Dziś Kevin Mitnick jest ekspertem ds. bezpieczeństwa, który infiltruje firmy swoich klientów, aby ujawnić ich słabe strony. Jest także autorem kilku książek, m.in Duch w przewodach. Jednak najbardziej znany jest jako haker, który przez lata wymykał się FBI i ostatecznie został uwięziony za swoje postępowanie. Mieliśmy okazję porozmawiać z nim o czasie spędzonym w izolatce, włamaniu do McDonald’s i tym, co myśli o Anonymous.
Trendy cyfrowe: kiedy po raz pierwszy zainteresowałeś się hakerstwem?
Polecane filmy
Kevina Mitnicka: Właściwie to, co zaczęło mnie od hakowania, to hobby polegające na phreakingu telefonicznym. Kiedy byłem w gimnazjum, fascynowała mnie magia i spotkałem innego ucznia, który potrafił czarować za pomocą telefonu. Potrafił robić te wszystkie sztuczki: ja mogłem zadzwonić pod numer, który mi podał, a on zadzwonił pod inny i połączylibyśmy się, co nazywa się pętlą. To był obwód testowy firmy telefonicznej. Pokazał mi, że ma ten tajny numer w firmie telekomunikacyjnej, może wybrać numer, a sygnał będzie dziwny, a potem wpisać pięciocyfrowy kod i może dzwonić gdziekolwiek za darmo.
Miał tajne numery w firmie telefonicznej, pod które mógł dzwonić i nie musiał się identyfikować, co Stałoby się tak, gdyby miał numer telefonu, mógłby znaleźć nazwę i adres tego numeru, nawet gdyby tak było niepublikowane. Mógł przełamać przekierowanie połączeń. Potrafił zdziałać cuda z telefonem, a ja naprawdę zafascynowałem się tą firmą telekomunikacyjną. A ja byłem dowcipnisiem. Uwielbiałem żarty. Moja stopa w drzwiach do hakowania polegała na robieniu psikusów przyjaciołom.
Jednym z moich pierwszych żartów było to, że zamieniłem telefon domowy moich znajomych na telefon płatny. Zatem za każdym razem, gdy on lub jego rodzice próbowali zadzwonić, pojawiała się informacja: „Proszę wpłacić ćwierć dolara”.
Tak więc moje wejście w świat hakowania było spowodowane fascynacją firmą telekomunikacyjną i chęcią robienia psikusów.
DT: Skąd zdobyłeś wiedzę techniczną, aby zacząć robić takie rzeczy?
KM: Sam interesowałem się technologią, a on nie chciał mi powiedzieć, jak to zrobił. Czasami podsłuchiwałem, co robi, i wiedziałem, że używa inżynierii społecznej, ale tak było magikiem, który robił sztuczki, ale nie chciał mi powiedzieć, jak to się robi, więc musiałem to rozpracować ja.
Przed spotkaniem z tym gościem byłem już radioamatorem. Zdałem egzamin radiowy HAM w wieku 13 lat, interesowałem się już elektroniką i radiem, więc miałem wiedzę techniczną.
To było w latach 70. i nie mogłem dostać prawa jazdy CB, bo trzeba było mieć 18 lat, a ja miałem 11 lub 12 lat. Pewnego dnia, kiedy jechałem autobusem, spotkałem kierowcę autobusu i ten kierowca zapoznał mnie z radiem HAM. Pokazał mi, jak może wykonywać połączenia telefoniczne za pomocą przenośnego radia, co wydało mi się super fajne, bo to było przed komórką telefony i pomyślałem: „Wow, to super, muszę się tego nauczyć”. Wziąłem kilka książek, wziąłem udział w kilku kursach i w wieku 13 lat zdałem egzamin egzamin.
Potem dowiedziałem się o telefonach. Potem inny uczeń szkoły średniej przedstawił mnie instruktorowi informatyki, abym wziął udział w zajęciach komputerowych. Na początku instruktor mnie nie wpuścił, bo nie spełniałam wymagań, a potem go pokazałam wszystkie sztuczki, jakie mogłem wykonać z telefonem, był pod wielkim wrażeniem i wpuścił mnie do środka klasa.
