I dag er Kevin Mitnick en sikkerhedsekspert, der infiltrerer sine kunders virksomheder for at afsløre deres svagheder. Han er også forfatter til flere bøger, bl.a Ghost in the Wires. Men han er mest kendt som hackeren, der undgik FBI i årevis og til sidst blev fængslet for sine måder. Vi havde en chance for at tale med ham om hans tid i isolation, hacking af McDonald's, og hvad han synes om Anonymous.
Digitale tendenser: Hvornår blev du først interesseret i hacking?
Anbefalede videoer
Kevin Mitnick: Det, der startede mig med at hacke, var faktisk denne hobby, jeg havde telefonopkald. Da jeg var yngre i gymnasiet, var jeg fascineret af magi, og jeg mødte denne anden elev, som var i stand til at magi med en telefon. Han kunne gøre alle disse tricks: Jeg kunne ringe ind på et nummer, han fortalte mig, og han ville ringe til et andet, og vi ville blive sat sammen, og dette kaldes en loop-around. Det var et telefonselskabs testkredsløb. Han viste mig, at han havde dette hemmelige nummer hos telefonselskabet, han kunne ringe til et nummer, og det ville give en underlig tone, og så indtaste en femcifret kode, og han kunne ringe hvor som helst gratis.
Han havde hemmelige numre i telefonselskabet, hvor han kunne ringe, og han behøvede ikke at identificere sig, hvad ville ske, hvis han havde et telefonnummer, kunne han finde navnet og adressen på det nummer, selvom det var det upubliceret. Han kunne bryde igennem viderestilling af opkald. Han kunne trylle med telefonen, og jeg blev virkelig fascineret af telefonselskabet. Og jeg var en spøg. Jeg elskede pranks. Min fod i døren til at hacke var ved at lave sjov på venner.
En af mine første pranks var, at jeg ville ændre mine venners hjemmetelefon til en betalingstelefon. Så hver gang han eller hans forældre forsøgte at foretage et opkald, stod der "venligst indbetal et kvartal."
Så mit indtog i hacking var min fascination af telefonselskabet og lysten til at lave pranks.
DT: Hvor har du fået den tekniske viden til at begynde at trække disse ting ud?
KM: Jeg var selv interesseret i teknologi, og han ville faktisk ikke fortælle mig, hvordan han gjorde tingene. Nogle gange overhørte jeg, hvad han lavede, og jeg vidste, at han brugte social engineering, men han var sådan tryllekunstneren, der lavede trickene, men som ikke ville fortælle mig, hvordan de blev gjort, så jeg måtte finde ud af det Mig selv.
Før jeg mødte denne fyr, var jeg allerede amatørradiooperatør. Jeg bestod min HAM-radiotest, da jeg var 13, og jeg var allerede i elektronik og radio, så jeg havde den tekniske baggrund.
Det her var tilbage i 70'erne, og jeg kunne ikke få en CB-licens, fordi du skulle være 18 år gammel, og jeg var 11 eller 12. Så jeg mødte denne buschauffør, da jeg kørte i bussen en dag, og denne chauffør introducerede mig til HAM-radio. Han viste mig, hvordan han kunne foretage telefonopkald ved hjælp af sin håndholdte radio, hvilket jeg syntes var super fedt, fordi det var før celle telefoner, og jeg tænkte "Wow det er så fedt, jeg er nødt til at lære om det." Jeg hentede nogle bøger, tog nogle kurser og bestod klokken 13 eksamen.
Så lærte jeg om telefoner. Derefter introducerede en anden elev på gymnasiet mig til computerinstruktøren for at tage en computertime. Først ville instruktøren ikke lukke mig ind, fordi jeg ikke opfyldte forudsætningerne, og så viste jeg ham alle de tricks, jeg kunne lave med telefonen, og han var dybt imponeret og lod mig komme ind i klasse.
DT: Har du et yndlingshack, eller et som du var særligt stolt af?
KM: Det hack, jeg er mest knyttet til, var at hacke McDonald's. Hvad jeg regnede ud - du kan huske, jeg havde mit HAM-radiolicens - jeg kunne overtage opkørselsvinduerne. Jeg ville sidde på den anden side af gaden og overtage dem. Du kan forestille dig, hvor sjovt du kunne have det, når du er 16, 17 år gammel. Så personen i McDonald's kunne høre alt, der foregik, men de kunne ikke overmande mig, jeg ville overmande dem.
