Danes je Kevin Mitnick varnostni strokovnjak, ki se infiltrira v podjetja svojih strank, da bi razkril njihove slabosti. Je tudi avtor več knjig, med drugim Duh v žicah. Vendar je najbolj znan kot heker, ki se je leta in leta izmikal FBI-ju, na koncu pa so ga zaradi svojega načina zaprli. Imeli smo priložnost govoriti z njim o njegovem času v samici, hekanju v McDonald's in o tem, kaj si misli o Anonymousih.
Digitalni trendi: Kdaj ste se začeli zanimati za hekanje?
Priporočeni videoposnetki
Kevin Mitnick: Pravzaprav me je začel hekati ta hobi, ki sem ga imel, imenovano telefoniranje. Ko sem bil mlajši v srednji šoli, sem bil navdušen nad čarovništvom in spoznal sem drugega študenta, ki je znal čarati s telefonom. Znal je narediti vse te trike: lahko bi poklical na številko, ki mi jo je povedal, in on bi poklical drugo, in bila bi združena skupaj, in temu se reče zanka. To je bilo testno vezje telefonskega podjetja. Pokazal mi je, da ima to skrivno številko v telefonskem podjetju, lahko je poklical številko in je dala čuden zvok, nato pa je vnesel petmestno kodo in lahko je klical kamor koli brezplačno.
Imel je tajne številke v telefonskem podjetju, kamor je lahko klical in se mu ni bilo treba identificirati, kaj če bi imel telefonsko številko, bi lahko našel ime in naslov te številke, tudi če bi bila neobjavljeno. Lahko bi prebil preusmeritev klicev. Znal je delati čarovnije s telefonom in postal sem resnično očaran nad telefonskim podjetjem. In bil sem šaljivec. Oboževal sem potegavščine. Moja noga v hekerstvu je bila potegavščina s prijatelji.
Ena mojih prvih potegavščin je bila, da bi domači telefon svojih prijateljev zamenjal s telefonsko govorilnico. Zato je vsakič, ko so on ali njegovi starši poskušali poklicati, pisalo "prosimo, položite četrtino."
Moj vstop v hekanje je bil torej moja fascinacija nad telefonskim podjetjem in želja po potegavščinah.
DT: Kje ste dobili tehnično znanje, da ste začeli izvajati te stvari?
KM: Sam sem se zanimal za tehnologijo in pravzaprav mi ni hotel povedati, kako je stvari počel. Včasih sem slišal, kaj počne, in vedel sem, da uporablja socialni inženiring, vendar je bil tak čarovnik, ki je izvajal trike, vendar mi ni hotel povedati, kako so bili izvedeni, zato bi moral to rešiti jaz sebe.
Preden sem spoznal tega tipa, sem že bil radioamater. Radio HAM sem opravil pri 13 letih in sem se že ukvarjal z elektroniko in radiom, tako da sem imel to tehnično znanje.
To je bilo v 70. letih prejšnjega stoletja in nisem mogel dobiti licence C.B., ker si moral biti star 18 let, jaz pa sem imel 11 ali 12 let. Ko sem se nekega dne peljal z avtobusom, sem srečal voznika avtobusa in ta voznik mi je predstavil radio HAM. Pokazal mi je, kako lahko telefonira s svojim ročnim radiom, kar se mi je zdelo super kul, ker je bil pred celico telefone in pomislil sem: "Vau, to je tako kul, o tem se moram naučiti." Vzel sem nekaj knjig, se udeležil nekaj tečajev in pri 13 letih opravil izpit.
Potem sem se naučil o telefonih. Po tem me je drug dijak v srednji šoli predstavil inštruktorju računalništva, da bi šel na tečaj računalništva. Inštruktor me najprej ni spustil noter, ker nisem izpolnjeval predpogojev, potem pa sem mu pokazal vse trike, ki sem jih lahko naredil s telefonom, in bil je popolnoma navdušen in mi je dovolil vstopiti razred.
DT: Ali imate najljubši kramp ali tistega, na katerega ste bili še posebej ponosni?
KM: Vdor, na katerega sem najbolj navezan, je bil vdor v McDonald's. Kar sem ugotovil – saj se spomnite, da sem imel radijsko licenco HAM – bi lahko prevzel dvignjena okna. Sedel bi čez cesto in jih prevzel. Lahko si predstavljate, kako bi se lahko zabavali pri 16, 17 letih. Tako je oseba v McDonald'su lahko slišala vse, kar se dogaja, vendar me niso mogli premagati, jaz bi njih.
