¿Por qué se muestra que los piratas informáticos son genios o muestran que lo hacen de maneras fantásticas?

En primer lugar, las películas no son realistas en este sentido . No es diferente al "realismo" de hacer zoom en las cámaras de seguridad y limpiar las imágenes. Simplemente no es realista, pero es un buen entretenimiento y ayuda con el avance de la trama.

Sin embargo, dicho esto, hay muchas personas con contraseñas fáciles de adivinar . Conozco a muchas personas por lo demás inteligentes que no se preocupan por las buenas contraseñas, no las cambian con frecuencia, etc. -para adivinar contraseñas.

Si tuviera que intentar entrar en una cuenta sin usar la fuerza bruta, empezaría con las contraseñas básicas fáciles de adivinar y contaría con la estupidez de las personas a las que intento hackear. O recurriría a la ingeniería social. "Soy del servicio de asistencia técnica y necesito deshacerme de un virus en su PC. ¿Puede darme su nombre de usuario y contraseña para poder iniciar sesión y hacerlo?" (Te sorprendería cuántas personas caen en esto).

Una manera fácil de inducir la "suspensión voluntaria de la incredulidad" para descifrar la contraseña en las películas, tiendo a favorecer el escenario de la "contraseña débil", ya que es el más realista.

Prácticamente todas las técnicas de piratería en Girl With The Dragon Tattoo son reales y las usan regularmente no solo los malos, sino también las fuerzas del orden, los equipos de pruebas de penetración y los auditores de seguridad.

Claro, Hollywood los dramatiza, pero en este caso, no mucho. He dirigido equipos de personas que pueden hacer las cosas que se muestran en esta película, y en mi oscuro y distante pasado, yo mismo hice algunas de ellas.

Eche un vistazo a esta pregunta sobre Seguridad de la contraseña para obtener información útil sobre la seguridad de la contraseña y por qué los humanos son tan malos para crear contraseñas seguras.

Con respecto a las transmisiones de video de las cámaras de CCTV, ahora hay algunas empresas con sistemas que extraen información de múltiples cuadros para interpolar/extrapolar imágenes fijas de alta calidad. Pero no, no puedes girar la vista para mirar en la dirección opuesta a la que miraba la cámara (Enemy of the State). Y no puedes acercar y mover indefinidamente (Blade Runner)

Un muy buen ejemplo de las técnicas reales utilizadas hoy en día por los grupos de ataque es la serie Mr Robot. Si excluimos los temas argumentales psicóticos/alucinógenos, todos los hackeos, intrusiones y explotaciones realizadas por los hackers son reales.

En casi todos los paradigmas de seguridad informática, el eslabón más débil es la parte humana. Algunos algoritmos de seguridad son simplemente malos, lo que ayuda a los piratas informáticos. La ingeniería social y la estupidez contribuyen en gran medida a que los piratas informáticos se vean realmente bien antes de que también se requiera la suspensión de la incredulidad.

Aquí hay una calculadora interesante que le da una idea aproximada de los diferentes escenarios de poder de cómputo y cuánto tiempo tomaría un ataque de fuerza bruta.

Al usar una contraseña como "power", obtienes un resultado de menos de una millonésima de segundo con una variedad de computadoras diseñadas para fuerza bruta y un marco de tiempo de ataque en línea en el peor de los casos de menos de 4 horas. Por otro lado, una contraseña como "1We^gold" proporciona un tiempo de ataque simulado de 1,12 minutos con la misma supercomputadora, pero más de dos mil siglos usando un ataque basado en un diccionario en línea.

Todo eso para decir, por un lado, CUALQUIER contraseña que no bloquee las conjeturas puede ser forzada en una línea de tiempo lo suficientemente larga o con suficiente poder de cómputo. Entonces, la pregunta de Hollywood es si es más fácil convencer a la audiencia de que la contraseña era débil o de que el hacker tiene acceso a una matriz de supercomputación. La segunda opción estaría bien para variar, pero normalmente el problema se ignora o se explica por la debilidad del objetivo.

