Perché Alex Gibney non mette un pezzo di nastro sulla sua macchina fotografica portatile

Il regista documentarista Alex Gibney ha fatto nemici: ha girato le rocce tra le macerie di Enron, all'interno del complicato lascito di Steve Jobs, e su qualunque ponte sia commercializzato ai membri della Chiesa di Scientology durante la sua prolifica carriera. Ricordo di averlo visto essere aggressivamente filmato da un membro del pubblico durante una sessione di domande e risposte dopo una proiezione di Andando chiaro, il suo smantellamento di Scientology di due ore. Presumibilmente, i nemici.

Ma Gibney non è come, chiamiamolo vigile, come Mark Zuckerberg, quando si tratta di monitorare quali occhi potrebbero guardarlo attraverso la sua fotocamera portatile.È un'idea radicata nella paranoia che ha la sua giusta dose di convertiti perché mentre ci sono tutti i tipi di guide online che sostengono di mostrarti come farlo, la National Security Agency può anche usare la fotocamera e il microfono del tuo laptop per spiarti.

Eppure, Gibney non copre la videocamera o il microfono del laptop con del nastro, dice Inverso.

"Non sempre lo copro perché uso la fotocamera a volte e non voglio strappare l'obiettivo con del nastro adesivo", dice prima di aggiungere: "Ma a volte uso un Post-It con adesivo appena sopra l'obiettivo. ”

È il tipo di risposta che ti aspetteresti da un regista, e Gibney, all'inizio del suo ultimo doc, Zero Days (fuori l'8 luglio), utilizza la videocamera portatile su Skype con Sergey Ulasen, un ricercatore bielorusso della sicurezza che per primo ha notato Stuxnet, il worm malware incredibilmente denso, ma preciso, ampiamente ritenuto sviluppato dal governo federale degli Stati Uniti. Avrebbe trovato la sua strada per i computer che controllavano le centrifughe nucleari iraniane e cazzo merda. Lo ha fatto solo nell'estate del 2010. Zero Days racconta la storia del cyberwar con Stuxnet come il suo canale, un virus di cui nessuno vuole parlare:

I primi minuti del film includono un montaggio di teste parlanti in giacca e cravatta che dicono molti modi diversi di non poter dire nulla.

"Due risposte prima di iniziare: non lo so, e se lo facessi, non ne parlerei comunque", dice l'ex capo della CIA e della NSA Michael Hayden.

"Mi stavo incazzando", dice Gibney, prima di notare che l'operazione era saltata: "Non sono riuscito a far dire ai funzionari che Stuxnet era esistito. C'era una specie di Nuovi vestiti dell'imperatore qualità al riguardo."

Così, invece, il regista ha esaminato la scientifica, a partire da dove il virus sofisticato è emerso per la prima volta e da lì nelle due ore procedurali. Gli ingegneri della sicurezza di Symantec, Eric Chien e Liam O'Murchu, spingono lungo la trama del film, perché lo hanno chiamato, per uno - STUXnet - e hanno aiutato a esplorare il codice del computer incredibilmente complesso.

"L'abbiamo aperto e c'erano solo cose brutte ovunque, dice O'Murchu nel film. "Abbiamo subito 100 domande."

Così hanno separato la minaccia: un virus medio richiede pochi minuti per capirlo. Un mese dopo aver esplorato Stuxnet ei due stavano appena iniziando a capire il suo carico utile, o scopo.

"Ogni pezzo di codice fa qualcosa e fa qualcosa di giusto, per poterlo attaccare", spiega Chien nel film.

Il codice era anche un "zero day code", il che significava che il primo giorno di esso aveva raggiunto un computer che ha iniziato autonomamente a funzionare. Non c'era nessun collegamento che doveva essere cliccato o allegato che era necessario aprire. "Un exploit zero day è un exploit che nessuno conosce a parte l'aggressore", spiega O'Murchu. "Quindi non c'è protezione contro di esso, nessuna patch rilasciata, non ci sono stati giorni di protezione. Questo è ciò che gli hacker apprezzano, perché sanno al 100% se hanno questo exploit zero day, possono entrare dove vogliono ".

La sofisticazione del malware indicava una conclusione: era il capolavoro di un'agenzia governativa o stato nazionale - non di Anonymous, non di un collettivo di hacktivisti, non di Occupy Wall Street. Era un'arma per la guerra cibernetica.

Ecco come funziona: il malware è stato installato tramite codice infetto su unità USB. Per ottenere il worm da mezzo megabyte su queste unità, si ritiene che le aziende che hanno lavorato con il programma nucleare iraniano siano state colpite dal virus selettivo. Una volta avviato, è stato indirizzato al Controllore logico programmabile di Siemens - che è un piccolo computer - che controlla tutti i tipi di macchine presso fabbriche, reti elettriche, ospedali e impianti nucleari. E il malware stava cercando un PLC specifico che eseguisse un lavoro specifico prima che potesse attaccare. Poiché la maggior parte dei virus si comporta come una bomba sul tappeto, questo malware era più simile a un fucile da cecchino, il che è insolito. Stuxnet è stato programmato per il dispiegamento solo quando ha trovato il bersaglio, che era l'impianto nucleare di Natanz in Iran. Centrifughi lì, usati per arricchire l'uranio, furono distrutti quando Stuxnet programmò i loro motori per girare fuori controllo proprio nel momento giusto - quando la cosa era piena di uranio arricchito dopo 13 giorni di rotazione.

