Idag är Kevin Mitnick en säkerhetsexpert som infiltrerar sina kunders företag för att avslöja deras svagheter. Han är också författare till flera böcker, inklusive Ghost in the Wires. Men han är mest känd som hackern som gäckade FBI i åratal och till slut fängslades för sina sätt. Vi hade en chans att prata med honom om hans tid i isoleringscell, hacka McDonald's och vad han tycker om Anonymous.
Digitala trender: När blev du först intresserad av att hacka?
Rekommenderade videor
Kevin Mitnick: Det som faktiskt startade mig med att hacka var den här hobbyn som jag hade samtalstelefoner. När jag var junior på gymnasiet var jag fascinerad av magi, och jag träffade den här andra eleven som kunde magi med en telefon. Han kunde göra alla dessa knep: jag kunde ringa in på ett nummer han berättade för mig och han skulle ringa på ett annat, och vi skulle förenas, och detta kallas en loop-around. Det var ett telefonbolags testkrets. Han visade mig att han hade det här hemliga numret på telefonbolaget, han kunde slå ett nummer, och det gav en konstig ton, och sedan satte han in en femsiffrig kod och han kunde ringa var som helst gratis.
Han hade hemliga nummer i telefonbolaget dit han kunde ringa och han behövde inte identifiera sig, vad skulle hända är om han hade ett telefonnummer, kunde han hitta namnet och adressen till det numret även om det var det opublicerad. Han kunde bryta igenom vidarekopplingen. Han kunde magi med telefonen, och jag blev riktigt fascinerad av telefonbolaget. Och jag var en skojare. Jag älskade upptåg. Min fot i dörren till att hacka var att dra spratt på vänner.
Ett av mina första spratt var att jag skulle byta ut mina vänners hemtelefon till en telefonautomat. Så när han eller hans föräldrar försökte ringa ett samtal stod det "vänligen sätt in en fjärdedel."
Så mitt inträde i hacking var min fascination för telefonbolaget och att jag ville göra spratt.
DT: Var fick du den tekniska kunskapen för att börja dra ut dessa saker?
KM: Jag var själv intresserad av teknik och han ville faktiskt inte berätta för mig hur han gjorde saker. Ibland hörde jag vad han gjorde, och jag visste att han använde social ingenjörskonst, men han var som trollkarlen som gjorde tricken men inte ville berätta för mig hur de gjordes, så jag skulle behöva reda ut det jag själv.
Innan jag träffade den här killen var jag redan amatörradiooperatör. Jag klarade mitt HAM-radiotest när jag var 13, och jag ägnade mig redan åt elektronik och radio så jag hade den tekniska bakgrunden.
Det här var på 70-talet, och jag kunde inte få en C.B.-licens eftersom du måste vara 18 år och jag var 11 eller 12. Så jag träffade den här busschauffören när jag åkte buss en dag, och den här föraren introducerade mig för HAM-radio. Han visade mig hur han kunde ringa telefonsamtal med sin handhållna radio, vilket jag tyckte var supercoolt eftersom det var före cellen telefoner och jag tänkte "Wow, det här är så coolt, jag måste lära mig om det." Jag plockade upp några böcker, tog några kurser och vid 13 klarade jag examen.
Sedan lärde jag mig om telefoner. Efter det introducerade en annan elev på gymnasiet mig för datorläraren för att gå en datorlektion. Först släppte instruktören inte in mig eftersom jag inte uppfyllde kraven, och sedan visade jag honom alla knep jag kunde göra med telefonen, och han blev grundligt imponerad och lät mig komma in i klass.
DT: Har du ett favorithack, eller ett som du var särskilt stolt över?
KM: Hacket jag är mest fäst vid var att hacka McDonald's. Det jag fixade - du minns att jag hade mitt HAM-radiolicens - jag kunde ta över uppkörningsfönstren. Jag skulle sitta tvärs över gatan och ta över dem. Du kan föreställa dig vid 16, 17 år gammal, vad kul du kan ha. Så personen på McDonald's kunde höra allt som hände, men de kunde inte övermanna mig, jag skulle övermanna dem.
