現在、ケビン・ミトニックは、クライアントの企業に潜入して弱点を明らかにするセキュリティ専門家です。 彼はいくつかの本の著者でもあります。 ゴースト・イン・ザ・ワイヤーズ. しかし、彼は何年もFBIの捜査を逃れ、最終的にはそのやり方のために投獄されたハッカーとして最もよく知られています。 私たちは彼に、独房に入れられていた頃のこと、マクドナルドをハッキングしたこと、そしてアノニマスについてどう思っているかについて話す機会がありました。
デジタル トレンド: ハッキングに初めて興味を持ったのはいつですか?
おすすめ動画
ケビン・ミトニック: 実は私がハッキングを始めたきっかけは、電話フリークをするという趣味でした。 中学生の頃、私はマジックに夢中になっていました。そして、電話を使ってマジックができる生徒に出会いました。 彼はこれらすべてのトリックを実行できました。彼が教えてくれた番号に私が電話すると、彼は別の番号に電話をかけ、私たちは合流することができました。これはループアラウンドと呼ばれます。 それは電話会社のテスト回路でした。 彼は、電話会社の秘密の番号を持っていることを私に示しました。その番号にダイヤルすると、奇妙なトーンが鳴り、5 桁のコードを入力すると、どこにでも無料で電話をかけることができました。
彼は電話会社に秘密の番号を持っていて、そこから電話をかけることができ、自分を明らかにする必要はありませんでした。 もし彼が電話番号を持っていれば、たとえそれが電話番号であったとしても、その番号の名前と住所を見つけることができるでしょう。 未公開。 彼は電話転送を突破することができました。 彼は電話で魔法を使うことができたので、私はこの電話会社に本当に魅了されました。 そして私はいたずらっ子でした。 いたずらが大好きでした。 私がハッキングに足を踏み入れたのは、友人にいたずらをすることでした。
私の最初のいたずらの 1 つは、友達の家の電話を公衆電話に変えることでした。 そのため、彼や彼の両親が電話をかけようとするたびに、「4分の1を預けてください」と言われました。
つまり、私がハッキングに興味を持ったのは、電話会社に魅了され、いたずらをしたかったことがきっかけでした。
DT: これらのことをやり始めるための技術的な知識はどこで得たのですか?
KM: 私自身テクノロジーに興味があったのですが、彼は実際にどのように物事を行ったかについては教えてくれませんでした。 時々私は彼がやっていることを小耳に挟むことがあり、彼がソーシャルエンジニアリングを使っていることは知っていましたが、彼は次のような感じでした。 マジシャンはトリックをやったけど、どうやってやったのか教えてくれなかったので、私がそれを解決しなければならなかった 自分自身。
この男に出会う前、私はすでにアマチュア無線家でした。 私は 13 歳のときに HAM 無線の試験に合格し、すでに電子機器とラジオに興味があったので、その技術的な背景がありました。
これは70年代のことで、18歳でなければCBライセンスを取得できませんでしたが、私は11歳か12歳でした。 それで、ある日バスに乗っているときにこのバスの運転手さんに出会い、その運転手さんが私にハムラジオを紹介してくれました。 彼は携帯ラジオを使って電話をかける方法を教えてくれました。携帯電話が登場する前だったので、これはとてもクールだと思いました。 「すごいですね、これは勉強しなければ」と思いました。 私は何冊かの本を手に取り、いくつかのコースを受講し、13歳で試験に合格しました。 テスト。
それから電話について学びました。 その後、別の高校生の紹介でパソコン講師を紹介され、パソコンの授業を受けることになりました。 最初は、前提条件を満たしていないため、インストラクターは私を入れてくれませんでしたが、その後、私が彼に見せました 私が電話でできるすべてのトリックを実行したところ、彼は完全に感銘を受け、私を電話に入れてくれました。 クラス。
DT: お気に入りのハック、または特に誇りに思っているハックはありますか?
