Danas je Kevin Mitnick stručnjak za sigurnost koji se infiltrira u tvrtke svojih klijenata kako bi razotkrio njihove slabosti. Također je autor nekoliko knjiga, uključujući Duh u žicama. Ali najpoznatiji je kao haker koji je godinama izmicao FBI-u, a na kraju je zatvoren zbog svojih postupaka. Imali smo priliku razgovarati s njim o boravku u samici, hakiranju McDonald’sa i što misli o Anonymousima.
Digitalni trendovi: Kada ste se prvi put zainteresirali za hakiranje?
Preporučeni videozapisi
Kevin Mitnick: Ono što me je zapravo pokrenulo u hakiranju bio je hobi koji sam imao, telefoniranje. Kad sam bio mlađi u srednjoj školi, bio sam fasciniran magijom, i upoznao sam jednog drugog učenika koji je mogao raditi magiju s telefonom. Mogao je izvoditi sve ove trikove: mogao sam nazvati broj koji mi je rekao, a on bi nazvao drugi, i bili bismo spojeni, a to se zove petlja okolo. Bio je to testni krug telefonske tvrtke. Pokazao mi je da ima tajni broj u telefonskoj tvrtki, mogao je birati broj, a on bi dao čudan ton, a zatim bi unio peteroznamenkasti kod i mogao je nazvati bilo gdje besplatno.
Imao je tajne brojeve u telefonskoj kompaniji na koje je mogao zvati i nije se morao identificirati, što li dogodilo bi se da kad bi imao telefonski broj, mogao bi pronaći ime i adresu tog broja čak i da jest neobjavljeno. Mogao bi probiti prosljeđivanje poziva. Mogao je napraviti magiju s telefonom, a ja sam postao stvarno fasciniran telefonskom tvrtkom. A ja sam bio šaljivdžija. Voljela sam šale. Moja noga u hakiranju bila je podvala prijateljima.
Jedna od mojih prvih šala bila je da bih promijenio kućni telefon svojih prijatelja u govornicu. Dakle, kad god bi on ili njegovi roditelji pokušali nazvati, pisalo bi "molim uplatite četvrtinu."
Dakle, moj početak u hakiranju bila je moja fascinacija telefonskom tvrtkom i želja za izvođenjem šala.
DT: Odakle vam tehničko znanje da počnete izvoditi te stvari?
KM: I mene je zanimala tehnologija, a on mi zapravo nije htio reći kako radi stvari. Ponekad bih slučajno čuo što radi i znao sam da koristi društveni inženjering, ali bio je takav mađioničar koji je izvodio trikove, ali mi nije htio reći kako su izvedeni, pa bih to morao riješiti sebe.
Prije nego što sam upoznao tog tipa, već sam bio radioamater. Položio sam radioamaterski ispit s 13 godina, a već sam se bavio elektronikom i radiom, tako da sam imao to tehničko znanje.
To je bilo davnih 70-ih i nisam mogao dobiti C.B. dozvolu jer je trebalo imati 18 godina, a ja sam imao 11 ili 12. Tako sam upoznao vozača autobusa dok sam se vozio autobusom jednog dana, i ovaj vozač me je upoznao s HAM radiom. Pokazao mi je kako može telefonirati pomoću svog ručnog radija, što sam smatrao super cool jer je bilo prije mobitela telefone i pomislio sam: "Ovo je tako cool, moram naučiti o tome." Uzeo sam neke knjige, pohađao neke tečajeve i s 13 godina položio ispit.
Tada sam naučio o telefonima. Nakon toga me drugi učenik srednje škole upoznao s profesorom informatike na sat informatike. Prvo me instruktor nije pustio jer nisam ispunjavao uvjete, a onda sam mu pokazao sve trikove koje sam mogao izvoditi s telefonom, a on je bio potpuno impresioniran i pustio me u razreda.
DT: Imate li omiljeni hack ili onaj na koji ste bili posebno ponosni?
KM: Hak za koji sam najviše vezan je hakiranje McDonald'sa. Ono što sam smislio - sjećate se da sam imao licencu za HAM radio - mogao sam preuzeti prozore za podizanje vozila. Sjeo bih preko puta i preuzeo ih. Možete zamisliti sa 16, 17 godina kako biste se mogli zabavljati. Dakle, osoba u McDonald’su je mogla čuti sve što se događa, ali nisu mogli svladati mene, ja bih svladao njih.
