Сегодня Кевин Митник — эксперт по безопасности, который проникает в компании своих клиентов, чтобы выявить их слабые места. Он также является автором нескольких книг, в том числе Призрак в проводах. Но больше всего он известен как хакер, который годами ускользал от ФБР и в конечном итоге был заключен в тюрьму за свои действия. У нас была возможность поговорить с ним о том, как он провел время в одиночной камере, о взломе McDonald’s и о том, что он думает об Anonymous.
Digital Trends: Когда вы впервые заинтересовались хакерством?
Рекомендуемые видео
Кевин Митник: На самом деле то, что привело меня к хакерству, было моим хобби - фрикингом по телефону. Когда я учился в младших классах средней школы, я был очарован магией и встретил еще одного ученика, который умел творить магию с помощью телефона. Он мог делать все эти трюки: я мог позвонить по номеру, который он мне назвал, а он звонил по другому, и мы соединялись вместе, и это называется обходом. Это была тестовая схема телефонной компании. Он показал мне, что у него есть секретный номер в телефонной компании, он мог набрать номер, и он издавал странный сигнал, а затем ввел пятизначный код и мог позвонить куда угодно бесплатно.
У него были секретные номера телефонной компании, по которым он мог позвонить, и ему не нужно было называть себя. могло бы случиться, если бы у него был номер телефона, он мог бы найти имя и адрес этого номера, даже если бы он был неопубликовано. Он мог пробить переадресацию звонков. Он умел творить чудеса с телефоном, и я по-настоящему увлекся телефонной компанией. А я был шутником. Я любил шалости. Моя нога в хакерстве заключалась в том, что я разыгрывал друзей.
Одной из моих первых шуток было то, что я поменял домашний телефон друзей на телефон-автомат. Поэтому всякий раз, когда он или его родители пытались позвонить, ему говорили: «Пожалуйста, внесите четвертак».
Итак, я начал заниматься хакерством благодаря увлечению телефонной компанией и желанию пошутить.
ДТ: Откуда вы взяли технические знания, чтобы начать делать эти вещи?
км: Я сам интересовался технологиями, и он на самом деле не рассказывал мне, как он это делал. Иногда я подслушивал, что он делает, и знал, что он использует социальную инженерию, но он такой: фокусник, который делал фокусы, но не рассказывал мне, как они были сделаны, так что мне пришлось это решать сам.
До знакомства с этим парнем я уже был радистом-любителем. Я сдал экзамен по любительской радиосвязи, когда мне было 13 лет, и я уже увлекался электроникой и радио, поэтому у меня было техническое образование.
Это было в 70-х, и я не мог получить лицензию CB, потому что нужно было быть 18 лет, а мне было 11 или 12. Итак, однажды, когда я ехал на автобусе, я встретил этого водителя автобуса, и этот водитель познакомил меня с любительским радио. Он показал мне, как он может звонить по телефону с помощью портативной рации, и я подумал, что это очень круто, потому что тогда еще не было сотовой связи. телефоны, и я подумал: «Ух ты, это так круто, мне нужно об этом узнать». Я взял несколько книг, прошел несколько курсов и в 13 лет сдал экзамен. экзамен.
Потом я узнал о телефонах. После этого другой ученик старшей школы познакомил меня с преподавателем информатики, чтобы я пошел на компьютерный класс. Инструктор меня сначала не пустил, потому что я не соответствовал требованиям, а потом я ему показал. все трюки, которые я мог проделать с телефоном, и он был полностью впечатлен и позволил мне войти в сорт.
ДТ: Есть ли у вас любимый хак или тот, которым вы особенно гордитесь?
км: Взлом, к которому я больше всего привязан, — это взлом McDonald’s. Что я придумал — вы помните, у меня была лицензия на любительскую радиосвязь — я мог взять на себя управление окнами подъезда. Я бы сел через дорогу и взял бы их на себя. Вы можете себе представить, как весело вы могли бы провести время в 16, 17 лет. Итак, человек в Макдональдсе мог слышать все, что происходит, но он не мог меня одолеть, я одолел бы его.
