Oggi Kevin Mitnick è un esperto di sicurezza che si infiltra nelle aziende dei suoi clienti per svelarne i punti deboli. È anche autore di numerosi libri, tra cui Fantasma tra i fili. Ma è conosciuto soprattutto come l'hacker che è riuscito a sfuggire all'FBI per anni e che alla fine è stato imprigionato per i suoi comportamenti. Abbiamo avuto la possibilità di parlare con lui del tempo trascorso in isolamento, dell'hacking di McDonald's e di cosa pensa di Anonymous.
Tendenze digitali: quando hai iniziato a interessarti all'hacking?
Video consigliati
Kevin Mitnick: In realtà ciò che mi ha fatto iniziare a dedicarmi all'hacking è stato questo hobby che avevo chiamato phreaking telefonico. Quando ero al liceo ero affascinato dalla magia e ho incontrato quest'altro studente che era in grado di fare magie con un telefono. Potrebbe fare tutti questi trucchi: potrei chiamare un numero che mi ha detto e lui ne chiamerebbe un altro, e saremmo uniti, e questo si chiama loop-around. Era un circuito di prova della compagnia telefonica. Mi ha mostrato che aveva questo numero segreto presso la compagnia telefonica, poteva comporre un numero e dava un tono strano, quindi inserire un codice a cinque cifre e poteva chiamare ovunque gratuitamente.
Aveva dei numeri segreti nella compagnia telefonica dove poteva chiamare e non doveva identificarsi, cosa Ciò che accadrebbe è che se avesse un numero di telefono, potrebbe trovare il nome e l'indirizzo di quel numero anche se lo fosse inedito. Potrebbe superare l'inoltro di chiamata. Sapeva fare magie con il telefono e rimasi davvero affascinato dalla compagnia telefonica. Ed ero un burlone. Adoravo gli scherzi. Il mio passo avanti nel mondo dell'hacking è stato fare scherzi agli amici.
Uno dei miei primi scherzi è stato cambiare il telefono di casa dei miei amici con un telefono pubblico. Quindi ogni volta che lui o i suoi genitori provavano a fare una chiamata dicevano "per favore deposita un quarto".
Quindi il mio ingresso nell'hacking è stato dovuto alla mia passione per la compagnia telefonica e al desiderio di fare scherzi.
DT: Dove hai preso le conoscenze tecniche per iniziare a realizzare queste cose?
KM: Anch'io ero interessato alla tecnologia e lui in realtà non voleva dirmi come faceva le cose. A volte sentivo cosa stava facendo e sapevo che stava usando l'ingegneria sociale, ma era così il mago che faceva i trucchi ma non voleva dirmi come erano fatti, quindi dovevo risolverlo me stessa.
Prima di incontrare questo ragazzo ero già un radioamatore. Ho superato il mio test di radioamatore quando avevo 13 anni, ed ero già interessato all'elettronica e alla radio, quindi avevo quel background tecnico.
Erano gli anni '70 e non potevo ottenere una licenza C.B. perché dovevi avere 18 anni e io avevo 11 o 12 anni. Così un giorno ho incontrato questo autista di autobus mentre stavo viaggiando sull'autobus e questo autista mi ha fatto conoscere la radio HAM. Mi ha mostrato come poteva telefonare usando la sua radio portatile, cosa che pensavo fosse fantastica perché era prima del cellulare telefoni e ho pensato "Wow, è fantastico, devo impararlo". Ho preso alcuni libri, ho seguito alcuni corsi e a 13 anni ho superato l'esame esame.
Poi ho imparato a conoscere i telefoni. Successivamente, un altro studente del liceo mi ha presentato all'istruttore di computer per seguire un corso di informatica. All’inizio l’istruttore non mi ha lasciato entrare perché non soddisfacevo i prerequisiti, poi gliel’ho mostrato tutti i trucchi che potevo fare con il telefono, e lui ne rimase profondamente colpito e mi fece entrare classe.
DT: Hai un hack preferito o uno di cui sei particolarmente fiero?
KM: L’hacking a cui sono più affezionato è stato quello di McDonald’s. Quello che ho pensato - ti ricordi che avevo la mia licenza di radioamatore - avrei potuto occuparmi delle finestre di accesso. Mi sedevo dall'altra parte della strada e li prendevo in consegna. Puoi immaginare a 16, 17 anni, quanto divertimento potresti avere. Quindi la persona al McDonald’s poteva sentire tutto quello che succedeva, ma non poteva sopraffare me, io avrei sopraffatto loro.