Kunder ville køre op, og jeg ville tage deres ordre og sige "Okay, du er den 50. kunde i dag, din ordre er gratis, kør venligst frem." Ellers ville politiet komme op og nogle gange sagde jeg "Jeg er ked af, hr., vi har ikke nogen donuts til dig i dag, og for politibetjente serverer vi kun Dunkin Donuts." Enten det, eller også ville jeg sige: "Skjul kokain! Skjul kokainen!"
Det nåede til det punkt, hvor lederen kom ud på parkeringspladsen, kiggede på pladsen, kiggede i bilerne, og selvfølgelig var der ingen i nærheden. Så han gik op til drive-up-højttaleren og så faktisk ind, som om der var en mand gemt indeni, og så sagde jeg "Hvad fanden kigger du på!"
DT: Vil du tale lidt om forskellen mellem social engineering din vej ind i et netværk og faktisk hacking ind i et?
KM: Sandheden er, at de fleste hacks er hybride. Du kan komme ind i et netværk gennem netværksudnyttelse - du ved, at finde en ren teknisk måde. Du kan gøre det ved at manipulere folk, der har adgang til computere, for at afsløre information eller lave et "handlingselement", som at åbne en PDF-fil. Eller du kan få fysisk adgang til, hvor deres computere eller servere er og gøre det på denne måde. Men det er ikke rigtig det ene eller det andet, det er virkelig baseret på målet og situationen, og det er her hackeren beslutter, hvilken færdighed han vil bruge, hvilken vej de vil bruge til at bryde systemet.
Nu i dag er social engineering en væsentlig trussel, fordi RSA [Security] og Google blev hacket, og disse var gennem en teknik kaldet spear phishing. Med RSA-angrebene, som var betydelige, fordi angriberne stjal de symbolske frø, som forsvarsentreprenører brugt til autentificering, hackerne fældede et Excel-dokument med en Flash objekt. De fandt et mål inden for RSA, der ville have adgang til de oplysninger, de ønskede, og sendte dette fangede dokument til offeret, og da de åbnede Excel-dokumentet (som sandsynligvis blev sendt fra, hvad der lignede en legitim kilde, en kunde, forretningspartner) usynligt udnyttede en sårbarhed i Adobe Flash, og hackeren havde derefter adgang til denne medarbejders arbejdsstation og RSA's interne netværk.
Spear-phishing bruger to komponenter: Socialt netværk for at få personen til at åbne Excel-dokumentet, og det andet del er den tekniske udnyttelse af en fejl eller sikkerhedsfejl i Adobe, der gav angriberen fuld kontrol over computer. Og sådan fungerer det i den virkelige verden. Du ringer ikke bare til nogen på telefonen og beder om en adgangskode; angreb er normalt hybride og kombinerer teknisk og social ingeniørkunst.
I Ghost in the Wires, jeg beskriver, hvordan jeg brugte begge teknikker.
DT: En del af grunden til, at du skrev Ghost in the Wires var at tage fat på nogle af fabrikationerne om dig selv.
KM: Åh ja, der var skrevet tre bøger om mig, der hed en film Tage ned som jeg endte med at afgøre en retssag uden for retten over, og de gik med til manuskriptændringer, og den blev aldrig udgivet i biografen i USA. Jeg havde en New York Times-reporter, som skrev en historie, som jeg hackede ind i NORAD i 1983 og næsten startede WWIII eller noget latterligt som dette - udtalte det som et faktum, hvilket var en fuldstændig unsourcet påstand.
Der er mange ting derude i offentligheden, som simpelthen ikke var sande, og mange ting, som folk virkelig ikke vidste. Og jeg tænkte, at det var vigtigt at få min bog til virkelig at fortælle min historie og dybest set sætte rekorden lige. Jeg troede også, at min historie var sådan Fang mig hvis du kan, Jeg havde et to årtier langt kat og mus-spil med FBI. Og jeg var ikke ude efter at tjene penge. Faktisk, da jeg var på flugt, arbejdede jeg 9-til-5 jobs for at forsørge mig selv og hackede om natten. Jeg havde evnerne til, at hvis jeg ville, kunne jeg have stjålet kreditkortoplysninger og bankkontooplysninger, men mit moralske kompas ville ikke lade mig gøre det. Og min primære grund til at hacke var virkelig udfordringen: Som at bestige Mount Everest. Men den primære årsag var min jagt på viden. Som barn interesseret i magi og HAM-radio elskede jeg at skille tingene ad og finde ud af, hvordan de fungerede. I min tid var der ingen veje til at lære hacking etisk, det var en anden verden.
