Tegenwoordig is Kevin Mitnick een beveiligingsexpert die de bedrijven van zijn klanten infiltreert om hun zwakke punten bloot te leggen. Hij is ook de auteur van verschillende boeken, waaronder Spook in de draden. Maar hij is vooral bekend als de hacker die jarenlang de FBI wist te ontwijken en uiteindelijk vanwege zijn gedrag gevangen werd gezet. We hadden de kans om met hem te praten over zijn tijd in eenzame opsluiting, het hacken van McDonald’s, en wat hij over Anonymous denkt.
Digitale trends: wanneer raakte u voor het eerst geïnteresseerd in hacken?
Aanbevolen video's
Kevin Mitnick: Wat mij eigenlijk begon met hacken, was deze hobby die ik had: telefoneren. Toen ik op de middelbare school zat, was ik gefascineerd door magie, en ik ontmoette een andere leerling die magie kon doen met een telefoon. Hij kon al deze trucjes doen: ik kon bellen op een nummer dat hij me vertelde en hij zou een ander nummer bellen, en we zouden samen worden samengevoegd, en dit wordt een loop-around genoemd. Het was een testcircuit van een telefoonbedrijf. Hij liet me zien dat hij een geheim nummer bij de telefoonmaatschappij had, hij kon een nummer bellen, en het gaf een rare toon, en vervolgens een vijfcijferige code invoeren, en hij kon overal gratis bellen.
Hij had geheime nummers bij het telefoonbedrijf waar hij naar toe kon bellen en hij hoefde zich niet te identificeren, wat dan ook Wat er zou gebeuren, is dat als hij een telefoonnummer had, hij de naam en het adres van dat nummer zou kunnen vinden, ook al was dat zo ongepubliceerd. Hij zou de doorschakeling van oproepen kunnen doorbreken. Hij kon toveren met de telefoon, en ik raakte echt gefascineerd door het telefoonbedrijf. En ik was een grappenmaker. Ik hield van grappen. Mijn voet tussen de deur bij het hacken was het uithalen van grappen met vrienden.
Een van mijn eerste streken was dat ik de huistelefoon van mijn vrienden zou veranderen in een telefooncel. Dus telkens wanneer hij of zijn ouders probeerden te bellen, stond er ‘stort alstublieft een kwartje’.
Dus mijn intrede in het hacken was mijn fascinatie voor het telefoonbedrijf en het willen uithalen van grappen.
DT: Waar heb je de technische kennis vandaan gehaald om deze dingen voor elkaar te krijgen?
km: Ik was zelf geïnteresseerd in technologie, en hij wilde me niet echt vertellen hoe hij de dingen deed. Soms hoorde ik wat hij deed, en ik wist dat hij social engineering gebruikte, maar hij zei zoiets de goochelaar die de trucjes deed, maar me niet wilde vertellen hoe ze werden gedaan, dus ik zou het moeten uitzoeken mezelf.
Voordat ik deze man ontmoette, was ik al amateurradio-operator. Ik slaagde voor mijn HAM-radiotest toen ik 13 was, en ik hield me al bezig met elektronica en radio, dus ik had die technische achtergrond.
Dit was in de jaren zeventig en ik kon geen CB-rijbewijs krijgen omdat je 18 jaar oud moest zijn, en ik 11 of 12. Dus ik ontmoette deze buschauffeur toen ik op een dag met de bus reed, en deze chauffeur liet me kennismaken met HAM-radio. Hij liet me zien hoe hij kon bellen met zijn draagbare radio, wat ik supercool vond omdat het vóór de mobiele telefoon was telefoons en ik dacht: "Wauw, dit is zo cool, ik moet er meer over leren." Ik pakte een paar boeken, volgde een aantal cursussen en slaagde op 13-jarige leeftijd voor het examen examen.
Toen leerde ik over telefoons. Daarna stelde een andere leerling op de middelbare school mij voor aan de computerinstructeur om computerles te volgen. Eerst liet de instructeur me niet binnen omdat ik niet aan de voorwaarden voldeed, en toen liet ik het hem zien alle trucjes die ik met de telefoon kon doen, en hij was diep onder de indruk en liet me binnen klas.