Kunder körde upp och jag tog deras beställning och sa "Okej, du är den 50:e kunden idag, din beställning är gratis, vänligen kör vidare." Eller så skulle polisen komma upp och ibland sa jag "Jag är ledsen sir, vi har inga munkar till er idag, och för poliser serverar vi bara Dunkin Donuts." Antingen det eller så säger jag, "Göm den kokain! Göm kokainet!"
Det kom till en punkt där chefen kom ut på parkeringen, tittade på platsen, tittade in i bilarna och naturligtvis var ingen i närheten. Så han gick fram till högtalaren och tittade faktiskt inuti som om det fanns en man gömd inuti, och sedan sa jag "Vad fan tittar du på!"
DT: Kommer du att prata lite om skillnaden mellan social ingenjörskonst för dig in i ett nätverk och att faktiskt hacka dig in i ett?
KM: Sanningen är att de flesta hack är hybrider. Du kan komma in i ett nätverk genom nätverksexploatering – du vet, att hitta ett rent tekniskt sätt. Du kan göra det genom att manipulera människor som har tillgång till datorer, för att avslöja information eller göra en "åtgärd" som att öppna en PDF-fil. Eller så kan du få fysisk åtkomst till var deras datorer eller servrar finns och göra det på detta sätt. Men det är egentligen inte det ena eller det andra, det är verkligen baserat på målet och situationen, och det är där hackaren bestämmer vilken färdighet som ska användas, vilken väg de ska använda för att bryta mot systemet.
Nu i dag är social ingenjörskonst ett betydande hot eftersom RSA [Security] och Google hackades, och dessa var genom en teknik som kallas spear phishing. Med RSA-attackerna, som var betydande eftersom angriparna stal symbolfrön som försvarsentreprenörer som användes för autentisering, hackarna fällde ett Excel-dokument med en Flash objekt. De hittade ett mål inom RSA som skulle ha tillgång till information de ville ha, och skickade det här häftiga dokumentet till offret, och när de öppnade Excel-dokumentet (som förmodligen skickades från vad som såg ut som en legitim källa, en kund, affärspartner) osynligt utnyttjade en sårbarhet i Adobe Flash och hackaren hade sedan tillgång till den här anställdes arbetsstation och RSA: s interna nätverk.
Spear phishing använder två komponenter: sociala nätverk för att få personen att öppna Excel-dokumentet, och den andra del är tekniskt utnyttjande av en bugg eller säkerhetsbrist i Adobe som gav angriparen full kontroll över dator. Och det är så det fungerar i den verkliga världen. Du ringer inte bara upp någon på telefonen och ber om ett lösenord; attacker är vanligtvis hybrider och kombinerar teknisk och social ingenjörskonst.
I Ghost in the Wires, jag beskriver hur jag använde båda teknikerna.
DT: En del av anledningen till att du skrev Ghost in the Wires var att ta upp några av påhittarna om dig själv.
KM: Åh ja, det skrevs tre böcker om mig, det fanns en film som hette Ta ner som det slutade med att jag avgjorde en rättegång utanför domstol, och de gick med på manusändringar och den släpptes aldrig på bio i USA. Jag hade en New York Times reporter som skrev en berättelse som jag hackade in i NORAD 1983 och nästan började WWIII eller något löjligt som detta — angav det som ett faktum, vilket var helt utan källor påstående.
Det finns många saker där ute i allmänhetens ögon som helt enkelt inte var sanna, och många saker som folk verkligen inte visste. Och jag tyckte att det var viktigt att få min bok att verkligen berätta min historia och i princip sätta rekord. Jag trodde också att min historia var som Ta mig om du kan, Jag hade ett två decennier långt katt- och råttaspel med FBI. Och jag var inte ute efter att tjäna pengar. Faktum är att när jag var på flykt arbetade jag 9-till-5 jobb för att försörja mig och hackade på natten. Jag hade förmågan att om jag ville kunde jag ha stulit kreditkortsuppgifter och bankkontoinformation, men min moraliska kompass lät mig inte göra det. Och min främsta anledning till att hacka var verkligen utmaningen: Som att bestiga Mount Everest. Men den främsta anledningen var min jakt på kunskap. Som barn intresserad av magi och HAM-radio älskade jag att ta isär saker och ta reda på hur de fungerade. På min tid fanns det inga möjligheter att lära sig hacka etiskt, det var en annan värld.
