Kérdések és válaszok: A hírhedt Kevin Mitnick a hackelésről, az etikáról és a technológia jövőjéről

Kevin-Mitnick

Ma Kevin Mitnick biztonsági szakértő, aki beszivárog ügyfelei cégeibe, hogy felfedje gyengeségeiket. Számos könyv szerzője is, többek között Szellem a vezetékekben. De leginkább a hackerként ismert, aki évekig elkerülte az FBI-t, és végül bebörtönözték a viselkedése miatt. Volt alkalmunk beszélgetni vele a magánzárkában töltött idejéről, a McDonald’s feltöréséről és arról, hogy mit gondol az Anonymousról.

Digitális trendek: Mikor kezdett el először érdeklődni a hackelés iránt?

Ajánlott videók

Kevin Mitnick: Valójában ez indított el a hackelésben, az volt a hobbim, a telefonhívások. Középiskolás koromban lenyűgözött a mágia, és találkoztam egy másik diákkal, aki telefonnal tudott varázsolni. Mindezeket a trükköket meg tudta csinálni: felhívhattam egy számot, amit mondott, ő pedig egy másikat, és összefognánk, és ezt hívják körforgásnak. Ez egy telefontársaság tesztköre volt. Megmutatta, hogy van ez a titkos szám a telefontársaságnál, tud tárcsázni egy számot, és az furcsa hangot ad, majd beírt egy ötjegyű kódot, és bárhová ingyen hívhat.

Voltak titkos számai a telefontársaságban, ahonnan fel tudott hívni, és nem kellett azonosítania magát, mit Az történne, ha lenne telefonszáma, akkor is megtalálná annak a számnak a nevét és címét, ha az lenne kiadatlan. Áttörhetné a hívásátirányítást. Tudott varázsolni a telefonnal, és én nagyon lenyűgözött a telefontársaság. És tréfamester voltam. Szerettem a csínytevéseket. Lábam a hackelés ajtójában csínyt űztem a barátokkal.

Az egyik első csínytevésem az volt, hogy lecseréltem a barátaim otthoni telefonját fizetős telefonra. Tehát valahányszor ő vagy a szülei megpróbáltak felhívni, azt mondták: „kérem, helyezzen be egy negyedet”.

Tehát a hackelésbe való belépésem az volt, hogy elragadtattam a telefontársaságot, és csínyt akartam csinálni.

DT: Honnan szerezte azt a technikai tudást, hogy elkezdje ezeket a dolgokat kihozni?

KM: Magam is érdekelt a technológia, és valójában nem árulta el, hogyan csinálja a dolgokat. Néha kihallgattam, mit csinál, és tudtam, hogy social engineering-et használ, de olyan volt a bűvész, aki megcsinálta a trükköket, de nem mondta el, hogyan csinálták, úgyhogy ki kell dolgoznom magamat.

Mielőtt megismerkedtem ezzel a sráccal, már rádióamatőr voltam. 13 éves koromban átmentem a HAM rádióvizsgámon, és már az elektronikával és a rádióval foglalkoztam, így megvolt ez a technikai háttér.

Ez még a 70-es években volt, és nem kaphattam C.B.-engedélyt, mert 18 évesnek kellett lenned, én pedig 11 vagy 12 éves voltam. Szóval találkoztam ezzel a buszsofőrrel, amikor egy nap buszon ültem, és ez a sofőr bemutatott a HAM rádiónak. Megmutatta, hogyan tud telefonálni a kézi rádiójával, ami szerintem szuper volt, mert a cella előtt volt. telefonokat, és arra gondoltam: „Hú, ez nagyon klassz, tanulnom kell róla.” Elővettem néhány könyvet, részt vettem néhány tanfolyamon, és 13 évesen átmentem vizsga.

Aztán megtanultam a telefonokat. Ezt követően egy másik középiskolás diák bemutatott a számítástechnikai oktatónak, hogy vegyek számítástechnikai órát. Először az oktató nem engedett be, mert nem teljesítettem a feltételeket, majd megmutattam neki minden trükköt meg tudtam csinálni a telefonnal, és alaposan le volt nyűgözve, és beengedett a telefonba osztály.

