Dnes je Kevin Mitnick bezpečnostný expert, ktorý infiltruje spoločnosti svojich klientov, aby odhalil ich slabé stránky. Je tiež autorom niekoľkých kníh, napr Ghost in the Wires. Najviac je však známy ako hacker, ktorý roky unikal FBI a nakoniec bol za svoje správanie uväznený. Mali sme možnosť porozprávať sa s ním o čase strávenom na samotke, hackovaní McDonald’s a o tom, čo si myslí o Anonymous.
Digitálne trendy: Kedy ste sa prvýkrát začali zaujímať o hackovanie?
Odporúčané videá
Kevin Mitnick: Vlastne to, čo ma naštartovalo k hackingu, bola táto záľuba, ktorú som mal volať telefón phreaking. Keď som bol mladší na strednej škole, bol som fascinovaný mágiou a stretol som ďalšieho študenta, ktorý dokázal kúzliť s telefónom. Mohol robiť všetky tieto triky: mohol som zavolať na číslo, ktoré mi povedal, a on zavolal na iné a spojili by sme sa a tomu sa hovorí slučka. Bol to testovací okruh telefónnej spoločnosti. Ukázal mi, že má toto tajné číslo v telefónnej spoločnosti, mohol vytočiť číslo a vydalo by divný tón, a potom zadal päťciferný kód a mohol volať kamkoľvek zadarmo.
V telefónnej spoločnosti mal tajné čísla, na ktoré mohol volať a nemusel sa identifikovať, čo by sa stalo, keby mal telefónne číslo, mohol by nájsť meno a adresu toho čísla, aj keby to tak bolo nepublikované. Mohol by prelomiť presmerovanie hovorov. Dokázal s telefónom kúzliť a telefónna spoločnosť ma naozaj fascinovala. A ja som bol vtipkár. Miloval som žarty. Moja noha vo dverách do hackovania robila žarty z priateľov.
Jedným z mojich prvých žartov bolo, že zmením domáci telefón mojich priateľov na telefónny automat. Takže vždy, keď sa on alebo jeho rodičia pokúsili zavolať, povedalo sa „vložte štvrtinu“.
Takže môj vstup do hackingu bola moja fascinácia telefónnou spoločnosťou a túžba robiť žarty.
DT: Kde ste získali technické znalosti, aby ste mohli začať s týmito vecami?
KM: Sám som sa zaujímal o technológie a v skutočnosti mi nepovedal, ako veci robil. Niekedy som si vypočul, čo robí, a vedel som, že používa sociálne inžinierstvo, ale bol taký kúzelníka, ktorý robil triky, ale nepovedal mi, ako sa to robí, takže som to musel vyriešiť ja ja.
Pred stretnutím s týmto chlapom som už bol rádioamatér. Keď som mal 13 rokov, absolvoval som test HAM rádia a už som sa venoval elektronike a rádiu, takže som mal technické vzdelanie.
Bolo to v 70-tych rokoch a ja som nemohol získať licenciu C.B., pretože ste museli mať 18 rokov a ja som mal 11 alebo 12. Tak som jedného dňa stretol vodiča autobusu, keď som išiel autobusom, a tento vodič mi predstavil rádio HAM. Ukázal mi, ako môže telefonovať pomocou svojho ručného rádia, o ktorom som si myslel, že je super, pretože to bolo pred mobilom telefóny a pomyslel som si: „To je také skvelé, musím sa o tom naučiť.“ Zobral som si nejaké knihy, absolvoval niekoľko kurzov a v 13 som ich absolvoval skúška.
Potom som sa dozvedel o telefónoch. Potom ma iný študent na strednej škole zoznámil s počítačovým inštruktorom, aby som absolvoval počítačovú triedu. Najprv ma inštruktor nepustil dnu, pretože som nespĺňal predpoklady, a potom som mu ukázal všetky triky, ktoré som mohol robiť s telefónom, bol úplne ohromený a dovolil mi vojsť trieda.
