Днес Кевин Митник е експерт по сигурността, който прониква в компаниите на своите клиенти, за да разкрие техните слабости. Освен това е автор на няколко книги, включително Призрак в жиците. Но той е най-известен като хакера, който се изплъзваше на ФБР в продължение на години и в крайна сметка беше затворен заради поведението си. Имахме възможност да поговорим с него за времето му в изолация, хакването на McDonald’s и какво мисли за Anonymous.
Digital Trends: Кога за първи път се заинтересувахте от хакване?
Препоръчани видеоклипове
Кевин Митник: Всъщност това, което ме накара да се занимавам с хакване, беше това хоби, което имах, наречено телефонно обаждане. Когато бях младши в гимназията, бях очарован от магията и срещнах един друг ученик, който можеше да прави магии с телефон. Той можеше да прави всички тези трикове: аз можех да се обадя на номер, който той ми каза, и той щеше да се обади на друг, и ние щяхме да се съединим, и това се нарича зацикляне. Това беше тестова верига на телефонна компания. Той ми показа, че има този таен номер в телефонната компания, можеше да набере номер и той щеше да издаде странен тон, след което постави петцифрен код и можеше да се обади навсякъде безплатно.
Той имаше тайни номера в телефонната компания, на които можеше да се обади и не трябваше да се идентифицира, какво ли? би се случило, ако той имаше телефонен номер, той можеше да намери името и адреса на този номер, дори и да имаше непубликуван. Можеше да пробие пренасочването на повиквания. Той можеше да прави магии с телефона и аз бях наистина очарован от телефонната компания. И бях майтапчия. Обичах шеги. Моят крак на вратата към хакерството правеше шеги с приятели.
Една от първите ми шеги беше, че ще сменя домашния телефон на приятелите си с телефон-автомат. Така че всеки път, когато той или родителите му се опитаха да направят обаждане, щеше да каже „моля, депозирайте една четвърт“.
Така че навлизането ми в хакерството беше моето очарование от телефонната компания и желанието ми да правя шеги.
DT: Откъде взехте техническите познания, за да започнете да правите тези неща?
КМ: Самият аз се интересувах от технологиите и той всъщност не ми казваше как прави нещата. Понякога чувах какво прави и знаех, че използва социално инженерство, но той беше като магьосникът, който направи триковете, но не искаше да ми каже как са направени, така че ще трябва да го измисля себе си.
Преди да срещна този човек, вече бях радиолюбител. Издържах изпита си по радиолюбител, когато бях на 13 и вече бях в електрониката и радиото, така че имах това техническо образование.
Това беше през 70-те години и не можах да получа лиценз за C.B., защото трябваше да си на 18 години, а аз бях на 11 или 12. Така че срещнах този шофьор на автобус, когато се возех в автобуса един ден, и този шофьор ме запозна с HAM радиото. Той ми показа как може да провежда телефонни разговори с помощта на ръчното си радио, което ми се стори супер готино, защото беше преди мобилния телефони и си помислих „Уау, това е толкова готино, трябва да науча за това.“ Взех някои книги, взех няколко курса и на 13 преминах изпит.
Тогава научих за телефоните. След това друг ученик в гимназията ме запозна с компютърния инструктор, за да взема компютърен клас. Първоначално инструкторът не ме пусна, защото не отговарях на предпоставките, а след това му показах всички трикове, които можех да правя с телефона, и той беше силно впечатлен и ме пусна в клас.
DT: Имате ли любим хак или такъв, с който сте особено горди?
КМ: Хакването, към което съм най-привързан, беше хакването на McDonald’s. Това, което измислих — нали си спомняте, че имах лиценз за HAM радио — можех да поема управлението на прозорците. Щях да седна от другата страна на улицата и да ги поема. Можете да си представите на 16, 17 години какво забавление може да имате. Така че човекът в Макдоналдс можеше да чуе всичко, което се случва, но не можеше да ме надвие, аз щях да ги надвия.
