Hoje, Kevin Mitnick é um especialista em segurança que se infiltra nas empresas de seus clientes para expor seus pontos fracos. Ele também é autor de vários livros, incluindo Fantasma nos Fios. Mas ele é mais conhecido como o hacker que escapou do FBI durante anos e acabou preso por seus métodos. Tivemos a oportunidade de conversar com ele sobre o tempo que passou em confinamento solitário, hackeando o McDonald’s e o que ele pensa sobre o Anonymous.
Tendências Digitais: Quando você começou a se interessar por hackear?
Vídeos recomendados
Kevin Mitnick: Na verdade o que me iniciou no hacking foi esse hobby que eu tinha de phreaking por telefone. Quando eu estava no primeiro ano do ensino médio, era fascinado por magia e conheci outro aluno que era capaz de fazer mágica com um telefone. Ele poderia fazer todos esses truques: eu poderia ligar para um número que ele me dissesse e ele ligaria para outro, e estaríamos unidos, e isso é chamado de loop-around. Era um circuito de teste da companhia telefônica. Ele me mostrou que tinha um número secreto na companhia telefônica, ele poderia discar um número, e daria um tom estranho, e então colocaria um código de cinco dígitos e ele poderia ligar para qualquer lugar de graça.
Ele tinha números secretos na companhia telefônica para onde podia ligar e não precisava se identificar, o que aconteceria é que se ele tivesse um número de telefone, ele poderia encontrar o nome e endereço desse número, mesmo que fosse não publicado. Ele poderia romper o encaminhamento de chamadas. Ele sabia fazer mágica com o telefone e fiquei realmente fascinado pela companhia telefônica. E eu era um brincalhão. Eu adorava brincadeiras. Meu pé na porta para hackear estava pregando peças em amigos.
Uma das minhas primeiras pegadinhas foi mudar o telefone residencial dos meus amigos para um telefone público. Portanto, sempre que ele ou seus pais tentavam fazer uma ligação, dizia “por favor, deposite uma moeda”.
Portanto, minha entrada no hacking foi meu fascínio pela companhia telefônica e o desejo de pregar peças.
DT: Onde você conseguiu o conhecimento técnico para começar a fazer essas coisas?
km: Eu também estava interessado em tecnologia e ele não me contava como fazia as coisas. Às vezes eu ouvia o que ele estava fazendo e sabia que ele estava usando engenharia social, mas ele estava tipo o mágico que fez os truques, mas não me disse como eles foram feitos, então eu teria que descobrir eu mesmo.
Antes de conhecer esse cara, eu já era operador de rádio amador. Passei no teste de rádio HAM quando tinha 13 anos e já gostava de eletrônica e rádio, então tinha essa formação técnica.
Isso foi na década de 70, e eu não consegui uma licença C.B. porque era preciso ter 18 anos e eu tinha 11 ou 12 anos. Então, um dia, conheci um motorista de ônibus quando estava no ônibus, e ele me apresentou ao rádio HAM. Ele me mostrou como poderia fazer ligações usando seu rádio portátil, o que achei super legal porque foi antes do celular telefones e pensei “Uau, isso é tão legal, preciso aprender sobre isso”. Peguei alguns livros, fiz alguns cursos e aos 13 anos passei no exame.
Então aprendi sobre telefones. Depois disso, outro aluno do ensino médio me apresentou ao instrutor de informática para fazer um curso de informática. A princípio o instrutor não me deixou entrar porque eu não atendia aos pré-requisitos, e depois mostrei a ele todos os truques que eu poderia fazer com o telefone, e ele ficou completamente impressionado e me permitiu entrar no aula.
DT: Você tem um hack favorito ou um do qual você se orgulha particularmente?
km: O hack ao qual estou mais apegado foi hackear o McDonald's. O que eu descobri – você lembra que eu tinha minha licença de rádio amador – eu poderia assumir as janelas dos carros. Eu sentaria do outro lado da rua e os assumiria. Você pode imaginar que aos 16, 17 anos você poderia se divertir. Então a pessoa no McDonald’s podia ouvir tudo o que estava acontecendo, mas não conseguia me dominar, eu iria dominá-la.