DT: Máš nejaký obľúbený hack alebo taký, na ktorý si bol obzvlášť hrdý?
KM: Hack, ku ktorému som najviac pripútaný, bolo hacknutie McDonald's. To, čo som vypracoval – pamätáte si, že som mal licenciu na rádio HAM – som mohol prevziať otváracie okná. Sedel by som cez ulicu a prebral by som ich. Viete si predstaviť vo veku 16, 17 rokov, akú zábavu by ste si mohli užiť. Takže osoba v McDonald's mohla počuť všetko, čo sa deje, ale nedokázali premôcť mňa, ja by som premohla ich.
Zákazníci by prišli a ja som prijal ich objednávku a povedal: „Dobre, dnes ste 50. zákazník, vaša objednávka je bezplatná, choďte vpred.“ Alebo by prišli policajti a niekedy som povedal: „Je mi ľúto, pane, dnes pre vás nemáme žiadne šišky a pre policajtov podávame iba šišky Dunkin. Buď to, alebo by som povedal: „Skryte to kokaín! Schovajte kokaín!"
Došlo to do bodu, keď manažér vyšiel na parkovisko, pozrel sa na pozemok, pozrel sa do áut a samozrejme nikto nebol naokolo. Takže podišiel k reproduktoru a skutočne sa pozrel dovnútra, akoby v ňom bol skrytý muž, a potom som povedal: "Na čo sa to do pekla pozeráš!"
DT: Porozprávaš trochu o rozdiele medzi sociálnym inžinierstvom, keď sa dostaneš do siete, a skutočným nabúraním sa do siete?
KM: Pravda je taká, že väčšina hackov je hybridných. Môžete sa dostať do siete prostredníctvom využívania siete – viete, nájsť čisto technický spôsob. Môžete to urobiť manipuláciou s ľuďmi, ktorí majú prístup k počítačom, aby ste odhalili informácie alebo vykonali „účinok“, ako je napríklad otvorenie súboru PDF. Alebo môžete získať fyzický prístup k tomu, kde sú ich počítače alebo servery, a urobiť to týmto spôsobom. Ale v skutočnosti to nie je jedno alebo druhé, je to skutočne založené na cieli a situácii, a to je miesto, kde sa hacker rozhodne, ktorú zručnosť použije, akú cestu použije na prelomenie systému.
Dnes je sociálne inžinierstvo značnou hrozbou, pretože RSA [Security] a Google boli napadnuté hackermi, a to prostredníctvom techniky nazývanej spear phishing. S útokmi RSA, ktoré boli značné, pretože útočníci ukradli token semená, ktoré Obranní dodávatelia, ktorí použili na overenie, hackeri nastražili dokument programu Excel pomocou Flash objekt. V rámci RSA našli cieľ, ktorý by mal prístup k informáciám, ktoré chceli, a poslali tento nastražený dokument obeti a keď otvorili dokument Excel (ktorý bol pravdepodobne odoslaný z niečoho, čo vyzeralo ako legitímny zdroj, zákazník, obchodný partner). neviditeľne zneužil zraniteľnosť v rámci Adobe Flash a hacker mal potom prístup k pracovnej stanici tohto zamestnanca a internému siete.
Spear phishing využíva dve zložky: sociálnu sieť, aby osoba otvorila dokument Excel, a druhú súčasťou je technické využitie chyby alebo bezpečnostnej chyby v Adobe, ktorá útočníkovi poskytla plnú kontrolu nad počítač. A takto to funguje v reálnom svete. Nielenže niekomu zavoláte na telefón a požiadate o heslo; útoky sú zvyčajne hybridné a kombinujú technické a sociálne inžinierstvo.
In Ghost in the Wires, popisujem, ako som použil obe techniky.
DT: Čiastočný dôvod, ktorý si napísal Ghost in the Wires bolo riešiť niektoré výmysly o sebe.