KM:私が最も思い入れのあるハッキングはマクドナルドのハッキングでした。 私が考え出したことは、私が HAM 無線免許を持っていたことを覚えているでしょうが、車の窓を乗っ取ることができるということでした。 私は通りの向かい側に座って彼らを引き取りました。 16、17歳なら、どんな楽しいことができるか想像できるでしょう。 つまり、マクドナルドの人は何が起こっているのかをすべて聞くことができましたが、彼らは私を圧倒することはできませんでした、私は彼らを圧倒するでしょう。
顧客が車でやって来ると、私は注文を取り、「はい、あなたは今日 50 人目のお客様です。ご注文は無料です、車で前に進んでください。」と言いました。 さもなければ警察が来るだろう 「ごめんなさい、今日はドーナツがありません。警察官にはダンキンドーナツしか提供しません。」と時々私は言いました。 そうするか、私はこう言います。 コカイン! コカインを隠してください!」
マネージャーが駐車場に出てきて、敷地内を見て、車の中を見て回ったのですが、当然、周りには誰もいませんでした。 そこで彼はドライブアップスピーカーに近づき、中に男が隠れているかのように実際に中を覗いたので、私は「一体何を見てるんだ!」と言いました。
DT: ソーシャル エンジニアリングでネットワークに侵入することと、実際にネットワークに侵入することの違いについて少し話してもらえますか?
KM:実のところ、ほとんどのハッキングはハイブリッドです。 純粋に技術的な方法を見つけることで、ネットワークを悪用してネットワークに侵入することができます。 コンピュータにアクセスできる人を操作して、情報を公開したり、PDF ファイルを開くなどの「アクション アイテム」を実行したりすることで、これを行うことができます。 あるいは、この方法で相手のコンピュータやサーバーが置かれている場所に物理的にアクセスすることもできます。 しかし、それは実際にはどちらか一方ではなく、実際にはターゲットと状況に基づいており、ハッカーはそこでどのスキルを使用するか、システムを突破するためにどの手段を使用するかを決定します。
RSA [セキュリティ] と Google がスピア フィッシングと呼ばれる手法によってハッキングされたため、今日ではソーシャル エンジニアリングが大きな脅威となっています。 RSA 攻撃では、攻撃者がトークン シードを盗んだため、重大な攻撃となりました。 防衛請負業者が認証に使用され、ハッカーは Excel ドキュメントを Flash でブービートラップした 物体。 彼らは、必要な情報にアクセスできるターゲットを RSA 内で見つけ、この仕掛けられた文書を被害者に送信しました。 Excel ドキュメント (おそらく正規の情報源、顧客、ビジネス パートナーのように見えるものから送信されたもの) を開いたとき、 Adobe Flash 内の脆弱性を目に見えずに悪用し、ハッカーはこの従業員のワークステーションと RSA の内部ネットワークにアクセスしました。 通信網。
スピア フィッシングでは 2 つのコンポーネントが使用されます。ソーシャル ネットワーキングはユーザーに Excel ドキュメントを開かせるためのもので、もう 1 つはソーシャル ネットワーキングです。 一部は、Adobe のバグまたはセキュリティ上の欠陥を技術的に悪用し、攻撃者に完全な制御を与えます。 コンピューター。 そしてそれが現実の世界でどのように機能するかです。 電話で誰かに電話してパスワードを尋ねるだけではありません。 通常、攻撃はハイブリッド型であり、テクニカル エンジニアリングとソーシャル エンジニアリングを組み合わせたものです。
で ゴースト・イン・ザ・ワイヤーズ, 両方のテクニックをどのように使用したかについて説明します。
DT: あなたが書いた理由の一部は ゴースト・イン・ザ・ワイヤーズ それはあなた自身に関する捏造のいくつかに対処するためでした。
KM: そうそう、私について書かれた本が 3 冊あり、映画にも『 降ろす 結局、私は法廷外で和解し、彼らは脚本の変更に同意しましたが、米国では劇場公開されませんでした。 1983 年に私が NORAD にハッキングして危うく始めようとしていたという記事を書いたニューヨーク タイムズの記者がいました。 第三次世界大戦やこのようなばかばかしいもの - それを事実として述べましたが、これはまったく出典のないものでした 申し立て。
