Hoe realistisch is Mr. Robot?

In de gelauwerde dramaserie Mr. Robot worden spectaculaire hacks uitgevoerd. Volgens beveiligingsexperts kunnen dit soort hacks werkelijk plaatsvinden.

Darlene Alderson (Carly Chaikin) en Elliot Alderson (Rami Malek). USA Network

Een knappe, goedgeklede vrouw van een jaar of veertig komt thuis in haar luxe woning in New York. Als ze haar alarm wil uitschakelen, gebeurt er iets vreemds: haar toegangscode lijkt niet te werken. Bij een nieuwe poging lukt het wel.

Andere spullen in haar huis doen ook eigenaardig: de tv springt aan, de klimaatregeling laat de temperatuur zakken tot een ijzig niveau en ze brandt zich aan gloeiend heet water in de douche. Lichten knipperen en uit de boxen schalt onheilspellende klassieke muziek. Wanhopig vlucht ze haar huis uit.

Deze gijzeling van een smart home is één van de hacks uit het tweede seizoen van Mr. Robot, dat vanaf 22 oktober wordt uitgezonden door de NTR. Het eerste seizoen won eerder dit jaar een Golden Globe voor beste dramaserie; een derde seizoen is in de maak. Centraal in het verhaal staat hackerscollectief fsociety dat ’s werelds grootste bank weet te ontwrichten met cyberaanvallen. Op hackerfora wordt de serie geprezen om het realisme van de hacks.

Gehackte huiskamer

De boven beschreven overname van een smart home is volkomen geloofwaardig, zegt Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen. Hij legt uit dat door het internet-der-dingen (IoT) steeds meer apparaten in ons huis – van tandenborstels tot thermostaten – worden verbonden met je wifi.

Wanneer een hacker weet in te breken op een wifi-netwerk, kan hij bij de daaraan verbonden IoT-apparaten. Jacobs: „Een wifi-netwerk binnentreden is vaak niet zo moeilijk. Als er vervolgens kwetsbare plekken in de apparaten zitten, kunnen die gebruikt worden om de aansturing over te nemen.”

IoT-apparaten vertonen vaak van dat soort kwetsbare plekken. Software van IoT-apparaten heeft onderhoud nodig, bijvoorbeeld om programmeerfouten te herstellen. Maar fabrikanten hebben daar weinig motivatie voor, zegt Jacobs: „Met de verkoop van de spullen hebben ze hun geld al binnen.”

Al in 2013 nam een Forbes-journalist de controle over een huis over. Hij wist toegang te krijgen tot de lampen en het bubbelbad. Onderzoekers van de Universiteit van Michigan vonden later kwetsbare plekken in thuisnetwerk SmartThings van Samsung, waardoor ze op afstand rookmelders konden laten afgaan en deuren konden openen.

In Mr. Robot zien we de voorbereidingen niet, maar een dergelijke hack zal de nodige tijd kosten, denkt Jacobs. „Je moet al die aangesloten apparaten apart hacken.”

De FBI afluisteren

In een andere aflevering proberen hackers mobiel verkeer van de FBI af te luisteren. Een personage sluipt daartoe stiekem binnen bij het kantoor van de veiligheidsdienst en laat een zogeheten femtocel achter. Dat is een apparaatje met een klein zendvermogen. Zo kan hij ongemerkt het mobiele dataverkeer binnendringen met malware. Elke smartphone binnen het bereik van de femtocel is daarna een potentieel slachtoffer.

Ook dat is een realistisch scenario, zegt Jacobs. Zijn onderzoeksgroep in Nijmegen heeft geëxperimenteerd met zulke femtocellen. „Die zijn inderdaad zo te programmeren dat ze malware kunnen doorgeven aan telefoons.” Hij legt uit dat die malware vervolgens via het GSM-kanaal kan doordringen tot de door de FBI gebruikte Android-software op de telefoon, om daar een kwetsbare plek – in de serie wordt niet uitgelegd welke – uit te buiten. Volgens de hoogleraar is het een nachtmerriescenario voor de FBI.

Lees de recensie van het tweede seizoen Mr. Robot: Een hallucinerende, duistere serie

De makers van Mr. Robot werken met een team beveiligingsexperts en technische consultants, onder wie twee voormalige FBI-agenten. Het team zegt cyberaanvallen – in samenspraak met veiligheidsdiensten – zelf uit te proberen om te kijken wat haalbaar is. Pas daarna worden de hacks verwerkt in het script.

De queeste naar realisme gaat verder dan alleen haalbaarheid. De code die de personages gebruiken is echt en wordt niet zoals vaak in de montage toegevoegd, maar op de set door de acteurs ingetypt. URL’s, QR-codes en IP-adressen die in de serie te zien zijn, leiden in het tweede seizoen altijd ergens heen op het echte web, al is dat vaak lollig bedoeld. Zo stuurt IP-adres 192.251.68.239 fans naar een afbeelding van het lachende masker dat fsociety-leden dragen.

De hacks gaan wel erg snel

Ondanks deze toewijding zijn de hackerskunsten wel flink gedramatiseerd. Een wachtwoord kraken is in Mr. Robot vaak een kwestie van minder dan een minuut, terwijl dat bij een echte hack ook uren of dagen kan duren.

„Als de makers echt een realistisch beeld wilden geven, was het een saaie serie geworden”, zegt Joost Bijl van beveiligingsbedrijf Fox-IT. Zijn bedrijf breekt op verzoek bij klanten in om de digitale beveiliging te testen. „Inbreken gaat echt niet zo makkelijk”, zegt hij „Soms moet je wel twintig pogingen ondernemen voordat het lukt. In een aflevering van Mr. Robot is het de eerste keer raak.”

Hij noemt een ander voorbeeld van een opgesmukte keuze van de makers. In een scène willen FBI-leden de pc van een hacker onderzoeken. Op het moment dat een agent een usb-stick inplugt, ontstaat er een wilde steekvlam die de computer vernielt. In de praktijk zou dit best kunnen, denkt Bijl. „Je kan een schakelaar in een usb-poort bouwen die wordt ontstoken als iemand een stick inplugt. Als je met termiet werkt, brand je zo door je harde schijf heen.”

Maar Bijl vindt het een nogal ingewikkelde en riskante manier om je sporen uit te wissen. „Al is het maar omdat je zelf misschien per ongeluk eens een usb-stick in de computer steekt.” Zelf beveiligt hij zijn pc door middel van encryptie. „Dat doet eigenlijk iedereen die in de cybersecurity werkt. Dan wordt inbreken, door bijvoorbeeld hackers of veiligheidsdiensten, ook heel lastig.”