KM: Ach áno, boli o mne napísané tri knihy, bol tam aj film s názvom Take Down ktorý som skončil mimosúdnym urovnaním súdneho sporu a oni súhlasili so zmenami scenára a nikdy nebol v USA uvedený do kín. Mal som reportéra New York Times, ktorý napísal príbeh, ktorý som v roku 1983 nabúral do NORADu a skoro som začal WWIII alebo niečo také smiešne – uviedol to ako fakt, ktorý bol úplne bez zdrojov obvinenie.
Na verejnosti je veľa vecí, ktoré jednoducho neboli pravdivé, a veľa vecí, ktoré ľudia naozaj nevedeli. A ja som si myslel, že je dôležité, aby moja kniha skutočne rozprávala môj príbeh a v podstate to uviedla na pravú mieru. Tiež som si myslel, že môj príbeh je taký Chyť ma ak to dokážeš, Mal som dve desaťročia trvajúcu hru na mačku a myš s FBI. A nechcel som zarobiť peniaze. V skutočnosti, keď som bol na úteku, pracoval som 9 až 5 zamestnaní, aby som sa uživil a v noci som hackoval. Mal som schopnosti, že keby som chcel, mohol by som ukradnúť údaje o kreditnej karte a bankovom účte, ale môj morálny kompas mi to nedovolil. A môj primárny dôvod na hackovanie bola naozaj výzva: Ako vyliezť na Mt. Everest. Ale hlavným dôvodom bola moja honba za poznaním. Ako dieťa, ktoré sa zaujímalo o mágiu a rádio HAM, som rád rozoberal veci a zisťoval, ako fungujú. Za mojich čias neexistovali žiadne spôsoby, ako sa naučiť hackovať eticky, bol to iný svet.
Dokonca aj keď som bol na strednej škole, cítil som sa povzbudzovaný hackovať. Jednou z mojich prvých úloh bolo napísať program na nájdenie prvých 100 čísel Gnocchi. Namiesto toho som napísal program, ktorý dokázal zachytiť heslá ľudí. Pracoval som na tom tak tvrdo, pretože som si myslel, že je to skvelé a zábavné, takže som nemal čas urobiť to skutočné úlohu a namiesto toho som odovzdal túto – a dostal som A a veľa „Atta boys“. Začínal som v inom sveta.
DT: A dokonca ste sa dostali na samotku, keď ste boli vo väzení, kvôli veciam, ktoré si ľudia mysleli, že ste schopní urobiť.
KM: Ach áno, áno. Pred rokmi v polovici 80. rokov som sa nabúral do spoločnosti s názvom Digital Equipment Corporation a zaujímalo ma môj dlhodobý cieľ stať sa najlepším možným hackerom. Nemal som žiadny cieľ, len sa dostať do systému. Urobil som poľutovaniahodné rozhodnutie a rozhodol som sa ísť po zdrojovom kóde, ktorý je podobný tajný recept na Orange Julius na operačný systém VMS, veľmi populárny operačný systém v minulosti deň.
Takže som v podstate vzal kópiu zdrojového kódu a môj priateľ ma informoval. Keď som po zatknutí FBI skončil na súde, federálny prokurátor povedal sudcovi, že nielenže musíme zadržať pána Mitnicka ako hrozbu pre národnú bezpečnosť, musí sa uistiť, že sa nemôže priblížiť k telefónu, pretože by mohol jednoducho zdvihnúť telefónny automat, pripojiť sa k modemu v NORADe, zapískať štartovací kód a prípadne spustiť jadrovú bombu. vojna. A keď to povedal prokurátor, začal som sa smiať, pretože som v živote nepočul o niečom tak smiešnom. Ale sudca to neuveriteľne kúpil a ja som skončil takmer rok držaný vo federálnom zadržiavacom centre na samotke. Nemôžete sa s nikým stýkať, ste zamknutý v malej miestnosti pravdepodobne veľkosti vašej kúpeľne a len tam sedíte v betónovej rakve. Bolo to niečo ako psychické týranie a myslím si, že maximálna doba, počas ktorej má byť človek na samotke, je niečo ako 19 dní a držali ma tam rok. A bolo to založené na smiešnej predstave, že by som mohol pískať štartovacie kódy.