Клиентите идваха с колата и аз вземах поръчката им и казвах „Добре, вие сте 50-ият клиент днес, вашата поръчка е безплатна, моля, карайте напред.“ Или ще дойдат ченгета и понякога казвах „Съжалявам, господине, днес нямаме понички за вас, а за полицаите сервираме само понички Dunkin.” Или това, или щях да кажа „Скрий кокаин! Скрийте кокаина!“
Стигна се до момента, в който мениджърът излизаше на паркинга, разглеждаше паркинга, гледаше в колите и, разбира се, нямаше никой наоколо. Така че той отиваше до високоговорителя и всъщност гледаше вътре, сякаш вътре има скрит човек, и тогава аз казвах „Какво, по дяволите, гледаш!“
DT: Ще поговориш ли малко за разликата между социалното инженерство да влезеш в мрежа и действителното хакване в такава?
КМ: Истината е, че повечето хакове са хибридни. Можете да влезете в мрежа чрез мрежова експлоатация – разбирате, намиране на чист технически начин. Можете да го направите чрез манипулиране на хора, които имат достъп до компютри, за разкриване на информация или за извършване на „действие“, като отваряне на PDF файл. Или можете да получите физически достъп до мястото, където са техните компютри или сървъри и да го направите по този начин. Но всъщност не е едното или другото, наистина се основава на целта и ситуацията и това е мястото, където хакерът решава кое умение да използва, кой път ще използва, за да пробие системата.
Днес социалното инженерство е сериозна заплаха, тъй като RSA [Security] и Google бяха хакнати и това беше чрез техника, наречена фишинг. С атаките на RSA, които бяха значителни, защото нападателите откраднаха символичните семена, които отбранителни изпълнители, използвани за удостоверяване, хакерите са заложили капан на Excel документ с Flash обект. Те намериха цел в RSA, която щеше да има достъп до информацията, която искаха, и изпратиха този документ с капан на жертвата и когато са отворили документа на Excel (който вероятно е бил изпратен от нещо, което изглежда като законен източник, клиент, бизнес партньор), той невидимо се възползва от уязвимост в Adobe Flash и след това хакерът има достъп до работната станция на този служител и вътрешната система на RSA мрежа.
Фишингът използва два компонента: социални мрежи, за да накара човека да отвори документа на Excel, и вторият част е техническата експлоатация на грешка или пропуск в сигурността на Adobe, който дава на атакуващия пълен контрол върху компютър. И така работи в реалния свят. Вие не просто се обаждате на някого по телефона и искате парола; атаките обикновено са хибридни и съчетават техническо и социално инженерство.
в Призрак в жиците, описвам как използвах и двете техники.
DT: Част от причината, която написахте Призрак в жиците беше да се обърнете към някои от измислиците за себе си.
КМ: О, да, има три книги, написани за мен, имаше филм, наречен Свалям за което в крайна сметка уредих извънсъдебно дело и те се съгласиха да промени сценария и никога не беше пуснат по кината в Съединените щати. Имах репортер от New York Times, който написа история, която хакнах в NORAD през 1983 г. и почти започнах Втората световна война или нещо нелепо като това - заяви го като факт, който беше напълно без източник твърдение.
Има много неща в очите на обществеността, които просто не бяха верни, и много неща, които хората наистина не знаеха. И си помислих, че е важно книгата ми наистина да разкаже моята история и да изясни нещата. Аз също мислех, че моята история е като Хвани ме ако можеш, имах две десетилетия игра на котка и мишка с ФБР. И не исках да правя пари. Всъщност, когато бягах, работех от 9 до 5, за да се издържам, и хаквах през нощта. Имах уменията, че ако исках, можех да открадна информация за кредитна карта и банкова сметка, но моралният ми компас не ми позволяваше да го направя. И основната ми причина за хакването наистина беше предизвикателството: като изкачването на връх Еверест. Но основната причина беше стремежът ми към знания. Като дете, интересуващо се от магия и HAM радио, обичах да разглобявам нещата и да откривам как работят. По мое време нямаше пътища за етично научаване на хакерството, беше различен свят.