Selv da jeg gik i gymnasiet, følte jeg mig opmuntret til at hacke. En af mine første opgaver var at skrive et program for at finde de første 100 Gnocchi-numre. I stedet skrev jeg et program, der kunne fange folks adgangskoder. Og jeg arbejdede så hårdt på det her, fordi jeg syntes, det var fedt og sjovt, så jeg havde ikke tid til at lave det faktiske opgave og afleverede denne i stedet - og jeg fik et A og en masse "Atta-drenge." Jeg startede i en anden verden.
DT: Og du blev endda landet i isolation, mens du sad i fængsel på grund af ting, folk troede, du var i stand til.
KM: Åh ja, ja. For år siden tilbage i midten af 80'erne hackede jeg ind i et firma kaldet Digital Equipment Corporation, og det, jeg var interesseret i, var mit langsigtede mål om at blive den bedst mulige hacker. Jeg havde intet mål end at komme ind i systemet. Det, jeg gjorde, var, at jeg tog en beklagelig beslutning og besluttede at gå efter kildekoden, som er ligesom den hemmelige opskrift til Orange Julius til VMS-operativsystemet, et meget populært styresystem tilbage i dag.
Så jeg tog dybest set en kopi af kildekoden og en af mine venner informerede om mig. Da jeg endte i retten, efter at FBI havde anholdt mig, havde en føderal anklager fortalt en dommer, at vi ikke kun er nødt til at tilbageholde hr. Mitnick som en national sikkerhedstrussel, vi skal sørge for, at han ikke kan komme i nærheden af en telefon, for han kunne bare tage en betalingstelefon, oprette forbindelse til et modem hos NORAD, fløjte affyringskoden og muligvis starte et atomvåben. krig. Og da anklageren sagde dette, begyndte jeg at grine, fordi jeg aldrig havde hørt om noget så latterligt i mit liv. Men dommeren købte utroligt nok den krogline og synke, og jeg endte med at blive holdt i et føderalt arresthus i isolation i næsten et år. Du kommer ikke til at omgås nogen, du er lukket ind i et lille rum, sandsynligvis på størrelse med dit badeværelse, og du sidder bare derinde i en betonkiste. Det var lidt ligesom psykologisk tortur, og jeg tror, at den maksimale tid, en person formodes at være i isolation, er noget i retning af 19 dage, og de holdt mig der i et år. Og det var baseret på en latterlig forestilling om, at jeg kunne fløjte lanceringskoderne.
DT: Og hvor lang tid efter måtte du ikke bruge grundlæggende elektronik, eller i det mindste dem, der kunne muliggøre kommunikation?
KM: Nå, hvad der skete er, at jeg endte med at komme i problemer et par gange, efter jeg blev løsladt. Et par år senere sendte FBI en informant, som var en ægte og kriminelt orienteret hacker - altså en person, der stjæler kreditkortoplysninger for at stjæle penge - for at sætte mig op. Og jeg indså hurtigt, hvad informanten lavede, så jeg begyndte at lave kontraefterretninger mod FBI og begyndte at hacke igen. Denne historie er virkelig fokuseret på i bogen: hvordan jeg brød FBI's operation mod mig og fandt ud af de agenter, der arbejdede imod mig, og deres mobiltelefonnumre. Jeg tog deres numre og programmerede dem ind i en enhed, jeg havde som et tidligt varslingssystem. Hvis de kom tæt på min fysiske placering, ville jeg vide det. Til sidst, efter at denne sag var afsluttet i 1999, havde jeg meget strenge betingelser. Jeg kunne ikke røre noget med en transistor i den uden regeringens tilladelse. De behandlede mig, som om jeg var en MacGyver, giver Kevin Mitnick et ni-volts batteri og gaffatape, og han er en fare for samfundet.
Jeg kunne ikke bruge en faxmaskine, en mobiltelefon, en computer, noget, der havde noget med kommunikation at gøre. Og til sidst efter to år lempede de disse betingelser, fordi jeg fik til opgave at skrive en bog, der hedder Kunsten at bedrage, og de gav mig i al hemmelighed tilladelse til at bruge en bærbar computer, så længe jeg ikke fortalte medierne og ikke oprettede forbindelse til internettet.
DT: Jeg vil antage, at dette ikke bare var utroligt ubelejligt, men også personligt svært.