Клиенты подъезжали, и я принимал их заказ и говорил: «Хорошо, вы сегодня 50-й клиент, ваш заказ бесплатен, пожалуйста, подъезжайте вперед». Или полицейские придут а иногда я говорил: «Извините, сэр, у нас сегодня для вас нет пончиков, а полицейским мы подаем только Dunkin Donuts». Либо так, либо я бы сказал: «Спрячьте кокаин! Спрячьте кокаин!»
Дошло до того, что менеджер выходил на парковку, осматривал стоянку, заглядывал в машины, и, конечно, никого вокруг. Поэтому он подходил к громкоговорителю и действительно заглядывал внутрь, как будто внутри спрятался человек, а затем я говорил: «На что, черт возьми, ты смотришь!»
Д.Т.: Не могли бы вы рассказать немного о разнице между социальной инженерией, позволяющей проникнуть в сеть, и фактическим ее взломом?
км: Дело в том, что большинство хаков являются гибридными. Вы можете попасть в сеть, используя ее эксплуатацию – ну, вы знаете, найдя чисто технический способ. Вы можете сделать это, манипулируя людьми, имеющими доступ к компьютерам, раскрывая информацию или выполняя «элемент действия», например, открывая PDF-файл. Или вы можете получить физический доступ к тому, где находятся их компьютеры или серверы, и сделать это таким образом. Но на самом деле это не то и не другое, это действительно зависит от цели и ситуации, и именно здесь хакер решает, какой навык использовать и какой путь он собирается использовать для взлома системы.
Сегодня социальная инженерия представляет собой серьезную угрозу, поскольку RSA [Security] и Google были взломаны с помощью техники, называемой целевым фишингом. Атаки RSA, которые были значительными, поскольку злоумышленники украли начальные значения токенов, которые оборонные подрядчики использовали для аутентификации, хакеры заминировали документ Excel с помощью Flash объект. Они нашли цель в RSA, которая имела бы доступ к нужной им информации, и отправили этот заминированный документ жертве, и когда они открыли документ Excel (который, вероятно, был отправлен из, похоже, законного источника, клиента, делового партнера), он незаметно воспользовался уязвимостью в Adobe Flash, после чего хакер получил доступ к рабочей станции этого сотрудника и внутренней базе данных RSA. сеть.
Целенаправленный фишинг использует два компонента: социальные сети, позволяющие побудить человека открыть документ Excel, и второй компонент. Частью является техническая эксплуатация ошибки или недостатка безопасности в Adobe, которая давала злоумышленнику полный контроль над компьютер. И именно так это работает в реальном мире. Вы не просто звоните кому-то по телефону и спрашиваете пароль; Атаки обычно являются гибридными и сочетают в себе техническую и социальную инженерию.
В Призрак в проводахЯ описываю, как я использовал обе техники.
ДТ: Одна из причин, по которой ты написал Призрак в проводах должен был обратиться к некоторым измышлениям о себе.
км: О да, обо мне написали три книги, был фильм под названием Снять В итоге я урегулировал иск во внесудебном порядке, и они согласились внести изменения в сценарий, и он так и не был выпущен в прокат в Соединенных Штатах. У меня был репортер New York Times, который написал историю о том, как я взломал НОРАД в 1983 году и чуть не начал Третья мировая война или что-то в этом роде - констатировало это как факт, который был совершенно необоснованным. обвинение.
В глазах общественности было много вещей, которые были просто неправдой, и много вещей, о которых люди действительно не знали. И я подумал, что важно, чтобы моя книга действительно рассказала мою историю и, по сути, прояснила ситуацию. Я тоже думал, что моя история похожа на Поймай меня, если сможешьУ меня была игра в кошки-мышки с ФБР, длившаяся два десятилетия. И я не собирался зарабатывать деньги. Фактически, когда я был в бегах, я работал с 9 до 5, чтобы прокормить себя, а по ночам занимался хакингом. У меня были навыки, позволяющие при желании украсть данные кредитной карты и информацию о банковском счете, но мой моральный компас не позволял мне этого сделать. И моей основной причиной взлома на самом деле был вызов: например, восхождение на Эверест. Но основной причиной было мое стремление к знаниям. В детстве я увлекался магией и любительским радио, мне нравилось разбирать вещи и узнавать, как они работают. В мое время не было возможности научиться этически хакингу, это был другой мир.