Дори когато бях в гимназията, се почувствах насърчен да хакна. Една от първите ми задачи беше да напиша програма, която да намери първите 100 числа на Gnocchi. Вместо това написах програма, която може да улавя паролите на хората. И работих толкова усилено върху това, защото мислех, че е готино и забавно, така че нямах време да направя действителното задача и предадох тази вместо това – и получих А и много „Ата момчета“. Започнах в различен свят.
DT: И дори бяхте хвърлен в изолация, докато бяхте в затвора, заради неща, които хората смятаха, че можете да направите.
КМ: О, да, да. Преди години, в средата на 80-те, хакнах компания, наречена Digital Equipment Corporation, и това, което ме интересуваше, беше дългосрочната ми цел да стана възможно най-добрият хакер. Нямах друга цел, освен да вляза в системата. Това, което направих, беше, че взех решение, достойно за съжаление, и реших да преследвам изходния код, който е като тайната рецепта на Orange Julius за операционната система VMS, много популярна операционна система в миналото ден.
Така че в общи линии взех копие от изходния код и един мой приятел ме информира. Когато се озовах в съда, след като ФБР ме арестува, федерален прокурор каза на съдия, че не само трябва да задържим г-н Митник като заплаха за националната сигурност, но и трябва да се увери, че не може да се доближи до телефон, защото може просто да вдигне телефонен автомат, да се свърже с модем в NORAD, да изсвири кода за изстрелване и вероятно да започне ядрена война. И докато прокурорът каза това, аз започнах да се смея, защото никога не бях чувал нещо толкова нелепо в живота си. Но съдията, което беше невероятно, го купи въдица и грузило и в крайна сметка бях държан във федерален център за задържане в изолация за почти една година. Не можете да общувате с никого, заключени сте в малка стая, вероятно с размера на банята ви, и просто седите там в бетонен ковчег. Беше нещо като психологическо изтезание и мисля, че максималното време, което човек трябва да прекара в изолация, е около 19 дни, а мен ме държаха там една година. И се основаваше на нелепа идея, че мога да подсвирквам кодовете за изстрелване.
DT: И колко време след това не ви е било позволено да използвате елементарна електроника или поне такава, която позволява комуникация?
КМ: Ами това, което се случи, е, че в крайна сметка имах проблеми няколко пъти, след като бях освободен. Няколко години по-късно ФБР изпрати информатор, който беше истински и криминално ориентиран хакер – което означава някой, който краде информация за кредитна карта, за да открадне пари – за да ме подготви. И бързо разбрах какво прави информаторът, така че започнах да правя контраразузнаване срещу ФБР и започнах отново да хаквам. Тази история наистина е съсредоточена върху книгата: как разбивах операцията на ФБР срещу мен и разбрах агентите, които работят срещу мен, и номерата на мобилните им телефони. Взех номерата им и ги програмирах в устройство, което имах като система за ранно предупреждение. Ако се доближиха до моето физическо местоположение, щях да разбера за това. В крайна сметка, след като този случай приключи през 1999 г., имах много строги условия. Не можех да докосвам нищо с транзистор без разрешението на правителството. Отнесоха се с мен като с MacGyver, дадоха на Кевин Митник 9-волтова батерия и тиксо и той представляваше опасност за обществото.
Не можех да използвам факс, мобилен телефон, компютър, нищо, което има нещо общо с комуникацията. И тогава в крайна сметка след две години облекчиха тези условия, защото ми беше възложено да напиша книга, наречена Изкуството на измамата, и те тайно ми дадоха разрешение да използвам лаптоп, стига да не кажа на медиите и да не се свържа с интернет.
DT: Бих предположил, че това не е просто невероятно неудобно, но и лично трудно.