DT: A ako dlho potom ste nesmeli používať základnú elektroniku, alebo aspoň tú, ktorá umožňovala komunikáciu?
KM: Stalo sa to, že som sa po prepustení niekoľkokrát dostal do problémov. O pár rokov neskôr FBI poslala informátora, ktorý bol skutočným a kriminálne orientovaným hackerom – teda niekoho, kto kradne informácie o kreditnej karte, aby ukradol peniaze –, aby ma pripravil. A rýchlo som si uvedomil, čo ten informátor robil, tak som začal robiť kontrarozviedku proti FBI a znova som začal hackovať. Tento príbeh sa v knihe skutočne zameriava na to, ako som prelomil operáciu FBI proti mne a zistil som agentov, ktorí pracovali proti mne, a ich mobilné telefónne čísla. Zobral som ich čísla a naprogramoval som ich do zariadenia, ktoré som mal ako systém včasného varovania. Keby sa priblížili k mojej fyzickej polohe, vedel by som o tom. Nakoniec, keď sa tento prípad v roku 1999 skončil, mal som veľmi prísne podmienky. Bez povolenia vlády som sa nemohol dotknúť ničoho s tranzistorom. Správali sa ku mne, akoby som bol MacGyver, dali Kevinovi Mitnickovi deväťvoltovú batériu a lepiacu pásku a je nebezpečný pre spoločnosť.
Nemohol som používať fax, mobilný telefón, počítač, nič, čo by malo niečo spoločné s komunikáciou. A potom nakoniec po dvoch rokoch tieto podmienky uvoľnili, pretože som bol poverený napísať knihu s názvom Umenie podvodu, a tajne mi dali povolenie na používanie notebooku, pokiaľ som to nepovedal médiám a nepripojil som sa na internet.
DT: Predpokladal by som, že to nebolo len neuveriteľne nepohodlné, ale aj osobne ťažké.
KM: Áno, pretože si predstavte... Bol som zatknutý v roku 1995 a prepustený v roku 2000. A za tých päť rokov prešiel internet dramatickou zmenou, takže v tomto čase som bol ako Rip Van Wrinkle. Zaspal som a zobudil sa a svet sa zmenil. Takže bolo trochu ťažké zakázať sa dotýkať technológie. A verím, že vláda mi to len chcela extrémne sťažiť, alebo v skutočnosti verila, že som hrozbou pre národnú bezpečnosť. Naozaj neviem, ktorý to je, ale dostal som sa cez to. Dnes som schopný vziať si celé toto pozadie a svoju hackerskú kariéru a teraz dostávam za to zaplatené. Spoločnosti z celého sveta si ma najímajú, aby som sa dostal do ich systémov, aby som našiel ich zraniteľné miesta, aby ich mohli opraviť skôr, ako sa do nich dostanú skutoční zloduchovia. Cestujem po svete a hovorím o počítačovej bezpečnosti a zvyšujem o nej povedomie, takže mám obrovské šťastie, že to dnes robím.
Myslím si, že ľudia o mojom prípade vedia a že som porušil zákon, ale nechcel som to urobiť pre peniaze alebo niekomu ublížiť. Len som mal schopnosti. Nemal som čo stratiť, bol som na úteku pred FBI, mohol som si vziať peniaze, ale bolo to proti môjmu morálnemu kompasu. Ľutujem činy, ktoré ublížili iným, ale v skutočnosti neľutujem hacknutie, pretože to pre mňa bolo ako videohra.
DT: Hackovanie bolo tento rok trendovou témou vďaka haktivistom ako Anonymous. Sú extrémne polarizujúca skupina – aký je váš názor na nich?