Kupci bi se dovezli, a ja bih uzeo njihovu narudžbu i rekao: "U redu, danas si 50. kupac, tvoja je narudžba besplatna, vozi naprijed." Ili bi policajci došli a ponekad bih rekao: "Žao mi je, gospodine, danas nemamo krafne za vas, a za policajce služimo samo Dunkin Donuts." Ili to ili bih rekao: "Sakrij kokain! Sakrij kokain!"
Došlo je do toga da bi menadžer izašao na parkiralište, pogledao parkiralište, pogledao u aute, i naravno nikoga u blizini. Pa bi on otišao do zvučnika i stvarno pogledao unutra kao da je unutra skriven čovjek, a ja bih rekla: "Što dovraga gledaš!"
DT: Hoćete li govoriti malo o razlici između društvenog inženjeringa na vašem putu do mreže i stvarnog hakiranja?
KM: Istina je da je većina hakova hibridna. Možete ući u mrežu iskorištavanjem mreže – znate, pronalaženjem čistog tehničkog načina. To možete učiniti manipuliranjem ljudima koji imaju pristup računalima, otkrivanjem informacija ili poduzimanjem “radnje” poput otvaranja PDF datoteke. Ili možete dobiti fizički pristup mjestu gdje su njihova računala ili poslužitelji i to na ovaj način. Ali zapravo nije jedno ili drugo, stvarno se temelji na meti i situaciji, i tu haker odlučuje koju će vještinu koristiti, koji će put koristiti za probijanje sustava.
Danas je društveni inženjering značajna prijetnja jer su RSA [Security] i Google hakirani, a to je bilo putem tehnike koja se zove spear phishing. S napadima RSA, koji su bili značajni jer su napadači ukrali sjeme tokena koje obrambenih izvođača korištenih za provjeru autentičnosti, hakeri su eksplozivnim dokumentom eksplodirali s Flashom objekt. Pronašli su metu unutar RSA koja bi imala pristup informacijama koje su željeli, i poslali ovaj dokument s minom zamkom žrtvi, i kada su otvorili Excel dokument (koji je vjerojatno poslan iz nečega što je izgledalo kao legitiman izvor, klijent, poslovni partner) nevidljivo je iskoristio ranjivost unutar Adobe Flasha i haker je tada imao pristup radnoj stanici ovog zaposlenika i RSA-ovom internom mreža.
Krađa identiteta koristi dvije komponente: društveno umrežavanje kako bi osobu natjerali da otvori Excel dokument, a drugu dio je tehničko iskorištavanje pogreške ili sigurnosnog propusta u Adobeu koji je napadaču dao potpunu kontrolu nad Računalo. I tako to funkcionira u stvarnom svijetu. Ne možete samo nazvati nekoga na telefon i tražiti lozinku; napadi su obično hibridni i kombiniraju tehnički i društveni inženjering.
U Duh u žicama, opisujem kako sam koristio obje tehnike.
DT: Dio razloga što ste napisali Duh u žicama bio je riješiti neke od izmišljotina o sebi.
KM: O da, o meni su napisane tri knjige, bio je i film koji se zvao Skini dolje oko koje sam završio izvansudskom nagodbom, a oni su pristali na izmjene scenarija i nikada nije prikazan u kinima u Sjedinjenim Državama. Imao sam novinara New York Timesa koji je napisao priču da sam hakirao NORAD 1983. i zamalo započeo Drugi svjetski rat ili nešto smiješno poput ovoga - to je navedeno kao činjenica, koja je bila potpuno bez izvora navod.
Puno je stvari u javnosti koje jednostavno nisu bile istinite, i puno stvari koje ljudi doista nisu znali. I mislio sam da je važno natjerati moju knjigu da stvarno ispriča moju priču i da zapravo ispravi rekord. Također sam mislio da je moja priča takva Uhvati me ako možeš, Imao sam dva desetljeća dugu igru mačke i miša s FBI-em. I nisam htio zaraditi novac. Zapravo, kad sam bio u bijegu, radio sam poslove od 9 do 5 kako bih se uzdržavao, a noću sam hakirao. Imao sam vještine da sam, da sam htio, mogao ukrasti podatke o kreditnoj kartici i podatke o bankovnom računu, ali moj moralni kompas mi to nije dopuštao. A moj primarni razlog za hakiranje zapravo je bio izazov: poput penjanja na Mt. Everest. Ali glavni razlog bila je moja težnja za znanjem. Kao dijete zainteresirano za magiju i HAM radio, volio sam rastavljati stvari i otkrivati kako funkcioniraju. U moje vrijeme nije bilo načina da se hakiranje nauči etički, to je bio drugačiji svijet.