Redan när jag gick i gymnasiet kände jag mig uppmuntrad att hacka. En av mina första uppdrag var att skriva ett program för att hitta de första 100 Gnocchi-numren. Istället skrev jag ett program som kunde fånga människors lösenord. Och jag jobbade så hårt på det här för att jag tyckte det var coolt och roligt, så jag hade inte tid att göra själva och lämnade in den här istället – och jag fick ett A och en massa "Atta-pojkar". Jag började på ett annat sätt värld.
DT: Och du sattes till och med i isoleringscell medan du satt i fängelse på grund av saker som folk trodde att du kunde göra.
KM: Åh ja, ja. För flera år sedan, i mitten av 80-talet, hackade jag mig in i ett företag som heter Digital Equipment Corporation, och det jag var intresserad av var mitt långsiktiga mål att bli den bästa hackaren som möjligt. Jag hade inget mål förutom att komma in i systemet. Vad jag gjorde var att jag tog ett beklagligt beslut och bestämde mig för att gå efter källkoden, vilket är ungefär det hemliga receptet till Orange Julius för operativsystemet VMS, ett mycket populärt operativsystem tillbaka i USA dag.
Så jag tog i princip en kopia av källkoden och en vän till mig informerade om mig. När jag hamnade i rätten efter att FBI arresterade mig, hade en federal åklagare sagt till en domare att vi inte bara måste kvarhålla Mr. Mitnick som ett nationellt säkerhetshot, vi måste se till att han inte kan komma nära en telefon, eftersom han helt enkelt kan ta upp en telefonautomat, ansluta till ett modem på NORAD, vissla uppskjutningskoden och eventuellt starta en kärnvapen. krig. Och när åklagaren sa detta började jag skratta för jag hade aldrig hört talas om något så löjligt i mitt liv. Men domaren, otroligt nog, köpte den kroklina och sänke, och det slutade med att jag hölls i ett federalt interneringscenter i isoleringscell i nästan ett år. Du får inte umgås med någon, du är inlåst i ett litet rum som förmodligen är lika stort som ditt badrum och du bara sitter där inne i en betongkista. Det var ungefär som psykologisk tortyr, och jag tror att den maximala tiden en person ska vara i isolering är ungefär 19 dagar, och de höll mig där i ett år. Och det var baserat på en löjlig föreställning att jag kunde vissla lanseringskoderna.
DT: Och hur lång tid efter det fick man inte använda grundläggande elektronik, eller åtminstone sådan som kunde möjliggöra kommunikation?
KM: Det som hände är att jag hamnade i problem ett par gånger efter att jag släpptes. Ett par år senare skickade FBI en informatör som var en riktig och kriminellt orienterad hacker – alltså någon som stjäl kreditkortsinformation för att stjäla pengar – för att ställa upp mig. Och jag insåg snabbt vad informatören gjorde så jag började göra kontraspionage mot FBI och började hacka igen. Den här historien är verkligen fokuserad på i boken: hur jag bröt FBI: s operation mot mig och fick reda på agenterna som arbetade mot mig och deras mobiltelefonnummer. Jag tog deras nummer och programmerade in dem i en enhet jag hade som tidig varningssystem. Om de kom nära min fysiska plats skulle jag veta om det. Så småningom efter att det här fallet var över 1999 hade jag mycket stränga villkor. Jag kunde inte röra någonting med en transistor i den utan tillstånd från regeringen. De behandlade mig som om jag vore en MacGyver, ge Kevin Mitnick ett nio-volts batteri och tejp och han är en fara för samhället.
Jag kunde inte använda en fax, en mobiltelefon, en dator, något som hade med kommunikation att göra. Och så småningom efter två år slappnade de av dessa villkor eftersom jag fick i uppdrag att skriva en bok som heter Konsten att bedrägeri, och de gav mig i hemlighet tillåtelse att använda en bärbar dator så länge jag inte berättade för media och inte ansluter till internet.
DT: Jag skulle anta att det här inte bara var otroligt obekvämt utan också personligt svårt.
