I dag er Kevin Mitnick en sikkerhetsekspert som infiltrerer sine kunders selskaper for å avsløre svakhetene deres. Han er også forfatter av flere bøker, inkludert Ghost in the Wires. Men han er mest kjent som hackeren som unngikk FBI i årevis, og til slutt ble fengslet for sine måter. Vi hadde en sjanse til å snakke med ham om tiden hans i isolasjon, hacking av McDonald's og hva han synes om Anonymous.
Digitale trender: Når ble du først interessert i hacking?
Anbefalte videoer
Kevin Mitnick: Det som faktisk startet meg med å hacke var denne hobbyen jeg hadde samtale-telefon-phreaking. Da jeg var ungdomsskole på videregående var jeg fascinert av magi, og jeg møtte denne andre eleven som var i stand til å magi med en telefon. Han kunne gjøre alle disse triksene: Jeg kunne ringe inn på et nummer han fortalte meg og han ville ringe til et annet, og vi ble slått sammen, og dette kalles en loop-around. Det var et telefonselskaps testkrets. Han viste meg at han hadde dette hemmelige nummeret hos telefonselskapet, han kunne slå et nummer, og det ga en merkelig tone, og så la han inn en femsifret kode og han kunne ringe hvor som helst gratis.
Han hadde hemmelige numre i telefonselskapet hvor han kunne ringe og han trengte ikke å identifisere seg, hva Hvis han hadde et telefonnummer, kunne han finne navnet og adressen til det nummeret selv om det var det upublisert. Han kunne bryte gjennom viderekoblingen. Han kunne trylle med telefonen, og jeg ble veldig fascinert av telefonselskapet. Og jeg var en skøyer. Jeg elsket skøyerstreker. Foten min i døren til hacking var å dra skøyerstreker på venner.
En av mine første skøyerstreker var at jeg ville endre hjemmetelefonen til vennene mine til en betalingstelefon. Så hver gang han eller foreldrene forsøkte å ringe, sa det «vær så snill å sette inn et kvartal».
Så min inntreden i hacking var min fascinasjon for telefonselskapet og lysten til å pranke.
DT: Hvor fikk du den tekniske kunnskapen til å begynne med disse tingene?
KM: Jeg var selv interessert i teknologi, og han ville faktisk ikke fortelle meg hvordan han gjorde ting. Noen ganger overhørte jeg hva han gjorde, og jeg visste at han brukte sosial ingeniørkunst, men han var sånn magikeren som gjorde triksene, men som ikke ville fortelle meg hvordan de ble gjort, så jeg måtte finne ut av det meg selv.
Før jeg møtte denne fyren, var jeg allerede en amatørradiooperatør. Jeg besto HAM-radiotesten min da jeg var 13, og jeg var allerede i elektronikk og radio, så jeg hadde den tekniske bakgrunnen.
Dette var tilbake på 70-tallet, og jeg kunne ikke få CB-lisens fordi du måtte være 18 år gammel, og jeg var 11 eller 12. Så jeg møtte denne bussjåføren da jeg kjørte bussen en dag, og denne sjåføren introduserte meg for HAM-radio. Han viste meg hvordan han kunne ringe med den håndholdte radioen sin, noe jeg syntes var superkult fordi det var før celle telefoner og jeg tenkte "Wow, dette er så kult, jeg må lære om det." Jeg plukket opp noen bøker, tok noen kurs, og ved 13-tiden besto jeg eksamen.
Så lærte jeg om telefoner. Etter det introduserte en annen elev på videregående meg for datainstruktøren for å ta en datatime. Først ville ikke instruktøren slippe meg inn fordi jeg ikke oppfylte forutsetningene, og så viste jeg ham alle triksene jeg kunne gjøre med telefonen, og han ble grundig imponert og lot meg komme inn i klasse.
DT: Har du et favoritthack, eller et du var spesielt stolt av?
KM: Hacket jeg er mest knyttet til var hacking av McDonald's. Det jeg klarte - du husker jeg hadde HAM-radiolisensen min - kunne jeg ta over oppkjøringsvinduene. Jeg satte meg over gaten og tok dem over. Du kan tenke deg hvor gøy du kan ha det når du er 16, 17 år gammel. Så personen i McDonald's kunne høre alt som skjedde, men de kunne ikke overmanne meg, jeg ville overmanne dem.