Даже когда я учился в старшей школе, я чувствовал воодушевление к хакингу. Одним из моих первых заданий было написать программу для поиска первых 100 чисел ньокки. Вместо этого я написал программу, которая могла перехватывать пароли людей. И я так усердно над этим работал, потому что думал, что это круто и весело, поэтому у меня не было времени заниматься самим. задание и вместо этого сдал это — и получил пятерку и кучу «хороших парней». Я начал в другом мир.
ДТ: И вас даже посадили в одиночную камеру, пока вы были в тюрьме, из-за того, что люди думали, что вы способны делать.
км: О да, да. Много лет назад, в середине 80-х, я взломал компанию Digital Equipment Corporation, и меня интересовала моя долгосрочная цель — стать лучшим из возможных хакеров. У меня не было никакой цели, кроме как попасть в систему. Что я сделал, так это то, что я принял прискорбное решение и решил заняться исходным кодом, что похоже на секретный рецепт Orange Julius для операционной системы VMS, очень популярной операционной системы еще в день.
По сути, я взял копию исходного кода, и мой друг сообщил мне об этом. Когда я оказался в суде после того, как ФБР арестовало меня, федеральный прокурор сказал судье, что мы не только должны задержать г-на Митника как угрозу национальной безопасности, но и должен убедиться, что он не сможет приблизиться к телефону, потому что он может просто взять трубку-автомат, подключиться к модему в НОРАД, просвистеть код запуска и, возможно, запустить ядерную война. И когда прокурор сказал это, я начал смеяться, потому что никогда в жизни не слышал чего-то настолько нелепого. Но судья, как ни странно, купил мне крючок и грузило, и в итоге меня продержали в федеральном изоляторе в одиночной камере почти год. У тебя нет возможности ни с кем общаться, тебя запирают в маленькой комнате размером, наверное, с твою ванную комнату, и ты просто сидишь там в бетонном гробу. Это было что-то вроде психологической пытки, и я думаю, что максимальное время, которое человек должен находиться в одиночной камере, — это что-то около 19 дней, а меня там держали год. И это было основано на нелепой идее, что я могу насвистывать коды запуска.
ДТ: И как долго после этого вам не разрешалось пользоваться элементарной электроникой или, по крайней мере, той, которая обеспечивала связь?
км: Ну, случилось следующее: после того, как меня освободили, я пару раз попадал в неприятности. Пару лет спустя ФБР послало информатора, который был настоящим и криминально ориентированным хакером – то есть человеком, который крадет данные кредитной карты, чтобы украсть деньги – чтобы подставить меня. И я быстро понял, что делает информатор, поэтому начал заниматься контрразведкой против ФБР и снова начал хакерство. В книге основное внимание уделяется этой истории: как я прервал операцию ФБР против меня и узнал агентов, которые работали против меня, и номера их мобильных телефонов. Я взял их номера и запрограммировал их в устройство, которое использовалось в качестве системы раннего предупреждения. Если бы они приблизились к моему физическому местоположению, я бы об этом узнал. В конце концов, после того, как это дело было завершено в 1999 году, мне были предъявлены очень строгие условия. Я не мог прикасаться к чему-либо, где был установлен транзистор, без разрешения правительства. Они обращались со мной так, как будто я МакГайвер, дали Кевину Митнику девятивольтовую батарею и изоленту, и он стал опасен для общества.
Я не мог пользоваться факсом, мобильным телефоном, компьютером — всем, что имело какое-либо отношение к связи. А затем, в конце концов, через два года они смягчили эти условия, потому что мне было поручено написать книгу под названием Искусство обмана, и они тайно разрешили мне пользоваться ноутбуком при условии, что я не сообщу об этом СМИ и не подключусь к Интернету.
Д.Т.: Я бы предположил, что это было не только невероятно неудобно, но и лично сложно.