KM: Ja, for forestil dig... jeg blev arresteret i 1995 og løsladt i 2000. Og i disse fem år gennemgik internettet en dramatisk forandring, så i denne tid var det, som om jeg var Rip Van Wrinkle. Jeg gik i seng og vågnede, og verden har ændret sig. Så det var lidt svært at blive forbudt at røre ved teknologi. Og regeringen, tror jeg, ville bare gøre det ekstremt hårdt for mig, ellers troede de faktisk, at jeg var en national sikkerhedstrussel. Jeg ved virkelig ikke hvilken det er, men jeg kom igennem det. I dag er jeg i stand til at tage al denne baggrund og min hackerkarriere, og nu bliver jeg betalt for at gøre det. Virksomheder hyrer mig fra hele verden til at bryde ind i deres systemer, for at finde deres sårbarheder, så de kan rette dem, før de rigtige skurke kommer ind. Jeg rejser verden rundt og taler om computersikkerhed og øger bevidstheden om det, så jeg er ekstremt heldig at gøre dette i dag.
Jeg tror, at folk kender til min sag, og at jeg bryder loven, men at jeg ikke var ude på at gøre det for penge eller for at skade nogen. Jeg havde bare evnerne. Jeg havde intet at tabe, jeg var på flugt fra FBI, jeg kunne have taget penge, men det var imod mit moralske kompas. Jeg fortryder de handlinger, der skadede andre, men jeg fortryder ikke rigtig hackingen, fordi det for mig var som et videospil.
DT: Hacking har været et populært emne i år takket være aktivister som Anonymous. De er en ekstremt polariserende gruppe - hvad er din holdning til dem?
KM: Jeg tror, at den vigtigste ting, som Anonymous gør, er at øge sikkerhedsbevidstheden, omend på en negativ måde. Men de illustrerer bestemt, at der er mange virksomheder derude, som er den lavthængende frugt, at deres systemer har dårlig sikkerhed, og de virkelig har brug for at forbedre den.
Jeg tror ikke på, at deres politiske budskab virkelig kommer til at ændre verden. Jeg tror, at den eneste ændring, de skaber, er at gøre sig selv til en højere prioritet for retshåndhævelse. Det er lidt ligesom, hvorfor FBI var så sur på mig. Da jeg var en flygtning, boede i Denver og havde fundet ud af, hvad informanten lavede, fandt jeg gennem min tidligt varslingssystem (overvåger deres mobiltelefonkommunikation), at de kom og gik for at søge mig. Jeg rensede min lejlighed for alt computerudstyr eller andet, som FBI ville tage, og jeg købte en stor kasse med donuts og med en Sharpie skrev "FBI donuts" på den og satte den i køleskabet.
De udførte ransagningsordren dagen efter, og de var rasende, fordi jeg ikke kun vidste, hvornår de kom, men jeg havde købt dem donuts. Det var en skør ting at gøre... det mangler noget modenhed, men jeg syntes, det var sjovt. Og på grund af dette blev jeg en flygtning, og FBI arresterede de forkerte mennesker, de troede var mig, og New York Times fik dem til at være som Keystone Kops. Så da de endelig fik fat i mig, hamrede de på mig. De kom virkelig hårdt ned på mig, og selv i mit tilfælde... du ved, jeg stjal kildekode for at finde sikkerhedshuller, og jeg hackede mig ind i håndsæt fra Motorola og Nokia, så jeg ikke kunne spores. Og regeringen opfordrede disse virksomheder til at sige, at de tab, de led på min regning, var hele deres F&U-investeringer, som de brugte til mobiltelefoner. Så det er lidt ligesom et barn, der går ind i 7-11 og stjæler en dåse Coca-Cola og siger, at det tab, denne dreng påførte cola, var hele formlen.
Og det er en af de ting, jeg sætter direkte i bogen: Jeg forårsagede tab. Jeg ved ikke, om det var $10.000, $100.000 eller $300.000. Men jeg ved, at det var forkert og uetisk for mig at gøre, og jeg er ked af det, men jeg har bestemt ikke forårsaget 300 millioner dollars tab. Faktisk var alle de virksomheder, jeg hackede ind i, børsnoterede virksomheder, og ifølge SEC, hvis en offentlig virksomhed lider et væsentligt tab, skal det rapporteres til aktionærerne. Ingen af de virksomheder, jeg hackede ind, rapporterede en eneste krone i tab.