KM: Ja för tänk dig... jag arresterades 1995 och släpptes 2000. Och under de fem åren gick internet igenom en dramatisk förändring, så under den här tiden var det som om jag var Rip Van Wrinkle. Jag somnade och vaknade och världen har förändrats. Så det var lite svårt att bli förbjuden att röra vid teknik. Och regeringen, tror jag, ville bara göra det extremt svårt för mig, eller så trodde de faktiskt att jag var ett nationellt säkerhetshot. Jag vet verkligen inte vilken det är, men jag kom igenom det. Idag kan jag ta all denna bakgrund och min hackkarriär och nu får jag betalt för att göra det. Företag anlitar mig från hela världen för att bryta sig in i deras system, för att hitta deras sårbarheter så att de kan fixa dem innan de riktiga skurkarna kommer in. Jag reser världen runt och pratar om datorsäkerhet och ökar medvetenheten om det, så jag är väldigt lyckligt lottad som gör detta idag.
Jag tror att folk känner till mitt fall och att jag bröt mot lagen, men att jag inte var ute efter att göra det för pengar eller för att skada någon. Jag hade bara kompetensen. Jag hade inget att förlora, jag var på flykt från FBI, jag kunde ha tagit pengar, men det var emot min moraliska kompass. Jag ångrar de handlingar som skadade andra, men jag ångrar egentligen inte hackningen eftersom det för mig var som ett videospel.
DT: Hacking har varit ett trendämne i år tack vare haktivister som Anonymous. De är en extremt polariserande grupp – vad tycker du om dem?
KM: Jag tror att det främsta som Anonym gör är att höja säkerhetsmedvetenheten, om än på ett negativt sätt. Men de illustrerar verkligen att det finns många företag där ute som är den lågt hängande frukten, att deras system har dålig säkerhet och att de verkligen behöver förbättra den.
Jag tror inte att deras politiska budskap verkligen kommer att göra någon förändring i världen. Jag tror att den enda förändringen de skapar är att göra sig själva till en högre prioritet för brottsbekämpning. Det är ungefär som varför FBI var så förbannad på mig. När jag var på flykt, bodde i Denver och hade listat ut vad uppgiftslämnaren gjorde, upptäckte jag genom min tidig varningssystem (övervakar deras mobiltelefonkommunikation) om att de kommer och går för att söka mig. Jag rensade ur min lägenhet från vilken datorutrustning som helst eller vad som helst som FBI skulle ta, och jag köpte en stor låda med munkar och med en Sharpie skrev "FBI-munkar" på den och stoppade in den i kylskåpet.
De verkställde husrannsakan nästa dag och de var rasande eftersom jag inte bara visste när de skulle komma utan jag hade köpt munkar till dem. Det var en galen sak att göra... det saknar viss mognad, men jag tyckte det var roligt. Och på grund av detta blev jag en flykting, och FBI arresterade fel personer som de trodde var jag, och New York Times fick dem att bli som Keystone Kops. Så när de äntligen fick tag i mig, hamrade de på mig. De kom ner riktigt hårt på mig, och även i mitt fall... du vet, jag stal källkod för att hitta säkerhetshål och jag hackade in telefoner från Motorola och Nokia så att jag inte kunde spåras. Och regeringen uppmanade dessa företag att säga att förlusterna de ådrog sig på min bekostnad var hela deras FoU-investeringar som de använde för mobiltelefoner. Så det är ungefär som att ett barn går in i 7-11 och stjäl en burk Coca-Cola och säger att förlusten som detta barn orsakade för Cola var hela formeln.
Och det är en av sakerna jag satte klart i boken: Jag orsakade förluster. Jag vet inte om det var 10 000 $, 100 000 $ eller 300 000 $. Men jag vet att det var fel och oetiskt för mig att göra och jag är ledsen för det, men jag orsakade absolut inte förluster på 300 miljoner dollar. Faktum är att alla företag som jag hackade in var börsnoterade företag, och enligt SEC, om något publikt företag lider av en väsentlig förlust måste det rapporteras till aktieägarna. Inget av företagen jag hackade in rapporterade en enda krona i förlust.
