Dnes je Kevin Mitnick bezpečnostním expertem, který infiltruje společnosti svých klientů, aby odhalil jejich slabé stránky. Je také autorem několika knih, např Ghost in the Wires. Nejvíce je však známý jako hacker, který roky unikal FBI a nakonec byl za své způsoby uvězněn. Měli jsme možnost si s ním promluvit o tom, co strávil na samotce, hackoval McDonald’s a co si myslí o Anonymous.
Digitální trendy: Kdy jste se poprvé začal zajímat o hacking?
Doporučená videa
Kevin Mitnick: Vlastně to, co mě nastartovalo k hackování, byl můj koníček, kterému jsem volal phreaking. Když jsem byl mladší na střední škole, byl jsem fascinován magií a potkal jsem dalšího studenta, který uměl kouzlit s telefonem. Uměl všechny tyhle triky: mohl jsem zavolat na číslo, které mi řekl, a on zavolal na jiné, a byli bychom spojeni, a tomu se říká smyčka. Byl to testovací okruh telefonní společnosti. Ukázal mi, že má toto tajné číslo u telefonní společnosti, mohl vytočit číslo a vydávalo to divný tón, a pak zadal pětimístný kód a mohl volat kamkoli zdarma.
V telefonní společnosti měl tajná čísla, kam mohl volat, a nemusel se identifikovat by se stalo, kdyby měl telefonní číslo, mohl by najít jméno a adresu toho čísla, i kdyby tomu tak bylo nepublikovaný. Mohl by prolomit přesměrování hovorů. Uměl s telefonem kouzlit a mě telefonní společnost opravdu fascinovala. A byl jsem vtipálek. Miloval jsem žerty. Moje noha ve dveřích do hackování byla vytahování žertů z přátel.
Jedním z mých prvních žertů bylo, že bych změnil domácí telefon svých přátel na telefonní automat. Takže kdykoli se on nebo jeho rodiče pokusili zavolat, řeklo se: „Složte prosím čtvrtinu“.
Takže můj vstup do hackování byla moje fascinace telefonní společností a touha dělat žerty.
DT: Kde jsi získal technické znalosti, abys začal tyto věci vytahovat?
KM: Sám jsem se o technologie zajímal a on mi vlastně neřekl, jak věci dělal. Někdy jsem zaslechl, co dělá, a věděl jsem, že používá sociální inženýrství, ale byl jako kouzelníka, který dělal triky, ale neřekl mi, jak se to dělá, takže to budu muset vyřešit já moje maličkost.
Než jsem potkal toho chlapa, byl jsem už radioamatér. Když mi bylo 13, prošel jsem testem HAM radio, a už jsem se věnoval elektronice a rádiu, takže jsem měl technické vzdělání.
Bylo to v 70. letech a já jsem nemohl získat licenci C.B., protože vám muselo být 18 let a mně bylo 11 nebo 12. Tak jsem jednoho dne potkal řidiče autobusu, když jsem jel autobusem, a tento řidič mě seznámil s rádiem HAM. Ukázal mi, jak může telefonovat pomocí svého ručního rádia, o kterém jsem si myslel, že je super, protože to bylo před mobilním telefonem telefony a pomyslel jsem si: "To je tak skvělé, musím se o tom naučit." Vzal jsem si nějaké knihy, absolvoval nějaké kurzy a ve 13 jsem je složil zkouška.
Pak jsem se dozvěděl o telefonech. Poté mě jiný student na střední škole seznámil s počítačovým instruktorem, abych absolvoval počítačový kurz. Nejprve mě instruktor nepustil, protože jsem nesplňoval předpoklady, a pak jsem mu ukázal všechny triky, které jsem mohl dělat s telefonem, a on byl naprosto ohromen a dovolil mi do toho třída.
DT: Máš nějaký oblíbený hack nebo takový, na který jsi byl obzvlášť hrdý?
KM: Hack, ke kterému jsem nejvíce připoután, bylo hackování McDonald's. Co jsem vymyslel – pamatuješ si, že jsem měl licenci na rádio HAM – mohl jsem převzít nájezdová okna. Seděl bych přes ulici a převzal je. Dokážete si představit ve svých 16, 17 letech, jakou zábavu byste si mohli užít. Takže osoba v McDonald's mohla slyšet všechno, co se děje, ale nemohli přemoci mě, já bych přemohl je.
