Astăzi, Kevin Mitnick este un expert în securitate care se infiltrează în companiile clienților săi pentru a-și expune punctele slabe. De asemenea, este autorul mai multor cărți, inclusiv Ghost in the Wires. Dar el este cel mai cunoscut drept hackerul care a scăpat de FBI ani de zile și, în cele din urmă, a fost închis pentru căile sale. Am avut ocazia să vorbim cu el despre timpul petrecut în izolare, despre spartul McDonald’s și despre ce crede el despre Anonymous.
Digital Trends: Când ați devenit prima dată interesat de hacking?
Videoclipuri recomandate
Kevin Mitnick: De fapt, ceea ce m-a început în hacking a fost acest hobby pe care îl aveam să apelez la telefon. Când eram junior în liceu, eram fascinat de magie și l-am întâlnit pe un alt elev care era capabil să facă magie cu un telefon. El ar putea face toate aceste trucuri: aș putea suna la un număr pe care mi l-a spus și el ar suna pe altul și am fi uniți împreună, iar asta se numește o buclă. Era un circuit de testare al companiei de telefonie. Mi-a arătat că deținea acest număr secret la compania de telefonie, putea să formeze un număr și dădea un ton ciudat, apoi introducea un cod de cinci cifre și putea suna oriunde gratuit.
Avea numere secrete la compania de telefonie la care putea suna și nu trebuia să se identifice, ce s-ar întâmpla dacă ar avea un număr de telefon, ar putea găsi numele și adresa acelui număr chiar dacă ar fi nepublicat. Ar putea trece prin redirecționarea apelurilor. Putea să facă magie cu telefonul, iar eu am devenit foarte fascinat de compania de telefonie. Și am fost o farsă. Mi-au plăcut farsele. Piciorul meu în ușă în hacking făcea farse prietenilor.
Una dintre primele mele farse a fost că aș schimba telefonul de acasă al prietenilor mei cu un telefon public. Așa că, ori de câte ori el sau părinții lui încercau să sune, acesta spunea „vă rog să depuneți un sfert”.
Așa că intrarea mea în hacking a fost fascinația mea pentru compania de telefonie și dorința de a face farse.
DT: De unde ai obținut cunoștințele tehnice pentru a începe să realizezi aceste lucruri?
KM: Eu însumi eram interesat de tehnologie și nu mi-a spus de fapt cum a făcut lucrurile. Uneori auzeam ce face și știam că folosea inginerie socială, dar era ca magicianul care a făcut trucurile, dar nu mi-a spus cum au fost făcute, așa că va trebui să rezolv eu insumi.
Înainte de a-l întâlni pe acest tip, eram deja un radioamator. Am trecut testul de radio HAM când aveam 13 ani și eram deja pasionat de electronică și radio, așa că aveam acea pregătire tehnică.
Era în anii 70 și nu am putut obține o licență C.B. pentru că trebuia să ai 18 ani, iar eu aveam 11 sau 12 ani. Așa că, într-o zi, l-am întâlnit pe acest șofer de autobuz când mergeam cu autobuzul, iar acest șofer mi-a prezentat radioul HAM. Mi-a arătat cum putea să facă apeluri telefonice folosind radioul său portabil, ceea ce mi s-a părut super tare pentru că era înainte de telefon. telefoane și m-am gândit „Wow, e atât de tare, trebuie să învăț despre asta.” Am luat niște cărți, am făcut niște cursuri și la 13 ani am trecut examen.
Apoi am învățat despre telefoane. După aceea, un alt elev din liceu mi-a prezentat instructorul de informatică să iau o oră de informatică. La început instructorul nu m-a lăsat să intru pentru că nu îndeplineam cerințele, apoi i-am arătat toate trucurile pe care le puteam face cu telefonul, iar el a fost complet impresionat și mi-a permis să intru clasă.
DT: Ai un hack preferat sau unul de care ai fost deosebit de mândru?
KM: Hack-ul de care sunt cel mai atașat a fost piratarea McDonald’s. Ceea ce am rezolvat - vă amintiți că aveam permisul meu de radio HAM - puteam prelua geamurile de la drum. M-aș așeza peste drum și le-aș prelua. Vă puteți imagina la 16, 17 ani, ce distracție v-ați putea distra. Așa că persoana din McDonald’s putea auzi tot ce se întâmplă, dar ei nu m-au putut învinge pe mine, eu le-aș învinge.