Jag blev exemplet eftersom regeringen ville skicka ett meddelande till andra blivande hackare att om du gör den här typen av saker och du spelar spel med oss, är det här vad som kommer att hända dig. Som en reaktion på min bok säger vissa människor "Åh, han är inte ledsen för vad han gjorde, han skulle göra det igen", jag är inte ledsen för hackningen, men jag är ledsen för all skada jag orsakat. Det finns en skillnad mellan det.
DT: Så hur ser du på att hacking utvecklas just nu? Tekniken är mycket mer tillgänglig än någonsin och fler och fler konsumenter kan tänja på dessa gränser.
KM: Hacking kommer att fortsätta att vara ett problem, och angripare går nu efter mobiltelefoner. Förr var det din persondator, och nu är det din mobila enhet, din Android, din iPhone. Människor förvarar känslig information där, bankkontouppgifter, personliga bilder. Hacking går verkligen i telefonernas riktning.
Skadlig programvara blir mer sofistikerad. Folk hackar sig in på certifikatmyndigheter, så du har ett protokoll som heter SSL för onlineshopping eller banktransaktioner. Och hela detta protokoll är baserat på förtroende och dessa certifikatmyndigheter, och hackare äventyrar dessa certifikatmyndigheter och utfärdar själva sina egna certifikat. Så de kan låtsas vara Bank of America, låtsas vara PayPal. Det hela är mer sofistikerat, mer komplext och viktigare för företag att vara medvetna om problemet och försöka minska risken att de kommer att äventyras.
DT: Vilka råd om några skulle du ge till hackare idag?
KM: Det var inte tillgängligt på min tid, men nu kan folk etiskt lära sig om hacking. Det finns kurser, massor av böcker, kostnaden för att sätta upp ett eget datorlaboratorium är mycket billigt, och det finns till och med webbplatser där ute på Internet som är inrättade för att låta människor försöka hacka sig in för att öka sina kunskaper och färdigheter – sådana som kallas Hacme Bank. Människor kan etiskt lära sig om det nu utan att hamna i problem eller skada någon annan.
DT: Tror du att det uppmuntrar människor att missbruka dessa färdigheter?
KM: De kommer förmodligen att göra det oavsett om de har hjälp eller inte. Det är ett verktyg, hacking är ett verktyg, så du kan ta en hammare och bygga ett hus eller så kan du slå någon i huvudet med den. Det som är viktigt idag är etiken. Etikpratet för Kevin Mitnick var: Det är okej att skriva lösenordsstöldprogram på gymnasiet. Så det är viktigt att få människor och barn intresserade av detta eftersom det är ett intressant område, men att också ha etikutbildningen bakom det så att de använder det på ett bra sätt.
DT: Kan du prata lite om Mac vs. Fönstersäkerhetsdebatt?
KM: Mac-datorer är mindre säkra men de är mindre riktade. Windows har störst marknadsandel så de är mer riktade. Nu ökar uppenbarligen Apple sin säkerhet, och anledningen till att du inte hör talas om många Mac-datorer attackerad är skadlig kod som författare inte skriver skadlig kod för Mac-datorerna eftersom de helt enkelt inte var populära tillräckligt. När du skriver skadlig kod vill du attackera många människor och det har traditionellt sett varit mycket fler som kört Windows.
När Mac-marknadsandelen ökar, kommer vi naturligtvis att börja se dem mer inriktade.
DT: Vilket operativsystem är säkrast?
KM: Google Chrome OS. Du vet varför? För du kan inte göra något med det. Du kan komma åt Googles tjänster men det finns inget att attackera. Men det är inte en hållbar lösning för människor. Jag skulle rekommendera att du använder en Mac, inte bara på grund av säkerheten, utan jag har färre problem med att köra Mac OS än Windows.
DT: Vilken ny teknik tycker du är mest fascinerande just nu?
KM: Jag minns när jag var nio år och jag körde genom L.A. med min pappa och tittade på mullret strippa på motorvägen och tänker att de en dag kommer att göra teknik där du inte ens behöver köra bil. Det blir någon form av elektronisk lösning där bilarna kör själva och det blir knappast några olyckor. Och tre, fyra decennier senare testar Google den här typen av teknik. Förarlösa bilar. Jag tror att det är grejer av George Jetson-typ.