DT: Czy masz swój ulubiony hack lub taki, z którego byłeś szczególnie dumny?
KM: Hack, do którego jestem najbardziej przywiązany, to hackowanie McDonald’s. To, co wymyśliłem – pamiętasz, że miałem licencję radiową HAM – mogłem przejąć okna w podjazdach. Siedziałbym po drugiej stronie ulicy i przejmował ich. Możesz sobie wyobrazić, jaką zabawę możesz mieć w wieku 16, 17 lat. Tak więc osoba w McDonaldzie słyszała wszystko, co się działo, ale nie mogła mnie obezwładnić, to ja obezwładniłbym ich.
Podjeżdżali klienci, a ja przyjmowałem ich zamówienie i mówiłem: „OK, jesteś dzisiaj 50. klientem, Twoje zamówienie jest bezpłatne, jedź dalej”. Albo przyjdą policjanci i czasami mówiłem: „Przykro mi, proszę pana, nie mamy dzisiaj dla pana pączków, a policjantom serwujemy tylko Dunkin Donuts”. Albo to, albo powiedziałbym: „Ukryj kokaina! Ukryj kokainę!”
Doszło do tego, że menadżer wychodził na parking, rozglądał się po parkingu, zaglądał do samochodów i oczywiście nikogo nie było w pobliżu. Podchodził więc do głośnika na podjeździe i rzeczywiście zaglądał do środka, jakby w środku ukrywał się człowiek, a ja mówiłem: „Na co się do cholery patrzysz!”.
DT: Czy opowiesz trochę o różnicy pomiędzy inżynierią społeczną wchodząc do sieci a faktycznym włamaniem się do niej?
KM: Prawda jest taka, że większość hacków ma charakter hybrydowy. Do sieci można dostać się poprzez jej eksploatację – no wiesz, znalezienie czysto technicznego sposobu. Można tego dokonać poprzez manipulowanie osobami mającymi dostęp do komputerów w celu ujawnienia informacji lub wykonania „działania”, np. otwarcia pliku PDF. Możesz też uzyskać fizyczny dostęp do miejsc, w których znajdują się ich komputery lub serwery, i zrobić to w ten sposób. Ale tak naprawdę nie jest to jedno czy drugie, tak naprawdę wszystko zależy od celu i sytuacji i to właśnie w tym momencie haker decyduje, jakiej umiejętności użyje i jaką drogą użyje, aby włamać się do systemu.
Obecnie socjotechnika stanowi poważne zagrożenie, ponieważ RSA [Security] i Google zostały zhakowane za pomocą techniki zwanej spear phishing. W przypadku ataków RSA, które były znaczne, ponieważ napastnicy ukradli tokenowe nasiona kontrahenci z branży obronnej wykorzystywani do uwierzytelniania, hakerzy zaatakowali dokument Excel za pomocą Flasha obiekt. Znaleźli cel w RSA, który miałby dostęp do potrzebnych im informacji, i wysłali ofierze ten dokument będący miną-pułapką, i kiedy otworzyli dokument Excel (który prawdopodobnie został wysłany z czegoś, co wyglądało na legalne źródło, klienta lub partnera biznesowego), to w niewidoczny sposób wykorzystał lukę w zabezpieczeniach Adobe Flash, a haker uzyskał następnie dostęp do stacji roboczej tego pracownika i wewnętrznego konta RSA sieć.
Spear phishing wykorzystuje dwa komponenty: sieci społecznościowe, aby nakłonić osobę do otwarcia dokumentu Excel, oraz drugi Częścią jest techniczne wykorzystanie błędu lub luki w zabezpieczeniach programu Adobe, która dała atakującemu pełną kontrolę nad plikiem komputer. I tak to działa w realnym świecie. Nie wystarczy po prostu zadzwonić do kogoś i poprosić o hasło; ataki mają zazwyczaj charakter hybrydowy i łączą w sobie inżynierię techniczną i społeczną.
W Duch w przewodach, opisuję, jak zastosowałem obie techniki.
DT: To jeden z powodów, dla których napisałeś Duch w przewodach było sprostowanie niektórych zmyśleń na swój temat.