DT: Heb je een favoriete hack, of eentje waar je bijzonder trots op was?
km: De hack waar ik het meest aan gehecht ben, was het hacken van McDonald's. Wat ik bedacht heb – je weet nog dat ik mijn HAM-radiolicentie had – ik kon de oprijramen overnemen. Ik zou aan de overkant van de straat gaan zitten en ze overnemen. Je kunt je voorstellen hoe leuk je op 16-, 17-jarige leeftijd kunt zijn. Dus de persoon bij McDonald's kon alles horen wat er gebeurde, maar ze konden mij niet overmeesteren, ik zou hen overweldigen.
Klanten kwamen aanrijden en ik nam hun bestelling op en zei: "Oké, je bent vandaag de 50e klant, je bestelling is gratis, rijd alsjeblieft door." Of er kwam politie langs en soms zei ik: "Het spijt me meneer, we hebben vandaag geen donuts voor u, en voor politieagenten serveren we alleen Dunkin Donuts." Dat, of ik zou zeggen: 'Verberg de cocaïne! Verberg de cocaïne!”
Het kwam op het punt waarop de manager de parkeerplaats opkwam, naar de parkeerplaats keek, in de auto's keek, en er was natuurlijk niemand in de buurt. Dus hij ging naar de drive-up-luidspreker en keek naar binnen alsof er een man in verborgen zat, en dan zei ik: "Waar kijk je in vredesnaam naar!"
DT: Wil je iets vertellen over het verschil tussen je via social engineering een weg banen naar een netwerk en het daadwerkelijk hacken ervan?
km: De waarheid is dat de meeste hacks hybride zijn. Je zou in een netwerk kunnen komen via netwerkexploitatie – je weet wel, door een puur technische manier te vinden. Je zou dit kunnen doen door mensen te manipuleren die toegang hebben tot computers, door informatie vrij te geven of door een “actie-item” uit te voeren, zoals het openen van een PDF-bestand. Of u kunt fysieke toegang krijgen tot waar hun computers of servers zich bevinden en dit op deze manier doen. Maar het is niet echt het een of het ander, het is echt gebaseerd op het doelwit en de situatie, en dat is waar de hacker beslist welke vaardigheid hij moet gebruiken, welke weg hij gaat gebruiken om het systeem te doorbreken.
Tegenwoordig vormt social engineering een substantiële bedreiging omdat RSA [Security] en Google zijn gehackt, en dit gebeurde via een techniek die spear phishing wordt genoemd. Met de RSA-aanvallen, die substantieel waren omdat de aanvallers de symbolische zaden stalen defensie-aannemers gebruikt voor authenticatie, hebben de hackers een Excel-document met een Flash-boobytrap gehackt voorwerp. Ze vonden een doelwit binnen RSA dat toegang zou hebben tot de informatie die ze wilden, en stuurden dit boobytrapdocument naar het slachtoffer, en toen ze het Excel-document openden (dat waarschijnlijk was verzonden vanuit wat leek op een legitieme bron, een klant, zakenpartner). maakte op onzichtbare wijze misbruik van een kwetsbaarheid binnen Adobe Flash en de hacker kreeg vervolgens toegang tot het werkstation van deze medewerker en de interne netwerk.
Spearphishing maakt gebruik van twee componenten: sociale netwerken om de persoon ertoe te brengen het Excel-document te openen, en de tweede een deel is de technische exploitatie van een bug of beveiligingsfout in Adobe waardoor de aanvaller volledige controle kreeg over het computer. En zo werkt het ook in de echte wereld. Je belt niet zomaar iemand op en vraagt om een wachtwoord; aanvallen zijn meestal hybride en combineren technische en social engineering.
In Spook in de draden, beschrijf ik hoe ik beide technieken gebruikte.