Zákazníci přijížděli a já jsem si vzal jejich objednávku a řekl: „Dobře, dnes jste 50. zákazník, vaše objednávka je zdarma, jeďte vpřed.“ Nebo by přišli policajti a někdy jsem řekl: „Je mi líto, pane, dnes pro vás nemáme žádné donuty a pro policisty podáváme pouze Dunkin Donuts.“ Buď to, nebo bych řekl: „Schovej to kokain! Schovejte kokain!"
Došlo to do bodu, kdy manažer vyšel na parkoviště, podíval se na pozemek, podíval se do aut a samozřejmě nikdo nebyl kolem. Takže šel nahoru k reproduktoru a skutečně se podíval dovnitř, jako by byl uvnitř skrytý muž, a pak jsem řekl: "Na co to sakra koukáš!"
DT: Promluvíte trochu o rozdílu mezi sociálním inženýrstvím, když se dostanete do sítě, a skutečným nabouráním se do sítě?
KM: Pravda je taková, že většina hacků je hybridních. Do sítě se můžete dostat pomocí síťového vykořisťování – víte, najít čistě technický způsob. Můžete to udělat manipulací s lidmi, kteří mají přístup k počítačům, prozrazením informací nebo provedením „akce“, jako je otevření souboru PDF. Nebo můžete získat fyzický přístup k tomu, kde jsou jejich počítače nebo servery, a udělat to tímto způsobem. Ale ve skutečnosti to není jedno nebo druhé, je to opravdu založeno na cíli a situaci, a tam se hacker rozhoduje, kterou dovednost použije, jakou cestu použije k prolomení systému.
Dnes je sociální inženýrství podstatnou hrozbou, protože RSA [Security] a Google byly hacknuty, a to prostřednictvím techniky zvané spear phishing. S útoky RSA, které byly značné, protože útočníci ukradli token semena, která Obranní dodavatelé, kteří použili pro ověřování, hackeři nastražili dokument Excel pomocí Flash objekt. V RSA našli cíl, který by měl přístup k informacím, které chtěli, a poslali tento nastražený dokument oběti a když otevřeli dokument Excel (který byl pravděpodobně odeslán z něčeho, co vypadalo jako legitimní zdroj, zákazník, obchodní partner) to neviditelně zneužil zranitelnost v Adobe Flash a hacker pak měl přístup k pracovní stanici tohoto zaměstnance a interním síť.
Spear phishing využívá dvě složky: Sociální sítě, aby člověk otevřel dokument Excel, a druhou součástí je technické využití chyby nebo bezpečnostní chyby v Adobe, které útočníkovi poskytlo plnou kontrolu nad počítač. A tak to funguje v reálném světě. Nemusíte jen někomu zavolat po telefonu a požádat o heslo; útoky jsou obvykle hybridní a kombinují technické a sociální inženýrství.
v Ghost in the Wires, popisuji, jak jsem obě techniky použil.
DT: Částečně z důvodu, který jsi napsal Ghost in the Wires bylo řešit některé výmysly o sobě.
KM: Ach jo, byly o mně napsány tři knihy, jmenoval se film Sejmout který jsem nakonec urovnal mimosoudně, a oni souhlasili se změnami scénáře a nikdy nebyl uveden do kin ve Spojených státech. Měl jsem reportéra New York Times, který napsal příběh, který jsem v roce 1983 naboural do NORAD a málem začal WWIII nebo něco směšného, jako je toto - uvedl to jako fakt, který byl zcela bez zdrojů tvrzení.
Na veřejnosti je spousta věcí, které prostě nebyly pravdivé, a spousta věcí, které lidé opravdu nevěděli. A myslel jsem si, že je důležité, aby moje kniha skutečně vyprávěla můj příběh a v podstatě to uvedla na pravou míru. Také jsem si myslel, že můj příběh je podobný Chyť mě, jestli to dokážešMěl jsem dvě desetiletí trvající hru na kočku a myš s FBI. A nešel jsem vydělat peníze. Ve skutečnosti, když jsem byl na útěku, pracoval jsem 9 až 5 prací, abych se uživil, a v noci jsem hackoval. Měl jsem schopnosti, že kdybych chtěl, mohl bych ukrást údaje o kreditní kartě a bankovním účtu, ale můj morální kompas mi to nedovolil. A mým primárním důvodem pro hackování byla opravdu výzva: Jako vylézt na Mt. Everest. Ale hlavním důvodem byla moje honba za poznáním. Jako dítě, které se zajímalo o magii a rádio HAM, jsem rád věci rozebíral a zjišťoval, jak fungují. Za mých časů neexistovaly žádné způsoby, jak se naučit hackovat eticky, byl to jiný svět.