Clienții veneau cu mașina, iar eu le luam comanda și le spuneam „Bine, ești al 50-lea client astăzi, comanda ta este gratuită, te rog să mergi înainte”. Sau ar veni polițiștii și uneori spuneam „Îmi pare rău, domnule, că astăzi nu avem gogoși pentru dumneavoastră, iar pentru ofițerii de poliție servim doar gogoși Dunkin”. Ori asta, ori aș spune: „Ascunde cocaină! Ascunde cocaina!”
A ajuns la punctul în care managerul ieșea în parcare, se uita la lot, se uita în mașini și, bineînțeles, nu era nimeni prin preajmă. Așa că se ducea la difuzorul și se uita înăuntru ca și cum ar fi un bărbat ascuns înăuntru, iar apoi îmi spuneam „La ce naiba te uiți!”
DT: Veți vorbi puțin despre diferența dintre ingineria socială a drumului dvs. într-o rețea și de fapt hacking într-una?
KM: Adevărul este că majoritatea hackurilor sunt hibride. Ai putea intra într-o rețea prin exploatarea rețelei – știi, găsind o modalitate pur tehnică. Ați putea face acest lucru prin manipularea persoanelor care au acces la computere, pentru a dezvălui informații sau pentru a face o „acțiune” cum ar fi deschiderea unui fișier PDF. Sau puteți obține acces fizic la locul în care sunt computerele sau serverele lor și puteți face acest lucru. Dar nu este cu adevărat una sau alta, se bazează într-adevăr pe țintă și pe situație, și acolo decide hackerul ce abilitate să folosească, ce cale va folosi pentru a încălca sistemul.
Acum, astăzi, ingineria socială este o amenințare substanțială, deoarece RSA [Security] și Google au fost piratate, iar acestea au fost printr-o tehnică numită spear phishing. Cu atacurile RSA, care au fost substanțiale pentru că atacatorii au furat semințele de simboluri care contractorii de apărare folosiți pentru autentificare, hackerii au prins un document Excel cu un Flash obiect. Ei au găsit o țintă în RSA care ar avea acces la informațiile pe care le doreau și i-au trimis victimei acest document prin capcană și când au deschis documentul Excel (care a fost probabil trimis din ceea ce părea o sursă legitimă, un client, partener de afaceri) a exploatat în mod invizibil o vulnerabilitate din Adobe Flash, iar hackerul a avut apoi acces la stația de lucru a acestui angajat și la sistemul intern al RSA. reţea.
Spear phishing utilizează două componente: rețelele sociale pentru a determina persoana să deschidă documentul Excel și a doua o parte este exploatarea tehnică a unui bug sau a unei erori de securitate în Adobe care a oferit atacatorului controlul deplin asupra calculator. Și așa funcționează în lumea reală. Nu sunați pe cineva la telefon și cereți o parolă; atacurile sunt de obicei hibride și combină ingineria tehnică și socială.
În Ghost in the Wires, descriu cum am folosit ambele tehnici.
DT: O parte din motivul pentru care ai scris Ghost in the Wires a fost să abordez unele dintre născocirile despre tine.
KM: Oh, da, au fost scrise trei cărți despre mine, a fost un film numit Dă jos pentru care am ajuns să rezolv un proces în afara instanței și au fost de acord să schimbe scenariul și nu a fost niciodată lansat în cinematografe în Statele Unite. Am avut un reporter New York Times care a scris o poveste pe care am piratat-o în NORAD în 1983 și aproape că a început Al Treilea Război Mondial sau ceva ridicol de genul acesta - a declarat-o ca un fapt, care a fost complet fără sursă afirmaţie.
Există o mulțime de lucruri în ochii publicului care pur și simplu nu erau adevărate și multe lucruri pe care oamenii cu adevărat nu le știau. Și am crezut că este important să-mi fac cartea să-mi spună cu adevărat povestea și, practic, să clarific lucrurile. De asemenea, am crezut că povestea mea e ca Prinde-ma daca poti, Am avut un joc de două decenii cu pisica și șoarecele cu FBI. Și nu am vrut să câștig bani. De fapt, când eram pe fugă, lucram între 9 și 5 locuri de muncă pentru a mă întreține și făceam hacking noaptea. Aveam abilitățile că, dacă aș fi vrut, aș fi putut fura detaliile cărții de credit și informațiile contului bancar, dar busola mea morală nu m-ar lăsa să fac asta. Și principalul meu motiv pentru hacking a fost într-adevăr provocarea: ca și urcarea pe Muntele Everest. Dar motivul principal a fost căutarea mea de cunoaștere. Când eram copil interesat de magie și radioul HAM, îmi plăcea să dezmeticez lucrurile și să aflu cum funcționează. Pe vremea mea nu existau căi de a învăța hacking-ul etic, era o lume diferită.