DT: Van kedvenc hacked, vagy olyan, amire különösen büszke voltál?

KM: A McDonald's feltörése volt a legjobban a hack, amihez a legjobban ragaszkodom. Amit kidolgoztam – emlékszel, megvolt a HAM rádióengedélyem –, átvehettem a felhajtó ablakokat. Leülnék az utca túloldalára, és átveszem őket. El tudod képzelni 16, 17 évesen, milyen jól szórakozhatsz. Tehát a McDonald’s-ban lévő ember hallotta, hogy mi történik, de nem tudtak felülkerekedni rajtam, én legyőzném őket.

Az ügyfelek felhajtottak, én pedig felvettem a rendelésüket, és azt mondtam: „Rendben, Ön ma az 50. vásárló, a rendelése ingyenes, kérjük, hajtson előre.” Vagy jönnek a zsaruk és néha azt mondtam: "Sajnálom, uram, ma nincs fánk az ön számára, és a rendőröknek csak Dunkin Donuts-t szolgálunk ki." Vagy ez, vagy azt mondanám: „Elrejteni a kokain! Rejtsd el a kokaint!”

Odáig fajult, hogy a menedzser kijön a parkolóba, megnézi a telket, benéz az autókba, és persze senki sem volt a közelben. Így hát felment a felhajtó hangszóróhoz, és úgy nézett ki benne, mintha egy ember rejtőzne benne, én pedig azt mondtam: „Mi a fenét nézel!”

DT: Beszélne egy kicsit arról, hogy mi a különbség a hálózatba jutás és a tényleges betörés között?

KM: Az igazság az, hogy a legtöbb hack hibrid. Hálózatba bekerülhet a hálózat kiaknázásával – tisztán technikai módszer megtalálásával. Megteheti a számítógéphez hozzáféréssel rendelkező emberek manipulálásával, információk felfedésével vagy egy „művelet” végrehajtásával, például PDF-fájl megnyitásával. Vagy fizikailag hozzáférhet a számítógépeikhez vagy szervereikhez, és ezt így teheti meg. De valójában nem az egyik vagy a másik, hanem a cél és a helyzet alapján, és a hacker itt dönti el, hogy melyik képességet használja, melyik utat fogja használni a rendszer feltöréséhez.

Manapság a social engineering komoly fenyegetést jelent, mivel az RSA-t [Security] és a Google-t feltörték, és ez a lándzsás adathalászat nevű technikán keresztül történt. Az RSA támadásokkal, amelyek jelentősek voltak, mert a támadók ellopták a token magokat, amelyek A hitelesítéshez használt védelmi vállalkozók, a hackerek egy Excel dokumentumot csapdába ejtettek egy Flash segítségével tárgy. Találtak egy célpontot az RSA-n belül, aki hozzáférhetett az általuk keresett információkhoz, és elküldték ezt a csapdába esett dokumentumot az áldozatnak, és amikor megnyitották az Excel dokumentumot (amely valószínűleg legitim forrásból, ügyféltől, üzleti partnertől érkezett) láthatatlanul kihasznált egy sebezhetőséget az Adobe Flash-ben, és a hacker ezután hozzáfért ennek az alkalmazottnak a munkaállomásához és az RSA belső hálózat.

A lándzsás adathalászat két összetevőből áll: a közösségi hálózatokból, hogy rávegye a felhasználót, hogy nyissa meg az Excel-dokumentumot, és a második része az Adobe egy hibájának vagy biztonsági hibájának technikai kihasználása, amely a támadónak teljes irányítást biztosított a számítógép. És ez így működik a való világban. Nem csak felhív valakit telefonon, és jelszót kér; A támadások általában hibridek, és egyesítik a technikai és a társadalmi tervezést.

Ban ben Szellem a vezetékekben, leírom, hogyan használtam mindkét technikát.