Stranke so se pripeljale in vzel sem njihovo naročilo ter rekel: "V redu, danes ste 50. stranka, vaše naročilo je brezplačno, prosim peljite naprej." Ali pa bi prišli policisti in včasih bi rekel: "Žal mi je, gospod, danes nimamo nobenih krofov za vas, za policiste pa strežemo samo Dunkin Donuts." Ali to ali pa bi rekel: »Skrij kokain! Skrij kokain!"
Prišlo je do točke, ko je upravnik prišel ven na parkirišče, pogledal parcelo, pogledal v avtomobile in seveda nikogar ni bilo zraven. Tako je šel do pogonskega zvočnika in dejansko pogledal noter, kot da je notri skrit človek, nato pa sem rekel: "Kaj za vraga gledaš!"
DT: Ali boš spregovoril nekaj o razliki med družbenim inženiringom, ki ti vstopi v omrežje, in dejanskim vdorom vanj?
KM: Resnica je, da je večina vdorov hibridnih. V omrežje bi lahko vstopili z izkoriščanjem omrežja – saj veste, z iskanjem čisto tehničnega načina. To lahko storite tako, da manipulirate z ljudmi, ki imajo dostop do računalnikov, da razkrijete informacije ali izvedete »ukrep«, kot je odpiranje datoteke PDF. Lahko pa pridobite fizični dostop do tega, kje so njihovi računalniki ali strežniki, in to storite na ta način. Vendar v resnici ne gre za eno ali drugo, v resnici temelji na tarči in situaciji, in tam se heker odloči, katero spretnost bo uporabil, katero pot bo uporabil za vdor v sistem.
Danes je socialni inženiring resna grožnja, ker sta bila v RSA [Security] in Google vdrta, in to s tehniko, imenovano spear phishing. Z napadi RSA, ki so bili precejšnji, ker so napadalci ukradli semena žetonov, ki obrambnih izvajalcev, uporabljenih za preverjanje pristnosti, so hekerji s Flashom ujeli Excelov dokument predmet. Znotraj RSA so našli tarčo, ki bi imela dostop do informacij, ki so jih želeli, in ta dokument z minirano pastjo poslali žrtvi ter ko so odprli Excelov dokument (ki je bil verjetno poslan iz nečesa, kar je izgledalo kot zakonit vir, stranka, poslovni partner), nevidno izkoristil ranljivost v programu Adobe Flash in heker je nato imel dostop do delovne postaje tega zaposlenega in notranjega RSA omrežje.
Lažno predstavljanje uporablja dve komponenti: socialno mreženje, da osebo pripravi do tega, da odpre Excelov dokument, in drugo del je tehnično izkoriščanje hrošča ali varnostne napake v Adobeju, ki je napadalcu omogočila popoln nadzor nad računalnik. In tako to deluje v resničnem svetu. Nekoga ne pokličete kar po telefonu in vprašate za geslo; napadi so običajno hibridni in združujejo tehnični in socialni inženiring.
notri Duh v žicah, opisujem, kako sem uporabil obe tehniki.
DT: Del razloga, da ste napisali Duh v žicah je bilo nasloviti nekatere izmišljotine o sebi.
KM: Oh ja, o meni so bile napisane tri knjige, bil je film z naslovom Vzemi dol zaradi česar sem se na koncu izvensodno poravnal, oni pa so se strinjali s spremembami scenarija in nikoli ni bil predvajan v kinematografih v Združenih državah. Imel sem novinarja New York Timesa, ki je napisal zgodbo, da sem leta 1983 vdrl v NORAD in skoraj začel Tretja svetovna vojna ali kaj podobnega smešnemu — to je navedeno kot dejstvo, ki je bilo popolnoma brez vira obtožba.
V javnosti je veliko stvari, ki preprosto niso bile resnične, in veliko stvari, ki jih ljudje res niso vedeli. In mislil sem, da je pomembno, da moja knjiga resnično pove mojo zgodbo in v bistvu postavi rekord. Tudi jaz sem mislil, da je moja zgodba podobna Ujemi me, če moreš, sem imel dve desetletji dolgo igro mačke in miši s FBI. In nisem hotel služiti denarja. Pravzaprav sem, ko sem bil na begu, delal od 9 do 5, da sem se preživljal, ponoči pa sem hekal. Imel sem veščine, da bi lahko, če bi hotel, ukradel podatke o kreditni kartici in podatke o bančnem računu, vendar mi moj moralni kompas tega ni dovolil. In moj glavni razlog za hekanje je bil v resnici izziv: kot vzpon na Mt. Everest. Toda glavni razlog je bila moja težnja po znanju. Kot otrok, ki sta me zanimala čarovnija in radio HAM, sem rad razstavljal stvari in ugotavljal, kako delujejo. V mojem času ni bilo poti, da bi se hekanja naučili etično, to je bil drug svet.