Dokonce i když jsem byl na střední škole, cítil jsem povzbuzení k hackování. Jedním z mých prvních úkolů bylo napsat program na nalezení prvních 100 čísel Gnocchi. Místo toho jsem napsal program, který dokázal zachytit hesla lidí. A tak tvrdě jsem na tom pracoval, protože jsem si myslel, že je to skvělé a zábavné, takže jsem neměl čas udělat to skutečné úkol a místo toho jsem odevzdal tento – a dostal jsem A a spoustu „Atta boys“. Začínal jsem v jiném svět.
DT: A dokonce jsi byl uvězněn na samotce, když jsi byl ve vězení, kvůli věcem, které si lidé mysleli, že jsi schopen.
KM: Ach ano, ano. Před lety v polovině 80. let jsem se naboural do společnosti s názvem Digital Equipment Corporation a zajímalo mě, jaký je můj dlouhodobý cíl stát se nejlepším možným hackerem. Neměl jsem žádný cíl kromě dostat se do systému. Udělal jsem politováníhodné rozhodnutí a rozhodl se jít po zdrojovém kódu, který je jako tajný recept na Orange Julius pro operační systém VMS, velmi populární operační systém v minulosti den.
Takže jsem v podstatě vzal kopii zdrojového kódu a můj přítel mě informoval. Když jsem poté, co mě zatkla FBI, skončil u soudu, federální žalobce řekl soudci, že nejen že musíme zadržet pana Mitnicka jako hrozbu pro národní bezpečnost, musí zajistit, aby se nemohl přiblížit k telefonu, protože mohl jednoduše zvednout telefonní automat, připojit se k modemu v NORADu, zapískat startovací kód a případně spustit jadernou bombu. válka. A když to prokurátor řekl, začal jsem se smát, protože jsem v životě neslyšel o něčem tak směšném. Ale soudce to k neuvěření koupil a já jsem skončil skoro rok ve federální vazbě na samotce. Nemůžete se s nikým stýkat, jste zavření v malé místnosti pravděpodobně o velikosti vaší koupelny a jen tam sedíte v betonové rakvi. Bylo to něco jako psychické mučení a myslím, že maximální doba, po kterou má být člověk na samotce, je něco kolem 19 dnů a mě tam drželi rok. A bylo to založeno na směšné představě, že bych mohl pískat odpalovací kódy.
DT: A jak dlouho poté jste nesměli používat základní elektroniku, nebo alespoň tu, která umožňovala komunikaci?
KM: No, stalo se to, že jsem se párkrát dostal do problémů poté, co jsem byl propuštěn. O pár let později FBI poslala informátora, který byl skutečným a kriminálně zaměřeným hackerem – tedy někoho, kdo krade informace o kreditních kartách, aby ukradl peníze –, aby mě připravil. A rychle jsem si uvědomil, co ten informátor dělá, tak jsem začal dělat kontrarozvědku proti FBI a začal znovu hackovat. Tento příběh se v knize skutečně zaměřuje na to, jak jsem prolomil operaci FBI proti mně a zjistil jsem agenty, kteří pracovali proti mně, a jejich mobilní telefonní čísla. Vzal jsem jejich čísla a naprogramoval je do zařízení, které jsem měl jako systém včasného varování. Kdyby se přiblížili k mé fyzické poloze, věděl bych o tom. Nakonec po skončení tohoto případu v roce 1999 jsem měl velmi přísné podmínky. Bez povolení vlády jsem se nemohl dotknout ničeho s tranzistorem. Chovali se ke mně, jako bych byl MacGyver, dali Kevinu Mitnickovi devítivoltovou baterii a lepicí pásku a je nebezpečný pro společnost.
Nemohl jsem používat fax, mobilní telefon, počítač, nic, co by mělo něco společného s komunikací. A nakonec po dvou letech tyto podmínky uvolnili, protože jsem byl pověřen napsat knihu s názvem Umění klamu, a tajně mi dali povolení používat notebook, pokud to neřeknu médiím a nepřipojím se k internetu.
DT: Předpokládal bych, že to nebylo jen neuvěřitelně nepohodlné, ale také osobně obtížné.