世間には、単純に真実ではないことがたくさんあり、人々が本当に知らなかったことがたくさんあります。 そして、私の本に私の物語を実際に伝え、基本的に記録を正すことが重要だと思いました。 私も私の話は次のようなものだと思いました キャッチ・ミー・イフ・ユー・キャン, 私はFBIと20年にわたりいたちごっこをしていました。 そして、私はお金を稼ぐために出かけたわけではありません。 実際、逃走中は9時から5時まで仕事をして生活を支え、夜はハッキングをしていました。 私にはその気になればクレジットカードの詳細や銀行口座の情報を盗むことができるスキルがありましたが、私の道徳的な羅針盤がそれを許しませんでした。 そして、私がハッキングをする主な理由は、まさに挑戦でした。それは、エベレストに登るようなものでした。 しかし、一番の理由は知識の追求でした。 子供の頃、魔法やアマチュア無線に興味があったので、物を分解して、それがどのように機能するかを調べるのが大好きでした。 私の時代にはハッキングを倫理的に学ぶ手段はなく、別世界でした。
高校生のときでさえ、ハッキングに励まされていると感じていました。 私の最初の課題の 1 つは、最初の 100 個のニョッキ番号を見つけるプログラムを書くことでした。 代わりに、人々のパスワードを取得できるプログラムを書きました。 クールで楽しいと思って一生懸命取り組んだので、実際にやる時間がありませんでした 代わりにこの課題を提出しました。そして私は A を獲得し、たくさんの「Atta Boys」を獲得しました。 違うところで始めたんですが 世界。
DT: そして、あなたが刑務所にいる間、人々があなたができると思っていたことのせいで、独房に入れられたこともありました。
KM:ああ、そうそう。 何年も前、80 年代半ば、私は Digital Equipment Corporation という会社にハッキングをしました。私が興味を持っていたのは、可能な限り最高のハッカーになるという長期的な目標でした。 私にはシステムに入る以外の目標はありませんでした。 私がしたことは、残念な決断を下し、ソースコードを追求することにしたということです。 VMS オペレーティング システム用の Orange Julius の秘密のレシピ。 日。
そこで私は基本的にソースコードのコピーを取り、友人から情報を得ました。 FBIが私を逮捕した後、私が法廷に出廷することになったとき、連邦検察官は判事に対し、ミトニック氏を国家安全保障上の脅威として拘留しなければならないだけでなく、我々も同様であると告げた。 電話に近づかないようにしなければなりません。公衆電話を手に取り、NORAD のモデムに接続し、発射コードを笛を鳴らし、核爆発を起こす可能性があるからです。 戦争。 そして検察官がこれを言ったとき、私は笑い始めました。なぜなら、これほどばかばかしいことは人生で聞いたことがなかったからです。 しかし、信じられないことに、裁判官はフックラインとシンカーを買ってしまい、私は結局、連邦拘置所で独房に1年近く拘留されることになりました。 誰とも付き合うことはできず、おそらくバスルームほどの大きさの小さな部屋に閉じ込められ、コンクリートの棺の中にただ座っているだけです。 それは一種の精神的拷問のようなもので、独房に入れられる最長の期間は19日間程度だと思いますが、私はそこに1年間監禁されました。 そしてそれは、私が発射コードを口笛で吹くことができるというばかげた考えに基づいていました。
DT: そしてそれからどれくらいの間、基本的な電子機器、少なくとも通信を可能にする電子機器の使用を許可されませんでした?
KM: さて、何が起こったのかというと、釈放された後、何度かトラブルに巻き込まれてしまいました。 数年後、FBIは私を陥れるために、本物の犯罪志向のハッカー、つまりクレジットカード情報を盗んでお金を盗む人物である情報提供者を送り込みました。 そして、情報提供者が何をしていたかすぐに気づいたので、FBI に対する対諜報活動を開始し、再びハッキングを始めました。 この本の中で特に焦点を当てているのは、私に対する FBI の作戦をどのように破り、私に敵対している捜査員とその携帯電話番号を見つけ出したかということです。 私は彼らの番号を取得し、早期警告システムとして持っていたデバイスにプログラムしました。 彼らが私の物理的な場所の近くに来たら、私はそれを知るでしょう。 結局、この訴訟が 1999 年に終わった後、私には非常に厳しい条件が課せられました。 政府の許可がなければ、トランジスタが入っているものには触れることができませんでした。 彼らは私をマクガイバーであるかのように扱い、ケビン・ミトニックに9ボルトの電池とダクトテープを与え、彼は社会にとって危険人物です。
ファックス、携帯電話、コンピューターなど、通信に関係するものはすべて使用できませんでした。 そして最終的に 2 年後、彼らはその条件を緩和しました。なぜなら、私が『 欺瞞の芸術、 そして、メディアに告げず、インターネットに接続しない限り、ラップトップを使用する許可を密かに与えてくれました。
DT: これは非常に不便なだけでなく、個人的にも困難だったと思います。
