Данас је Кевин Митник стручњак за безбедност који се инфилтрира у компаније својих клијената како би разоткрио њихове слабости. Такође је аутор неколико књига, укључујући Гхост ин тхе Вирес. Али он је најпознатији као хакер који је годинама измицао ФБИ-у и на крају је био затворен због свог понашања. Имали смо прилику да разговарамо са њим о времену које је провео у самици, хаковању Мекдоналдса и шта мисли о Анонимусима.
Дигитални трендови: Када сте се први пут заинтересовали за хаковање?
Препоручени видео снимци
Кевин Митник: Заправо оно што ме је покренуло у хаковању био је хоби који сам имао фрикање. Када сам био млађи у средњој школи, био сам фасциниран магијом и упознао сам другог ученика који је могао да чини магију помоћу телефона. Могао је да изведе све ове трикове: могао сам да позовем број који ми је рекао, а он би позвао други, и били бисмо спојени заједно, а то се зове петља. Био је то круг за тестирање телефонске компаније. Показао ми је да има тајни број у телефонској компанији, могао је да бира број и давао би чудан тон, а затим унео петоцифрени код и могао је да позове било где бесплатно.
Имао је тајне бројеве у телефонској компанији на које је могао да позове и није морао да се идентификује, шта ако би имао број телефона, могао би да пронађе име и адресу тог броја чак и да јесте необјављено. Могао је да пробије прослеђивање позива. Могао је да прави магију са телефоном, а ја сам постао заиста фасциниран телефонском компанијом. И био сам шаљивџија. Волео сам шале. Моја нога на вратима хаковања је извлачила шале са пријатељима.
Једна од мојих првих шала била је да бих променио кућни телефон својих пријатеља у говорницу. Дакле, кад год би он или његови родитељи покушали да позову, писало би „молим вас уплатите четвртину“.
Тако да је мој улазак у хаковање био моја фасцинација телефонском компанијом и жеља да се шалим.
ДТ: Одакле вам техничко знање да почнете да изводите ове ствари?
КМ: И мене је занимала технологија, а он ми заправо није хтео да каже како је радио ствари. Понекад бих чуо шта ради и знао сам да користи друштвени инжењеринг, али он је био као мађионичар који је изводио трикове, али није хтео да ми каже како су урађени, па бих морао да то решим себе.
Пре него што сам упознао овог типа, већ сам био радио-аматер. Положио сам ХАМ радио тест када сам имао 13 година, а већ сам се бавио електроником и радиом, тако да сам имао ту техничку позадину.
То је било 70-их година, а ја нисам могао да добијем Ц.Б. лиценцу јер си морао да имаш 18 година, а ја сам имао 11 или 12 година. Тако да сам једног дана срео овог возача аутобуса када сам се возио аутобусом, и овај возач ме је упознао са ХАМ радиом. Показао ми је како може да телефонира користећи свој ручни радио, за који сам мислио да је супер, јер је био пре мобилног телефоне и помислио сам: „Ово је тако кул, морам да научим о томе.“ Узео сам неке књиге, похађао неке курсеве и са 13 положио испит.
Онда сам научио о телефонима. Након тога, други ученик средње школе ме је упознао са инструктором рачунара да похађам час рачунара. У почетку ме инструктор није пуштао јер нисам испунио услове, а онда сам му показао све трикове које сам могао да урадим са телефоном, а он је био потпуно импресиониран и пустио ме да уђем у класа.
ДТ: Имате ли омиљени хак, или онај на који сте били посебно поносни?
КМ: Хак за који сам највише везан је хаковање Мекдоналдса. Оно што сам смислио - сећате се да сам имао лиценцу за ХАМ радио - могао сам да преузмем прозоре за вожњу. Сео бих преко пута и преузео их. Можете замислити са 16, 17 година како бисте се могли забавити. Тако да је особа у Мекдоналдсу могла да чује све што се дешава, али нису могли да савладају мене, ја бих њих.