Že ko sem bil v srednji šoli, sem čutil spodbudo za hekanje. Ena mojih prvih nalog je bila napisati program za iskanje prvih 100 številk Njokov. Namesto tega sem napisal program, ki bi lahko zajemal gesla ljudi. In tako sem trdo delal na tem, ker se mi je zdelo kul in zabavno, zato nisem imel časa, da bi naredil dejansko nalogo in namesto tega oddal to – in dobil sem petico ter veliko »Atta fantje«. Začel sem drugače svetu.
DT: Ko ste bili v zaporu, ste bili celo v samici zaradi stvari, za katere so ljudje mislili, da ste sposobni narediti.
KM: Oh ja, ja. Pred leti, sredi 80-ih, sem vdrl v podjetje z imenom Digital Equipment Corporation in zanimal me je moj dolgoročni cilj, da postanem najboljši možni heker. Nisem imel nobenega cilja, razen priti v sistem. Naredil sem to, da sem sprejel obžalovanja vredno odločitev in se odločil za izvorno kodo, ki je podobna skrivni recept za Orange Julius za operacijski sistem VMS, zelo priljubljen operacijski sistem v preteklosti dan.
Tako sem v bistvu vzel kopijo izvorne kode in moj prijatelj me je obvestil. Ko sem končal na sodišču, potem ko me je FBI aretiral, je zvezni tožilec rekel sodniku, da ne samo, da moramo pridržati gospoda Mitnicka kot grožnjo nacionalni varnosti, ampak tudi zagotoviti, da se ne more približati telefonu, ker bi lahko preprosto dvignil telefonsko govorilnico, se povezal z modemom pri NORAD-u, zažvižgal kodo za izstrelitev in morda sprožil jedrsko vojna. In ko je tožilec to rekel, sem se začel smejati, ker česa tako smešnega še nisem slišal v življenju. Toda sodnik je neverjetno kupil vrvico s trnkom in grezilo, in na koncu sem bil zaprt v zveznem centru za pridržanje v samici skoraj eno leto. Ne morete se družiti z nikomer, zaklenjeni ste v majhno sobo, verjetno veliko kot vaša kopalnica, in samo sedite tam v betonski krsti. Bilo je kot psihična tortura in mislim, da je najdaljši čas, ki naj bi bil človek v samici, približno 19 dni, mene pa so tam držali eno leto. In temeljilo je na smešni ideji, da bi lahko žvižgal kode za izstrelitev.
DT: In koliko časa po tem niste smeli uporabljati osnovne elektronike ali vsaj tiste, ki bi omogočala komunikacijo?
KM: No, zgodilo se je to, da sem se nekajkrat znašel v težavah, potem ko so me izpustili. Nekaj let kasneje je FBI poslal obveščevalca, ki je bil resničen in kriminalno usmerjen heker – kar pomeni nekoga, ki ukrade podatke o kreditni kartici, da bi ukradel denar –, da mi je namestil. In hitro sem spoznal, kaj je obveščevalec počel, zato sem začel delati protiobveščevalno proti FBI in spet začel hekati. Ta zgodba je v knjigi res osredotočena na to: kako sem razbijal operacijo FBI proti meni in odkril agente, ki so delali proti meni, in njihove številke mobilnih telefonov. Vzel sem njihove številke in jih programiral v napravo, ki sem jo imel kot sistem za zgodnje opozarjanje. Če bi se približali moji fizični lokaciji, bi vedel za to. Ko je bil ta primer končan leta 1999, sem imel zelo stroge pogoje. Ničesar s tranzistorjem se nisem smel dotakniti brez dovoljenja vlade. Z mano so ravnali, kot da sem MacGyver, Kevinu Mitnicku dajo devetvoltno baterijo in lepilni trak in on je nevaren za družbo.
Nisem mogel uporabljati faksa, mobilnega telefona, računalnika, česar koli, kar je imelo kakršno koli povezavo s komunikacijo. In potem so sčasoma po dveh letih omilili te pogoje, ker sem dobil nalogo, da napišem knjigo z naslovom Umetnost prevare, in na skrivaj so mi dali dovoljenje za uporabo prenosnika, dokler ne povem medijem in se ne povežem z internetom.
DT: Predvidevam, da to ni samo neverjetno neprijetno, ampak tudi osebno težko.