DT: Részben annak, amiért írtál Szellem a vezetékekben az volt, hogy foglalkozzon néhány önmagával kapcsolatos kitalációval.

szellem-in-the-wiresKM: Ja igen, három könyvet írtak rólam, volt egy mozifilm is Vedd le ami miatt végül peren kívül elintéztem egy pert, és beleegyeztek a forgatókönyv megváltoztatásába, és soha nem mutatták be az Egyesült Államokban. Volt egy New York Times riporterem, aki írt egy történetet, amit 1983-ban feltörtem a NORAD-ba, és majdnem elkezdtem. világháború vagy valami ehhez hasonló nevetséges – tényként nyilatkozott, ami teljesen forrás nélküli állítás.

Sok olyan dolog van a nyilvánosság előtt, ami egyszerűen nem volt igaz, és sok olyan dolog, amit az emberek nem tudtak. És fontosnak tartottam, hogy a könyvem valóban elmesélje a történetemet, és alapvetően helyreállítsa a rekordot. Én is azt hittem, hogy az én történetem ilyen Kapj el, ha tudsz, Volt egy két évtizedes macska-egér játékom az FBI-nál. És nem pénzt kerestem. Valójában, amikor szökésben voltam, 9-5 munkahelyet dolgoztam, hogy eltartsam magam, és éjszaka hackeltem. Megvoltak a képességeim, hogy ha akartam volna, ellophattam volna hitelkártya- és bankszámlaadatokat, de az erkölcsi iránytűm ezt nem engedte meg. És a hackelés elsődleges oka valójában a kihívás volt: mint a Mt. Everest megmászása. De az elsődleges ok a tudásra való törekvésem volt. Gyerekként, akit érdekelt a mágia és a HAM rádió, szerettem szétszedni a dolgokat, és megtudni, hogyan működnek. Az én koromban nem volt lehetőség az etikus hackelés megtanulására, az egy másik világ volt.

Még középiskolás koromban is ösztönzést éreztem a hackelésre. Az egyik első feladatom az volt, hogy írjak egy programot, ami megkeresi az első 100 Gnocchi-számot. Ehelyett írtam egy programot, amely képes rögzíteni az emberek jelszavait. És olyan keményen dolgoztam ezen, mert úgy gondoltam, hogy ez klassz és szórakoztató, így nem volt időm a tényleges elvégzésre feladatot, és inkább ezt adtam be – és kaptam egy A-t és sok „Atta fiút”. Másként kezdtem világ.

DT: És még magánzárkába is kerültél, miközben börtönben voltál, olyan dolgok miatt, amelyekre az emberek azt hitték, hogy képes vagy rá.

KM: Ó, igen, igen. Évekkel ezelőtt, a 80-as évek közepén feltörtem a Digital Equipment Corporation nevű céget, és ami érdekelt, az az volt a hosszú távú célom, hogy a lehető legjobb hacker legyek. Nem volt más célom, mint hogy bekerüljek a rendszerbe. Azt tettem, hogy sajnálatos döntést hoztam, és úgy döntöttem, hogy a forráskód után megyek, ami olyan az Orange Julius titkos receptje a VMS operációs rendszerhez, amely egy nagyon népszerű operációs rendszer a világban nap.

Tehát alapvetően vettem egy másolatot a forráskódból, és egy barátom tájékoztatott rólam. Amikor az FBI letartóztatása után a bíróságon kötöttem ki, egy szövetségi ügyész azt mondta egy bírónak, hogy nem csak Mr. Mitnicket kell őrizetbe venni nemzetbiztonsági fenyegetésként, hanem meg kell győződnie arról, hogy nem tud a telefon közelébe férkőzni, mert egyszerűen felemelhet egy telefonkagylót, csatlakozhat a NORAD modeméhez, kifütyül az indítási kódot, és esetleg elindíthat egy atomenergiát. háború. És ahogy az ügyész ezt mondta, elkezdtem nevetni, mert még életemben nem hallottam ilyen nevetségesről. De a bíró hihetetlen módon megvásárolta a horogkötelet és a süllyesztőt, és végül egy szövetségi fogdában tartottak magánzárkában közel egy évig. Nem kommunikálhatsz senkivel, be vagy zárva egy kis szobába, valószínűleg akkora, mint a fürdőszobád, és csak ülsz ott egy betonkoporsóban. Olyan volt, mint a pszichológiai kínzás, és azt hiszem, a maximális idő, amit egy embernek magánzárkában kell töltenie, körülbelül 19 nap, és egy évig tartottak ott. És egy nevetséges elképzelésen alapult, hogy kifütyülhetem az indítási kódokat.