км: Да, потому что представьте… Меня арестовали в 1995 году и выпустили в 2000 году. И за эти пять лет Интернет претерпел кардинальные изменения, так что на этот раз я был Рипом Ван Ринклом. Я заснул и проснулся, и мир изменился. Так что было довольно сложно запретить прикасаться к технологиям. И правительство, я полагаю, просто хотело очень жестко со мной обращаться, или они действительно считали, что я представляю угрозу национальной безопасности. Я действительно не знаю, какой именно, но я справился с этим. Сегодня я могу использовать весь этот опыт и свою хакерскую карьеру, и теперь мне за это платят. Компании нанимают меня со всего мира, чтобы я взламывал их системы, находил их уязвимости и устранял их до того, как туда проникнут настоящие злодеи. Я путешествую по миру, рассказывая о компьютерной безопасности и повышая осведомленность о ней, поэтому мне очень повезло, что я делаю это сегодня.
Я думаю, что люди знают о моем деле и о том, что я нарушил закон, но я не собирался делать это ради денег или причинения кому-либо вреда. У меня просто были навыки. Мне было нечего терять, я скрывался от ФБР и мог взять деньги, но это противоречило моим моральным принципам. Я сожалею о действиях, которые причинили вред другим, но на самом деле я не сожалею о взломе, потому что для меня это было похоже на видеоигру.
Д.Т.: Хакерство стало трендовой темой в этом году благодаря таким активистам, как Anonymous. Это крайне противоречивая группа. Что вы о них думаете?
км: Я думаю, что первое, что делает Anonymous, — это повышение осведомленности о безопасности, хотя и в негативном ключе. Но они, безусловно, показывают, что существует множество компаний, которые являются легко висящими плодами, что их системы имеют низкую безопасность, и им действительно необходимо ее улучшить.
Я не верю, что их политическое послание действительно приведет к каким-либо изменениям в мире. Я думаю, что единственное изменение, которое они вносят, — это повышение приоритета правоохранительных органов. Это похоже на то, почему ФБР так разозлилось на меня. Когда я скрывался от правосудия, жил в Денвере и выяснил, что делает информатор, я узнал через свой система раннего оповещения (отслеживание связи их сотовых телефонов) о том, что они приходят и собираются обыскивать мне. Я очистил свою квартиру от компьютерной техники и всего, что могло забрать ФБР, купил большую коробку пончиков, маркером написал на ней «пончики ФБР» и засунул ее в холодильник.
На следующий день они исполнили ордер на обыск и были в ярости, потому что я не только знал, когда они придут, но и купил им пончики. Это был безумный поступок… ему не хватает некоторой зрелости, но я подумал, что это весело. И из-за этого я стал беглецом, а ФБР арестовывало не тех людей, которых они считали мной, а газета «Нью-Йорк Таймс» выставляла их похожими на Кистоун Копс. Поэтому, когда они наконец схватили меня, они избили меня. Они на меня очень сильно напали, и даже в моем случае… вы знаете, я украл исходный код, чтобы найти дыры в безопасности, и взломал телефоны Motorola и Nokia, чтобы меня невозможно было отследить. И правительство потребовало от этих компаний сказать, что убытки, которые они понесли за мой счет, — это все их инвестиции в исследования и разработки, которые они использовали для мобильных телефонов. Так что это похоже на то, как если бы ребенок пришел в 7-11, украл банку кока-колы и сказал, что ущерб, который этот ребенок причинил кока-коле, и есть вся формула.
И это одна из вещей, которую я прямо указал в книге: я действительно причинил убытки. Я не знаю, было ли это 10 000 долларов, 100 000 долларов или 300 000 долларов. Но я знаю, что это было неправильно и неэтично с моей стороны, и я сожалею об этом, но я определенно не причинил убытков в 300 миллионов долларов. Фактически, все компании, которые я взломал, были публичными компаниями, и, согласно SEC, если какая-либо публичная компания несет материальные убытки, об этом необходимо сообщить акционерам. Ни одна из компаний, которые я взломал, не сообщила ни об убытках.