KM: Ja, saj si predstavljate... Leta 1995 so me aretirali in leta 2000 izpustili. In v teh petih letih je internet doživel dramatične spremembe, tako da je bilo v tem času, kot da sem bil Rip Van Wrinkle. Zaspal sem in se zbudil in svet se je spremenil. Zato je bilo nekako težko prepovedati dotik tehnologije. In vlada me je, po mojem mnenju, samo želela zelo otežiti ali pa so dejansko verjeli, da predstavljam grožnjo nacionalni varnosti. Res ne vem, kateri je, ampak sem ga preživel. Danes lahko prenesem vse to ozadje in svojo hekersko kariero in zdaj sem za to plačan. Podjetja me najemajo z vsega sveta, da vdrem v njihove sisteme, najdem njihove ranljivosti, da jih lahko popravijo, preden vstopijo pravi negativci. Potujem po svetu in govorim o računalniški varnosti ter ozaveščam o tem, zato sem izjemno srečen, da to počnem danes.
Mislim, da ljudje vedo za moj primer in da sem res prekršil zakon, a da tega nisem hotel storiti zaradi denarja ali kogarkoli škodovati. Imel sem le sposobnosti. Nisem imel kaj izgubiti, bil sem na begu pred FBI, lahko bi vzel denar, a je bilo v nasprotju z mojim moralnim kompasom. Obžalujem dejanja, ki so škodovala drugim, vdiranja pa res ne obžalujem, ker je bilo to zame kot video igra.
DT: Hekanje je bilo letos priljubljena tema po zaslugi haktivistov, kot je Anonymous. So izjemno polarizirajoča skupina – kaj menite o njih?
KM: Mislim, da je prva stvar, ki jo Anonymous počne, ozaveščanje o varnosti, čeprav na negativen način. Vsekakor pa ponazarjajo, da je zunaj veliko podjetij, ki so nizkoviseči sadovi, da imajo njihovi sistemi slabo varnost in jo morajo resnično izboljšati.
Ne verjamem, da bo njihovo politično sporočilo resnično kaj spremenilo v svetu. Mislim, da je edina sprememba, ki jo ustvarijo, ta, da postanejo višja prioriteta organov pregona. Nekako tako, zakaj je bil FBI tako jezen name. Ko sem kot begunec živel v Denverju in ugotovil, kaj obveščevalec počne, sem prek svojega sistem za zgodnje opozarjanje (spremljanje njihove komunikacije preko mobilnega telefona), da prihajajo in odhajajo iskat jaz. Svoje stanovanje sem očistil vse računalniške opreme ali česarkoli, kar bi FBI vzel, kupil sem veliko škatlo krofov in s šarpijem napisal nanjo "FBI krofi" ter jo vtaknil v hladilnik.
Naslednji dan so izvršili nalog za preiskavo in bili so besni, ker nisem le vedel, kdaj pridejo, ampak sem jim kupil krofe. To je bila nora stvar … manjka ji nekaj zrelosti, vendar se mi je zdelo smešno. In zaradi tega sem postal ubežnik in FBI je aretiral napačne ljudi, za katere so mislili, da sem jaz, in New York Times jih je delal kot Keystone Kops. Torej, ko so me končno prijeli, so me udarili. Zelo hudo so se mi zdeli in celo v mojem primeru … veste, res sem ukradel izvorno kodo, da bi našel varnostne luknje, in vdrl sem v telefone Motorole in Nokie, da me ni bilo mogoče izslediti. In vlada je od teh podjetij zahtevala, da trdijo, da so izgube, ki so jih utrpele na moje stroške, njihove celotne naložbe v raziskave in razvoj, ki so jih uporabili za mobilne telefone. Torej je nekako tako, kot da bi otrok šel v razred 7-11 in ukradel pločevinko Coca-Cole ter rekel, da je izguba, ki jo je ta otrok povzročil Coca-Coli, vsa formula.
In to je ena od stvari, ki sem jih jasno postavil v knjigi: povzročil sem izgube. Ne vem, ali je bilo 10.000 $, 100.000 $ ali 300.000 $. Vem pa, da je bilo to napačno in neetično, in žal mi je za to, vendar zagotovo nisem povzročil 300 milijonov dolarjev izgube. Pravzaprav so bila vsa podjetja, v katera sem vdrl, javna podjetja in glede na SEC je treba, če katero koli javno podjetje utrpi materialno izgubo, to prijaviti delničarjem. Nobeno od podjetij, v katera sem vdrl, ni prijavilo niti enega penija izgube.