DT: És utána mennyi ideig nem használhatta az alapvető elektronikai eszközöket, vagy legalább azokat, amelyek lehetővé teszik a kommunikációt?

KM: Nos, az történt, hogy a kiszabadulásom után néhányszor bajba keveredtem. Néhány évvel később az FBI küldött egy informátort, aki valódi és bűnözői beállítottságú hacker volt – vagyis valaki, aki hitelkártyaadatokat lop, hogy pénzt lopjon –, hogy állítson be. És gyorsan rájöttem, mit csinál az informátor, ezért elkezdtem kémelhárítást az FBI ellen, és újra elkezdtem hackelni. Ez a történet igazából a könyv középpontjában áll: hogyan törtem meg az FBI ellenem folytatott hadműveletét, és hogyan tudtam meg az ellenem dolgozó ügynököket és a mobiltelefonszámukat. Felvettem a számukat, és beprogramoztam őket egy olyan eszközbe, amely korai figyelmeztető rendszerként működött. Ha közel kerülnének a fizikai helyemhez, akkor tudnék róla. Végül, miután ez az ügy 1999-ben véget ért, nagyon szigorú feltételek voltak. Nem nyúlhattam semmihez, amiben tranzisztor van a kormány engedélye nélkül. Úgy bántak velem, mintha egy MacGyver lennék, adtak Kevin Mitnicknek egy kilenc voltos akkumulátort és szigetelőszalagot, és veszélyt jelent a társadalomra.

Nem használhattam faxot, mobiltelefont, számítógépet, semmit, aminek köze volt a kommunikációhoz. Aztán végül két év után lazítottak ezeken a feltételeken, mert megbízást kaptam egy könyv megírására A megtévesztés művészete, és titokban engedélyt adtak a laptop használatára, amíg nem szólok a médiának, és nem csatlakozom az internethez.

DT: Feltételezem, hogy ez nem csak hihetetlenül kényelmetlen, hanem személy szerint nehéz is.

kevin_wantedKM: Igen, mert képzeld… 1995-ben letartóztattak és 2000-ben kiengedtek. És ezalatt az öt év alatt az internet drámai változáson ment keresztül, úgyhogy ez idő alatt olyan volt, mintha Rip Van Wrinkle lennék. Elaludtam és felébredtem, és a világ megváltozott. Így nehéz volt megtiltani a technológia érintését. És azt hiszem, a kormány csak nagyon meg akarta tenni a dolgomat, vagy valójában azt hitték, nemzetbiztonsági veszélyt jelentek. Igazából nem tudom melyik az, de átvészeltem. Ma már átvehetem ezt a hátteret és a hacker karrieremet, és most fizetést kapok érte. A világ minden tájáról felvesznek engem, hogy betörjek a rendszereikbe, hogy megtaláljam a sebezhetőségeiket, hogy kijavíthassák azokat, mielőtt az igazi rosszfiúk bejutnának. Bejárom a világot a számítógépes biztonságról beszélve, és felhívom a figyelmet erre, ezért rendkívül szerencsés vagyok, hogy ezt tehetem ma.

Úgy gondolom, hogy az emberek tudnak az esetemről, és arról, hogy megsértettem a törvényt, de nem pénzért tettem, vagy nem ártottam senkinek. Csak a képességeim voltak. Nem volt vesztenivalóm, menekültem az FBI elől, vehettem volna pénzt, de ez ellenkezett az erkölcsi iránytűmmel. Sajnálom azokat a cselekedeteket, amelyek ártottak másoknak, de nem igazán sajnálom a hackelést, mert számomra ez olyan volt, mint egy videojáték.