Još dok sam bio u srednjoj školi, osjećao sam se potaknut na hakiranje. Jedan od mojih prvih zadataka bio je napisati program za pronalaženje prvih 100 brojeva Njoka. Umjesto toga, napisao sam program koji može uhvatiti lozinke ljudi. Naporno sam radio na ovome jer sam mislio da je cool i zabavno, tako da nisam imao vremena raditi ono zadatak i predao ovaj umjesto toga – i dobio sam peticu i puno "Atta boys." Počeo sam u drugom svijet.
DT: Čak ste bili i u samici dok ste bili u zatvoru zbog stvari za koje su ljudi mislili da možete učiniti.
KM: O da, da. Prije mnogo godina, sredinom 80-ih, hakirao sam tvrtku pod nazivom Digital Equipment Corporation i ono što me zanimalo bio je moj dugoročni cilj da postanem najbolji mogući haker. Nisam imao cilj osim ući u sustav. Ono što sam učinio je da sam donio odluku vrijednu žaljenja i odlučio krenuti za izvornim kodom, koji je kao tajni recept za Orange Julius za operativni sustav VMS, vrlo popularan operativni sustav u prošlosti dan.
Tako da sam zapravo uzeo kopiju izvornog koda i moj prijatelj me obavijestio. Kad sam završio na sudu nakon što me FBI uhitio, savezni tužitelj rekao je sucu da ne samo da moramo pritvoriti gospodina Mitnicka kao prijetnju nacionalnoj sigurnosti, već i mora paziti da se ne može približiti telefonu, jer bi jednostavno mogao podići govornicu, spojiti se na modem u NORAD-u, zviždati kod za lansiranje i možda pokrenuti nuklearnu rat. I dok je tužitelj to rekao, počeo sam se smijati jer nikad u životu nisam čuo za nešto tako smiješno. Ali sudac je, nevjerojatno, kupio konop s udicom i tonilom, a ja sam završio u saveznom pritvorskom centru u samici gotovo godinu dana. Ne smijete se ni s kim družiti, zaključani ste u malu prostoriju vjerojatno veličine vaše kupaonice i samo sjedite tamo u betonskom lijesu. Bilo je to kao psihička tortura i mislim da je maksimalno vrijeme koje čovjek smije biti u samici oko 19 dana, a mene su tamo držali godinu dana. I temeljio se na smiješnoj ideji da bih mogao zviždati lansirne kodove.
DT: I koliko dugo nakon toga niste smjeli koristiti osnovnu elektroniku, ili barem onu koja je mogla omogućiti komunikaciju?
KM: Ono što se dogodilo je da sam upao u nevolje nekoliko puta nakon što sam pušten. Nekoliko godina kasnije, FBI je poslao doušnika koji je bio pravi i kriminalno orijentirani haker – što znači nekoga tko krade podatke o kreditnoj kartici da bi ukrao novac – da mi smjesti. I brzo sam shvatio što doušnik radi pa sam počeo raditi protuobavještajne radnje protiv FBI-a i ponovno počeo hakirati. U knjizi se zapravo fokusira ova priča: kako sam razbio FBI-evu operaciju protiv mene i otkrio agente koji su radili protiv mene i njihove brojeve mobitela. Uzeo sam njihove brojeve i programirao ih u uređaj koji sam imao kao sustav ranog upozorenja. Kad bi se približili mojoj fizičkoj lokaciji, znao bih za to. Na kraju, nakon završetka ovog slučaja 1999., imao sam vrlo stroge uvjete. Nisam mogao dirati ništa s tranzistorom u sebi bez dopuštenja vlade. Tretirali su me kao da sam MacGyver, dajte Kevinu Mitnicku bateriju od devet volti i ljepljivu traku i on je opasnost za društvo.
Nisam mogao koristiti faks, mobitel, računalo, ništa što je imalo veze s komunikacijom. I onda su na kraju nakon dvije godine ublažili te uvjete jer sam dobio nalog da napišem knjigu koja se zove Umijeće obmane, i potajno su mi dali dopuštenje da koristim prijenosno računalo sve dok ne kažem medijima i ne spojim se na internet.
DT: Pretpostavio bih da ovo nije samo nevjerojatno nezgodno nego i osobno teško.