DT: Een deel van de reden dat je schreef Spook in de draden was om enkele verzinsels over jezelf aan te pakken.
km: Oh ja, er zijn drie boeken over mij geschreven, er was een film genaamd Neerhalen waarvoor ik uiteindelijk een rechtszaak buiten de rechtbank heb beslecht, en ze stemden in met scriptwijzigingen en het werd nooit in de bioscoop uitgebracht in de Verenigde Staten. Ik had een verslaggever van de New York Times die een verhaal schreef dat ik in 1983 in NORAD had gehackt en bijna begon WO III of iets belachelijks als dit – vermeldde het als een feit, en dat was volledig ongefundeerd bewering.
Er zijn veel dingen in de publieke belangstelling die gewoonweg niet waar waren, en veel dingen die mensen echt niet wisten. En ik vond het belangrijk dat mijn boek echt mijn verhaal zou vertellen en de feiten recht zou zetten. Ik dacht ook dat mijn verhaal zo was Vang me als je kuntIk had een twintig jaar lang kat-en-muisspel met de FBI. En het was niet mijn bedoeling om geld te verdienen. Toen ik op de vlucht was, werkte ik zelfs negen tot vijf banen om in mijn levensonderhoud te voorzien en was ik 's nachts aan het hacken. Ik had de vaardigheden dat ik, als ik dat wilde, creditcardgegevens en bankrekeninggegevens had kunnen stelen, maar mijn morele kompas liet me dat niet toe. En mijn voornaamste reden om te hacken was eigenlijk de uitdaging: zoals het beklimmen van de Mount Everest. Maar de voornaamste reden was mijn zoektocht naar kennis. Als kind dat geïnteresseerd was in magie en HAM-radio, vond ik het heerlijk om dingen uit elkaar te halen en uit te zoeken hoe ze werkten. In mijn tijd waren er geen mogelijkheden om ethisch hacken te leren, het was een andere wereld.
Zelfs toen ik op de middelbare school zat, voelde ik me aangemoedigd om te hacken. Een van mijn eerste opdrachten was het schrijven van een programma om de eerste 100 Gnocchi-getallen te vinden. In plaats daarvan schreef ik een programma dat de wachtwoorden van mensen kon vastleggen. En ik heb hier zo hard aan gewerkt omdat ik het cool en leuk vond, dus ik had geen tijd om het daadwerkelijke te doen opdracht en heb deze in plaats daarvan ingeleverd – en ik kreeg een A en veel ‘Atta-jongens’. Ik ben in een andere begonnen wereld.
DT: En je werd zelfs in eenzame opsluiting beland terwijl je in de gevangenis zat, vanwege dingen waarvan mensen dachten dat je ze kon doen.
km: O ja, ja. Jaren geleden, halverwege de jaren tachtig, hackte ik een bedrijf genaamd Digital Equipment Corporation, en waar ik in geïnteresseerd was, was mijn langetermijndoel om de best mogelijke hacker te worden. Ik had geen ander doel dan in het systeem te komen. Wat ik deed was dat ik een betreurenswaardige beslissing nam en besloot achter de broncode aan te gaan, wat zoiets is als het geheime recept van Orange Julius voor het VMS-besturingssysteem, een zeer populair besturingssysteem in de VS dag.
Dus ik nam eigenlijk een kopie van de broncode en een vriend van mij informeerde over mij. Toen ik voor de rechtbank belandde nadat de FBI mij had gearresteerd, had een federale aanklager tegen een rechter gezegd dat we de heer Mitnick niet alleen moesten vasthouden als een bedreiging voor de nationale veiligheid, maar dat we ook moet ervoor zorgen dat hij niet in de buurt van een telefoon kan komen, omdat hij eenvoudigweg een telefooncel kan oppakken, verbinding kan maken met een modem bij NORAD, de lanceercode kan fluiten en mogelijk een kernwapen kan starten. oorlog. En toen de aanklager dit zei, begon ik te lachen omdat ik nog nooit van mijn leven van zoiets belachelijks had gehoord. Maar de rechter kocht, ongelooflijk genoeg, haaklijn en zinklood, en uiteindelijk werd ik bijna een jaar lang in eenzame opsluiting vastgehouden in een federaal detentiecentrum. Je kunt met niemand omgaan, je zit opgesloten in een kleine kamer, waarschijnlijk zo groot als je badkamer, en je zit daar gewoon in een betonnen kist. Het was een soort psychologische marteling, en ik denk dat de maximale tijd die iemand in eenzame opsluiting mag doorbrengen ongeveer 19 dagen is, en ze hielden mij daar een jaar lang vast. En het was gebaseerd op het belachelijke idee dat ik de lanceercodes kon fluiten.