Kunder kjørte opp og jeg tok bestillingen deres og sa "Ok, du er den 50. kunden i dag, bestillingen din er gratis, vennligst kjør videre." Ellers ville politiet komme opp og noen ganger sa jeg "Jeg beklager, sir, vi har ingen smultringer til deg i dag, og for politifolk serverer vi bare Dunkin Donuts." Enten det eller så sier jeg: "Skjul kokain! Skjul kokainen!"
Det kom til et punkt hvor lederen kom ut på parkeringsplassen, så på plassen, så i bilene, og selvfølgelig var ingen i nærheten. Så han gikk opp til oppkjøringshøyttaleren og så faktisk inn som om det var en mann gjemt inni, og så sa jeg «Hva i helvete ser du på!»
DT: Vil du snakke litt om forskjellen mellom sosial manipulering din vei inn i et nettverk og faktisk hacking inn i et?
KM: Sannheten er at de fleste hacks er hybride. Du kan komme inn i et nettverk gjennom nettverksutnyttelse – du vet, finne en ren teknisk måte. Du kan gjøre det ved å manipulere folk som har tilgang til datamaskiner, for å avsløre informasjon eller å gjøre et "handlingselement" som å åpne en PDF-fil. Eller du kan få fysisk tilgang til hvor datamaskinene eller serverne deres er og gjøre det på denne måten. Men det er egentlig ikke det ene eller det andre, det er egentlig basert på målet og situasjonen, og det er der hackeren bestemmer hvilken ferdighet de skal bruke, hvilken vei de skal bruke for å bryte systemet.
Nå i dag er sosial ingeniørkunst en betydelig trussel fordi RSA [Security] og Google ble hacket, og disse var gjennom en teknikk kalt spear phishing. Med RSA-angrepene, som var betydelige fordi angriperne stjal symbolfrøene som forsvarsentreprenører brukt til autentisering, hackerne fanget et Excel-dokument med en Flash gjenstand. De fant et mål innenfor RSA som ville ha tilgang til informasjon de ønsket, og sendte dette booby-fangede dokumentet til offeret, og da de åpnet Excel-dokumentet (som sannsynligvis ble sendt fra noe som så ut som en legitim kilde, en kunde, forretningspartner) usynlig utnyttet en sårbarhet i Adobe Flash og hackeren hadde da tilgang til denne ansattes arbeidsstasjon og RSAs interne Nettverk.
Spear-phishing bruker to komponenter: Sosiale nettverk for å få personen til å åpne Excel-dokumentet, og den andre del er teknisk utnyttelse av en feil eller sikkerhetsfeil i Adobe som ga angriperen full kontroll over datamaskin. Og det er slik det fungerer i den virkelige verden. Du ringer ikke bare noen på telefonen og ber om et passord; angrep er vanligvis hybride og kombinerer teknisk og sosial ingeniørkunst.
I Ghost in the Wires, jeg beskriver hvordan jeg brukte begge teknikkene.
DT: Noe av grunnen til at du skrev Ghost in the Wires var å ta opp noen av fabrikasjonene om deg selv.
KM: Å ja, det var skrevet tre bøker om meg, det var en film som het Ta ned som jeg endte opp med å avgjøre en rettssak over, og de ble enige om manusendringer og den ble aldri utgitt på kino i USA. Jeg hadde en New York Times-reporter som skrev en historie som jeg hacket inn i NORAD i 1983 og nesten startet WWIII eller noe latterlig som dette - uttalte det som et faktum, som var en fullstendig unsourcet påstand.
Det er mange ting der ute i offentligheten som rett og slett ikke var sant, og mange ting som folk egentlig ikke visste. Og jeg trodde det var viktig å få boken min til å virkelig fortelle historien min og i bunn og grunn sette rekorden rett. Jeg trodde også historien min var som Fang meg hvis du kan, Jeg hadde et to tiår langt katt og mus-spill med FBI. Og jeg var ikke ute etter å tjene penger. Faktisk, da jeg var på flukt, jobbet jeg 9-til-5 jobber for å forsørge meg selv og hacket om natten. Jeg hadde ferdighetene til at hvis jeg ville, kunne jeg ha stjålet kredittkortopplysninger og bankkontoinformasjon, men det moralske kompasset mitt ville ikke la meg gjøre det. Og min primære årsak til å hacke var egentlig utfordringen: Som å bestige Mount Everest. Men hovedårsaken var min jakt på kunnskap. Som barn interessert i magi og HAM-radio, elsket jeg å ta ting fra hverandre og finne ut hvordan de fungerte. På min tid var det ingen veier for å lære hacking etisk, det var en annen verden.