КМ: Да, защото представете си… Бях арестуван през 1995 г. и освободен през 2000 г. И през тези пет години интернет премина през драматична промяна, така че през това време бях като Рип Ван Уринкъл. Заспах и се събудих и светът се промени. Така че беше доста трудно да ти бъде забранено да докосваш технологии. И правителството, според мен, просто искаше да ме затрудни изключително много, или всъщност вярваха, че съм заплаха за националната сигурност. Наистина не знам кой е, но го преодолях. Днес мога да взема целия този опит и моята хакерска кариера и сега ми плащат за това. Компании ме наемат от цял свят, за да проникна в техните системи, да намеря техните уязвимости, за да могат да ги поправят, преди истинските лоши момчета да влязат. Пътувам по света, говоря за компютърна сигурност и повишавам осведомеността за нея, така че съм изключително щастлив да правя това днес.
Мисля, че хората знаят за моя случай и че наистина съм нарушил закона, но не съм искал да го направя за пари или да навредя на някого. Просто имах уменията. Нямах какво да губя, бягах от ФБР, можех да взема пари, но беше против моя морален компас. Съжалявам за действията, които са навредили на други, но не съжалявам наистина за хакването, защото за мен това беше като видео игра.
DT: Хакването беше актуална тема тази година благодарение на активисти като Anonymous. Те са изключително поляризираща група – какво е вашето мнение за тях?
КМ: Мисля, че нещо номер едно, което Anonymous прави, е да повиши осведомеността за сигурността, макар и по негативен начин. Но те със сигурност илюстрират, че има много компании, които са плод на ниско ниво, че техните системи имат лоши сигурност и те наистина трябва да я подобрят.
Не вярвам, че тяхното политическо послание наистина ще промени света. Мисля, че единствената промяна, която създават, е да се превърнат в по-висок приоритет за правоприлагането. Това е нещо като защо ФБР беше толкова ядосано на мен. Когато бях беглец, живеех в Денвър и бях разбрал какво прави информаторът, открих чрез моя система за ранно предупреждение (наблюдаваща комуникациите им по мобилни телефони), че идват и отиват да търсят аз Почистих апартамента си от всякакво компютърно оборудване или всичко, което ФБР би взело, купих голяма кутия понички и с шарпи написах върху нея „понички на ФБР“ и я пъхнах в хладилника.
Те изпълниха заповедта за обиск на следващия ден и бяха бесни, защото не само знаех кога ще дойдат, но и им бях купил понички. Беше луда постъпка… липсва му малко зрялост, но ми се стори забавно. И поради това станах беглец, а ФБР арестуваше грешните хора, които смятаха за мен, а Ню Йорк Таймс ги правеше като Keystone Kops. Така че, когато най-накрая ме хванаха, те ме удариха. Те се нахвърлиха много жестоко върху мен и дори в моя случай… знаете ли, аз откраднах изходния код, за да намеря дупки в сигурността и хакнах телефони от Motorola и Nokia, така че да не мога да бъда проследен. И правителството призова тези компании да кажат, че загубите, които са понесли за моя сметка, са техните цели инвестиции в научноизследователска и развойна дейност, които са използвали за мобилни телефони. Така че това е нещо като дете да влезе в 7-11 и да открадне кутия Coca-Cola и да каже, че загубата, която това дете е причинило на Coca-Cola, е цялата формула.
И това е едно от нещата, които изясних в книгата: причиних загуби. Не знам дали беше $10 000, $100 000 или $300 000. Но знам, че беше грешно и неетично да го направя и съжалявам за това, но със сигурност не съм причинил загуби от 300 милиона долара. Всъщност всички компании, които хакнах, бяха публично търгувани компании и според SEC, ако някоя публична компания претърпи материална загуба, тя трябва да бъде докладвана на акционерите. Нито една от компаниите, които хакнах, не отчете нито едно пени загуба.