Postal sem zgled, ker je vlada želela poslati sporočilo drugim morebitnim hekerjem, da se vam bo to zgodilo, če počnete takšne stvari in se igrate z nami. Kot odziv na mojo knjigo nekateri ljudje rečejo: "Oh, ni mu žal za to, kar je storil, to bi naredil še enkrat," Ni mi žal za vdiranje, vendar mi je žal za kakršno koli škodo, ki sem jo povzročil. Obstaja razlika med tem.
DT: Torej, kako vidite, da se hekanje trenutno razvija? Tehnologija je veliko bolj dostopna kot kdaj koli prej in vse več potrošnikov je sposobnih premikati te meje.
KM: Hekanje bo še naprej problem in napadalci zdaj lovijo mobilne telefone. Prej je bil to vaš osebni računalnik, zdaj pa je to vaša mobilna naprava, vaš Android, vaš iPhone. Ljudje tam hranijo občutljive podatke, podatke o bančnih računih, osebne fotografije. Hekanje gre zagotovo v smeri telefonov.
Zlonamerna programska oprema postaja vse bolj izpopolnjena. Ljudje vdirajo v overitelje potrdil, zato imate za spletno nakupovanje ali bančne transakcije protokol, imenovan SSL. In ves ta protokol temelji na zaupanju in teh overiteljih potrdil, hekerji pa ogrožajo te organe potrdil in si izdajajo lastna potrdila. Tako se lahko pretvarjajo, da so Bank of America, da so PayPal. Vse je bolj sofisticirano, bolj zapleteno in pomembneje je, da se podjetja zavedajo problema in poskušajo ublažiti možnost, da bodo ogrožena.
DT: Kakšen nasvet bi danes dal hekerjem?
KM: V mojih časih ni bilo na voljo, zdaj pa se lahko ljudje etično naučijo hekanja. Obstajajo tečaji, veliko knjig, stroški postavitve lastnega računalniškega laboratorija so zelo poceni in obstajajo celo spletna mesta. tam zunaj na internetu, ki so nastavljeni tako, da ljudem omogočajo, da poskusijo vdreti, da bi povečali svoje znanje in spretnosti – tisti, imenovani Hacme Banka. Ljudje se lahko zdaj etično učijo o tem, ne da bi se spravili v težave ali škodovali komu drugemu.
DT: Ali menite, da to ljudi spodbuja k zlorabi teh veščin?
KM: Verjetno bodo to storili, ne glede na to, ali bodo imeli pomoč ali ne. To je orodje, hekanje je orodje, tako da lahko vzamete kladivo in zgradite hišo ali pa greste koga udariti z njim po glavi. Kar je danes pomembno, je etika. Govor o etiki za Kevina Mitnicka je bil: v srednji šoli je v redu pisati programe za krajo gesel. Zato je pomembno, da ljudi in otroke zainteresirate za to, ker je to zanimivo področje, a da je za njim tudi usposabljanje etike, da ga bodo dobro uporabili.
DT: Ali lahko poveste nekaj o Mac vs. Razprava o varnosti oken?
KM: Maci so manj varni, vendar so manj ciljno usmerjeni. Windows imajo največji tržni delež, zato so bolj ciljno usmerjeni. Zdaj Apple očitno krepi svojo varnost in razlog, da ne slišite o mnogih Macih, je napadel je, da pisci zlonamerne programske opreme ne pišejo zlonamerne kode za računalnike Mac, ker preprosto niso bili priljubljeni dovolj. Ko pišete zlonamerno kodo, želite napasti veliko ljudi in tradicionalno je veliko več ljudi uporabljalo Windows.
Ko se tržni delež Mac-ov povečuje, bomo seveda začeli bolj ciljati nanje.
DT: Kateri OS je najbolj varen?
KM: Google Chrome OS. Veš zakaj? Ker s tem ne morete narediti ničesar. Lahko dostopate do Googlovih storitev, vendar ni ničesar za napad. Vendar to ni izvedljiva rešitev za ljudi. Priporočam uporabo Maca, ne samo zaradi varnosti, ampak imam manj težav pri zagonu Mac OS kot Windows.
DT: Katera nova tehnologija se vam trenutno zdi najbolj fascinantna?
KM: Spomnim se, ko sem bil star devet let in sem se vozil skozi L. A. z očetom, ki je gledal ropot traku na avtocesti z mislijo, da bodo nekega dne naredili tehnologijo, kjer vam ne bo treba niti voziti avto. Nekakšna elektronska rešitev bo, kjer se bodo avtomobili vozili sami in skoraj ne bo nesreč. In tri, štiri desetletja pozneje Google preizkuša to vrsto tehnologije. Avtomobili brez voznika. Mislim, da so to stvari tipa George Jetson.