KM: O tak, napisano o mnie trzy książki, był film pt Zdjąć który zakończył się dla mnie rozstrzygnięciem pozasądowym, a oni zgodzili się na zmiany w scenariuszu i nigdy nie trafił do kin w Stanach Zjednoczonych. Miałem reportera New York Timesa, który napisał artykuł, o którym włamałem się do NORAD w 1983 roku i prawie zacząłem III wojna światowa czy coś w tym rodzaju absurdalnego — stwierdziłem to jako fakt, który nie był poparty żadnymi źródłami zarzut.
W oczach opinii publicznej jest wiele rzeczy, które po prostu nie są prawdą, i wiele rzeczy, o których ludzie tak naprawdę nie wiedzieli. Pomyślałem, że ważne jest, aby moja książka naprawdę opowiadała moją historię i zasadniczo wyjaśniała sytuację. Myślałam też, że moja historia jest podobna Złap mnie jeśli potrafisz, Przez dwie dekady bawiłem się w kotka i myszkę z FBI. I nie chodziło mi o zarabianie pieniędzy. Tak naprawdę, kiedy byłem w biegu, pracowałem od 9 do 17, aby się utrzymać, a nocami hakowałem. Miałem tę umiejętność, że gdybym chciał, mógłbym ukraść dane karty kredytowej i dane konta bankowego, ale mój kompas moralny nie pozwolił mi na to. A moim głównym powodem hackowania było tak naprawdę wyzwanie: jak wspinaczka na Mount Everest. Ale głównym powodem była moja pogoń za wiedzą. Jako dziecko zainteresowane magią i radiem HAM uwielbiałem rozkładać rzeczy na części i sprawdzać, jak działają. Za moich czasów nie było możliwości nauczenia się hakowania w sposób etyczny, to był inny świat.
Nawet gdy byłem w szkole średniej, czułem się zachęcany do hakowania. Jednym z moich pierwszych zadań było napisanie programu, który znajdzie pierwsze 100 liczb Gnocchi. Zamiast tego napisałem program, który mógł przechwytywać hasła innych osób. Bardzo ciężko nad tym pracowałem, bo wydawało mi się to fajne i zabawne, więc nie miałem czasu, żeby zająć się tym, co naprawdę zadanie i zamiast tego oddałem to – dostałem piątkę i mnóstwo „chłopców Atta”. Zacząłem w innym świat.
DT: A nawet wylądowałeś w izolatce, kiedy byłeś w więzieniu z powodu rzeczy, które ludzie uważali, że jesteś w stanie zrobić.
KM: O tak, tak. Wiele lat temu, w połowie lat 80., włamałem się do firmy o nazwie Digital Equipment Corporation i tym, co mnie interesowało, był mój długoterminowy cel, jakim jest zostanie najlepszym możliwym hakerem. Nie miałem żadnego celu poza dostaniem się do systemu. To, co zrobiłem, polegało na tym, że podjąłem godną pożałowania decyzję i zdecydowałem się sięgnąć po kod źródłowy, który jest podobny sekretny przepis na Orange Julius na system operacyjny VMS, bardzo popularny system operacyjny w dawnych czasach dzień.
Więc w zasadzie wziąłem kopię kodu źródłowego i poinformował mnie o tym mój przyjaciel. Kiedy znalazłem się w sądzie po aresztowaniu mnie przez FBI, prokurator federalny powiedział sędziemu, że nie tylko musimy zatrzymać pana Mitnicka ze względu na zagrożenie dla bezpieczeństwa narodowego, ale musi uważać, żeby nie zbliżyć się do telefonu, bo mógłby po prostu podnieść słuchawkę automatu telefonicznego, połączyć się z modemem w NORAD, zagwizdać kod startowy i ewentualnie rozpocząć bombę nuklearną wojna. A kiedy prokurator to powiedział, zacząłem się śmiać, bo nigdy w życiu nie słyszałem o czymś tak absurdalnym. Ale sędzia, co niewiarygodne, kupił haczyk i ciężarek, a ja wylądowałem w federalnym ośrodku detencyjnym w izolatce przez prawie rok. Nie możesz się z nikim zadawać, jesteś zamknięty w małym pokoju, prawdopodobnie wielkości twojej łazienki, i po prostu siedzisz w betonowej trumnie. To było coś w rodzaju tortur psychicznych. Myślę, że maksymalny czas przebywania osoby w izolatce to około 19 dni, a przetrzymywali mnie tam przez rok. I opierało się to na absurdalnym założeniu, że mogę gwizdać kody startowe.