I clienti si avvicinavano e io prendevo il loro ordine e dicevo "Okay, sei il cinquantesimo cliente oggi, il tuo ordine è gratuito, per favore vai avanti". Oppure sarebbero arrivati i poliziotti e a volte dicevo "Mi dispiace signore, non abbiamo ciambelle per lei oggi e per gli agenti di polizia serviamo solo Dunkin Donuts". Oppure direi: "Nascondi il cocaina! Nascondi la cocaina!
È arrivato al punto in cui il direttore usciva nel parcheggio, guardava il parcheggio, guardava nelle macchine e ovviamente non c'era nessuno in giro. Quindi si avvicinava all'altoparlante e guardava davvero dentro come se ci fosse un uomo nascosto all'interno, e poi dicevo "Che diavolo stai guardando!"
DT: Parlerai un po' della differenza tra l'ingegneria sociale per entrare in una rete e l'hacking vero e proprio?
KM: La verità è che la maggior parte degli hack sono ibridi. Potresti entrare in una rete attraverso lo sfruttamento della rete – sai, trovando un modo puramente tecnico. Potresti farlo manipolando le persone che hanno accesso ai computer, per rivelare informazioni o eseguire una “azione” come aprire un file PDF. Oppure puoi ottenere l'accesso fisico alla posizione dei loro computer o server e farlo in questo modo. Ma non è realmente l’uno o l’altro, si basa davvero sull’obiettivo e sulla situazione, ed è lì che l’hacker decide quale abilità utilizzare, quale strada utilizzare per violare il sistema.
Al giorno d'oggi, l'ingegneria sociale rappresenta una minaccia sostanziale perché RSA [Sicurezza] e Google sono stati violati tramite una tecnica chiamata spear phishing. Con gli attacchi RSA, che sono stati consistenti perché gli aggressori hanno rubato i token seed che utilizzati dagli appaltatori della difesa per l'autenticazione, gli hacker hanno inserito una trappola esplosiva in un documento Excel con un file Flash oggetto. Hanno trovato un obiettivo all'interno della RSA che avrebbe avuto accesso alle informazioni che volevano e hanno inviato questo documento contenente una trappola esplosiva alla vittima, e quando hanno aperto il documento Excel (che probabilmente è stato inviato da quella che sembrava una fonte legittima, un cliente, un partner commerciale), lo hanno fatto ha sfruttato invisibilmente una vulnerabilità all'interno di Adobe Flash e l'hacker ha quindi avuto accesso alla workstation di questo dipendente e all'interno di RSA rete.
Lo spear phishing utilizza due componenti: il social networking per convincere la persona ad aprire il documento Excel e il secondo parte è lo sfruttamento tecnico di un bug o di una falla di sicurezza in Adobe che ha dato all'aggressore il pieno controllo del file computer. Ed è così che funziona nel mondo reale. Non basta chiamare qualcuno al telefono e chiedere una password; Gli attacchi sono generalmente ibridi e combinano ingegneria tecnica e sociale.
In Fantasma tra i fili, descrivo come ho utilizzato entrambe le tecniche.
DT: Parte del motivo per cui hai scritto Fantasma tra i fili era quello di affrontare alcune delle invenzioni su di te.
KM: Oh sì, sono stati scritti tre libri su di me, c'era un film intitolato Prendere nota per il quale ho finito per risolvere una causa extragiudiziale, e loro hanno accettato di modificare la sceneggiatura e non è mai stato distribuito nelle sale negli Stati Uniti. Ho avuto un giornalista del New York Times che ha scritto un articolo su come ho hackerato il NORAD nel 1983 e ho quasi iniziato La Terza Guerra Mondiale o qualcosa di ridicolo come questo – lo dichiararono come un fatto, il che era completamente privo di fonti accusa.
Ci sono molte cose là fuori agli occhi del pubblico che semplicemente non erano vere, e molte cose che la gente davvero non sapeva. E ho pensato che fosse importante che il mio libro raccontasse davvero la mia storia e fondamentalmente mettesse le cose in chiaro. Pensavo anche che la mia storia fosse così Prendimi se ci riesci, Ho avuto un gioco del gatto e del topo lungo vent'anni con l'FBI. E non volevo fare soldi. Infatti, quando ero in fuga, per mantenermi lavoravo dalle 9 alle 5 e di notte facevo l'hacking. Sapevo che, se avessi voluto, avrei potuto rubare i dettagli della carta di credito e i dati del conto bancario, ma la mia bussola morale non me lo permetteva. E la ragione principale per cui ho iniziato a fare hacking era proprio la sfida: come scalare il monte Everest. Ma la ragione principale era la mia ricerca della conoscenza. Da bambino interessato alla magia e alla radioamatore, adoravo smontare le cose e scoprire come funzionavano. Ai miei tempi non c’erano strade per apprendere l’hacking eticamente, era un mondo diverso.