Selv da jeg gikk på videregående, følte jeg meg oppmuntret til å hacke. En av mine første oppdrag var å skrive et program for å finne de første 100 Gnocchi-numrene. I stedet skrev jeg et program som kunne fange opp folks passord. Og jeg jobbet så hardt med dette fordi jeg syntes det var kult og morsomt, så jeg hadde ikke tid til å gjøre det faktiske oppgaven og leverte denne i stedet – og jeg fikk A og mange «Atta-gutter». Jeg begynte i en annen verden.
DT: Og du ble til og med landet i isolasjon mens du satt i fengsel på grunn av ting folk trodde du var i stand til å gjøre.
KM: Å ja, ja. For mange år siden, på midten av 80-tallet, hacket jeg meg inn i et selskap som heter Digital Equipment Corporation, og det jeg var interessert i var mitt langsiktige mål om å bli den beste hackeren mulig. Jeg hadde ikke noe mål annet enn å komme inn i systemet. Det jeg gjorde var at jeg tok en beklagelig avgjørelse, og bestemte meg for å gå etter kildekoden, som er som den hemmelige oppskriften til Orange Julius for VMS-operativsystemet, et veldig populært operativsystem tilbake i dag.
Så jeg tok i utgangspunktet en kopi av kildekoden og en venn av meg informerte om meg. Da jeg havnet i retten etter at FBI arresterte meg, hadde en føderal aktor fortalt en dommer at vi ikke bare må arrestere Mr. Mitnick som en nasjonal sikkerhetstrussel, vi må sørge for at han ikke kan komme i nærheten av en telefon, for han kan ganske enkelt plukke opp en telefonautomat, koble til et modem på NORAD, plystre oppskytningskoden og muligens starte et atomvåpen krig. Og mens aktor sa dette, begynte jeg å le fordi jeg aldri hadde hørt om noe så latterlig i mitt liv. Men dommeren, utrolig nok, kjøpte den krokline og søkke, og jeg endte opp med å bli holdt i et føderalt interneringssenter i isolasjon i nesten ett år. Du kommer ikke til å omgås noen, du er låst inn i et lite rom, sannsynligvis på størrelse med badet ditt, og du bare sitter der inne i en betongkiste. Det var litt som psykologisk tortur, og jeg tror at den maksimale tiden en person skal være i isolasjon er noe sånt som 19 dager, og de holdt meg der i et år. Og det var basert på en latterlig forestilling om at jeg kunne plystre lanseringskodene.
DT: Og hvor lenge etter det fikk du ikke bruke grunnleggende elektronikk, eller i det minste de som kunne muliggjøre kommunikasjon?
KM: Vel det som skjedde er at jeg havnet i trøbbel et par ganger etter at jeg ble løslatt. Et par år senere sendte FBI en informant som var en ekte og kriminelt orientert hacker – altså en som stjeler kredittkortinformasjon for å stjele penger – for å sette meg opp. Og jeg skjønte raskt hva informanten gjorde, så jeg begynte å gjøre kontraetterretning mot FBI og begynte å hacke igjen. Denne historien er virkelig fokusert på i boken: hvordan jeg brøt FBIs operasjon mot meg og fant ut agentene som jobbet mot meg og mobilnumrene deres. Jeg tok numrene deres og programmerte dem inn i en enhet jeg hadde som et tidlig varslingssystem. Hvis de kom nær min fysiske plassering, ville jeg vite om det. Til slutt etter at denne saken var over i 1999, hadde jeg svært strenge betingelser. Jeg kunne ikke røre noe med en transistor i den uten tillatelse fra myndighetene. De behandlet meg som om jeg var en MacGyver, gir Kevin Mitnick et ni-volts batteri og gaffatape, og han er en fare for samfunnet.
Jeg kunne ikke bruke en faksmaskin, en mobiltelefon, en datamaskin, noe som hadde noe med kommunikasjon å gjøre. Og til slutt etter to år lempet de disse forholdene fordi jeg fikk i oppdrag å skrive en bok som heter Kunsten å bedrag, og de ga meg i all hemmelighet tillatelse til å bruke en bærbar datamaskin så lenge jeg ikke fortalte det til media og ikke koblet til Internett.
DT: Jeg vil anta at dette ikke bare var utrolig upraktisk, men også personlig vanskelig.