KM: そう、だって想像してみてください…私は 1995 年に逮捕され、2000 年に釈放されました。 そして、その 5 年間でインターネットは劇的な変化を経験したので、この頃は私がリップ ヴァン リンクルになったような気分でした。 寝て目が覚めると世界が変わっていました。 だから、テクノロジーに触れることを禁じられるのはちょっと大変でした。 そして政府は、ただ私に非常に厳しくしたかっただけか、実際に私が国家安全保障上の脅威であると信じていたのだと思います。 本当にどっちなのか分かりませんが、なんとか乗り切りました。 今、私はこれまでの経歴とハッキングのキャリアをすべて持ち帰ることができ、その対価としてお金をもらえるようになりました。 企業は世界中から私を雇って、自社のシステムに侵入して脆弱性を見つけ、真の悪者が侵入する前に修正できるようにしています。 私は世界中を旅してコンピューター セキュリティについて講演し、意識を高めています。そのため、今日このような活動ができることは非常に幸運です。
私の事件について人々は知っていると思いますし、私が法を犯したことは知っていますが、お金のためや誰かに危害を加えるためにそうしたわけではありません。 ただスキルを持っていたんです。 私には失うものは何もなかったし、FBI から逃走中だったし、金を奪うこともできたかもしれないが、それは私の倫理基準に反していた。 他人に危害を加えた行為は後悔していますが、ハッキングはビデオゲームのようなものだったため、あまり後悔していません。
DT: アノニマスのようなハクティビストのおかげで、ハッキングが今年のトレンドトピックになっています。 彼らは非常に二極化したグループですが、あなたは彼らについてどう思いますか?
KM: Anonymous が行っている一番のことは、たとえネガティブな方法であっても、セキュリティ意識を高めることだと思います。 しかし、これらは確かに、簡単に解決できる成果を上げている企業がたくさんあること、自社のシステムのセキュリティが不十分であり、それを本当に改善する必要があることを示しています。
彼らの政治的メッセージが本当に世界を変えるとは思えません。 彼らが生み出す唯一の変化は、法執行機関にとって彼ら自身の優先順位が高くなることだと思います。 それは、なぜFBIが私にそんなに腹を立てたかのようなものです。 私が逃亡者でデンバーに住んでいて、情報提供者が何をしているのかを把握したとき、私は自分の目を通して次のことを発見しました。 彼らが捜索に行ったり来たりしていることを知らせる早期警報システム(携帯電話の通信を監視) 自分。 私はアパートからコンピューター機器やFBIに持ち込まれる可能性のあるものをすべて片づけ、ドーナツの大きな箱を購入し、シャーピーで「FBIドーナツ」と書いて冷蔵庫に貼り付けました。
翌日彼らは捜索令状を執行したが、私が彼らがいつ来るか知っていただけでなく、彼らにドーナツを買ってあげたことに激怒した。 それはクレイジーなことだった…少し成熟度に欠けていたが、私は面白いと思った。 そのせいで私は逃亡者となり、FBIは私だと思っていた間違った人々を逮捕し、ニューヨーク・タイムズは彼らをキーストン警察のような人物だと仕立て上げました。 それで、彼らがついに私を捕まえたとき、彼らは私を殴りました。 彼らは私に対して非常に厳しく非難しました、そして私の場合でさえ…ご存知のように、私はセキュリティホールを見つけるためにソースコードを盗みましたし、私が追跡されないようにモトローラとノキアの携帯電話をハッキングしました。 そして政府はこれらの企業に対し、私の負担で被った損失は携帯電話に使用した研究開発投資の全額であると主張するよう求めた。 つまり、子供がセブンイレブンに行ってコカ・コーラの缶を盗んで、この子供がコーラにもたらした損失がすべての原因だと言うようなものです。
そして、それが私が本の中ではっきりと述べたことの 1 つです。「私は確かに損失を引き起こした」ということです。 10,000ドルだったのか、100,000ドルだったのか、300,000ドルだったのかはわかりません。 しかし、それが私にとって間違ったことで非倫理的だったことは分かっており、申し訳ありませんが、私は確かに 3 億ドルの損失を引き起こしたわけではありません。 実際、私がハッキングした企業はすべて上場企業であり、SEC によれば、上場企業が重大な損失を被った場合は株主に報告しなければならないとのことです。 私がハッキングした企業は、一銭の損失も報告していませんでした。