KM: Da, jer zamislite… Uhićen sam 1995., a pušten 2000. I u tih pet godina internet je prošao kroz dramatičnu promjenu, tako da je u to vrijeme bilo kao da sam Rip Van Wrinkle. Otišao sam spavati i probudio se i svijet se promijenio. Tako da je bilo nekako teško biti zabranjen doticaj tehnologije. A vlada mi je, vjerujem, samo htjela otežati posao, ili su zapravo vjerovali da sam prijetnja nacionalnoj sigurnosti. Stvarno ne znam koji je, ali prebrodio sam ga. Danas mogu preuzeti svu ovu pozadinu i svoju hakersku karijeru i sada sam plaćen za to. Kompanije me angažiraju iz cijelog svijeta da provalim u njihove sustave, da pronađem njihove ranjivosti kako bi ih mogli popraviti prije nego što pravi negativci uđu. Putujem svijetom govoreći o računalnoj sigurnosti i podižući svijest o tome, tako da sam iznimno sretan što ovo radim danas.
Mislim da ljudi znaju za moj slučaj i da jesam prekršio zakon, ali da to nisam htio učiniti zbog novca ili da ikome naudim. Samo sam imao vještine. Nisam imao što izgubiti, bio sam u bijegu od FBI-a, mogao sam uzeti novac, ali to je bilo protiv mog moralnog kompasa. Žalim zbog postupaka koji su naštetili drugima, ali zapravo ne žalim zbog hakiranja jer je to za mene bilo poput video igrice.
DT: Hakiranje je ove godine bila tema u trendu zahvaljujući aktivistima poput Anonymousa. Oni su izrazito polarizirajuća skupina - što mislite o njima?
KM: Mislim da je prva stvar koju Anonymous radi podizanje svijesti o sigurnosti, iako na negativan način. Ali oni svakako ilustriraju da postoji mnogo tvrtki koje su nezadovoljne, da njihovi sustavi imaju lošu sigurnost i da je stvarno moraju poboljšati.
Ne vjerujem da će njihova politička poruka stvarno napraviti bilo kakvu promjenu u svijetu. Mislim da je jedina promjena koju stvaraju to što sebe čine višim prioritetom za provođenje zakona. To je otprilike kao razlog zašto je FBI bio toliko ljut na mene. Kad sam bio bjegunac, živio u Denveru i shvatio što doušnik radi, otkrio sam putem sustav ranog upozoravanja (nadzirući njihovu komunikaciju mobitelom) da dolaze i odlaze u potragu mi. Očistio sam svoj stan od bilo kakve računalne opreme ili bilo čega što bi FBI uzeo, kupio sam veliku kutiju krafni i šarpijem napisao na njoj "FBI krafne" i stavio to u hladnjak.
Sutradan su izvršili pretres i bili su bijesni jer ne samo da sam znao kad dolaze nego sam im kupio krafne. Bila je to luda stvar... nedostaje joj malo zrelosti, ali mislio sam da je smiješno. I zbog toga sam postao bjegunac, a FBI je uhićivao pogrešne ljude za koje su mislili da sam ja, a New York Times ih je pravio kao Keystone Policajce. Pa kad su me konačno uhvatili, udarili su me čekićem. Jako su mi se žestoko obrušili, pa čak i u mom slučaju... znate, ukrao sam izvorni kod kako bih pronašao sigurnosne rupe i hakirao sam telefone Motorole i Nokije kako me ne bi mogli pratiti. A vlada je natjerala te tvrtke da kažu da su gubici koje su pretrpjeli na moj račun njihova cjelokupna ulaganja u istraživanje i razvoj koja su iskoristili za mobilne telefone. Dakle, to je kao da dijete ode u 7-11 i ukrade limenku Coca-Cole i kaže da je gubitak koji je taj klinac prouzročio Coca-Coli cijela formula.
I to je jedna od stvari koje sam razjasnio u knjizi: uzrokovao sam gubitke. Ne znam je li to bilo 10.000 dolara, 100.000 ili 300.000 dolara. Ali znam da je to bilo pogrešno i neetično što sam učinio i žao mi je zbog toga, ali sigurno nisam prouzročio gubitke od 300 milijuna dolara. Zapravo, sve tvrtke u koje sam upao bile su javne dionice, a prema SEC-u, ako neka javna tvrtka pretrpi materijalni gubitak, to se mora prijaviti dioničarima. Niti jedna od tvrtki u koje sam upao nije prijavila niti jedan peni gubitka.