Я стал примером, потому что правительство хотело дать понять другим потенциальным хакерам, что если вы будете делать подобные вещи и играть с нами в игры, с вами произойдет именно это. В ответ на мою книгу некоторые люди говорят: «О, он не сожалеет о том, что сделал, он сделает это снова». Я не сожалею о взломе, но я сожалею о любом вреде, который я причинил. Между этим есть разница.
Д.Т.: Каким вы видите развитие хакерства прямо сейчас? Технологии стали гораздо более доступными, чем когда-либо, и все больше и больше потребителей способны расширить эти границы.
км: Взлом по-прежнему будет проблемой, и теперь злоумышленники охотятся за мобильными телефонами. Раньше это был ваш персональный компьютер, а теперь это ваше мобильное устройство, ваш Android, ваш iPhone. Люди хранят там конфиденциальную информацию, данные банковского счета, личные фотографии. Хакерство, безусловно, идет в сторону телефонов.
Вредоносное ПО становится все более изощренным. Люди взламывают центры сертификации, поэтому у вас есть протокол SSL для онлайн-покупок или банковских транзакций. И весь этот протокол основан на доверии и этих центрах сертификации, а хакеры компрометируют эти центры сертификации и выдают себе собственные сертификаты. Чтобы они могли притвориться Bank of America, притвориться PayPal. Для компаний все сложнее, сложнее и важнее осознавать проблему и пытаться снизить вероятность того, что они будут скомпрометированы.
ДТ: Какой совет вы бы дали хакерам сегодня?
км: В мое время это было недоступно, но теперь люди могут этически узнать о хакерстве. Есть курсы, много книг, стоимость создания собственной компьютерной лаборатории очень невелика, и даже есть веб-сайты. в Интернете, которые созданы для того, чтобы люди могли попытаться взломать его, чтобы расширить свои знания и навыки – они называются Hacme Банк. Теперь люди могут этически узнать об этом, не попадая в неприятности и не причиняя вреда кому-либо еще.
Д.Т.: Как вы думаете, это побуждает людей злоупотреблять этими навыками?
км: Они, вероятно, сделают это независимо от того, получат ли они помощь или нет. Это инструмент, хакерство — это инструмент, поэтому вы можете взять молоток и построить дом, а можете пойти и ударить им кого-нибудь по голове. Сегодня важна этика. Выступление Кевина Митника по этике звучало так: писать программы для кражи паролей в старшей школе — это нормально. Поэтому важно заинтересовать людей и детей этим, потому что это интересная область, но также обеспечить обучение этике, чтобы они могли использовать ее с пользой.
ДТ: Можете ли вы рассказать немного о Mac vs. Дебаты о безопасности окон?
км: компьютеры Mac менее безопасны, но они менее уязвимы. Windows занимают наибольшую долю рынка, поэтому они более целевые. Теперь Apple, очевидно, усиливает свою безопасность, и причина, по которой вы не слышите о многих компьютерах Mac, заключается в том, что атаковано то, что авторы вредоносных программ не пишут вредоносный код для компьютеров Mac, потому что они просто не пользовались популярностью достаточно. Когда вы пишете вредоносный код, вы хотите атаковать множество людей, а традиционно Windows использует гораздо больше людей.
По мере роста доли рынка Mac мы, естественно, начнем видеть, что они станут более целенаправленными.
ДТ: Какая ОС наиболее безопасна?
км: ОС Google Chrome. Ты знаешь почему? Потому что с этим ничего не поделаешь. Вы можете получить доступ к сервисам Google, но атаковать нечего. Но это не жизнеспособное решение для людей. Я бы рекомендовал использовать Mac не только из-за безопасности, но и из-за того, что у меня меньше проблем с Mac OS, чем с Windows.
ДТ: Какая новая технология вам сейчас кажется наиболее интересной?
км: Я помню, когда мне было девять лет, я ехал по Лос-Анджелесу, а мой отец смотрел на грохот. раздеться на автостраде, думая, что однажды они создадут технологию, при которой вам даже не придется водить машину машина. Будет какое-то электронное решение, при котором автомобили будут ездить сами по себе, и аварий практически не будет. И три-четыре десятилетия спустя Google тестирует эту технологию. Автомобили без водителя. Я думаю, это что-то вроде Джорджа Джетсона.