DT: A jak długo potem nie wolno było używać podstawowej elektroniki, a przynajmniej takiej, która umożliwiałaby komunikację?
KM: Cóż, stało się tak, że po wyjściu na wolność kilka razy wpadłem w kłopoty. Kilka lat później FBI wysłało informatora, który był prawdziwym hakerem o charakterze kryminalnym – czyli kimś, kto kradnie informacje o karcie kredytowej w celu kradzieży pieniędzy – aby mnie wrobił. Szybko zrozumiałem, co robi informator, więc zacząłem działać przeciwko FBI i ponownie zacząć hakować. W książce skupiono się głównie na tej historii: jak udaremniłem operację FBI przeciwko mnie i dowiedziałem się o agentach, którzy pracowali przeciwko mnie, oraz o ich numerach telefonów komórkowych. Wziąłem ich numery i zaprogramowałem w urządzeniu, które miałem jako system wczesnego ostrzegania. Gdyby zbliżyli się do mojej fizycznej lokalizacji, wiedziałbym o tym. Ostatecznie, po zakończeniu tej sprawy w 1999 r., postawiono mi bardzo rygorystyczne warunki. Bez zgody rządu nie mogłem dotykać niczego, co zawiera tranzystor. Potraktowali mnie jak MacGyvera, dali Kevinowi Mitnickowi dziewięciowoltową baterię i taśmę klejącą, a stanie się zagrożeniem dla społeczeństwa.
Nie mogłem korzystać z faksu, telefonu komórkowego, komputera ani niczego, co miało cokolwiek wspólnego z komunikacją. A potem w końcu, po dwóch latach, złagodzono te warunki, ponieważ zlecono mi napisanie książki pt Sztuka oszustwa, i w tajemnicy dali mi pozwolenie na korzystanie z laptopa, pod warunkiem, że nie powiem o tym mediom i nie połączę się z Internetem.
DT: Zakładam, że było to nie tylko niezwykle niewygodne, ale także osobiście trudne.
KM: Tak, bo wyobraźcie sobie… zostałem aresztowany w 1995 r. i zwolniony w 2000 r. W ciągu tych pięciu lat Internet przeszedł dramatyczną zmianę, więc w tym czasie czułem się, jakbym był Ripem Van Wrinklem. Poszedłem spać, obudziłem się i świat się zmienił. Trudno więc było zakazać dotykania technologii. Wydaje mi się, że rząd po prostu chciał mi bardzo utrudnić sytuację lub faktycznie uważał, że stanowię zagrożenie dla bezpieczeństwa narodowego. Naprawdę nie wiem, który to, ale dałem sobie radę. Dziś mogę wykorzystać całe to doświadczenie i karierę hakera i teraz mi za to płacą. Firmy zatrudniają mnie z całego świata, abym włamał się do ich systemów, aby znaleźć ich słabe punkty i naprawić je, zanim wkradną się prawdziwi przestępcy. Podróżuję po świecie, opowiadając o bezpieczeństwie komputerów i podnosząc świadomość na ten temat, więc jestem niezwykle szczęśliwy, że robię to dzisiaj.
Myślę, że ludzie wiedzą o mojej sprawie i że rzeczywiście złamałem prawo, ale nie chciałem tego zrobić dla pieniędzy ani nikogo skrzywdzić. Po prostu miałem umiejętności. Nie miałem nic do stracenia, uciekałem przed FBI, mogłem wziąć pieniądze, ale było to wbrew mojemu kompasowi moralnemu. Żałuję działań, które skrzywdziły innych, ale tak naprawdę nie żałuję włamania, ponieważ dla mnie było to jak gra wideo.
DT: Hakowanie stało się w tym roku modnym tematem dzięki aktywistom takim jak Anonymous. To niezwykle polaryzująca grupa – co o nich sądzisz?