Bueno, sobre el cracking, algunas notas:

1. Es ilegal en EE. UU., por lo que la mayoría son deshonestos o simplemente no están trabajando en otra cosa. Las excepciones son los agentes del gobierno.
2. En algunas películas, se muestra que el FBI y la CIA tienen un equipo de expertos en descifrado. Por supuesto que es estúpido, primero el agente del FBI y la CIA gana un salario promedio mientras que un experto en computación puede ganar el doble con menos esfuerzo. En segundo lugar, no es fácil trabajar para el FBI y la CIA, existen varios requisitos y cada agente es controlado y auditado regularmente, por lo que no creo que nadie quiera trabajar en la CIA en lugar de una gran corporación. Y finalmente, la mayor parte del trabajo se subcontrata...
3. Desde 2. algunos programas y servicios cuentan con una puerta trasera. De hecho, la mayoría de los servicios deben tener una puerta trasera en caso de una investigación. Por lo tanto, es más fácil descifrar algún sistema.
4. Existen sistemas con vulnerabilidades que cualquiera (que sepa) puede explotar. Por ejemplo, es bastante fácil piratear un sistema Windows (con acceso físico) usando algún programa de piratería (como CIA COMMANDER <-- lol).
5. Además, está el hecho de que la mayoría de las personas usa la misma contraseña más de una vez. Entonces, es posible recopilar la contraseña de un sitio (por ejemplo, un sitio de warez) y usar la misma contraseña para romper la cuenta de correo electrónico.

Porque es aburrido mostrar a los hackers como ingenieros. No mostraron a Zuckerberg como una persona a la que le gusta construir cosas, la misma lógica aquí. Sin embargo, la consideraría una Script kiddie .

Su pregunta plantea muchos argumentos de seguridad de red, pero intentaré explicarle lo esencial desde el principio.

1) Todas las películas y libros sobre piratería son muy poco realistas, por lo que un estereotipo de hacker es alguien que generalmente hace todo lo que alguien le pide, incluso violar los sistemas de la NSA (Agencia de Seguridad de las Naciones), eso es bastante imposible.

2) Hay muchas maneras de piratear la computadora de alguien, no solo adivinando la contraseña (si hay un protocolo de autenticación basado en contraseña) usando ataques de fuerza bruta (que toman mucho si las contraseñas son largas y bastante aleatorias) o ingeniería social . Hay muchos otros ataques posibles si hay un protocolo débil:

• Ataques pasivos en los que el hacker puede simplemente escuchar el canal de comunicación cuando alguien inicia sesión y si la contraseña se transmite en claro (sin criptografía), entonces todo está hecho: sin fuerza bruta.
• Ataques activos donde el hacker solo necesita cambiar algunos bits transmitidos o interactuar con la víctima sin saber nada para tener las credenciales/claves/contraseñas/frase de contraseña.

Recuerde, el hacker de películas es un estereotipo que puede hacer TODO, incluso eso en la vida real no es tan fácil, a veces no es posible en absoluto.

El no siempre, ¿Qué pasa con el peligro claro y presente ?

"En la película, el genio informático de la CIA, Petey (Greg Germann), descifra la contraseña de la víctima del barco adivinando manualmente las combinaciones de los números de cumpleaños de la familia de la víctima". - IMDB

Más tarde dice algo acerca de tener que escribir un programa para descifrar una cuenta diferente de alguien con una cuenta de la CIA mejor/más alta (creo que la de Ritter)

Mi respuesta tiene que ver con la personalidad de la mayoría de las personas que adquieren tales habilidades. Introvertidos _

Los introvertidos tienden a obtener una puntuación más alta en la prueba de coeficiente intelectual, porque su personalidad se adapta mejor a los problemas de pensamiento y abstractos. Realmente disfrutan de este tipo de actividades. Los hace sentirse bien. Los motiva. Parece ser una personalidad clásica de tipo introvertido, al igual que la mayoría de los personajes de piratas informáticos en las películas. Hablando por mí mismo, sé que puedo pasar 20 horas al día aprendiendo cómo funcionan diferentes cosas.