DT: En hoe lang daarna mocht je geen basiselektronica gebruiken, of in ieder geval elektronica die communicatie mogelijk maakte?
km: Nou, wat er gebeurde, is dat ik een paar keer in de problemen kwam nadat ik werd vrijgelaten. Een paar jaar later stuurde de FBI een informant die een echte en crimineel georiënteerde hacker was – dat wil zeggen iemand die creditcardgegevens steelt om geld te stelen – om mij in de val te lokken. En ik besefte al snel wat de informant aan het doen was, dus begon ik contraspionage tegen de FBI te doen en begon opnieuw te hacken. Dit verhaal staat centraal in het boek: hoe ik de operatie van de FBI tegen mij verbrak en de agenten ontdekte die tegen mij werkten en hun mobiele telefoonnummers. Ik nam hun nummers en programmeerde ze in een apparaat dat ik had als waarschuwingssysteem. Als ze in de buurt van mijn fysieke locatie zouden komen, zou ik het weten. Uiteindelijk, nadat deze zaak in 1999 voorbij was, had ik zeer strenge voorwaarden. Ik mocht niets aanraken waar een transistor in zat zonder toestemming van de overheid. Ze behandelden me alsof ik een MacGyver was, gaven Kevin Mitnick een batterij van negen volt en ducttape en hij is een gevaar voor de samenleving.
Ik kon geen faxapparaat, mobiele telefoon, computer of alles wat maar iets met communicatie te maken had gebruiken. En uiteindelijk, na twee jaar, versoepelden ze die voorwaarden omdat ik de opdracht kreeg een boek te schrijven genaamd De kunst van het bedrog, en ze gaven me in het geheim toestemming om een laptop te gebruiken, zolang ik het de media niet vertelde en geen verbinding met internet maakte.
DT: Ik neem aan dat dit niet alleen ongelooflijk lastig was, maar ook persoonlijk moeilijk.
km: Ja, want stel je voor… ik werd in 1995 gearresteerd en in 2000 vrijgelaten. En in die vijf jaar maakte het internet een dramatische verandering door, dus in die tijd was het alsof ik Rip Van Wrinkle was. Ik ging slapen en werd wakker en de wereld is veranderd. Het was dus nogal moeilijk om verboden te worden technologie aan te raken. En de regering wilde het mij, geloof ik, gewoon extreem moeilijk maken, of ze geloofden feitelijk dat ik een bedreiging voor de nationale veiligheid vormde. Ik weet echt niet welke het is, maar ik ben er doorheen gekomen. Tegenwoordig kan ik al deze achtergrondinformatie en mijn hackcarrière meenemen en nu word ik ervoor betaald. Bedrijven huren mij van over de hele wereld in om in te breken in hun systemen, om hun kwetsbaarheden te vinden, zodat ze deze kunnen repareren voordat de echte slechteriken binnenkomen. Ik reis de wereld rond om te praten over computerbeveiliging en om het bewustzijn hierover te vergroten, dus ik heb enorm veel geluk dat ik dit vandaag mag doen.
Ik denk dat mensen op de hoogte zijn van mijn zaak en dat ik de wet heb overtreden, maar dat ik er niet op uit was om het voor geld te doen of iemand kwaad te doen. Ik had gewoon de vaardigheden. Ik had niets te verliezen, ik was op de vlucht voor de FBI, ik had geld kunnen aannemen, maar het was tegen mijn morele kompas. Ik heb spijt van de acties die anderen schade hebben berokkend, maar ik heb niet echt spijt van het hacken, want voor mij was dat net een videogame.