Купци би долазили и ја бих узео њихову поруџбину и рекао „У реду, данас сте 50. купац, ваша поруџбина је бесплатна, молим вас, возите напред.” Или би полицајци дошли и понекад бих рекао „Жао ми је господине што данас немамо крофне за вас, а за полицајце служимо само Дункин Донутс.“ Или то или бих рекао: „Сакриј кокаин! Сакриј кокаин!"
Дошло је до тачке када би менаџер изашао на паркинг, погледао плац, погледао у аутомобиле, и наравно да нема никога у близини. Па би отишао до звучника за вожњу и заправо погледао унутра као да је унутра сакривен човек, а онда бих ја рекао „Шта дођавола гледаш!“
ДТ: Хоћете ли мало причати о разлици између друштвеног инжењеринга на путу до мреже и стварног хаковања у једну?
КМ: Истина је да је већина хакова хибридна. Можете ући у мрежу кроз експлоатацију мреже – знате, проналажење чистог техничког начина. То можете учинити тако што ћете манипулисати људима који имају приступ рачунарима, да откријете информације или да урадите „акцију“ као што је отварање ПДФ датотеке. Или можете добити физички приступ где се налазе њихови рачунари или сервери и то учинити на овај начин. Али то није једно или друго, то је заиста засновано на мети и ситуацији, и ту хакер одлучује коју вештину ће користити, који пут ће користити да пробије систем.
Данас је друштвени инжењеринг значајна претња јер су РСА [Безбедност] и Гугл хаковани, и то техником која се зове спеар пхисхинг. Са нападима РСА, који су били значајни јер су нападачи украли семе токена које Уговарачи одбране који су користили за аутентификацију, хакери су уловили Екцел документ помоћу Фласх-а објекат. Пронашли су мету унутар РСА која би имала приступ информацијама које су жељели и послали овај документ заробљени жртви, и када су отворили Екцел документ (који је вероватно послат од онога што је изгледало као легитимни извор, купац, пословни партнер) невидљиво искористио рањивост у Адобе Фласх-у и хакер је тада имао приступ радној станици овог запосленог и интерној РСА-иној мреже.
Спеар пхисхинг користи две компоненте: друштвено умрежавање да би особа отворила Екцел документ, а другу део је техничка експлоатација грешке или безбедносне грешке у Адобе-у која је нападачу дала потпуну контролу над рачунар. И тако то функционише у стварном свету. Не можете само да позовете некога телефоном и тражите лозинку; напади су обично хибридни и комбинују технички и друштвени инжењеринг.
Ин Гхост ин тхе Вирес, описујем како сам користио обе технике.
ДТ: Део разлога што сте написали Гхост ин тхе Вирес био да се позабавим неким измишљотинама о себи.
КМ: О да, о мени су биле написане три књиге, био је филм који се звао Скини због чега сам на крају решио тужбу ван суда, а они су пристали на промене сценарија и никада није био приказан у биоскопима у Сједињеним Државама. Имао сам репортера Њујорк тајмса који је написао причу да сам хаковао НОРАД 1983. и замало да је почео Трећи светски рат или нешто овако смешно — то је наведено као чињеница, која је била потпуно неоткривена навод.
Постоји много ствари у очима јавности које једноставно нису биле истините, и много ствари које људи заиста нису знали. И мислио сам да је важно да моја књига заиста исприча моју причу и да у суштини исправим рекорд. Такође сам мислио да је моја прича таква Ухвати ме ако можеш, имао сам две деценије дугу игру мачке и миша са ФБИ. И нисам желео да зарадим новац. У ствари, када сам био у бекству, радио сам 9 до 5 послова да бих се издржавао и хаковао сам ноћу. Имао сам вештине да сам, да сам желео, могао да украдем податке о кредитној картици и банковном рачуну, али мој морални компас ми то није дозволио. А мој примарни разлог за хаковање је заиста био изазов: попут пењања на Монт Еверест. Али примарни разлог је била моја тежња за знањем. Као клинац заинтересован за магију и ХАМ радио, волео сам да растављам ствари и откривам како функционишу. У моје време није било начина да се научи хаковање етички, то је био другачији свет.