Anche quando ero al liceo, mi sentivo incoraggiato a hackerare. Uno dei miei primi compiti è stato scrivere un programma per trovare i primi 100 numeri degli Gnocchi. Invece ho scritto un programma in grado di catturare le password delle persone. E ho lavorato così duramente su questo perché pensavo che fosse bello e divertente, quindi non ho avuto il tempo di farlo davvero incarico e invece ho consegnato questo – e ho preso una A e un sacco di “Atta boys”. Ho iniziato in modo diverso mondo.
DT: E sei stato addirittura messo in isolamento mentre eri in prigione a causa di cose che la gente pensava che fossi in grado di fare.
KM: Oh sì, sì. Anni fa, a metà degli anni '80, ho hackerato un'azienda chiamata Digital Equipment Corporation e ciò che mi interessava era il mio obiettivo a lungo termine: diventare il miglior hacker possibile. Non avevo alcun obiettivo se non quello di entrare nel sistema. Quello che ho fatto è stato prendere una decisione deplorevole e decidere di inseguire il codice sorgente, che è come la ricetta segreta di Orange Julius per il sistema operativo VMS, un sistema operativo molto popolare negli anni giorno.
Quindi praticamente ho preso una copia del codice sorgente e un mio amico mi ha informato. Quando sono finito in tribunale dopo che l’FBI mi aveva arrestato, un pubblico ministero federale aveva detto a un giudice che non solo dobbiamo detenere il signor Mitnick in quanto minaccia alla sicurezza nazionale, ma dobbiamo deve assicurarsi di non potersi avvicinare a un telefono, perché potrebbe semplicemente prendere un telefono pubblico, collegarsi a un modem del NORAD, fischiare il codice di lancio e possibilmente avviare un attacco nucleare. guerra. E mentre il pubblico ministero diceva questo, mi mettevo a ridere perché non avevo mai sentito una cosa così ridicola in vita mia. Ma il giudice, incredibilmente, ha comprato lenza e piombino, e sono finito in un centro di detenzione federale in isolamento per quasi un anno. Non puoi associarti con nessuno, sei chiuso in una piccola stanza probabilmente grande quanto il tuo bagno e sei semplicemente seduto lì dentro in una bara di cemento. Era una specie di tortura psicologica, e penso che il tempo massimo che una persona dovrebbe restare in isolamento sia qualcosa come 19 giorni, e mi hanno tenuto lì per un anno. E si basava sull'idea ridicola che io potessi fischiare i codici di lancio.
DT: E quanto tempo dopo non ti è stato permesso di utilizzare l'elettronica di base, o almeno quella che potrebbe consentire la comunicazione?
KM: Beh, quello che è successo è che mi sono cacciato nei guai un paio di volte dopo essere stato rilasciato. Un paio di anni dopo, l’FBI ha inviato un informatore che era un vero hacker con tendenze criminali – ovvero qualcuno che ruba i dati delle carte di credito per rubare denaro – per incastrarmi. E ho capito subito cosa stava facendo l'informatore, quindi ho iniziato a fare controspionaggio contro l'FBI e ho ricominciato ad hackerare. Il libro è incentrato su questa storia: come stavo interrompendo l'operazione dell'FBI contro di me e ho scoperto gli agenti che lavoravano contro di me e i loro numeri di cellulare. Ho preso i loro numeri e li ho programmati in un dispositivo che avevo come sistema di allarme precoce. Se si fossero avvicinati alla mia posizione fisica, lo avrei saputo. Alla fine, dopo la conclusione di questo caso nel 1999, ho imposto condizioni molto rigorose. Non potevo toccare nulla che contenesse un transistor senza il permesso del governo. Mi hanno trattato come se fossi un MacGyver, hanno dato a Kevin Mitnick una batteria da nove volt e del nastro adesivo ed è diventato un pericolo per la società.
Non potevo usare un fax, un cellulare, un computer, tutto ciò che avesse a che fare con la comunicazione. E poi alla fine, dopo due anni, hanno allentato quelle condizioni perché mi è stato commissionato di scrivere un libro intitolato L'arte dell'inganno, e mi hanno dato segretamente il permesso di usare un laptop purché non lo dicessi ai media e non mi connettessi a Internet.