DT: Hacking is dit jaar een trending topic dankzij hactivisten als Anonymous. Het is een extreem polariserende groep. Wat is jouw mening over hen?
km: Ik denk dat het belangrijkste wat Anonymous doet het vergroten van het veiligheidsbewustzijn is, zij het op een negatieve manier. Maar ze illustreren zeker dat er veel bedrijven zijn die het laaghangende fruit zijn, dat hun systemen een slechte beveiliging hebben en dat ze deze echt moeten verbeteren.
Ik geloof niet dat hun politieke boodschap echt enige verandering in de wereld zal teweegbrengen. Ik denk dat de enige verandering die ze teweegbrengen, is dat ze zichzelf een hogere prioriteit geven bij de wetshandhaving. Het lijkt een beetje op waarom de FBI zo boos op mij was. Toen ik een voortvluchtige was, in Denver woonde en erachter kwam wat de informant aan het doen was, ontdekte ik via mijn systeem voor vroegtijdige waarschuwing (monitoring van hun mobiele telefooncommunicatie) dat ze kwamen en gingen zoeken mij. Ik ontdeed mijn appartement van alle computerapparatuur en alles wat de FBI zou meenemen, kocht een grote doos donuts en schreef er met een Sharpie 'FBI-donuts' op en stopte die in de koelkast.
Ze voerden het huiszoekingsbevel de volgende dag uit en waren woedend omdat ik niet alleen wist wanneer ze zouden komen, maar ook omdat ik donuts voor ze had gekocht. Het was gek om te doen… het mist enige volwassenheid, maar ik vond het hilarisch. En hierdoor werd ik voortvluchtig, en de FBI arresteerde de verkeerde mensen waarvan zij dachten dat ik het was, en de New York Times maakte hen af als Keystone Kops. Dus toen ze me eindelijk te pakken kregen, sloegen ze me. Ze kwamen heel hard op mij af, en zelfs in mijn geval… weet je, ik heb de broncode gestolen om beveiligingslekken te vinden en ik heb handsets van Motorola en Nokia gehackt zodat ik niet gevolgd kon worden. En de overheid vroeg deze bedrijven om te zeggen dat de verliezen die ze op mijn kosten leden hun volledige R&D-investeringen waren die ze voor mobiele telefoons gebruikten. Het is dus net zoiets als een kind dat een 7-11 binnengaat, een blikje Coca-Cola steelt en zegt dat het verlies dat dit kind aan Cola veroorzaakte de hele formule was.
En dat is een van de dingen die ik in het boek heb uiteengezet: ik heb inderdaad verliezen veroorzaakt. Ik weet niet of het $10.000, $100.000 of $300.000 was. Maar ik weet dat het verkeerd en onethisch van mij was om te doen en het spijt me, maar ik heb zeker geen verlies van $ 300 miljoen veroorzaakt. In feite waren alle bedrijven die ik hackte beursgenoteerde bedrijven, en volgens de SEC moet een beursgenoteerd bedrijf dat een materieel verlies lijdt, dit aan de aandeelhouders melden. Geen van de bedrijven die ik heb gehackt, rapporteerde ook maar een cent verlies.
Ik werd het voorbeeld omdat de overheid andere potentiële hackers een boodschap wilde sturen dat als je dit soort dingen doet en spelletjes met ons speelt, dit met jou gaat gebeuren. Als reactie op mijn boek zeggen sommige mensen: ‘Oh, hij heeft geen spijt van wat hij heeft gedaan, hij zou het zo weer doen’. Ik heb geen spijt van het hacken, maar wel van de schade die ik heb veroorzaakt. Daar is een onderscheid tussen.
DT: Hoe zie jij het hacken op dit moment evolueren? Technologie is veel toegankelijker dan ooit en steeds meer consumenten zijn in staat deze grenzen te verleggen.
km: Hacken blijft een probleem en aanvallers gaan nu achter mobiele telefoons aan. Voordat het uw pc was, en nu is het uw mobiele apparaat, uw Android, uw iPhone. Mensen bewaren daar gevoelige informatie, bankrekeninggegevens, persoonlijke foto's. Hacken gaat zeker in de richting van telefoons.