Jeg blev eksemplet, fordi regeringen ønskede at sende en besked til andre potentielle hackere om, at hvis du gør den slags ting, og du spiller spil med os, er det, hvad der kommer til at ske for dig. Som en reaktion på min bog siger nogle mennesker "Åh, han er ikke ked af det, han gjorde, han ville gøre det igen," jeg er ikke ked af hackingen, men jeg er ked af enhver skade, jeg har forårsaget. Der er en forskel mellem det.
DT: Så hvordan ser du hacking udvikle sig lige nu? Teknologi er langt mere tilgængelig end nogensinde, og flere og flere forbrugere er i stand til at skubbe disse grænser.
KM: Hacking vil fortsat være et problem, og angribere går nu efter mobiltelefoner. Før var det din personlige computer, og nu er det din mobile enhed, din Android, din iPhone. Folk opbevarer følsomme oplysninger der, bankkontooplysninger, personlige billeder. Hacking går bestemt i retning af telefoner.
Malware bliver mere sofistikeret. Folk hacker sig ind på certifikatmyndigheder, så du har en protokol kaldet SSL til online shopping eller banktransaktioner. Og hele denne protokol er baseret på tillid og disse certifikatmyndigheder, og hackere kompromitterer disse certifikatmyndigheder og udsteder selv deres egne certifikater. Så de kan foregive at være Bank of America, foregive at være PayPal. Det hele er mere sofistikeret, mere komplekst og vigtigere for virksomheder at være opmærksomme på problemet og forsøge at mindske chancen for, at de bliver kompromitteret.
DT: Hvilket råd vil du give til hackere i dag?
KM: Det var ikke tilgængeligt i min tid, men nu kan folk etisk lære om hacking. Der er kurser, masser af bøger, omkostningerne ved at oprette dit eget computerlaboratorium er meget billige, og der er endda websteder derude på internettet, der er sat op til at give folk mulighed for at forsøge at hacke sig ind for at øge deres viden og færdigheder - dem kaldet Hacme Bank. Folk kan etisk lære om det nu uden at komme i problemer eller skade nogen andre.
DT: Tror du, det tilskynder folk til at misbruge disse færdigheder?
KM: De kommer nok til at gøre det, uanset om de har hjælpen eller ej. Det er et værktøj, hacking er et værktøj, så du kan tage en hammer og bygge et hus, eller du kan slå nogen i hovedet med den. Det, der er vigtigt i dag, er etik. Den etiske snak for Kevin Mitnick var: Det er okay at skrive programmer til at stjæle adgangskoder i gymnasiet. Så det er vigtigt at få folk og børn til at interessere sig for dette, fordi det er et interessant felt, men også at have etikuddannelsen bag sig, så de bruger det på en god måde.
DT: Kan du tale lidt om Mac vs. Debat om vinduessikkerhed?
KM: Mac'er er mindre sikre, men de er mindre målrettede. Windows har den største markedsandel, så de er mere målrettede. Nu øger Apple åbenbart deres sikkerhed, og grunden til, at du ikke hører om mange Mac'er angrebet er malware-skribenter, der ikke skriver ondsindet kode til Mac'erne, fordi de bare ikke var populære nok. Når du skriver ondsindet kode, vil du angribe mange mennesker, og der har traditionelt været mange flere mennesker, der kører Windows.
Efterhånden som Mac-markedsandelen stiger, vil vi naturligvis begynde at se dem målrettet mere.
DT: Hvilket operativsystem er mest sikkert?
KM: Google Chrome OS. Du ved hvorfor? For du kan ikke gøre noget ved det. Du kan få adgang til Google-tjenester, men der er intet at angribe. Men det er ikke en holdbar løsning for folk. Jeg vil anbefale at bruge en Mac, ikke kun på grund af sikkerheden, men jeg har færre problemer med at køre Mac OS end Windows.
DT: Hvilken ny teknologi synes du er mest fascinerende lige nu?
KM: Jeg kan huske, da jeg var ni år gammel, og jeg kørte gennem L.A. med min far og kiggede på rumlen strip på motorvejen og tænker en dag, at de skal lave teknologi, hvor du ikke engang behøver at køre bil. Der kommer en eller anden form for elektronisk løsning, hvor bilerne kører selv, og der vil næppe ske uheld. Og tre, fire årtier senere tester Google denne type teknologi. Førerløse biler. Jeg tror, det er George Jetson-typen.