DT: Presumo che questo non sia stato solo incredibilmente scomodo ma anche personalmente difficile.
KM: Sì, perché immagina... sono stato arrestato nel 1995 e rilasciato nel 2000. E in quei cinque anni Internet ha subito un cambiamento drammatico, quindi in questo periodo era come se fossi Rip Van Wrinkle. Sono andato a dormire, mi sono svegliato e il mondo è cambiato. Quindi era piuttosto difficile vedersi proibire di toccare la tecnologia. E il governo, credo, voleva solo rendermi la vita estremamente dura, oppure credeva davvero che fossi una minaccia alla sicurezza nazionale. Non so davvero quale sia, ma l'ho superato. Oggi posso portare con me tutto questo background e la mia carriera da hacker e vengo pagato per farlo. Le aziende mi assumono da tutto il mondo per entrare nei loro sistemi, per trovare le loro vulnerabilità in modo da poterle risolvere prima che entrino i veri cattivi. Viaggio per il mondo parlando di sicurezza informatica e sensibilizzando l’opinione pubblica al riguardo, quindi sono estremamente fortunato a farlo oggi.
Penso che la gente sappia del mio caso e che ho infranto la legge, ma che non intendevo farlo per soldi o per fare del male a qualcuno. Avevo solo le capacità. Non avevo nulla da perdere, ero in fuga dall'FBI, avrei potuto prendere dei soldi, ma era contro la mia bussola morale. Mi pento delle azioni che hanno danneggiato gli altri, ma non mi pento davvero dell'hacking perché per me era come un videogioco.
DT: L'hacking è stato un argomento di tendenza quest'anno grazie ad attivisti come Anonymous. Sono un gruppo estremamente polarizzante: cosa ne pensi?
KM: Penso che la cosa principale che Anonymous sta facendo sia aumentare la consapevolezza sulla sicurezza, anche se in modo negativo. Ma stanno certamente dimostrando che ci sono molte aziende là fuori che sono il frutto a portata di mano, che i loro sistemi hanno una sicurezza scadente e hanno davvero bisogno di migliorarla.
Non credo che il loro messaggio politico porterà davvero alcun cambiamento nel mondo. Penso che l’unico cambiamento che creano sia quello di attribuirsi una priorità più alta per le forze dell’ordine. È un po’ il motivo per cui l’FBI era così incazzato con me. Quando ero un fuggitivo, vivevo a Denver e avevo scoperto cosa stava facendo l'informatore, l'ho scoperto tramite il mio sistema di allerta precoce (monitoraggio delle comunicazioni sui cellulari) che stavano andando e venendo a cercare Me. Ho ripulito il mio appartamento da qualsiasi attrezzatura informatica o qualsiasi cosa l'FBI avrebbe preso, ho comprato una grande scatola di ciambelle e con un pennarello ho scritto sopra "ciambelle dell'FBI" e l'ho messa nel frigorifero.
Hanno eseguito il mandato di perquisizione il giorno successivo ed erano furiosi perché non solo sapevo quando sarebbero arrivati ma avevo comprato loro delle ciambelle. È stata una cosa folle da fare... manca un po' di maturità, ma ho pensato che fosse divertente. E per questo motivo sono diventato un fuggitivo, e l'FBI stava arrestando le persone sbagliate che pensavano fossi me, e il New York Times le stava descrivendo come Keystone Kops. Quindi quando finalmente mi hanno preso, mi hanno martellato. Sono stati molto duri con me, e anche nel mio caso... sai, ho rubato il codice sorgente per trovare buchi di sicurezza e ho hackerato i telefoni Motorola e Nokia in modo da non poter essere rintracciato. E il governo ha sollecitato queste aziende a dire che le perdite subite a mie spese corrispondevano ai loro interi investimenti in ricerca e sviluppo utilizzati per i telefoni cellulari. Quindi è un po’ come un ragazzino che entra nel 7-11 e ruba una lattina di Coca-Cola e dice che la perdita causata da questo ragazzino alla Coca-Cola è l’intera formula.
E questa è una delle cose che ho messo in chiaro nel libro: ho causato delle perdite. Non so se fosse $ 10.000, $ 100.000 o $ 300.000. Ma so che è stato sbagliato e immorale da parte mia farlo e me ne dispiace, ma di certo non ho causato perdite di 300 milioni di dollari. In effetti, tutte le società nelle quali ho violato erano società quotate in borsa e, secondo la SEC, se una società pubblica subisce una perdita materiale deve essere segnalata agli azionisti. Nessuna delle aziende in cui ho violato ha riportato una perdita di un solo centesimo.