Postao sam primjer jer je vlada željela poslati poruku drugim potencijalnim hakerima da ako radite takve stvari i igrate igrice s nama, ovo će vam se dogoditi. Kao reakciju na moju knjigu, neki ljudi kažu: "Nije mu žao zbog onoga što je učinio, učinio bi to opet", nije mi žao zbog hakiranja, ali žao mi je zbog bilo kakve štete koju sam prouzročio. Postoji razlika između toga.
DT: Dakle, kako vidite da se hakiranje trenutno razvija? Tehnologija je daleko dostupnija nego ikad i sve je više potrošača sposobno pomicati te granice.
KM: Hakiranje će i dalje biti problem, a napadači sada napadaju mobilne telefone. Prije je to bilo vaše osobno računalo, a sada je to vaš mobilni uređaj, vaš Android, vaš iPhone. Ljudi tamo čuvaju osjetljive informacije, podatke o bankovnom računu, osobne fotografije. Hakiranje svakako ide u smjeru telefona.
Zlonamjerni softver postaje sve sofisticiraniji. Ljudi hakiraju tijela za izdavanje certifikata, tako da imate protokol koji se zove SSL za online kupovinu ili bankovne transakcije. Cijeli ovaj protokol temelji se na povjerenju i ovim tijelima za izdavanje certifikata, a hakeri kompromitiraju te ovlasti za izdavanje certifikata i sami sebi izdaju vlastite certifikate. Tako da se mogu pretvarati da su Bank of America, pretvarati se da su PayPal. Sve je to sofisticiranije, složenije i važnije je da tvrtke budu svjesne problema i pokušaju ublažiti mogućnost da će biti ugrožene.
DT: Koji biste savjet dali hakerima danas?
KM: U moje vrijeme to nije bilo dostupno, ali sada ljudi mogu etički učiti o hakiranju. Postoje tečajevi, puno knjiga, trošak postavljanja vlastitog računalnog laboratorija vrlo je jeftin, a postoje čak i web stranice vani na internetu koji su postavljeni kako bi omogućili ljudima da pokušaju hakirati kako bi povećali svoje znanje i vještine – oni koji se zovu Hacme Banka. Ljudi sada mogu etički učiti o tome, a da sami sebe ne dovedu u nevolju ili ne naude drugima.
DT: Mislite li da to potiče ljude na zlouporabu ovih vještina?
KM: Vjerojatno će to učiniti neovisno o tome imaju li pomoć ili ne. To je alat, hakiranje je alat, tako da možete uzeti čekić i sagraditi kuću ili možete nekoga udariti njime po glavi. Ono što je danas važno je etika. Govor o etici za Kevina Mitnicka bio je: U redu je pisati programe za krađu lozinki u srednjoj školi. Stoga je važno zainteresirati ljude i djecu za ovo jer je to zanimljivo područje, ali također imati iza sebe obuku iz etike kako bi je iskoristili na dobar način.
DT: Možete li govoriti malo o Mac vs. Rasprava o sigurnosti prozora?
KM: Macovi su manje sigurni, ali su manje ciljani. Windowsi imaju najveći tržišni udio pa su više ciljani. Sada Apple očito pojačava svoju sigurnost, a razlog zbog kojeg ne čujete za mnogo Macova je napadnut je da pisci zlonamjernog softvera ne pišu zlonamjerni kod za Macove jer jednostavno nisu bili popularni dovoljno. Kada pišete zlonamjerni kod, želite napasti puno ljudi, a tradicionalno je puno više ljudi koristilo Windows.
Kako Mac tržišni udio bude rastao, prirodno ćemo ih više ciljati.
DT: Koji je OS najsigurniji?
KM: Google Chrome OS. Znate zašto? Jer s tim ne možete učiniti ništa. Možete pristupiti Googleovim uslugama, ali nemate što napadati. Ali to nije održivo rješenje za ljude. Preporučio bih korištenje Maca, ne samo zbog sigurnosti, već imam manje problema s pokretanjem Mac OS-a nego Windowsa.
DT: Koja vam je nova tehnologija trenutno najfascinantnija?
KM: Sjećam se kad sam imao devet godina i vozio sam se kroz L.A. s tatom koji je gledao u tutnjavu traka na autocesti misleći da će jednog dana napraviti tehnologiju u kojoj se nećete morati ni voziti automobil. Postojat će nekakvo elektroničko rješenje gdje će automobili sami voziti i teško da će biti nesreća. I tri, četiri desetljeća kasnije, Google testira ovu vrstu tehnologije. Automobili bez vozača. Mislim da su to stvari poput Georgea Jetsona.