KM: Ja, for tenk deg... jeg ble arrestert i 1995 og løslatt i 2000. Og i løpet av disse fem årene gikk Internett gjennom en dramatisk endring, så på denne tiden var det som om jeg var Rip Van Wrinkle. Jeg la meg og våknet og verden har forandret seg. Så det var litt vanskelig å bli forbudt å ta på teknologi. Og regjeringen, tror jeg, ville bare gjøre det ekstremt vanskelig for meg, eller så trodde de faktisk at jeg var en nasjonal sikkerhetstrussel. Jeg vet egentlig ikke hvilken det er, men jeg kom meg gjennom det. I dag er jeg i stand til å ta all denne bakgrunnen og hacking-karrieren min, og nå får jeg betalt for å gjøre det. Selskaper ansetter meg fra hele verden for å bryte inn i systemene deres, for å finne sårbarhetene deres slik at de kan fikse dem før de virkelige skurkene kommer inn. Jeg reiser verden rundt og snakker om datasikkerhet og øker bevisstheten om det, så jeg er ekstremt heldig som gjør dette i dag.
Jeg tror at folk vet om saken min, og at jeg brøt loven, men at jeg ikke var ute etter å gjøre det for penger eller for å skade noen. Jeg hadde bare ferdighetene. Jeg hadde ingenting å tape, jeg var på flukt fra FBI, jeg kunne ha tatt penger, men det var mot mitt moralske kompass. Jeg angrer på handlingene som skadet andre, men jeg angrer egentlig ikke på hackingen fordi det for meg var som et videospill.
DT: Hacking har vært et populært tema i år takket være aktivister som Anonymous. De er en ekstremt polariserende gruppe – hva synes du om dem?
KM: Jeg tror det viktigste som Anonym gjør er å øke bevisstheten om sikkerhet, om enn på en negativ måte. Men de illustrerer absolutt at det er mange selskaper der ute som er den lavthengende frukten, at systemene deres har dårlig sikkerhet og de virkelig trenger å forbedre den.
Jeg tror ikke deres politiske budskap virkelig kommer til å gjøre noen forandring i verden. Jeg tror den eneste endringen de skaper er å gjøre seg selv til en høyere prioritet for rettshåndhevelse. Det er litt som hvorfor FBI var så forbanna på meg. Da jeg var en rømling, bodde i Denver og hadde funnet ut hva informanten gjorde, fant jeg gjennom min tidlig varslingssystem (overvåker mobilkommunikasjonen deres) om at de kom og gikk for å søke meg. Jeg ryddet ut leiligheten min for noe datautstyr eller noe FBI ville ta, og jeg kjøpte en stor boks med smultringer og med en Sharpie skrev "FBI smultringer" på den og stakk den i kjøleskapet.
De utførte ransakingsordren dagen etter, og de var rasende fordi jeg ikke bare visste når de kom, men jeg hadde kjøpt smultringer til dem. Det var en sprø ting å gjøre... det mangler litt modenhet, men jeg syntes det var morsomt. Og på grunn av dette ble jeg en flyktning, og FBI arresterte feil folk de trodde var meg, og New York Times gjorde dem ut som Keystone Kops. Så da de endelig fikk tak i meg, hamret de på meg. De kom veldig hardt ned på meg, og selv i mitt tilfelle... du vet, jeg stjal kildekode for å finne sikkerhetshull, og jeg hacket meg inn i telefoner fra Motorola og Nokia slik at jeg ikke kunne spores. Og regjeringen oppfordret disse selskapene til å si at tapene de pådro seg på min bekostning var hele deres FoU-investeringer som de brukte til mobiltelefoner. Så det er litt som et barn som går inn i 7-11 og stjeler en boks med Coca-Cola og sier at tapet denne ungen forårsaket for Cola var hele formelen.
Og det er en av tingene jeg satte rett i boken: Jeg forårsaket tap. Jeg vet ikke om det var $10.000, $100.000 eller $300.000. Men jeg vet at det var galt og uetisk for meg å gjøre, og jeg beklager det, men jeg forårsaket absolutt ikke tap på 300 millioner dollar. Faktisk var alle selskapene jeg hacket meg inn i børsnoterte selskaper, og ifølge SEC, hvis et offentlig selskap lider et vesentlig tap, må det rapporteres til aksjonærene. Ingen av selskapene jeg hacket meg inn i rapporterte en eneste krone med tap.