Chiar și când eram în liceu, m-am simțit încurajat să piratez. Una dintre primele mele sarcini a fost să scriu un program pentru a găsi primele 100 de numere Gnocchi. În schimb, am scris un program care ar putea capta parolele oamenilor. Și am muncit din greu la asta pentru că mi s-a părut mișto și distractiv, așa că nu am avut timp să fac adevărata misiune și am predat-o pe aceasta în schimb – și am primit un A și o mulțime de „băieți Atta”. Am început într-un alt mod lume.
DT: Și ai fost chiar izolată în timp ce erai în închisoare din cauza lucrurilor pe care oamenii credeau că poți să le faci.
KM: Oh, da, da. Cu ani în urmă, la mijlocul anilor 80, am intrat într-o companie numită Digital Equipment Corporation, iar ceea ce mă interesa era obiectivul meu pe termen lung de a deveni cel mai bun hacker posibil. Nu aveam niciun scop decât să intru în sistem. Ceea ce am făcut a fost că am luat o decizie regretabilă și am decis să merg după codul sursă, care este ca rețeta secretă pentru Orange Julius pentru sistemul de operare VMS, un sistem de operare foarte popular în trecut zi.
Așa că practic am luat o copie a codului sursă și un prieten de-al meu a informat despre mine. Când am ajuns în instanță după ce FBI m-a arestat, un procuror federal îi spusese unui judecător că nu numai că trebuie să-l reținem pe domnul Mitnick ca amenințare la securitatea națională, ci și trebuie să se asigure că nu se poate apropia de un telefon, pentru că ar putea pur și simplu să ridice un telefon public, să se conecteze la un modem la NORAD, să fluieră codul de lansare și, eventual, să pornească o nucleară. război. Și în timp ce procurorul a spus asta, am început să râd pentru că n-am auzit de ceva atât de ridicol în viața mea. Dar judecătorul, incredibil, a cumpărat cârlig și plombă și am ajuns să fiu ținut într-un centru federal de detenție în izolare timp de aproape un an. Nu poți să te asociezi cu nimeni, ești încuiat într-o cameră mică, probabil de dimensiunea băii tale și doar stai acolo într-un sicriu de beton. A fost un fel de tortură psihologică și cred că timpul maxim pe care se presupune că o persoană ar trebui să fie în izolare este cam 19 zile și m-au ținut acolo timp de un an. Și se baza pe o noțiune ridicolă că aș putea fluiera codurile de lansare.
DT: Și cât timp după aceea nu ai avut voie să folosești electronice de bază, sau cel puțin cele care ar putea permite comunicarea?
KM: Ei bine, ceea ce sa întâmplat este că am ajuns să am probleme de câteva ori după ce am fost eliberat. Câțiva ani mai târziu, FBI a trimis un informator care era un hacker real și orientat spre criminalitate – adică cineva care fură informații despre cardul de credit pentru a fura bani – să mă pună la cale. Și mi-am dat seama repede ce făcea informatorul, așa că am început să fac contrainformații împotriva FBI-ului și am început să pirateze din nou. Această poveste este într-adevăr concentrată în carte: cum am încălcat operațiunea FBI împotriva mea și am aflat agenții care lucrau împotriva mea și numerele lor de telefon mobil. Le-am luat numerele și le-am programat într-un dispozitiv pe care îl aveam ca sistem de avertizare timpurie. Dacă s-ar apropia de locația mea fizică, aș ști despre asta. În cele din urmă, după ce acest caz s-a terminat în 1999, am avut condiții foarte stricte. Nu am putut atinge nimic cu un tranzistor în el fără permisiunea guvernului. M-au tratat ca și cum aș fi un MacGyver, i-au dat lui Kevin Mitnick o baterie de nouă volți și bandă adezivă și este un pericol pentru societate.
Nu puteam folosi un fax, un telefon mobil, un computer, nimic care să aibă vreo legătură cu comunicațiile. Și apoi, în cele din urmă, după doi ani, au relaxat acele condiții pentru că mi-am fost însărcinat să scriu o carte numită Arta înșelăciunii, și mi-au dat în secret permisiunea să folosesc un laptop atâta timp cât nu am spus mass-media și nu mă conectez la internet.
DT: Aș presupune că acest lucru nu a fost doar incredibil de incomod, ci și personal dificil.