KM: Myślę, że najważniejszą rzeczą, jaką robi Anonymous, jest podnoszenie świadomości bezpieczeństwa, choć w negatywny sposób. Ale z pewnością pokazują, że istnieje wiele firm, które są nisko wiszącym owocem, że ich systemy mają tandetne zabezpieczenia i naprawdę muszą je ulepszyć.
Nie wierzę, że ich przesłanie polityczne naprawdę spowoduje jakąkolwiek zmianę na świecie. Myślę, że jedyną zmianą, jaką wprowadzają, jest nadanie sobie wyższego priorytetu dla organów ścigania. To trochę tak, jakby FBI było na mnie takie wkurzone. Kiedy byłem zbiegiem mieszkającym w Denver i dowiedziałem się, co robi informator, dowiedziałem się przez moje system wczesnego ostrzegania (monitorujący komunikację w telefonach komórkowych), że przychodzą i wychodzą na przeszukanie Ja. Wyczyściłem mieszkanie ze sprzętu komputerowego i czegokolwiek, co zabrałoby FBI, kupiłem duże pudełko pączków, na którym ostrym narzędziem napisałem „pączki FBI” i włożyłem do lodówki.
Następnego dnia wykonali nakaz przeszukania i byli wściekli, bo nie tylko wiedziałem, kiedy przyjdą, ale też kupiłem im pączki. To było szalone… brakowało mu dojrzałości, ale pomyślałem, że to zabawne. I z tego powodu stałem się zbiegiem, FBI aresztowało niewłaściwe osoby, które uważały za mnie, a „New York Times” robił z nich ludzi podobnych do Keystone Kops. Więc kiedy w końcu mnie złapali, uderzyli mnie. Byli dla mnie bardzo surowi i nawet w moim przypadku… wiesz, rzeczywiście ukradłem kod źródłowy, aby znaleźć luki w zabezpieczeniach, i włamałem się do telefonów Motoroli i Nokii, żeby nie można było mnie wyśledzić. Rząd nalegał, aby te firmy podały, że straty, które poniosły moim kosztem, to całość inwestycji w badania i rozwój, które wykorzystały w telefonach komórkowych. To trochę tak, jakby dzieciak wszedł do 7-11 i ukradł puszkę Coca-Coli i powiedział, że strata, jaką ten dzieciak wyrządził Coca-Coli, to cała formuła.
I to jest jedna z rzeczy, które wyraźnie podkreśliłem w tej książce: rzeczywiście spowodowałem straty. Nie wiem, czy było to 10 000 dolarów, 100 000 dolarów czy 300 000 dolarów. Wiem jednak, że postąpiłem źle i nieetycznie, i przykro mi z tego powodu, ale z pewnością nie spowodowałem 300 milionów dolarów strat. W rzeczywistości wszystkie firmy, do których się włamałem, były spółkami notowanymi na giełdzie i według SEC, jeśli jakakolwiek spółka publiczna poniesie istotne straty, należy to zgłosić akcjonariuszom. Żadna z firm, do których się włamałem, nie odnotowała ani złotówki straty.
Stałem się przykładem, ponieważ rząd chciał wysłać wiadomość innym potencjalnym hakerom, że jeśli będziecie robić tego typu rzeczy i grać z nami, to właśnie was spotka. W reakcji na moją książkę niektórzy ludzie mówią: „Och, on nie żałuje tego, co zrobił, zrobiłby to jeszcze raz”. Nie jest mi przykro z powodu włamania, ale przepraszam za jakąkolwiek krzywdę, którą wyrządziłem. Jest między tym różnica.
DT: Jak więc widzisz ewolucję hakowania w tej chwili? Technologia jest znacznie bardziej dostępna niż kiedykolwiek, a coraz więcej konsumentów jest w stanie przekraczać te ograniczenia.
KM: Hakowanie nadal będzie problemem, a napastnicy atakują teraz telefony komórkowe. Wcześniej był to Twój komputer osobisty, a teraz jest to Twoje urządzenie mobilne, Twój Android i Twój iPhone. Ludzie przechowują tam poufne informacje, dane kont bankowych, zdjęcia osobiste. Hakowanie z pewnością zmierza w stronę telefonów.