Чак и када сам био у средњој школи, осећао сам се охрабреним да хакујем. Један од мојих првих задатака је био да напишем програм за проналажење првих 100 бројева њока. Уместо тога, написао сам програм који би могао да ухвати лозинке људи. И толико сам радио на овоме јер сам мислио да је кул и забавно, тако да нисам имао времена да урадим ствар задатак и предао овај уместо тога – и добио сам петицу и много „Атта боис“. Почео сам другачије свет.
ДТ: Чак сте и били у самици док сте били у затвору због ствари за које су људи мислили да можете да урадите.
КМ: О да, да. Пре много година, средином 80-их, хаковао сам компанију под називом Дигитал Екуипмент Цорпоратион, и оно што ме је занимало је мој дугорочни циљ да постанем најбољи могући хакер. Нисам имао никакав циљ осим да уђем у систем. Оно што сам урадио је да сам донео одлуку за жаљење и одлучио да кренем за изворним кодом, што је као тајни рецепт за Оранге Јулиус за ВМС оперативни систем, веома популаран оперативни систем у прошлости дан.
Тако да сам у основи узео копију изворног кода и мој пријатељ ме је обавестио. Када сам завршио на суду након што ме је ФБИ ухапсио, савезни тужилац је рекао судији да не само да морамо да притворимо господина Митника као претњу националној безбедности, већ мора да се увери да не може да се приближи телефону, јер би једноставно могао да подигне говорницу, да се повеже са модемом у НОРАД-у, звижди шифру за лансирање и евентуално покрене нуклеарну рат. И док је тужилац ово рекао, почео сам да се смејем јер никада у животу нисам чуо за нешто тако смешно. Али судија му је, невероватно, купио удицу за удицу и топао, а ја сам завршио у савезном притворском центру у самици скоро годину дана. Не можете да се дружите ни са ким, закључани сте у малој просторији вероватно величине вашег купатила и само седите унутра у бетонском ковчегу. Било је то као психолошка тортура, и мислим да је максимално време које човек треба да буде у самици око 19 дана, а мене су тамо држали годину дана. И било је засновано на смешној идеји да могу да звиждим кодове за лансирање.
ДТ: И колико дуго после тога нисте смели да користите основну електронику, или бар ону која би могла да омогући комуникацију?
КМ: Па оно што се догодило је да сам неколико пута упао у невоље након што сам пуштен. Неколико година касније, ФБИ је послао доушника који је био прави и криминално оријентисан хакер – што значи некога ко краде податке о кредитној картици да би украо новац – да ми намести. И брзо сам схватио шта доушник ради па сам почео да радим контраобавештајне податке против ФБИ-а и поново почео да хакујем. Ова прича је заиста фокусирана на књигу: како сам прекршио операцију ФБИ против мене и сазнао агенте који су радили против мене и њихове бројеве мобилних телефона. Узео сам њихове бројеве и програмирао их у уређај који сам имао као систем раног упозорења. Да су се приближили мојој физичкој локацији, знао бих за то. На крају, након што је овај случај завршен 1999. године, имао сам веома строге услове. Нисам могао да додирнем ништа са транзистором у њему без дозволе владе. Третирали су ме као да сам МацГивер, дали су Кевину Митнику девет-волтну батерију и селотејп и он је опасан за друштво.
Нисам могао да користим факс, мобилни телефон, компјутер, било шта што је имало везе са комуникацијама. А онда су на крају после две године ублажили те услове јер сам добио налог да напишем књигу под називом Уметност обмане, и тајно су ми дали дозволу да користим лаптоп све док не кажем медијима и не повежем се на интернет.
ДТ: Претпостављам да ово није било само невероватно незгодно, већ и лично тешко.