KM: Jo, protože si představ... Byl jsem zatčen v roce 1995 a propuštěn v roce 2000. A za těch pět let prošel internet dramatickou změnou, takže v této době to bylo, jako bych byl Rip Van Wrinkle. Šel jsem spát a probudil se a svět se změnil. Takže bylo trochu těžké mít zakázáno dotýkat se technologie. A věřím, že vláda mi to chtěla jen extrémně ztížit, nebo ve skutečnosti věřila, že jsem hrozbou pro národní bezpečnost. Opravdu nevím, který to je, ale překonal jsem to. Dnes jsem schopen vzít si všechno toto pozadí a svou hackerskou kariéru a teď za to dostávám zaplaceno. Firmy si mě najímají z celého světa, abych se naboural do jejich systémů, našel jejich zranitelnosti, aby je mohly opravit, než se dovnitř dostanou skuteční padouši. Cestuji po světě, mluvím o počítačové bezpečnosti a zvyšuji povědomí o ní, takže mám obrovské štěstí, že to dnes dělám.
Myslím, že lidé o mém případu vědí a že jsem porušil zákon, ale nechtěl jsem to udělat pro peníze nebo abych někomu ublížil. Prostě jsem měl schopnosti. Neměl jsem co ztratit, byl jsem na útěku před FBI, mohl jsem si vzít peníze, ale bylo to proti mému morálnímu kompasu. Lituji činů, které ublížily ostatním, ale opravdu nelituji toho hacknutí, protože to pro mě bylo jako videohra.
DT: Hacking byl tento rok trendovým tématem díky haktivistům jako Anonymous. Jsou extrémně polarizující skupinou – jaký je váš názor na ně?
KM: Myslím, že hlavní věcí, kterou Anonymous dělají, je zvyšování povědomí o bezpečnosti, i když negativním způsobem. Ale určitě ilustrují, že existuje spousta společností, které jsou labilním ovocem, že jejich systémy mají mizernou bezpečnost a opravdu je potřebují zlepšit.
Nevěřím, že jejich politické poselství skutečně způsobí nějakou změnu ve světě. Myslím, že jedinou změnou, kterou vytvářejí, je, že se stanou vyšší prioritou pro vymáhání práva. Je to něco jako důvod, proč na mě byla FBI tak naštvaná. Když jsem byl na útěku, žil v Denveru a přišel jsem na to, co ten informátor dělá, našel jsem systém včasného varování (monitoruje komunikaci jejich mobilních telefonů), že přicházejí a jdou hledat mě. Vyčistil jsem svůj byt od veškerého počítačového vybavení nebo čehokoli, co by si FBI vzala, a koupil jsem velkou krabici koblih a Sharpie na ni napsal „koblihy FBI“ a strčil ji do lednice.
Příští den provedli příkaz k prohlídce a byli naštvaní, protože jsem nejen věděl, kdy přijdou, ale koupil jsem jim koblihy. Byla to bláznivá věc... postrádá určitou vyzrálost, ale přišlo mi to zábavné. A kvůli tomu jsem se stal uprchlíkem a FBI zatýkala nesprávné lidi, o kterých si mysleli, že jsem já, a New York Times z nich dělaly jako Keystone Kops. Takže když mě konečně chytili, zbili mě. Dopadli na mě opravdu tvrdě, a dokonce i v mém případě… víte, ukradl jsem zdrojový kód, abych našel bezpečnostní díry, a naboural jsem se do mobilních telefonů od Motoroly a Nokie, abych nemohl být sledován. A vláda požádala tyto společnosti, aby řekly, že ztráty, které utrpěly na mé náklady, byly celé jejich investice do výzkumu a vývoje, které použily na mobilní telefony. Takže je to něco jako když dítě přijde do 7-11 a ukradne plechovku Coca-Coly a řekne, že ztráta, kterou tohle dítě způsobilo Coca-Cola, byla celý vzorec.
A to je jedna z věcí, kterou jsem v knize uvedl na pravou míru: způsobil jsem ztráty. Nevím, jestli to bylo 10 000 $, 100 000 $ nebo 300 000 $. Ale vím, že to bylo špatné a neetické, abych to udělal, a omlouvám se za to, ale rozhodně jsem nezpůsobil ztráty 300 milionů dolarů. Ve skutečnosti všechny společnosti, do kterých jsem se naboural, byly veřejně obchodované společnosti a podle SEC, pokud nějaká veřejná společnost utrpí materiální ztrátu, musí to být nahlášeno akcionářům. Žádná ze společností, do kterých jsem se naboural, nevykázala ani jediný cent ztráty.