Jeg ble eksemplet fordi regjeringen ønsket å sende en melding til andre potensielle hackere om at hvis du gjør denne typen ting og spiller spill med oss, er dette hva som kommer til å skje med deg. Som en reaksjon på boken min sier noen mennesker "Åh, han er ikke lei for det han gjorde, han ville gjøre det igjen," jeg beklager ikke hackingen, men jeg beklager skaden jeg har forårsaket. Det er et skille mellom det.
DT: Så hvordan ser du for deg at hacking utvikler seg akkurat nå? Teknologi er langt mer tilgjengelig enn noen gang, og flere og flere forbrukere er i stand til å presse disse grensene.
KM: Hacking kommer til å fortsette å være et problem, og angripere går nå etter mobiltelefoner. Før var det din personlige datamaskin, og nå er det din mobile enhet, din Android, din iPhone. Folk oppbevarer sensitiv informasjon der, bankkontodetaljer, personlige bilder. Hacking går absolutt i retning av telefoner.
Skadelig programvare blir mer sofistikert. Folk hacker seg inn på sertifiseringsmyndighetene, så du har en protokoll kalt SSL for netthandel eller banktransaksjoner. Og hele denne protokollen er basert på tillit og disse sertifikatmyndighetene, og hackere kompromitterer disse sertifikatmyndighetene og utsteder seg selv sine egne sertifikater. Så de kan late som om de er Bank of America, late som de er PayPal. Det hele er mer sofistikert, mer komplekst og viktigere for selskaper å være klar over problemet og prøve å redusere sjansen for at de kommer til å bli kompromittert.
DT: Hvilket råd vil du gi til hackere i dag?
KM: Det var utilgjengelig på min tid, men nå kan folk lære etisk om hacking. Det er kurs, mange bøker, kostnadene for å sette opp ditt eget datalaboratorium er veldig rimelige, og det er til og med nettsteder der ute på Internett som er satt opp for å tillate folk å prøve å hacke seg inn for å øke sine kunnskaper og ferdigheter – de som kalles Hacme Bank. Folk kan etisk lære om det nå uten å havne i problemer eller skade noen andre.
DT: Tror du det oppmuntrer folk til å misbruke disse ferdighetene?
KM: De kommer sannsynligvis til å gjøre det uansett om de har hjelp eller ikke. Det er et verktøy, hacking er et verktøy, så du kan ta en hammer og bygge et hus, eller du kan slå noen i hodet med den. Det som er viktig i dag er etikk. Etikksamtalen til Kevin Mitnick var: Det er greit å skrive programmer for å stjele passord på videregående. Så det er viktig å få folk og barn interessert i dette fordi det er et interessant felt, men også ha etikkopplæringen bak det slik at de bruker det på en god måte.
DT: Kan du snakke litt om Mac vs. Vindusikkerhetsdebatt?
KM: Mac-er er mindre sikre, men de er mindre målrettede. Windows har størst markedsandel, så de er mer målrettede. Nå øker åpenbart Apple sikkerheten, og grunnen til at du ikke hører om mange Mac-er angrepet er malware-forfattere skriver ikke ondsinnet kode for Mac-ene fordi de bare ikke var populære nok. Når du skriver ondsinnet kode vil du angripe mange mennesker, og det har tradisjonelt vært mange flere som kjører Windows.
Etter hvert som Mac-markedsandelen øker, vil vi naturligvis begynne å se dem målrettet mer.
DT: Hvilket operativsystem er det sikreste?
KM: Google Chrome OS. Du vet hvorfor? For du kan ikke gjøre noe med det. Du kan få tilgang til Google-tjenester, men det er ingenting å angripe. Men det er ikke en levedyktig løsning for folk. Jeg vil anbefale å bruke en Mac, ikke bare på grunn av sikkerheten, men jeg har færre problemer med å kjøre Mac OS enn Windows.
DT: Hvilken ny teknologi synes du er mest fascinerende akkurat nå?
KM: Jeg husker da jeg var ni år gammel og jeg kjørte gjennom L.A. med faren min og så på rumlen strip på motorveien og tenker at de en dag skal lage teknologi der du ikke engang trenger å kjøre bil. Det blir en slags elektronisk løsning der bilene skal kjøre selv og det blir neppe noen ulykker. Og tre, fire tiår senere tester Google denne typen teknologi. Førerløse biler. Jeg tror det er noe av typen George Jetson.