Złośliwe oprogramowanie staje się coraz bardziej wyrafinowane. Ludzie włamują się do urzędów certyfikacji, więc masz protokół o nazwie SSL dla zakupów online lub transakcji bankowych. Cały ten protokół opiera się na zaufaniu i urzędach certyfikacji, a hakerzy naruszają te urzędy certyfikacji i wydają sobie własne certyfikaty. Aby mogli udawać Bank of America, udawać PayPal. Wszystko jest bardziej wyrafinowane, bardziej złożone i ważniejsze dla firm, aby były świadome problemu i próbowały zminimalizować ryzyko, że zostaną naruszone.
DT: Jakiej rady, jeśli w ogóle, udzieliłbyś dzisiaj hakerom?
KM: Za moich czasów było to niedostępne, ale teraz ludzie mogą w sposób etyczny dowiedzieć się o hakowaniu. Są kursy, mnóstwo książek, koszt założenia własnego laboratorium komputerowego jest bardzo niski, są nawet strony internetowe w Internecie, które umożliwiają ludziom próby włamań w celu zwiększenia ich wiedzy i umiejętności – zwane Hacme Bank. Ludzie mogą teraz w sposób etyczny dowiedzieć się o tym, nie wpadając w kłopoty ani nie krzywdząc nikogo innego.
DT: Czy sądzisz, że to zachęca ludzi do niewłaściwego wykorzystywania tych umiejętności?
KM: Prawdopodobnie to zrobią, niezależnie od tego, czy otrzymają pomoc, czy nie. To narzędzie, hakowanie to narzędzie, więc możesz wziąć młotek i zbudować dom, albo możesz walnąć nim kogoś w głowę. Dziś ważna jest etyka. Wykład o etyce Kevina Mitnicka brzmiał: W szkole średniej można pisać programy kradnące hasła. Dlatego ważne jest, aby zainteresować tym ludzi i dzieci, ponieważ jest to interesująca dziedzina, ale także mieć za sobą szkolenie z etyki, aby mogli z niej dobrze korzystać.
DT: Czy możesz porozmawiać trochę o Mac vs. Debata na temat bezpieczeństwa okien?
KM: Komputery Mac są mniej bezpieczne, ale są mniej atakowane. Największy udział w rynku mają systemy Windows, dlatego są one bardziej ukierunkowane. Teraz Apple najwyraźniej zwiększa swoje bezpieczeństwo i jest to powód, dla którego nie słyszy się o wielu komputerach Mac atakowany jest fakt, że twórcy złośliwego oprogramowania nie piszą złośliwego kodu dla komputerów Mac, ponieważ po prostu nie były one popularne wystarczająco. Kiedy piszesz złośliwy kod, chcesz zaatakować wiele osób, a tradycyjnie było znacznie więcej osób korzystających z systemu Windows.
Wraz ze wzrostem udziału w rynku komputerów Mac, w naturalny sposób zaczniemy widzieć, że są one bardziej ukierunkowane.
DT: Jaki system operacyjny jest najbezpieczniejszy?
KM: System operacyjny Google Chrome. Wiesz dlaczego? Bo nic z tym nie zrobisz. Możesz uzyskać dostęp do usług Google, ale nie ma co atakować. Ale nie jest to realne rozwiązanie dla ludzi. Polecam używać komputera Mac, nie tylko ze względu na bezpieczeństwo, ale mam mniej problemów z systemem Mac OS niż Windows.
DT: Jaka nowa technologia jest obecnie dla Ciebie najbardziej fascynująca?
KM:Pamiętam, jak miałem dziewięć lat i jechałem przez Los Angeles z tatą, patrząc na dudnienie rozbierać się na autostradzie, myśląc, że pewnego dnia stworzą technologię, w której nie będziesz musiał nawet prowadzić samochód. Będzie jakieś rozwiązanie elektroniczne, dzięki któremu samochody będą same jeździć i nie będzie prawie żadnych wypadków. A trzy, cztery dekady później Google testuje tego typu technologię. Samochody bez kierowcy. Myślę, że to coś w stylu George’a Jetsona.