KM: Myslím si, že hlavnou vecou, ktorú Anonymous robia, je zvyšovanie povedomia o bezpečnosti, aj keď negatívnym spôsobom. Rozhodne však ilustrujú, že existuje veľa spoločností, ktoré sú ovocím s nízkou úrovňou zabezpečenia, že ich systémy majú mizernú bezpečnosť a skutočne ju potrebujú zlepšiť.
Neverím, že ich politické posolstvo skutočne urobí nejakú zmenu vo svete. Myslím si, že jedinou zmenou, ktorú vytvárajú, je, že sa stanú vyššou prioritou presadzovania práva. Je to niečo ako dôvod, prečo bola FBI na mňa taká naštvaná. Keď som bol na úteku, žil som v Denveri a prišiel som na to, čo ten informátor robí, našiel som systém včasného varovania (monitoruje ich mobilnú komunikáciu), že prichádzajú a idú hľadať ja. Vyčistil som svoj byt od akéhokoľvek počítačového vybavenia alebo čohokoľvek, čo by si FBI vzala, a kúpil som si veľkú škatuľu šišiek a so Sharpie na ňu napísal „šišky FBI“ a strčil som ju do chladničky.
Nasledujúci deň vykonali príkaz na prehliadku a boli nahnevaní, pretože som nielenže vedel, kedy prídu, ale kúpil som im šišky. Bola to šialená vec... chýba tomu určitá zrelosť, ale zdalo sa mi to smiešne. A kvôli tomu som sa stal utečencom a FBI zatýkala nesprávnych ľudí, o ktorých si mysleli, že som ja, a New York Times z nich robili ako Keystone Kops. Takže keď ma konečne chytili, zbili ma. Dopadli na mňa naozaj tvrdo a dokonca aj v mojom prípade... viete, ukradol som zdrojový kód, aby som našiel bezpečnostné diery, a nabúral som sa do telefónov od Motoroly a Nokie, aby ma nemohli sledovať. A vláda požiadala tieto spoločnosti, aby povedali, že straty, ktoré utrpeli na moje náklady, boli celé ich investície do výskumu a vývoja, ktoré použili na mobilné telefóny. Takže je to niečo ako keď ide dieťa medzi 7. a 11. rokom, ukradne plechovku Coca-Coly a povie, že strata, ktorú toto dieťa spôsobilo Cole, bola celý vzorec.
A to je jedna z vecí, ktoré som v knihe uviedol na pravú mieru: spôsobil som straty. Neviem, či to bolo 10 000, 100 000 alebo 300 000 dolárov. Ale viem, že to bolo nesprávne a neetické, aby som to urobil, a je mi to ľúto, ale určite som nespôsobil straty 300 miliónov dolárov. V skutočnosti všetky spoločnosti, do ktorých som sa nabúral, boli verejne obchodované spoločnosti a podľa SEC, ak nejaká verejná spoločnosť utrpí materiálnu stratu, musí to byť nahlásené akcionárom. Žiadna zo spoločností, do ktorých som sa nabúral, nevykázala stratu ani cent.
Stal som sa príkladom, pretože vláda chcela poslať správu ďalším potenciálnym hackerom, že ak robíte takéto veci a hráte s nami hry, stane sa vám toto. V reakcii na moju knihu niektorí ľudia hovoria: „Ach, neľutuje to, čo urobil, urobil by to znova,“ Neľutujem to hackovanie, ale mrzí ma každá škoda, ktorú som spôsobil. Je medzi tým rozdiel.
DT: Ako teda vidíte vývoj hackingu práve teraz? Technológia je oveľa dostupnejšia ako kedykoľvek predtým a čoraz viac spotrebiteľov je schopných posunúť tieto hranice.
KM: Hackovanie bude aj naďalej problémom a útočníci teraz idú po mobilných telefónoch. Predtým to bol váš osobný počítač a teraz je to vaše mobilné zariadenie, váš Android, váš iPhone. Ľudia tam uchovávajú citlivé informácie, údaje o bankových účtoch, osobné fotografie. Hackovanie sa určite uberá smerom k telefónom.