En cuanto a lo fácil que es hackear cosas, depende de lo bien que te hayas preparado/practicado. Lo que ves en la película es una persona, no ves los 3 años que pudo haber pasado escribiendo programas, construyendo redes y probando sus habilidades. Me parece que ella realmente no estaba trabajando antes de la película e hizo lo que le gustaba. Ella podría tener 10 años de experiencia en sistemas de craqueo. Es posible que en realidad no esté descifrando el sistema en la película, simplemente accediendo a través de una puerta trasera que pasó 6 meses instalando.

Si desea comprender lo fácil que puede ser obtener acceso, hay herramientas de software que puede descargar de forma gratuita ahora mismo . Que tienen conjuntos de ataques precargados para descifrar ciertos tipos de software. Incluso una persona con conocimientos moderados podría descubrir cómo usar este software. Una persona muy motivada podría hacer mucho con él.

La debilidad en la mayoría de los sistemas de seguridad son las personas que los utilizan. Si los conoce lo suficientemente bien, es bastante fácil obtener acceso.

Una forma simple de ver esto es que la piratería es tan mal entendida por la población en general que los piratas informáticos son vistos como el hombre del saco o como un mago. Independientemente, el acto de piratear es pura magia de las artes negras (en su mente), y las películas generalmente lo retratan como tal.

Esto lleva a todas las tonterías que ves en la pantalla:

• La "hidra" de Hugh Jackman en Swordfish es un mago que hace una poción complicada que debe prepararse correctamente y sigue burbujeando en la olla.
• El virus en el Día de la Independencia es un mago que usa su magia contra un reino de un plano diferente.
• El truco final en Hackers es un duelo entre magos.
• etc.

Los usuarios avanzados se vuelven poderosos al acumular herramientas

La mejor respuesta realmente es "la magia de Hollywood": el trabajo paso a paso del diseño de software no parece emocionante para un observador, por lo que los cineastas buscan metáforas fuertemente visuales que esperan capturar la esencia, si no la verdadera forma. de la actividad A veces logran capturar las dimensiones que importan en su historia de una manera que es honesta, si no literalmente cierta, como en Swordfish. Otras veces, producen algo manifiestamente absurdo y cómicamente estúpido, también como en Swordfish. Creo que probablemente no haya una mejor manera de presentar el trabajo de software en las películas, porque los objetivos y el contexto de la narración son muy importantes.

Pero esa no es la única razón por la que los piratas informáticos y los programadores en la ficción parecen ejercer tanto poder con tanta facilidad.

En el mundo real, las personas que trabajan en software durante muchos años recopilan herramientas que les ayudan a realizar tareas comunes de forma más rápida, mejor y más sencilla. Los programadores confían en la reutilización y la automatización para aumentar su productividad.

Considere: la primera vez que trato de adivinar la contraseña de alguien, probablemente tenga que escribir un programa desde cero que pueda generar todas las posibilidades, y luego escribir otro programa que pueda adivinar individualmente y realmente probarlo, y luego tengo que cablear ellos juntos.

La segunda vez que intento adivinar la contraseña de alguien, probablemente pueda reutilizar el primer programa y podría reutilizar el segundo programa si su cuenta está en el mismo sistema que la primera cuenta.

...

La quincuagésima vez que quiero descifrar la contraseña de alguien, ejecuto mi programa CollectTargetPersonalInfo , que rastrea Google, Facebook, LinkedIn, Instagram y Twitter para tratar de recopilar información pública sobre el objetivo: nombre completo, fecha de nacimiento, apellidos inmediatos, etc. -- que luego genera un "perfil objetivo" que mi programa PasswordGuesser usa para priorizar diferentes regiones del espacio de claves.

...

La vez número 700 que quiero descifrar la contraseña de alguien, solo envío un correo electrónico con su nombre a mi PasswordCrackerBot, que se ejecuta en la nube. Agrega el nombre a una lista de personas que está investigando e intentando descifrar. Cuando finalmente tiene éxito o se bloquea, responde a mi correo electrónico con los resultados.