mr robot ce l’aveva detto
Se non hai mai sentito parlare di Mr. Robot, permettimi di presentartelo. Non il personaggio, la serie. Perché Mr. Robot è una di quelle rare produzioni che riesce a fare una cosa difficilissima: raccontare la tecnologia senza tradirla, e raccontare le persone senza idealizzarle. È andata in onda dal 2015 al 2019 su USA Network, quattro stagioni, e ha vinto Golden Globe, Emmy e praticamente tutto quello che si poteva vincere. Ma non è per i premi che te ne parlo. Te ne parlo perché è probabilmente la rappresentazione più onesta e accurata del mondo della cybersecurity che sia mai apparsa su uno schermo. E te ne parlo perché, se ti occupi di sicurezza informatica, di formazione, o semplicemente di esseri umani che usano la tecnologia, questa serie ha qualcosa da dirti.
La storia ruota attorno a Elliot Alderson, un giovane ingegnere della sicurezza informatica che lavora per una grande azienda di cybersecurity di giorno e conduce operazioni di hacking solitarie di notte. Ha un disturbo dissociativo dell'identità, un rapporto complicato con la realtà, e una capacità quasi soprannaturale di leggere le persone. Non è un eroe. Non è un villain. È qualcosa di molto più interessante: è uno specchio.
E poi c'è lui. Mr. Robot, interpretato da Christian Slater, il personaggio che dà il titolo alla serie. Un uomo che vuole abbattere il sistema finanziario globale, azzerare i debiti, ridistribuire il potere. Un idealista? Forse. Un manipolatore? Assolutamente. La tensione tra questi due poli è il cuore della serie, e anche il motivo per cui vale la pena guardarla con attenzione.
Ma torniamo alla domanda che probabilmente ti stai facendo: perché dovrebbe importarmi di una serie TV se voglio capire la cybersecurity?
Perché Mr. Robot non racconta la cybersecurity come la raccontano gli altri. Non ci sono geni solitari che digitano furiosamente su tastiere illuminate nel buio mentre schermi pieni di codice verde scorrono a velocità impossibile. Quello che vedi è reale. Le tecniche sono reali. I consulenti tecnici della serie erano veri esperti di sicurezza informatica, e si sono assicurati che ogni attacco mostrato fosse fattibile, plausibile, documentato. Alcuni spettatori con competenze tecniche hanno riconosciuto strumenti e metodologie usate nella vita reale. Qualcuno si è persino lamentato che la serie mostrasse troppo. Ma la cosa più reale di tutte non è tecnica. È umana.
Elliot non sfonda firewall con supercomputer. Non trova vulnerabilità zero-day con un colpo di genio. Osserva. Studia. Aspetta. Prima di entrare in un sistema, entra nella testa delle persone che quel sistema lo gestiscono. Cerca le loro abitudini, le loro debolezze, i loro punti ciechi. È ingegneria sociale allo stato puro, raccontata con una precisione che a tratti mette a disagio. Perché mentre guardi Elliot profilare la sua psichiatra, raccogliere informazioni su di lei dai social, usare quelle informazioni per manipolarla, non puoi non pensare che questa cosa succede ogni giorno, in forme molto meno cinematografiche ma altrettanto efficaci. Poi c'è Mr. Robot, il personaggio. Non è un hacker nel senso tecnico del termine, almeno non principalmente. È un manipolatore. Sa come far leva sulle paure, sui desideri, sulle insicurezze di chi gli sta intorno per ottenere quello che vuole. Se dovessi spiegare cos'è un attacco di phishing a qualcuno che non sa nulla di informatica, gli farei guardare alcune scene di questa serie. Perché il phishing non è una questione di codice: è una questione di fiducia tradita. È qualcuno che sa esattamente quale leva premere per farti fare qualcosa che non faresti mai a mente fredda.
C'è poi fsociety, il gruppo di hacker che vuole abbattere il sistema finanziario globale attraverso un attacco massiccio a una delle più grandi multinazionali del mondo. Quello che colpisce non è l'obiettivo, ma il metodo. Non attaccano la grande corporation direttamente, perché è troppo protetta. Attaccano i fornitori, i partner, le aziende collegate che hanno accesso ai sistemi principali ma investono molto meno in sicurezza. Nella realtà questo si chiama supply chain attack, ed è uno dei vettori di attacco più usati e sottovalutati degli ultimi anni. Il punto debole non sei tu: è qualcuno di cui ti fidi, qualcuno a cui hai dato accesso, qualcuno che non hai mai pensato di dover controllare.
E poi c'è Angela. Non è una hacker. Non sa scrivere una riga di codice, non conosce la terminologia tecnica, non ha mai pensato di poter essere utile a un'operazione di cybersecurity. Eppure viene usata per accedere a sistemi altamente protetti, semplicemente perché ha le credenziali giuste e qualcuno ha avuto la pazienza di far leva sulla sua fragilità emotiva nel momento sbagliato. Nella sicurezza informatica questo si chiama insider threat: la minaccia che viene dall'interno, spesso inconsapevole, spesso involontaria, quasi sempre umana. È il tipo di attacco più difficile da prevenire con la tecnologia, perché la tecnologia non sa distinguere una persona che agisce liberamente da una che è stata manipolata.
Quello che Mr. Robot ha capito prima di molti, e che continua a essere il motivo per cui la serie è ancora così rilevante, è che la cybersecurity non è un problema tecnico con una soluzione tecnica. È un problema umano. Gli attacchi funzionano perché le persone si fidano, si distraggono, hanno paura, vogliono piacere, sono stanche, hanno una brutta giornata. Nessun firewall al mondo protegge da tutto questo. Nessun antivirus aggiornato salva un'azienda se qualcuno al suo interno clicca sul link sbagliato perché era convinto di stare parlando con il proprio responsabile. E mentre guardavi Elliot hackerare il suo psichiatra raccogliendo informazioni per manipolarlo, forse non hai pensato che quella stessa tecnica, molto più rozza e molto meno cinematografica, viene usata ogni giorno da qualcuno che vuole entrare nei sistemi della tua azienda, della tua scuola, del tuo telefono. Mr. Robot è uscito nel 2015, alcune cose che racconta sono diventate notizia anni dopo. Alcune le stiamo ancora aspettando, e preferiremmo non farlo. Ce lo aveva detto, stavamo guardando, ma non stavamo vedendo.