DT: A hackelés idén felkapott téma volt, köszönhetően az olyan aktivistáknak, mint az Anonymous. Rendkívül polarizáló csoportot alkotnak – mi a véleményed róluk?

KM: Szerintem az Anonymous első számú tevékenysége a biztonsági tudatosság növelése, bár negatív módon. De minden bizonnyal azt illusztrálják, hogy sok olyan cég van, amelyik a legcsekélyebb gyümölcs, hogy rendszereik silány biztonsággal rendelkeznek, és valóban javítaniuk kell.

Nem hiszem, hogy politikai üzenetük valóban bármiféle változást hozna a világban. Úgy gondolom, hogy az egyetlen változás, amit létrehoznak, az, hogy magasabb prioritássá teszik magukat a bűnüldözés számára. Ez olyan, mintha az FBI miért haragudott rám. Amikor szökevény voltam, Denverben éltem, és rájöttem, mit csinál az informátor, a korai figyelmeztető rendszer (figyeli a mobiltelefon kommunikációját), hogy jönnek és mennek keresni nekem. Kitisztítottam a lakásomból minden számítógépes felszerelést vagy bármit, amit az FBI elvitt, és vettem egy nagy doboz fánkot, és egy Sharpie-val ráírtam, hogy „FBI fánk”, és betettem a hűtőbe.

Másnap végrehajtották a házkutatási parancsot, és dühösek voltak, mert nem csak hogy tudtam, mikor jönnek, de fánkot is vettem nekik. Őrült dolog volt… hiányzik belőle némi érettség, de viccesnek tartottam. Emiatt szökevény lettem, és az FBI rossz embereket tartóztatott le, akikről azt hitték, hogy én vagyok, a New York Times pedig Keystone Kopshoz hasonlította őket. Így amikor végre megfogtak, megütöttek. Nagyon keményen lecsaptak rám, és még az én esetemben is… tudod, loptam forráskódot, hogy biztonsági lyukakat keressek, és feltörtem a Motorola és a Nokia készülékeit, hogy ne lehessen nyomon követni. És a kormány felkérte ezeket a cégeket, hogy mondják el, hogy az én költségemen elszenvedett veszteségük a teljes K+F befektetésük volt, amelyet mobiltelefonokhoz használtak fel. Szóval ez olyan, mintha egy gyerek bemegy 7-11 közé, és ellopna egy doboz Coca-Colát, és azt mondaná, hogy az a veszteség, amit ez a gyerek okozott a kólának, az az egész képlet.

És ez az egyik dolog, amit a könyvben tisztáztam: valóban veszteségeket okoztam. Nem tudom, hogy 10 000, 100 000 vagy 300 000 dollár volt. De tudom, hogy ez helytelen és etikátlan volt számomra, és sajnálom, de biztosan nem okoztam 300 millió dolláros veszteséget. Valójában az összes cég, amelybe betörtem, tőzsdén jegyzett társaság volt, és a SEC szerint, ha bármely állami vállalat anyagi veszteséget szenved, azt jelenteni kell a részvényeseknek. Egyik cég sem számolt be egyetlen fillér veszteségről sem.

Én lettem a példa, mert a kormány azt akarta üzenni más leendő hackereknek, hogy ha ilyen típusú dolgokat csinálsz, és játszol velünk, akkor ez fog veled történni. A könyvemre reagálva néhányan azt mondják: „Ó, nem bánja meg, amit tett, újra megtenné”. Nem sajnálom a hackelést, de sajnálom az általam okozott károkat. Ez között van különbség.

DT: Szóval hogyan látod a hackelés fejlődését jelenleg? A technológia sokkal elérhetőbb, mint valaha, és egyre több fogyasztó képes feszegetni ezeket a határokat.

KM: A hackelés továbbra is probléma lesz, és a támadók most a mobiltelefonok után mennek. Korábban a személyi számítógépe volt, most pedig a mobileszköze, az Android és az iPhone. Az emberek bizalmas információkat, bankszámlaadatokat, személyes fényképeket tárolnak ott. A hackelés minden bizonnyal a telefonok irányába megy.

