre la marcha. Por ejemplo, se ha demostrado que se puede alterar el contenido de una página web cargada en un smartphone. El problema con el video de Max es que, para que todos los teléfonos de la habitación recibieran el mensaje de texto (que es lo que se muestra en el video), habría necesitado un transmisor de femtocelda pirateado por separado para cada compañía telefónica utilizada en el habitación. Esto es posible,

Según lo dicho por la compañía que produjo el "documental" :

Para demostrar que TI puede ser divertido, creamos un hacker

La empresa de TI Info Support estaba teniendo dificultades para reclutar nuevos talentos debido a la reputación de la industria de ser muy, muy aburrida. Su solicitud inicial fue un video corporativo argumentando que trabajar en Info Support no es nada aburrido. Creíamos que un video corporativo no funcionaría y les pedimos, no, les rogamos, que nos dieran la libertad de desarrollar una campaña de video en línea atrevida. Todavía estamos agradecidos de que nos hayan dejado hacerlo.

Dimos a luz a Max the Hacker, un tipo que es técnicamente tan avanzado que es capaz de piratear casi cualquier cosa. No abusa de sus habilidades técnicas; simplemente se está divirtiendo... Max hackea los tableros de mensajes electrónicos de las carreteras, la base de datos de NS (la compañía ferroviaria holandesa) y el teleprompter del popular canal holandés RTL4.

Y entonces empezó la locura. En unas pocas semanas, millones de personas vieron las películas de Max, los canales querían conocerlo y los blogs en más de 15 países informaban sobre sus extraordinarias habilidades de piratería. Usamos nuestra creatividad para hacer que todos creyeran que lo que hizo era real, ¡y millones de personas lo compraron! Nuestro cliente se convirtió en líder del mercado al restaurar la reputación de la industria y recibió docenas de solicitudes de empleo. La serie de virales obtuvo 31 millones de visitas y es una de las series holandesas de Youtube más vistas de la historia.

(Énfasis mío).

Como anécdota, los he visto en un programa de entrevistas holandés, probablemente RTL Late Night , mostrando cómo lo hicieron (manipulación de imágenes, actores, un conductor oculto en el Porsche, un locutor de estación útil), pero no puedo encontrar un enlace a eso.