Il film di Gibney mostra anche l'orgoglio e forse l'arroganza dell'allora presidente iraniano Mahmoud Ahmadinejad per permettere ai fotografi di entrare a Natanz. Catturarono immagini vitali per gli stranieri - Stati Uniti e Israele - l'intelligence. I presidenti George W. Bush e Barack Obama hanno approvato lo schieramento di Stuxnet ed è stato realizzato dalla partnership della National Security Agency (che raccoglie informazioni di intelligence) e dal Cyber ​​Command statunitense (il braccio militare che usa l'intelligence della NSA per dispiegare armi cibernetiche come Stuxnet).

"Potremmo guardare, o potremmo attaccare", dice l'attrice Joanne Tucker, che agisce come un composito compilato da interviste con fonti militari e di intelligence fuori dal comune. È un trucco interessante non rivelato fino alla fine del film, che non è esattamente uno spoiler perché il pubblico può vederlo arrivare; "Dire a voce alta Stuxnet era come dire a Voldemort Harry Potter ", Dice Tucker nel film. Hanno chiamato l'attacco Natanz Olympic Gates, o OG. C'è stata una grande operazione per testare il codice su PLC in America e per vedere cosa ha fatto il virus ai macchinari della centrifuga."

Natanz, ovviamente, non era connesso a Internet. C'era un "traferro" come è noto, ma quello era solo un ostacolo. Il codice può essere introdotto da un essere umano. Ci sono state voci di situazioni in "Mosca in cui un laptop iraniano è stato infettato da un fasullo tecnico Siemens con una chiavetta USB" o doppi agenti con accesso diretto. Il vero spionaggio non è mai stato rivelato. Le aziende che dovevano effettuare riparazioni a Natanz sono state infiltrate anche negli elettricisti, il computer portatile è infetto, lo porta alle prese di Natanz e fa boom: Stuxnet è nella centrale nucleare iraniana.

"Non è stato possibile tornare indietro una volta rilasciato Stuxnet", dice Chien nel film.

C'era un problema: gli israeliani hanno preso il codice Stuxnet, l'hanno cambiato e senza preavviso, lanciato esso. Loro "lo hanno fottuto", dice il composito della fonte NSA di Tucker: invece di nascondersi tranquillamente nei computer, il virus modificato da Israele ha iniziato a chiuderli in modo che la gente se ne accorgesse. Si è diffuso anche in tutto il mondo, ed è caduto nelle mani della Russia e, infine, dell'Iran.

"Sono riusciti a creare problemi minori per alcune delle nostre centrifughe attraverso il software che avevano installato su parti elettroniche", ha detto Ahmadinejad ai giornalisti durante una conferenza stampa in Iran nel novembre 2010. "È stata una mossa cattiva e immorale da parte loro, ma fortunatamente i nostri esperti l'hanno scoperto e oggi non sono più in grado di farlo di nuovo."

Intorno a questo periodo, gli scienziati nucleari iraniani hanno iniziato a essere uccisi, ampiamente ritenuti dai militari israeliani.

Presto, il numero delle centrifughe iraniane iniziò a spiking, fino a 20.000, con una scorta di uranio a basso arricchimento - e le strutture nucleari si espansero. Se la copertura fosse saltata, Stuxnet ebbe l'effetto opposto.

E Stuxnet ha colpito anche i computer americani, mentre si diffondeva in tutto il mondo. Il Dipartimento della Sicurezza Nazionale è stato quindi incaricato di fermare il virus, un'altra branca del governo creata dall'attacco ai sistemi di controllo industriale americano. Naturalmente, i funzionari del DHS, tra cui Sean McGurk, che all'epoca controllava la sicurezza informatica per il DHS, non avevano idea che provenisse dagli Stati Uniti.

"Non pensi che il cecchino che ti sta dietro ti sta sparando addosso. Né il senatore Joe Lieberman, che è stato visto in un'audizione al Senato, ha fatto una domanda a McGurk su chi fosse esattamente il responsabile di Stuxnet: "Pensiamo che questo fosse un attore di stato-nazione e che sia un numero limitato di stati-nazione che hai una capacità così avanzata?

"Immagina per un momento che non solo tutta la potenza sia andata in onda sulla costa orientale, ma l'intera Internet è venuta giù", dice New York Times il reporter David Sanger nel film. L'attrice composita lascia cadere l'altra scarpa: immagina quanto tempo ci vorrebbe per quelle reti elettriche di tornare online per decine di milioni di persone.

"Lo scenario della cyberwar fantascientifica è qui, quello è Nitro Zeus. Se l'accordo nucleare tra l'Iran e altri sei paesi nell'estate del 2015 non fosse stato raggiunto, avrebbe potuto essere fatto per "disabilitare le difese aeree dell'Iran, i sistemi di comunicazione e le parti cruciali della sua rete elettrica", ha riportato Sanger per il Volte a febbraio.

"Probabilmente abbiamo visto quasi dieci paesi", ha detto Chien in una recente sessione di domande e risposte dopo una proiezione di Zero Days, alla domanda su quanti paesi hanno accesso alle armi informatiche che potrebbero chiudere i sistemi di controllo industriale in America o altrove. C'è una soglia relativamente bassa quando si tratta di iniziare una guerra cibernetica.