KM: Da, pentru că imaginați-vă... Am fost arestat în 1995 și eliberat în 2000. Și în acei cinci ani, internetul a trecut printr-o schimbare dramatică, așa că în această perioadă parcă eram Rip Van Wrinkle. M-am culcat și m-am trezit și lumea s-a schimbat. Așa că a fost cam greu să ți se interzică să atingi tehnologia. Și guvernul, cred, a vrut doar să-mi facă asta extrem de greu, sau chiar au crezut că sunt o amenințare pentru securitatea națională. Chiar nu știu care este, dar am trecut prin asta. Astăzi sunt capabil să iau toate aceste experiențe și cariera mea de hacking și acum sunt plătit pentru asta. Companii mă angajează din toată lumea să intru în sistemele lor, să le găsesc vulnerabilitățile, astfel încât să le poată remedia înainte ca băieții răi adevărați să intre. Călătoresc prin lume vorbind despre securitatea computerelor și cresc gradul de conștientizare despre aceasta, așa că sunt extrem de norocos să fac asta astăzi.
Cred că oamenii știu despre cazul meu și că am încălcat legea, dar că nu am vrut să fac asta pentru bani sau să rănesc pe cineva. Am avut doar abilitățile. Nu aveam nimic de pierdut, fugeam de FBI, puteam să iau bani, dar era împotriva busolei mele morale. Regret acțiunile care i-au rănit pe alții, dar nu regret cu adevărat hacking-ul pentru că pentru mine a fost ca un joc video.
DT: Hacking-ul a fost un subiect în tendințe anul acesta datorită hactiviștilor precum Anonymous. Sunt un grup extrem de polarizant – ce părere aveți despre ei?
KM: Cred că primul lucru pe care îl face Anonymous este creșterea gradului de conștientizare a securității, deși printr-un mod negativ. Dar ei ilustrează cu siguranță că există o mulțime de companii acolo care sunt fructele care nu așteaptă, că sistemele lor au o securitate proastă și chiar trebuie să o îmbunătățească.
Nu cred că mesajul lor politic va aduce cu adevărat vreo schimbare în lume. Cred că singura schimbare pe care o creează este să-și facă ei înșiși o prioritate mai mare pentru aplicarea legii. Este un fel de ce FBI-ul a fost atât de supărat pe mine. Când eram fugar, locuiam în Denver și îmi dădusem seama ce făcea informatorul, am aflat prin intermediul meu sistem de avertizare timpurie (monitorizarea comunicațiilor cu telefonul mobil) că ei veneau și mergeau să caute pe mine. Mi-am curățat apartamentul de orice echipament de calculator sau orice ar fi luat FBI și am cumpărat o cutie mare de gogoși și, cu un Sharpie, am scris „gogoși FBI” pe ea și am băgat-o în frigider.
Au executat mandatul de percheziție a doua zi și au fost furioși pentru că nu numai că știam când vor veni, dar le cumpărasem gogoși. A fost o nebunie de făcut... îi lipsește o oarecare maturitate, dar mi s-a părut hilar. Și din această cauză, am devenit un fugar, iar FBI-ul aresta oamenii nepotriviți pe care ei credeau că sunt eu, iar New York Times îi făcea să fie ca Keystone Kops. Așa că, când m-au prins în sfârșit, m-au lovit cu ciocanul. Mi-au venit foarte greu și chiar și în cazul meu... știi, am furat codul sursă pentru a găsi găuri de securitate și am spart telefoane de la Motorola și Nokia, astfel încât să nu pot fi urmărit. Și guvernul le-a cerut acestor companii să spună că pierderile pe care le-au suferit pe cheltuiala mea au fost toate investițiile lor în cercetare și dezvoltare pe care le-au folosit pentru telefoanele mobile. Așa că este un fel ca un copil care intră în 7-11 și fură o cutie de Coca-Cola și spune că pierderea pe care acest copil i-a provocat-o lui Coca-Cola a fost întreaga formulă.
Și acesta este unul dintre lucrurile pe care le-am clarificat în carte: am cauzat pierderi. Nu știu dacă a fost 10.000 USD, 100.000 USD sau 300.000 USD. Dar știu că a fost greșit și lipsit de etică din partea mea și îmi pare rău pentru asta, dar cu siguranță nu am cauzat pierderi de 300 de milioane de dolari. De fapt, toate companiile în care am piratat au fost companii cotate la bursă și, potrivit SEC, dacă vreo companie publică suferă o pierdere semnificativă, aceasta trebuie raportată acționarilor. Niciuna dintre companiile în care am piratat nu a raportat nici un ban de pierdere.