Sono diventato l’esempio perché il governo voleva inviare un messaggio ad altri aspiranti hacker che se fai questo tipo di cose e giochi con noi, questo è ciò che ti succederà. In reazione al mio libro, alcune persone dicono "Oh, non è dispiaciuto per quello che ha fatto, lo rifarebbe". Non mi dispiace per l'hacking, ma mi dispiace per qualsiasi danno che ho causato. C'è una distinzione tra questo.
DT: Allora come vedi l'evoluzione dell'hacking in questo momento? La tecnologia è molto più accessibile che mai e sempre più consumatori sono in grado di superare questi limiti.
KM: L'hacking continuerà a essere un problema e gli aggressori ora prendono di mira i telefoni cellulari. Prima era il tuo personal computer, ora è il tuo dispositivo mobile, il tuo Android, il tuo iPhone. Le persone conservano lì informazioni sensibili, dettagli del conto bancario, foto personali. L'hacking va sicuramente nella direzione dei telefoni.
Il malware sta diventando sempre più sofisticato. Le persone stanno hackerando le autorità di certificazione, quindi hai un protocollo chiamato SSL per gli acquisti online o le transazioni bancarie. E l'intero protocollo si basa sulla fiducia e su queste autorità di certificazione, e gli hacker stanno compromettendo queste autorità di certificazione ed emettono essi stessi i propri certificati. Quindi possono fingere di essere Bank of America, fingere di essere PayPal. È tutto più sofisticato, più complesso e più importante per le aziende essere consapevoli del problema e cercare di mitigare la possibilità di essere compromesse.
DT: Che consiglio daresti agli hacker oggi?
KM: Ai miei tempi non era disponibile, ma ora le persone possono imparare a conoscere l'hacking in modo etico. Ci sono corsi, molti libri, il costo per allestire il proprio laboratorio informatico è molto economico e ci sono anche siti web là fuori su Internet che sono impostati per consentire alle persone di tentare di hackerare per aumentare le proprie conoscenze e competenze – quelli chiamati Hacme Banca. Le persone possono apprenderlo eticamente ora senza mettersi nei guai o danneggiare qualcun altro.
DT: Pensi che questo incoraggi le persone ad abusare di queste abilità?
KM: Probabilmente lo faranno indipendentemente dal fatto che abbiano o meno l'aiuto. È uno strumento, l’hacking è uno strumento, quindi puoi prendere un martello e costruire una casa o puoi colpirlo in testa a qualcuno. Ciò che conta oggi è l’etica. Il discorso etico di Kevin Mitnick era: va bene scrivere programmi per rubare password alle scuole superiori. Quindi è importante coinvolgere le persone e i bambini in questo perché è un campo interessante, ma avere anche una formazione etica alle spalle in modo che lo utilizzino in modo positivo.
DT: Puoi parlarci un po' del confronto tra Mac? Dibattito sulla sicurezza delle finestre?
KM: I Mac sono meno sicuri ma sono meno presi di mira. Windows detiene la quota di mercato maggiore, quindi è più mirato. Ora Apple sta ovviamente aumentando la propria sicurezza, ed è il motivo per cui non si sente parlare di molti Mac attaccato è che gli autori di malware non scrivono codice dannoso per i Mac perché semplicemente non erano popolari Abbastanza. Quando scrivi codice dannoso vuoi attaccare molte persone e tradizionalmente ci sono molte più persone che utilizzano Windows.
Man mano che la quota di mercato dei Mac aumenta, inizieremo naturalmente a vederli maggiormente presi di mira.
DT: Qual è il sistema operativo più sicuro?
KM: sistema operativo Google Chrome. Tu sai perché? Perché non puoi farci niente. Puoi accedere ai servizi Google ma non c'è nulla da attaccare. Ma non è una soluzione praticabile per le persone. Consiglierei di utilizzare un Mac, non solo per motivi di sicurezza, ma ho meno problemi con Mac OS rispetto a Windows.
DT: Quale nuova tecnologia trovi più affascinante in questo momento?
KM: Ricordo quando avevo nove anni e stavo guidando per Los Angeles con mio padre che guardava il rombo spogliarsi sull'autostrada pensando che un giorno realizzeranno una tecnologia in cui non dovrai nemmeno guidare auto. Ci sarà una sorta di soluzione elettronica in cui le auto si guideranno da sole e difficilmente ci saranno incidenti. E tre, quattro decenni dopo, Google sta testando questo tipo di tecnologia. Auto senza pilota. Penso che sia roba tipo George Jetson.