Os clientes chegavam e eu anotava o pedido e dizia: “Ok, você é o 50º cliente hoje, seu pedido é grátis, por favor, siga em frente”. Ou policiais apareceriam e às vezes eu dizia “Sinto muito, senhor, não temos donuts para você hoje, e para os policiais só servimos Dunkin Donuts”. Ou isso ou eu diria: “Esconda o cocaína! Esconda a cocaína!
Chegou ao ponto em que o gerente entrava no estacionamento, olhava o estacionamento, olhava os carros e, claro, não havia ninguém por perto. Então ele ia até o alto-falante do drive-up e realmente olhava para dentro como se houvesse um homem escondido lá dentro, e então eu dizia “Que diabos você está olhando!”
DT: Você poderia falar um pouco sobre a diferença entre fazer engenharia social para entrar em uma rede e realmente invadir uma?
km: A verdade é que a maioria dos hacks são híbridos. Você poderia entrar em uma rede através da exploração da rede – você sabe, encontrando um caminho puramente técnico. Você poderia fazer isso manipulando pessoas que têm acesso a computadores, para revelar informações ou para executar um “item de ação”, como abrir um arquivo PDF. Ou você pode obter acesso físico ao local onde estão seus computadores ou servidores e fazer isso desta forma. Mas não é realmente um ou outro, é realmente baseado no alvo e na situação, e é aí que o hacker decide qual habilidade usar, que caminho usará para violar o sistema.
Hoje em dia, a engenharia social é uma ameaça substancial porque a RSA [Segurança] e o Google foram hackeados, e estes foram através de uma técnica chamada spear phishing. Com os ataques RSA, que foram substanciais porque os atacantes roubaram as sementes simbólicas que empreiteiros de defesa usados para autenticação, os hackers armadilharam um documento Excel com um Flash objeto. Eles encontraram um alvo dentro da RSA que teria acesso às informações que queriam e enviaram este documento armadilhado para a vítima, e quando abriram o documento Excel (que provavelmente foi enviado do que parecia ser uma fonte legítima, um cliente, parceiro de negócios), ele explorou de forma invisível uma vulnerabilidade no Adobe Flash e o hacker teve acesso à estação de trabalho deste funcionário e ao sistema interno da RSA rede.
O spear phishing usa dois componentes: redes sociais para fazer a pessoa abrir o documento Excel e o segundo parte é a exploração técnica de um bug ou falha de segurança na Adobe que deu ao invasor controle total do computador. E é assim que funciona no mundo real. Você não simplesmente liga para alguém e pede uma senha; os ataques são geralmente híbridos e combinam engenharia técnica e social.
Em Fantasma nos Fios, descrevo como usei as duas técnicas.
DT: Parte da razão pela qual você escreveu Fantasma nos Fios foi abordar algumas das invenções sobre você.
km: Ah, sim, havia três livros escritos sobre mim, havia um filme chamado Derrubar sobre o qual acabei resolvendo uma ação judicial fora do tribunal, e eles concordaram em fazer mudanças no roteiro e nunca foi lançado nos cinemas nos Estados Unidos. Tive um repórter do New York Times que escreveu uma história que invadi no NORAD em 1983 e quase comecei Terceira Guerra Mundial ou algo ridículo como isso - declarou isso como um fato, o que era completamente sem fontes alegação.
Há muitas coisas aos olhos do público que simplesmente não eram verdade, e muitas coisas que as pessoas realmente não sabiam. E eu pensei que era importante fazer com que meu livro realmente contasse minha história e basicamente esclarecesse as coisas. Eu também pensei que minha história era como Apanha-me Se Puderes, Tive um jogo de gato e rato de duas décadas com o FBI. E eu não queria ganhar dinheiro. Na verdade, quando eu estava fugindo, trabalhava das 9h às 17h para me sustentar e hackeava à noite. Eu tinha as habilidades de que, se quisesse, poderia ter roubado detalhes de cartão de crédito e informações de contas bancárias, mas minha bússola moral não me deixava fazer isso. E meu principal motivo para hackear foi realmente o desafio: como escalar o Monte Everest. Mas o principal motivo foi minha busca por conhecimento. Quando criança, interessada em magia e rádio amador, adorava desmontar coisas e descobrir como funcionavam. Na minha época não havia caminhos para aprender a hackear de forma ética, era um mundo diferente.