Malware wordt steeds geavanceerder. Mensen hacken certificaatautoriteiten, dus je hebt een protocol genaamd SSL voor online winkelen of banktransacties. En dit hele protocol is gebaseerd op vertrouwen en deze certificeringsinstanties, en hackers brengen deze certificeringsinstanties in gevaar en geven zichzelf hun eigen certificaten uit. Ze kunnen zich dus voordoen als Bank of America, en zich voordoen als PayPal. Het is allemaal geavanceerder, complexer en belangrijker voor bedrijven om zich bewust te zijn van het probleem en de kans te verkleinen dat ze in gevaar komen.
DT: Welk advies zou je hackers vandaag de dag geven?
km: Het was in mijn tijd niet beschikbaar, maar nu kunnen mensen op een ethische manier leren over hacken. Er zijn cursussen, veel boeken, de kosten voor het opzetten van je eigen computerlaboratorium zijn erg goedkoop, en er zijn zelfs websites die er op internet zijn en die zijn opgezet om mensen in staat te stellen te hacken om hun kennis en vaardigheden te vergroten – de zogenaamde Hacme Bank. Mensen kunnen er nu op ethische wijze over leren zonder zichzelf in de problemen te brengen of iemand anders schade te berokkenen.
DT: Denk je dat dit mensen ertoe aanzet deze vaardigheden te misbruiken?
km: Ze gaan het waarschijnlijk doen, ongeacht of ze de hulp hebben of niet. Het is een stuk gereedschap, hacken is een stuk gereedschap, dus je kunt een hamer nemen en een huis bouwen of je kunt er iemand mee op zijn hoofd slaan. Wat vandaag de dag belangrijk is, is ethiek. De ethische toespraak voor Kevin Mitnick luidde: Het is oké om op de middelbare school programma's te schrijven om wachtwoorden te stelen. Het is dus belangrijk om mensen en kinderen hierin te interesseren, omdat het een interessant vakgebied is, maar ook om de ethische training erachter te krijgen, zodat ze het op een goede manier kunnen gebruiken.
DT: Kun je iets vertellen over de Mac vs. Debat over raambeveiliging?
km: Macs zijn minder veilig, maar ze zijn minder doelgericht. Windows heeft het meeste marktaandeel, dus ze zijn doelgerichter. Nu is Apple duidelijk bezig met het opvoeren van hun beveiliging, en de reden waarom je daar bij veel Macs niet over hoort is dat aangevallen is dat schrijvers van malware geen kwaadaardige code voor de Macs schrijven omdat ze gewoon niet populair waren genoeg. Wanneer je kwaadaardige code schrijft, wil je veel mensen aanvallen en traditioneel zijn er veel meer mensen die Windows gebruiken.
Naarmate het marktaandeel van de Mac stijgt, zullen we ze uiteraard meer gericht gaan zien.
DT: Welk besturingssysteem is het veiligst?
km: Google Chrome OS. Je weet waarom? Omdat je er niets mee kunt doen. U heeft toegang tot Google-services, maar er valt niets aan te vallen. Maar het is geen haalbare oplossing voor mensen. Ik raad je aan een Mac te gebruiken, niet alleen vanwege de veiligheid, maar ik heb ook minder problemen met Mac OS dan met Windows.
DT: Welke nieuwe technologie vind je op dit moment het meest fascinerend?
km: Ik herinner me dat ik negen jaar oud was en met mijn vader door L.A. reed en naar het gerommel keek Rijd over de snelweg en denk dat ze op een dag technologie gaan maken waar je niet eens voor hoeft te rijden auto. Er komt een soort elektronische oplossing waarbij de auto’s zelf gaan rijden en er nauwelijks ongelukken zullen gebeuren. En drie, vier decennia later test Google dit soort technologie. Auto's zonder bestuurder. Ik denk dat dat dingen van het George Jetson-type zijn.