私が例となったのは、政府が他のハッカー志望者たちに、もしあなたがこの種のことをして私たちと一緒にゲームをプレイすれば、あなたたちにこんなことが起こるだろうというメッセージを送りたかったからです。 私の本に対する反応として、「ああ、彼は自分のしたことを後悔していない、また同じことをするだろう」と言う人もいます。私はハッキングについては申し訳ありませんが、私が引き起こした損害については申し訳ありません。 そこには違いがあります。
DT: それで、ハッキングは現在どのように進化していると思いますか? テクノロジーはこれまでよりもはるかにアクセスしやすくなり、これらの限界を押し広げることができる消費者がますます増えています。
KM: ハッキングは引き続き問題となり、攻撃者は現在携帯電話を狙っています。 以前はパーソナル コンピューターでしたが、今ではモバイル デバイス、Android、iPhone です。 人々はそこに銀行口座の詳細や個人の写真などの機密情報を保管しています。 ハッキングは確実に電話の方向に進んでいます。
マルウェアはますます洗練されています。 人々が認証局をハッキングしているため、オンライン ショッピングや銀行取引には SSL と呼ばれるプロトコルが使用されています。 そして、このプロトコル全体は信頼とこれらの認証局に基づいており、ハッカーはこれらの認証局を侵害し、独自の証明書を発行しています。 したがって、彼らはバンク・オブ・アメリカのふりをしたり、ペイパルのふりをしたりすることができます。 企業が問題を認識し、侵害される可能性を軽減するよう努めることは、すべてより洗練され、より複雑であり、より重要です。
DT: 今日、ハッカーたちに何かアドバイスがあるとしたら何ですか?
KM:私の時代にはそれは利用できませんでしたが、今では人々はハッキングについて倫理的に学ぶことができます。 コースがあり、たくさんの本があり、自分のコンピュータ研究室を設立する費用は非常に安く、さらにはウェブサイトもあります インターネット上には、人々が知識やスキルを向上させるためにハッキングを試みることができるように設定されている、Hacme と呼ばれるものがあります。 銀行。 人々は今、自分自身をトラブルに巻き込んだり、他の人を傷つけたりすることなく、倫理的にそれについて学ぶことができます。
DT: それは人々がこれらのスキルを悪用することを奨励すると思いますか?
KM:彼らは、助けがあろうがなかろうが、おそらくそれを行うでしょう。 それはツールであり、ハッキングはツールなので、ハンマーを持って家を建てることも、それで誰かの頭を殴ることもできます。 今、大切なのは倫理です。 ケビン・ミトニックの倫理講演は次のとおりでした。「高校でパスワードを盗むプログラムを書いても大丈夫です。」 したがって、これは興味深い分野であるため、人々や子供たちに興味を持ってもらうことが重要ですが、同時に、それを良い方法で使用できるようにその背後にある倫理トレーニングを受けることも重要です。
DT: Mac と Mac について少し話していただけますか。 窓のセキュリティに関する議論は?
KM: Mac は安全性は低くなりますが、標的となる可能性は低くなります。 Windows は最も多くの市場シェアを持っているため、よりターゲットが絞られています。 現在、Apple は明らかにセキュリティを強化しています。多くの Mac がセキュリティを強化しているという話を聞かない理由は、 攻撃されるのは、マルウェア作成者が Mac 用の悪意のあるコードを書いていないことです。Mac が人気がなかっただけです。 十分。 悪意のあるコードを作成するときは、多くの人を攻撃する必要があり、従来より多くの人が Windows を実行していました。
Mac の市場シェアが上昇するにつれて、当然のことながら、Mac がさらにターゲットにされるようになるでしょう。
DT: 最も安全な OS は何ですか?
KM:Google Chrome OS。 あなたが理由を知っている? それを使っては何もできないからです。 Google サービスにアクセスできますが、攻撃するものは何もありません。 しかし、それは人々にとって実行可能な解決策ではありません。 私が Mac の使用をお勧めするのは、セキュリティ上の理由からだけではなく、Windows よりも Mac OS を実行する方が問題が少ないからです。
DT: 今、最も魅力的だと思う新しいテクノロジーは何ですか?
KM:私が9歳のとき、父と一緒にロサンゼルスを車で走りながら、轟音を眺めていたときのことを覚えています。 高速道路でストリップして、いつか車を運転する必要すらなくなる技術が開発されるだろうと考えている 車。 ある種の電子ソリューションが導入され、車が自動で運転し、事故はほとんどなくなるでしょう。 そして 30 年、40 年後、Google はこの種のテクノロジーをテストしています。 無人自動車。 それはジョージ・ジェットソン的なものだと思います。