Mesmo quando eu estava no ensino médio, me senti encorajado a hackear. Uma das minhas primeiras tarefas foi escrever um programa para encontrar os primeiros 100 números de nhoque. Em vez disso, escrevi um programa que poderia capturar as senhas das pessoas. E eu trabalhei tanto nisso porque achei que era legal e divertido, então não tive tempo para fazer o trabalho de verdade. tarefa e entreguei esta em vez disso - e tirei A e muitos “meninos Atta”. Comecei de uma forma diferente mundo.
DT: E você até foi colocado em confinamento solitário enquanto estava na prisão por causa de coisas que as pessoas pensavam que você era capaz de fazer.
km: Ah sim, sim. Anos atrás, em meados dos anos 80, invadi uma empresa chamada Digital Equipment Corporation, e o que me interessava era meu objetivo de longo prazo de me tornar o melhor hacker possível. Eu não tinha nenhum objetivo exceto entrar no sistema. O que fiz foi tomar uma decisão lamentável e decidir ir atrás do código-fonte, que é como a receita secreta do Orange Julius para o sistema operacional VMS, um sistema operacional muito popular na época dia.
Então basicamente peguei uma cópia do código-fonte e um amigo meu me informou. Quando fui parar no tribunal depois de o FBI me ter prendido, um procurador federal disse a um juiz que não só tínhamos de deter o Sr. Mitnick como uma ameaça à segurança nacional, como também Teria que ter certeza de que não conseguiria chegar perto de um telefone, porque poderia simplesmente pegar um telefone público, conectar-se a um modem no NORAD, assobiar o código de lançamento e possivelmente iniciar um ataque nuclear. guerra. E quando o promotor disse isso, comecei a rir porque nunca tinha ouvido falar de algo tão ridículo na minha vida. Mas o juiz, inacreditavelmente, comprou anzol e chumbada, e acabei sendo mantido em um centro de detenção federal em confinamento solitário por quase um ano. Você não consegue se associar com ninguém, você está trancado em um quarto pequeno, provavelmente do tamanho do seu banheiro, e fica sentado lá em um caixão de concreto. Foi uma espécie de tortura psicológica, e acho que o tempo máximo que uma pessoa deveria ficar em confinamento solitário é algo em torno de 19 dias, e eles me mantiveram lá por um ano. E foi baseado na noção ridícula de que eu poderia assobiar os códigos de lançamento.
DT: E quanto tempo depois disso você não teve permissão para usar eletrônicos básicos, ou pelo menos aqueles que pudessem permitir a comunicação?
km: Bem, o que aconteceu é que acabei me metendo em problemas algumas vezes depois de ser solto. Alguns anos depois, o FBI enviou um informante que era um verdadeiro hacker com orientação criminosa – ou seja, alguém que rouba informações de cartão de crédito para roubar dinheiro – para armar para mim. E percebi rapidamente o que o informante estava fazendo, então comecei a fazer contra-espionagem contra o FBI e comecei a hackear novamente. Essa história é realmente focada no livro: como eu estava quebrando a operação do FBI contra mim e descobri os agentes que trabalhavam contra mim e seus números de celular. Peguei seus números e os programei em um dispositivo que tinha como sistema de alerta precoce. Se eles chegassem perto da minha localização física, eu saberia disso. Eventualmente, depois que este caso terminou em 1999, eu tinha condições muito rigorosas. Eu não poderia tocar em nada que tivesse um transistor sem a permissão do governo. Eles me trataram como se eu fosse um MacGyver, deram a Kevin Mitnick uma bateria de nove volts e fita adesiva e ele se tornou um perigo para a sociedade.
Eu não podia usar aparelho de fax, celular, computador, nada que tivesse a ver com comunicação. E então, depois de dois anos, eles relaxaram essas condições porque fui contratado para escrever um livro chamado A arte do engano, e secretamente me deram permissão para usar um laptop, desde que eu não contasse à mídia e não me conectasse à Internet.