КМ: Да, јер замислите... Ухапшен сам 1995. и пуштен 2000. године. И у тих пет година интернет је прошао кроз драматичну промену, тако да сам у овом тренутку као да сам Рип Ван Вринкле. Заспао сам и пробудио се и свет се променио. Тако да је било тешко забранити додиривање технологије. А влада је, верујем, само хтела да ми учини изузетно тешко, или су заправо веровали да сам претња националној безбедности. Заиста не знам који је, али прошао сам кроз то. Данас сам у могућности да поднесем сву ову позадину и своју хакерску каријеру и сада сам плаћен за то. Компаније ме ангажују из целог света да провалим у њихове системе, да пронађем њихове рањивости како би могли да их поправе пре него што уђу прави лоши момци. Путујем светом говорећи о рачунарској безбедности и подижем свест о томе, тако да сам изузетно срећан што ово радим данас.
Мислим да људи знају за мој случај и да јесам прекршио закон, али да нисам хтео то да урадим због новца или да било коме повредим. Само сам имао вештине. Нисам имао шта да изгубим, бежао сам од ФБИ, могао сам да узмем новац, али то је било против мог моралног компаса. Жао ми је због радњи које су нашкодиле другима, али не жалим баш због хаковања јер ми је то било као видео игрица.
ДТ: Хакирање је била тема у тренду ове године захваљујући активистима попут Анонимуса. Они су изузетно поларизована група – шта мислите о њима?
КМ: Мислим да је прва ствар коју Анонимуси раде јесте подизање свести о безбедности, иако на негативан начин. Али они свакако илуструју да постоји много компанија које су ниско виси, да њихови системи имају лошу сигурност и да их заиста морају побољшати.
Не верујем да ће њихова политичка порука заиста донети било какву промену у свету. Мислим да је једина промена коју они стварају јесте да они постану већи приоритет за спровођење закона. То је као зашто је ФБИ био толико љут на мене. Када сам био бегунац, живео у Денверу и схватио шта доушник ради, сазнао сам преко свог систем раног упозоравања (надгледање њихове комуникације путем мобилног телефона) да долазе и иду у потрагу ја. Очистио сам свој стан од било које компјутерске опреме или било чега што би ФБИ могао да узме, и купио сам велику кутију крофни и са Схарпие-ом написао „ФБИ крофне“ на њој и ставио је у фрижидер.
Сутрадан су извршили налог за претрес и били су бесни јер не само да сам знао када долазе већ сам им купио крофне. Била је то луда ствар... недостаје јој зрелости, али мислио сам да је урнебесно. И због тога сам постао бегунац, а ФБИ је хапсио погрешне људе за које су мислили да сам ја, а Њујорк тајмс их је претварао да су као Кистон Копс. Па када су ме коначно ухватили, ударили су ме. Пали су ми јако тешки, па чак и у мом случају... знате, украо сам изворни код да бих пронашао безбедносне рупе и хаковао сам телефоне Моторола и Нокије да не могу да ме прате. И влада је тражила од ових компанија да кажу да су губици које су направили на мој рачун њихова целокупна улагања у истраживање и развој коју су користили за мобилне телефоне. Дакле, то је као да дете уђе у 7-11 и украде конзерву Цоца-Цоле и каже да је губитак који је овај клинац нанео Цоца-Цоли цела формула.
И то је једна од ствари које сам јасно поставио у књизи: узроковао сам губитке. Не знам да ли је било 10.000, 100.000 или 300.000 долара. Али знам да је то било погрешно и неетично што сам урадио и жао ми је због тога, али сигурно нисам проузроковао губитак од 300 милиона долара. У ствари, све компаније у које сам хаковао биле су компаније којима се тргује на јавном тржишту, а према СЕЦ-у, ако било које јавно предузеће претрпи материјални губитак, мора се пријавити акционарима. Ниједна од компанија у које сам хаковао није пријавила ни један пени губитка.