Am devenit exemplul pentru că guvernul a vrut să trimită un mesaj altor potențiali hackeri că dacă faci astfel de lucruri și te joci cu noi, asta se va întâmpla cu tine. Ca reacție la cartea mea, unii oameni spun „Oh, nu-i pare rău pentru ceea ce a făcut, ar face-o din nou”, nu îmi pare rău pentru hacking, dar îmi pare rău pentru orice rău pe care l-am cauzat. Există o distincție între asta.
DT: Deci, cum vedeți că evoluează hacking-ul acum? Tehnologia este mult mai accesibilă decât oricând și tot mai mulți consumatori sunt capabili să depășească aceste limite.
KM: Hacking-ul va continua să fie o problemă, iar atacatorii caută acum telefoanele mobile. Înainte era computerul tău personal, iar acum este dispozitivul tău mobil, Android-ul tău, iPhone-ul tău. Oamenii păstrează acolo informații sensibile, detalii de cont bancar, fotografii personale. Hackingul merge cu siguranță în direcția telefoanelor.
Programele malware devin din ce în ce mai sofisticate. Oamenii piratau autoritățile de certificare, așa că aveți un protocol numit SSL pentru cumpărături online sau tranzacții bancare. Și întregul protocol se bazează pe încredere și pe aceste autorități de certificare, iar hackerii compromit aceste autorități de certificare și își emit propriile certificate. Așa că se pot preface că sunt Bank of America, se pot preface că sunt PayPal. Totul este mai sofisticat, mai complex și mai important pentru companii să fie conștiente de problemă și să încerce să atenueze șansa ca acestea să fie compromise.
DT: Ce sfat, dacă vreunul, le-ai da hackerilor astăzi?
KM: Nu era disponibil pe vremea mea, dar acum oamenii pot învăța din punct de vedere etic despre hacking. Există cursuri, o mulțime de cărți, costul înființării propriului laborator de calculatoare este foarte ieftin și există chiar site-uri web pe internet, care sunt configurate pentru a permite oamenilor să încerce să pirateze pentru a-și crește cunoștințele și abilitățile – cele numite Hacme Bancă. Oamenii pot învăța din punct de vedere etic despre asta acum, fără a avea probleme sau a răni pe altcineva.
DT: Crezi că asta îi încurajează pe oameni să folosească greșit aceste abilități?
KM: Probabil că o vor face indiferent dacă au sau nu ajutor. Este un instrument, hacking-ul este un instrument, așa că poți lua un ciocan și construi o casă sau poți să lovești pe cineva în cap cu el. Ceea ce este important astăzi este etica. Discuția despre etică pentru Kevin Mitnick a fost: Este în regulă să scrii programe de furt de parole în liceu. Așa că este important ca oamenii și copiii să fie interesați de acest lucru, deoarece este un domeniu interesant, dar să avem și pregătirea etică în spate, astfel încât să-l folosească într-un mod bun.
DT: Puteți vorbi puțin despre Mac vs. Dezbatere despre securitatea ferestrei?
KM: Mac-urile sunt mai puțin sigure, dar sunt mai puțin vizate. Windows are cea mai mare cotă de piață, așa că sunt mai bine direcționate. Acum, în mod evident, Apple își mărește securitatea și motivul pentru care nu auziți despre multe Mac-uri atacat este că autorii de programe malware nu scriu cod rău intenționat pentru Mac-uri pentru că pur și simplu nu erau populari suficient. Când scrieți cod rău intenționat, doriți să atacați o mulțime de oameni și, în mod tradițional, au existat mult mai mulți oameni care rulează Windows.
Pe măsură ce cota de piață Mac crește, vom începe în mod firesc să le vedem vizați mai mult.
DT: Ce sistem de operare este cel mai sigur?
KM: Google Chrome OS. Știi de ce? Pentru că nu poți face nimic cu el. Puteți accesa serviciile Google, dar nu aveți nimic de atacat. Dar nu este o soluție viabilă pentru oameni. Aș recomanda utilizarea unui Mac, nu numai din cauza securității, dar am mai puține probleme la rularea Mac OS decât Windows.
DT: Ce tehnologie nouă ți se pare cea mai fascinantă în acest moment?
KM: Îmi amintesc când aveam nouă ani și conduceam prin L.A. cu tatăl meu uitându-se la zgomot dezlipiți pe autostradă gândindu-vă că într-o zi vor face tehnologie în care nici măcar nu va trebui să conduceți mașină. Va exista un fel de soluție electronică în care mașinile se vor conduce singure și aproape că vor exista accidente. Și trei, patru decenii mai târziu, Google testează acest tip de tehnologie. Mașini fără șofer. Cred că sunt lucruri de genul George Jetson.