Malvér je stále sofistikovanejší. Ľudia sa nabúravajú do certifikačných autorít, takže na online nakupovanie alebo bankové transakcie máte protokol s názvom SSL. A celý tento protokol je založený na dôvere a týchto certifikačných autoritách a hackeri kompromitujú tieto certifikačné autority a vydávajú si vlastné certifikáty. Takže môžu predstierať, že sú Bank of America, predstierať, že sú PayPal. Všetko je to sofistikovanejšie, zložitejšie a dôležitejšie, aby si spoločnosti boli vedomé problému a pokúsili sa zmierniť pravdepodobnosť, že budú kompromitované.
DT: Akú radu, ak vôbec nejakú, by ste dnes dali hackerom?
KM: Za mojich čias to nebolo k dispozícii, ale teraz sa ľudia môžu eticky dozvedieť o hackovaní. Existujú kurzy, veľa kníh, náklady na zriadenie vlastného počítačového laboratória sú veľmi lacné a dokonca existujú aj webové stránky tam na internete, ktoré sú nastavené tak, aby umožnili ľuďom pokúsiť sa nabúrať, aby si zvýšili svoje znalosti a zručnosti – takzvané Hacme Breh. Ľudia sa o tom teraz môžu eticky dozvedieť bez toho, aby sa dostali do problémov alebo ublížili niekomu inému.
DT: Myslíte si, že to povzbudzuje ľudí, aby tieto zručnosti zneužívali?
KM: Pravdepodobne to urobia bez ohľadu na to, či majú alebo nemajú pomoc. Je to nástroj, hackovanie je nástroj, takže môžete vziať kladivo a postaviť dom alebo ním môžete ísť niekoho udrieť po hlave. To, čo je dnes dôležité, je etika. Etická prednáška pre Kevina Mitnicka bola: Je v poriadku písať programy na kradnutie hesiel na strednej škole. Preto je dôležité, aby sa o to ľudia a deti zaujímali, pretože ide o zaujímavú oblasť, ale zároveň je dôležité mať za sebou aj etické školenie, aby ju využívali dobrým spôsobom.
DT: Môžete povedať niečo o Mac vs. Debata o bezpečnosti okien?
KM: Počítače Mac sú menej bezpečné, ale sú menej cielené. Windows majú najväčší podiel na trhu, takže sú cielenejšie. Teraz Apple očividne zvyšuje svoju bezpečnosť a dôvod, prečo nepočujete o mnohých počítačoch Mac napadnutý je, že autori malvéru nepíšu škodlivý kód pre počítače Mac, pretože jednoducho neboli populárne dosť. Keď píšete škodlivý kód, chcete zaútočiť na veľa ľudí a už tradične používa systém Windows oveľa viac ľudí.
Keď sa podiel počítačov Mac na trhu zvýši, prirodzene ich začneme viac oslovovať.
DT: Ktorý OS je najbezpečnejší?
KM: Google Chrome OS. Viete, prečo? Pretože s tým nemôžete nič robiť. Môžete pristupovať k službám Google, ale nie je na čo útočiť. Ale pre ľudí to nie je životaschopné riešenie. Odporúčam používať Mac, nielen kvôli bezpečnosti, ale mám menej problémov so systémom Mac OS ako Windows.
DT: Ktorá nová technológia je podľa vás momentálne najfascinujúcejšia?
KM: Pamätám si, keď som mal deväť rokov a jazdil som cez L.A. s mojím otcom a pozerajúc sa na rachot vyzlečte sa na diaľnici a myslia si, že jedného dňa vyrobia technológiu, kde nebudete musieť jazdiť auto. Vznikne akési elektronické riešenie, kde budú autá jazdiť samé a nebudú takmer žiadne nehody. A o tri, štyri desaťročia neskôr Google testuje tento typ technológie. Autá bez vodiča. Myslím, že to sú veci typu George Jetson.