Станах пример, защото правителството искаше да изпрати съобщение до други бъдещи хакери, че ако правите подобни неща и играете игри с нас, това ще се случи с вас. Като реакция на книгата ми някои хора казват „О, той не съжалява за това, което направи, би го направил отново“, не съжалявам за хакването, но съжалявам за всяка вреда, която съм причинил. Има разлика между това.
DT: И така, как виждате развитието на хакерството в момента? Технологиите са далеч по-достъпни от всякога и все повече и повече потребители са в състояние да надхвърлят тези граници.
КМ: Хакването ще продължи да бъде проблем и нападателите вече преследват мобилни телефони. Преди това беше вашият персонален компютър, а сега е вашето мобилно устройство, вашият Android, вашият iPhone. Хората съхраняват там чувствителна информация, данни за банкови сметки, лични снимки. Хакването върви по посока на телефоните със сигурност.
Зловреден софтуер става все по-усъвършенстван. Хората хакват сертифициращи органи, така че имате протокол, наречен SSL за онлайн пазаруване или банкова транзакция. И целият този протокол се основава на доверие и тези сертифициращи органи, а хакерите компрометират тези сертифициращи органи и издават свои собствени сертификати. Така че те могат да се представят за Bank of America, да се представят за PayPal. Всичко е по-сложно, по-сложно и по-важно за компаниите да са наясно с проблема и да се опитат да намалят шанса да бъдат компрометирани.
DT: Какъв съвет бихте дали на хакерите днес?
КМ: По мое време не беше достъпно, но сега хората могат етично да научат за хакването. Има курсове, много книги, разходите за създаване на собствена компютърна лаборатория са много евтини и дори има уебсайтове там в интернет, които са настроени да позволяват на хората да се опитват да проникнат, за да увеличат знанията и уменията си – такива, наречени Hacme банка. Хората могат етично да научат за това сега, без да си създават проблеми или да нараняват някой друг.
DT: Смятате ли, че това насърчава хората да злоупотребяват с тези умения?
КМ: Те вероятно ще го направят, независимо дали имат помощта или не. Това е инструмент, хакерството е инструмент, така че можете да вземете чук и да построите къща или можете да ударите някого по главата с него. Това, което е важно днес, е етиката. Етичният разговор за Кевин Митник беше: Добре е да се пишат програми за кражба на пароли в гимназията. Затова е важно хората и децата да се заинтересуват от това, защото това е интересна област, но зад нея да има и обучение по етика, така че да я използват по добър начин.
DT: Можете ли да говорите малко за Mac vs. Дебат за сигурността на прозорците?
КМ: Mac са по-малко сигурни, но са по-малко насочени. Windows имат най-голям пазарен дял, така че са по-таргетирани. Сега Apple очевидно засилва сигурността си и причината, поради която не чувате за много Mac-ове, е атакуван е, че авторите на злонамерен софтуер не пишат злонамерен код за Mac, защото те просто не са били популярни достатъчно. Когато пишете злонамерен код, искате да атакувате много хора и традиционно има много повече хора, работещи с Windows.
Тъй като пазарният дял на Mac нараства, естествено ще започнем да ги виждаме по-насочени.
DT: Коя операционна система е най-сигурна?
КМ: Google Chrome OS. Ти знаеш защо? Защото не можете да направите нищо с него. Имате достъп до услугите на Google, но няма какво да атакувате. Но това не е жизнеспособно решение за хората. Бих препоръчал да използвате Mac не само заради сигурността, но имам по-малко проблеми с Mac OS, отколкото с Windows.
DT: Коя нова технология намирате за най-очарователна в момента?
КМ: Спомням си, когато бях на девет години и шофирах през Лос Анджелис с баща ми, който гледаше тътена лента по магистралата, мислейки, че един ден ще създадат технология, при която дори няма да се налага да шофирате кола. Ще има някакво електронно решение, при което колите ще се движат сами и едва ли ще има инциденти. И три, четири десетилетия по-късно Google тества този тип технология. Автомобили без шофьор. Мисля, че това са неща от типа на Джордж Джетсън.