A rosszindulatú programok egyre kifinomultabbak. Az emberek feltörik a tanúsító hatóságokat, ezért Ön egy SSL nevű protokollt használ az online vásárláshoz vagy banki tranzakciókhoz. És ez az egész protokoll a bizalmon és ezeken a tanúsító hatóságokon alapul, és a hackerek kompromittálják ezeket a tanúsító hatóságokat, és saját maguk állítják ki a tanúsítványaikat. Így kiadhatják magukat a Bank of America-nak, és úgy, mintha a PayPal lennének. Mindez kifinomultabb, összetettebb és fontosabb, hogy a vállalatok tisztában legyenek a problémával, és megpróbálják csökkenteni annak lehetőségét, hogy kompromittálódjanak.

DT: Milyen tanácsot adna a mai hackereknek?

KM: Az én időmben nem volt elérhető, de most az emberek etikusan tanulhatnak a hackelésről. Vannak tanfolyamok, sok könyv, a saját számítógépes laboratórium felállításának költsége nagyon olcsó, és még weboldalak is vannak. az interneten, amelyek célja, hogy lehetővé tegyék az emberek számára, hogy megpróbáljanak behatolni tudásuk és készségeik bővítése érdekében – ezek a Hacme Bank. Az emberek etikailag tanulhatnak róla most anélkül, hogy bajba kerülnének, vagy másoknak kárt okoznának.

DT: Ön szerint ez arra ösztönzi az embereket, hogy visszaéljenek ezekkel a készségekkel?

KM: Valószínűleg meg fogják tenni, függetlenül attól, hogy van segítségük vagy sem. Ez egy eszköz, a hackelés egy eszköz, szóval vehetsz egy kalapácsot és építhetsz házat, vagy fejbe üthetsz vele valakit. Ami ma fontos, az az etika. Kevin Mitnick etikai beszéde a következő volt: Nem baj, ha a középiskolában jelszólopó programokat írunk. Ezért fontos, hogy felkeltsük az emberek és a gyerekek érdeklődését ez iránt, mert ez egy érdekes terület, de legyen mögötte etikai képzés is, hogy jó értelemben használják.

DT: Beszélhetne egy kicsit a Mac vs. Ablakbiztonsági vita?

KM: A Mac-ek kevésbé biztonságosak, de kevésbé célzottak. A Windows rendelkezik a legnagyobb piaci részesedéssel, így célzottabbak. Az Apple most nyilvánvalóan fokozza a biztonságát, és ez az oka annak, hogy nem hallani sok Macről Az támadt, hogy a rosszindulatú programok írói nem írnak rosszindulatú kódot a Mac-ekre, mert egyszerűen nem voltak népszerűek elég. Amikor rosszindulatú kódot ír, sok embert akar megtámadni, és hagyományosan sokkal többen futnak Windows rendszeren.

Ahogy a Mac piaci részesedése növekszik, természetesen egyre jobban megcélozzuk őket.

DT: Melyik operációs rendszer a legbiztonságosabb?

KM: Google Chrome OS. Tudod, miért? Mert nem tudsz vele mit kezdeni. Hozzáférhet a Google szolgáltatásaihoz, de nincs mit támadni. De ez nem életképes megoldás az emberek számára. Nem csak a biztonság miatt javaslom a Mac használatát, de kevesebb problémám van a Mac OS futtatásával, mint a Windows futtatásával.

DT: Melyik új technológiát tartod a leglenyűgözőbbnek jelenleg?

KM: Emlékszem, amikor kilenc éves voltam, és átutaztam Los Angelesben, és apám a dübörgést nézte. csík az autópályán azt gondolva, hogy egy nap olyan technológiát fognak gyártani, ahol nem is kell vezetni autó. Lesz valami elektronikus megoldás, ahol az autók maguk hajtanak, és alig lesz baleset. Három, négy évtizeddel később pedig a Google teszteli ezt a technológiát. Vezető nélküli autók. Szerintem ez George Jetson típusú cucc.