Постао сам пример јер је влада хтела да пошаље поруку другим потенцијалним хакерима да ако радите овакве ствари и играте се са нама, то ће вам се догодити. Као реакција на моју књигу, неки људи кажу „Ох, није му жао због онога што је урадио, урадио би то поново“, није ми жао због хаковања, али ми је жао за било какву штету коју сам нанео. Постоји разлика између тога.
ДТ: Дакле, како видите да се хакирање развија управо сада? Технологија је далеко доступнија него икад и све више и више потрошача је у стању да помери ове границе.
КМ: Хаковање ће и даље представљати проблем, а нападачи сада траже мобилне телефоне. Раније је то био ваш лични рачунар, а сада је то ваш мобилни уређај, ваш Андроид, ваш иПхоне. Људи тамо чувају осетљиве информације, податке о банковном рачуну, личне фотографије. Хаковање свакако иде у правцу телефона.
Злонамерни софтвер постаје све софистициранији. Људи хакују у органе за издавање сертификата, тако да имате протокол који се зове ССЛ за онлајн куповину или банковну трансакцију. И цео овај протокол је заснован на поверењу и овим ауторитетима за сертификацију, а хакери компромитују ове ауторитете за сертификацију и издају себи сопствене сертификате. Тако да могу да се претварају да су Банк оф Америца, да се претварају да су ПаиПал. Све је то софистицираније, сложеније и важније да компаније буду свесне проблема и покушају да умање шансу да буду компромитоване.
ДТ: Шта бисте саветовали хакерима данас?
КМ: Био је недоступан у моје време, али сада људи могу етички да уче о хаковању. Постоје курсеви, пуно књига, трошкови за постављање сопствене рачунарске лабораторије су веома јефтини, а постоје чак и веб странице тамо на Интернету који су постављени да омогуће људима да покушају да провале како би повећали своје знање и вештине – оне које се зову Хацме Банка. Људи сада могу етички да науче о томе, а да не упадну у невоље или да повреде било кога другог.
ДТ: Мислите ли да то подстиче људе да злоупотребљавају ове вештине?
КМ: Вероватно ће то учинити без обзира на то да ли имају помоћ или не. То је алат, хаковање је алат, тако да можете узети чекић и изградити кућу или можете ударити некога по глави њиме. Оно што је данас важно је етика. Етички разговор за Кевина Митника је био: У реду је писати програме за крађу лозинки у средњој школи. Зато је важно да се људи и деца заинтересују за ово јер је то интересантно поље, али да иза тога има и етичку обуку како би је користили на добар начин.
ДТ: Можете ли да причате мало о Мац вс. Дебата о безбедности прозора?
КМ: Мац рачунари су мање сигурни, али су мање циљани. Виндовс има највећи удео на тржишту, тако да су више циљани. Сада Аппле очигледно појачава своју безбедност и разлог зашто не чујете за многе Мац рачунаре Нападнути су писци злонамерног софтвера не пишу злонамерни код за Мац рачунаре јер једноставно нису били популарни довољно. Када пишете злонамерни код, желите да нападнете много људи и традиционално је много више људи који користе Виндовс.
Како се Мац тржишни удео повећава, природно ћемо почети да их више циљамо.
ДТ: Који ОС је најбезбеднији?
КМ: Гоогле Цхроме ОС. Знаш зашто? Зато што не можете ништа да урадите са тим. Можете да приступите Гоогле услугама, али нема шта да нападнете. Али то није одрживо решење за људе. Препоручио бих коришћење Мац-а, не само због безбедности, већ имам мање проблема са Мац ОС-ом него Виндовс-ом.
ДТ: Коју нову технологију тренутно сматрате најфасцинантнијом?
КМ: Сећам се када сам имао девет година и када сам се возио кроз Л.А. са татом који је гледао у тутњаву скидајте се на аутопуту мислећи да ће једног дана направити технологију у којој нећете морати ни да возите ауто. Биће нека врста електронског решења где ће се аутомобили сами возити и тешко да ће бити незгода. И три, четири деценије касније, Гугл тестира ову врсту технологије. Аутомобили без возача. Мислим да су то ствари типа Џорџа Џетсона.