DT: Eu presumo que isso não foi apenas incrivelmente inconveniente, mas também pessoalmente difícil.
km: Sim, porque imagine… Fui preso em 1995 e libertado em 2000. E nesses cinco anos a Internet passou por uma mudança dramática, então nessa época era como se eu fosse Rip Van Wrinkle. Fui dormir e acordei e o mundo mudou. Então foi meio difícil ser proibido de tocar em tecnologia. E acredito que o governo só queria tornar as coisas extremamente difíceis para mim, ou eles realmente acreditaram que eu era uma ameaça à segurança nacional. Eu realmente não sei qual é, mas superei. Hoje consigo aproveitar toda essa experiência e minha carreira de hacker e agora sou pago por isso. Empresas de todo o mundo me contratam para invadir seus sistemas, encontrar vulnerabilidades e corrigi-las antes que os verdadeiros bandidos entrem. Viajo pelo mundo falando sobre segurança de computadores e aumentando a conscientização sobre isso, por isso tenho muita sorte de fazer isso hoje.
Acho que as pessoas sabem do meu caso e que violei a lei, mas não pretendia fazer isso por dinheiro ou prejudicar ninguém. Eu simplesmente tinha as habilidades. Eu não tinha nada a perder, estava fugindo do FBI, poderia ter aceitado dinheiro, mas isso ia contra a minha bússola moral. Lamento as ações que prejudicaram outras pessoas, mas não me arrependo realmente do hackeamento, porque para mim foi como um videogame.
DT: Hacking tem sido um tema de tendência este ano graças a hacktivistas como o Anonymous. Eles são um grupo extremamente polarizador – qual a sua opinião sobre eles?
km: Acho que a primeira coisa que o Anonymous está fazendo é aumentar a conscientização sobre segurança, ainda que de forma negativa. Mas eles certamente estão ilustrando que há muitas empresas por aí que são os frutos mais fáceis de alcançar, que seus sistemas têm segurança de má qualidade e que elas realmente precisam melhorá-la.
Não acredito que a sua mensagem política vá realmente provocar qualquer mudança no mundo. Acho que a única mudança que eles criam é tornarem-se uma prioridade maior para a aplicação da lei. É mais ou menos por isso que o FBI ficou tão chateado comigo. Quando eu era fugitivo, morava em Denver e descobri o que o informante estava fazendo, descobri através de meus sistema de alerta precoce (monitorando as comunicações do telefone celular) de que eles estavam indo e vindo para fazer buscas meu. Limpei meu apartamento de qualquer equipamento de computador ou qualquer coisa que o FBI pudesse levar, e comprei uma caixa grande de donuts e com um marcador escrevi “donuts do FBI” e coloquei na geladeira.
Eles executaram o mandado de busca no dia seguinte e ficaram furiosos porque eu não só sabia quando eles viriam, mas também havia comprado donuts para eles. Foi uma loucura de se fazer… falta um pouco de maturidade, mas achei hilário. E por causa disso, tornei-me um fugitivo, e o FBI estava prendendo as pessoas erradas que eles pensavam ser eu, e o New York Times estava fazendo com que elas fossem como Keystone Kops. Então, quando eles finalmente me pegaram, eles me martelaram. Eles me atacaram muito e, mesmo no meu caso... você sabe, eu roubei o código-fonte para encontrar falhas de segurança e invadi aparelhos da Motorola e da Nokia para não poder ser rastreado. E o governo solicitou a estas empresas que dissessem que as perdas que sofreram às minhas custas foram a totalidade dos seus investimentos em I&D que utilizaram em telemóveis. Então é como se uma criança entrasse no 7-11 e roubasse uma lata de Coca-Cola e dissesse que a perda que esse garoto causou à Coca era toda a fórmula.
E essa é uma das coisas que esclareci no livro: causei perdas. Não sei se foram US$ 10.000, US$ 100.000 ou US$ 300.000. Mas eu sei que foi errado e antiético fazer isso e sinto muito por isso, mas certamente não causei perdas de US$ 300 milhões. Na verdade, todas as empresas que invadi eram empresas de capital aberto e, de acordo com a SEC, se alguma empresa pública sofrer uma perda material, isso deverá ser comunicado aos acionistas. Nenhuma das empresas que invadi relatou um único centavo de perda.