Stal jsem se příkladem, protože vláda chtěla poslat zprávu dalším potenciálním hackerům, že když děláte tyto typy věcí a hrajete s námi hry, stane se vám tohle. V reakci na mou knihu někteří lidé říkají: „Ach, nelituje toho, co udělal, udělal by to znovu,“ Nelituji toho hacknutí, ale omlouvám se za jakoukoli škodu, kterou jsem způsobil. Je mezi tím rozdíl.
DT: Jak tedy vidíte vývoj hackingu právě teď? Technologie jsou mnohem dostupnější než kdy jindy a stále více spotřebitelů je schopno tyto limity posouvat.
KM: Hackování bude i nadále problémem a útočníci nyní jdou po mobilních telefonech. Dříve to byl váš osobní počítač a nyní je to vaše mobilní zařízení, váš Android, váš iPhone. Lidé tam uchovávají citlivé informace, údaje o bankovních účtech, osobní fotografie. Hackování jde rozhodně směrem k telefonům.
Malware je stále sofistikovanější. Lidé se nabourávají do certifikačních autorit, takže pro online nakupování nebo bankovní transakce máte protokol zvaný SSL. A celý tento protokol je založen na důvěře a těchto certifikačních autoritách a hackeři tyto certifikační autority kompromitují a vydávají si vlastní certifikáty. Takže mohou předstírat, že jsou Bank of America, předstírat, že jsou PayPal. Je to všechno sofistikovanější, složitější a důležitější, aby si společnosti byly vědomy problému a snažily se zmírnit šanci, že budou kompromitovány.
DT: Co byste dnes hackerům poradil, pokud vůbec nějakou?
KM: Za mých časů to nebylo k dispozici, ale nyní se lidé mohou eticky dozvědět o hackování. Existují kurzy, spousta knih, náklady na zřízení vlastní počítačové laboratoře jsou velmi levné a existují dokonce webové stránky tam na internetu, které jsou nastaveny tak, aby lidem umožnily pokusit se nabourat a rozšířit své znalosti a dovednosti – takzvané Hacme Banka. Lidé se o tom nyní mohou eticky dozvědět, aniž by se dostali do problémů nebo ublížili někomu jinému.
DT: Myslíte si, že to povzbuzuje lidi, aby tyto dovednosti zneužívali?
KM: Pravděpodobně to udělají, ať mají nebo nemají pomoc. Je to nástroj, hackování je nástroj, takže můžete vzít kladivo a postavit dům, nebo s ním můžete jít někoho praštit po hlavě. Co je dnes důležité, je etika. Etická přednáška pro Kevina Mitnicka byla: Je v pořádku psát programy na vykrádání hesel na střední škole. Je tedy důležité, aby se o to lidé a děti zajímali, protože je to zajímavý obor, ale také je důležité mít za sebou etický výcvik, aby ho využívali dobrým způsobem.
DT: Můžete mluvit trochu o Mac vs. Debata o zabezpečení oken?
KM: Počítače Mac jsou méně bezpečné, ale jsou méně cílené. Windows mají největší podíl na trhu, takže jsou cílenější. Nyní Apple očividně zvyšuje jejich zabezpečení, což je důvod, proč neslyšíte o mnoha Macech napaden je, že autoři malwaru nepíší škodlivý kód pro počítače Mac, protože prostě nebyli populární dost. Když píšete škodlivý kód, chcete napadnout mnoho lidí a tradičně mnohem více lidí používá Windows.
Jak bude podíl Maců na trhu stoupat, přirozeně je začneme vidět více cíleně.
DT: Jaký OS je nejbezpečnější?
KM: Google Chrome OS. Víte, proč? Protože s tím nemůžete nic dělat. Můžete přistupovat ke službám Google, ale není na co útočit. Ale pro lidi to není schůdné řešení. Doporučil bych používat Mac, nejen kvůli bezpečnosti, ale mám méně problémů se systémem Mac OS než Windows.
DT: Jaká nová technologie vás právě teď nejvíce fascinuje?
KM: Pamatuji si, když mi bylo devět let a projížděl jsem L.A. s tátou a díval se na rachot svlékněte se na dálnici a mysleli si, že jednoho dne vyrobí technologii, kterou ani nebudete muset řídit auto. Vznikne jakési elektronické řešení, kdy auta pojedou samy a nebudou téměř žádné nehody. A o tři, čtyři desetiletí později Google tento typ technologie testuje. Auta bez řidiče. Myslím, že to jsou věci typu George Jetson.