Tornei-me um exemplo porque o governo queria enviar uma mensagem a outros possíveis hackers de que se você fizer esse tipo de coisa e jogar conosco, isso é o que vai acontecer com você. Como reação ao meu livro, algumas pessoas dizem “Oh, ele não está arrependido pelo que fez, faria de novo”. Não sinto muito pela invasão, mas sinto muito por qualquer dano que causei. Há uma distinção entre isso.
DT: Então, como você vê a evolução do hacking agora? A tecnologia está muito mais acessível do que nunca e cada vez mais consumidores são capazes de ultrapassar estes limites.
km: Os hackers continuarão a ser um problema e os invasores agora estão perseguindo os telefones celulares. Antes era o seu computador pessoal e agora é o seu dispositivo móvel, o seu Android, o seu iPhone. As pessoas guardam lá informações confidenciais, detalhes de contas bancárias, fotos pessoais. O hacking certamente está indo na direção dos telefones.
O malware está ficando mais sofisticado. As pessoas estão invadindo autoridades de certificação, então você tem um protocolo chamado SSL para compras online ou transações bancárias. E todo esse protocolo é baseado na confiança e nessas autoridades certificadoras, e os hackers estão comprometendo essas autoridades certificadoras e emitem seus próprios certificados. Então eles podem fingir ser o Bank of America, fingir ser o PayPal. É tudo mais sofisticado, mais complexo e mais importante para as empresas estarem conscientes do problema e tentarem mitigar a possibilidade de serem comprometidos.
DT: Que conselho você daria aos hackers hoje?
km: Não estava disponível na minha época, mas agora as pessoas podem aprender eticamente sobre hacking. Tem cursos, muitos livros, o custo de montar seu próprio laboratório de informática é muito barato e tem até Sites disponíveis na Internet, configurados para permitir que as pessoas tentem hackear para aumentar seus conhecimentos e habilidades – aqueles chamados Hacme Banco. As pessoas podem aprender sobre isso de forma ética agora, sem se meterem em problemas ou prejudicar ninguém.
DT: Você acha que isso incentiva as pessoas a usarem mal essas habilidades?
km: Eles provavelmente farão isso, tenham ou não ajuda. É uma ferramenta, hackear é uma ferramenta, então você pode pegar um martelo e construir uma casa ou pode bater na cabeça de alguém com ele. O que importa hoje é a ética. A palestra sobre ética para Kevin Mitnick foi: Não há problema em escrever programas de roubo de senhas no ensino médio. Portanto, é importante fazer com que as pessoas e as crianças se interessem por isso porque é um campo interessante, mas também ter o treinamento ético por trás dele para que possam usá-lo da melhor maneira.
DT: Você pode falar um pouco sobre Mac vs. Debate sobre segurança de janelas?
km: Macs são menos seguros, mas são menos direcionados. O Windows tem a maior participação de mercado, por isso é mais direcionado. Agora a Apple está obviamente aumentando sua segurança, e a razão pela qual você não ouve falar de muitos Macs sendo atacado é que os criadores de malware não escrevem códigos maliciosos para Macs porque eles simplesmente não eram populares suficiente. Quando você escreve um código malicioso, você deseja atacar muitas pessoas e, tradicionalmente, há muito mais pessoas executando o Windows.
À medida que a participação de mercado do Mac aumenta, naturalmente começaremos a vê-los mais direcionados.
DT: Qual sistema operacional é mais seguro?
km: Google Chrome OS. Você sabe porque? Porque você não pode fazer nada com isso. Você pode acessar os serviços do Google, mas não há nada para atacar. Mas não é uma solução viável para as pessoas. Eu recomendo usar um Mac, não apenas por questão de segurança, mas tenho menos problemas ao executar o Mac OS do que o Windows.
DT: Que nova tecnologia você acha mais fascinante no momento?
km: Lembro-me de quando tinha nove anos e estava dirigindo por Los Angeles com meu pai olhando para o barulho andar na rodovia pensando que um dia eles vão fazer tecnologia onde você nem precisará dirigir carro. Haverá algum tipo de solução eletrônica onde os carros dirigirão sozinhos e dificilmente haverá acidentes. E três, quatro décadas depois, o Google está testando esse tipo de tecnologia. Carros sem motorista. Acho que isso é coisa do tipo George Jetson.
