Сьогодні Кевін Мітнік є експертом з безпеки, який проникає в компанії своїх клієнтів, щоб викрити їхні слабкі місця. Він також є автором кількох книг, у тому числі Привид у дротах. Але найбільше він відомий як хакер, який роками вислизав від ФБР і зрештою був ув’язнений за свої дії. У нас була нагода поговорити з ним про його перебування в одиночній камері, хакерство McDonald’s і що він думає про Anonymous.
Digital Trends: Коли ви вперше зацікавилися хакерством?
Рекомендовані відео
Кевін Мітнік: Насправді те, що мене поштовхнуло до хакерства, це моє хобі — телефонний фрік. Коли я був молодшим у старшій школі, я був зачарований магією, і я зустрів одного студента, який міг робити магію за допомогою телефону. Він міг робити всі ці трюки: я міг зателефонувати за номером, який він мені сказав, а він зателефонував би за іншим, і ми були б разом, і це називається петлею. Це була тестова схема телефонної компанії. Він показав мені, що має цей секретний номер у телефонній компанії, він міг набрати номер, і він давав дивний сигнал, а потім вставив п’ятизначний код і міг дзвонити куди завгодно безкоштовно.
У нього були секретні номери в телефонній компанії, куди він міг зателефонувати, і йому не потрібно було називати себе якби у нього був номер телефону, він міг би знайти ім’я та адресу цього номера, навіть якщо б він був неопублікований. Він міг зламати переадресацію. Він міг творити магію з телефоном, і я був справді зачарований телефонною компанією. А я був жартівником. Я любив розіграші. Моя нога в дверях хакерства влаштовувала жарти над друзями.
Однією з моїх перших витівок було те, що я міняю домашній телефон своїх друзів на таксофон. Тож щоразу, коли він або його батьки намагалися зателефонувати, вони казали «будь ласка, внесіть чверть».
Отже, мій початок у хакерстві був пов’язаний із захопленням телефонною компанією та бажанням жартів.
DT: Звідки ви взяли технічні знання, щоб почати робити ці речі?
КМ: Я сам цікавився технологіями, і він насправді не розповідав мені, як він щось робив. Іноді я випадково чув, що він робить, і знав, що він використовує соціальну інженерію, але він був таким фокусник, який робив трюки, але не хотів розповідати мені, як вони робилися, тому мені довелося б розібратися себе.
До зустрічі з цим хлопцем я вже був радіолюбителем. У 13 років я здав іспит на радіолюбителі, і я вже захоплювався електронікою та радіо, тож мав відповідну технічну освіту.
Це було ще в 70-х, і я не міг отримати ліцензію C.B., тому що вам мало бути 18 років, а мені було 11 чи 12. Тож я познайомився з цим водієм автобуса, коли їхав автобусом одного разу, і цей водій познайомив мене з радіолюбителями. Він показав мені, як він може дзвонити за допомогою свого портативного радіо. Я вважав це суперкрутим, оскільки це було раніше, ніж стільниковий телефони, і я подумав: «Вау, це так круто, я маю про це дізнатися». Я взяв кілька книг, відвідав кілька курсів і в 13 років здав екзамен.
Тоді я дізнався про телефони. Після цього інший учень середньої школи познайомив мене з інструктором з комп’ютерів, щоб я пройшов у комп’ютерний клас. Мене спочатку викладач не пускав через те, що я не відповідав вимогам, а потім я йому показав всі трюки, які я міг робити з телефоном, і він був дуже вражений і дозволив мені в клас.
DT: У вас є улюблений хак чи той, яким ви особливо пишаєтеся?
КМ: Хак, до якого я найбільше прив’язаний, — це злом McDonald’s. Що я вирішив — ви пам’ятаєте, у мене була ліцензія на радіолюбителі — я міг взяти на себе керування вікнами. Я сідав навпроти й переймав їх. Ви можете собі уявити, у 16-17 років, як вам було б весело. Тож людина в McDonald’s могла чути, що все відбувається, але вони не могли здолати мене, я б здолав їх.
Клієнти під’їжджали, я брав їхнє замовлення й казав: «Добре, ти сьогодні 50-й клієнт, ваше замовлення безкоштовне, будь ласка, їдьте вперед». Або поліцейські підійдуть іноді я казав: «Вибачте, сер, у нас сьогодні для вас немає пончиків, а для поліцейських ми подаємо лише пончики Dunkin». Або це, або я б сказав: «Сховай кокаїн! Сховай кокаїн!»
Дійшло до того, що менеджер виходив на стоянку, дивився на майданчик, дивився в машини, і, звичайно, нікого поруч. Тож він підходив до гучномовця і дивився всередину, наче всередині ховався чоловік, а тоді я казав: «На що ти, чорт, дивишся!»
DT: Чи можете ви трохи поговорити про різницю між соціальною інженерією, як ви проникаєте в мережу, і фактичним зломом її?
КМ: Правда в тому, що більшість хаків є гібридними. Ви можете потрапити в мережу через мережеву експлуатацію – знаєте, знайшовши чисто технічний спосіб. Ви можете зробити це, маніпулюючи людьми, які мають доступ до комп’ютерів, щоб розкрити інформацію або виконати «елемент дії», як-от відкрити PDF-файл. Або ви можете отримати фізичний доступ до того, де знаходяться їхні комп’ютери чи сервери, і зробити це таким чином. Але насправді це не те чи інше, це насправді залежить від цілі та ситуації, і саме тут хакер вирішує, які навички використати, який шлях він використає, щоб зламати систему.
Сьогодні соціальна інженерія становить суттєву загрозу, оскільки RSA [Security] і Google були зламані за допомогою техніки, яка називається spear phishing. З атаками RSA, які були значними, оскільки зловмисники вкрали насіння токенів, які оборонні підрядники використовували для автентифікації, хакери замінували документ Excel за допомогою Flash об'єкт. Вони знайшли ціль у RSA, яка мала б доступ до інформації, яку вони хотіли, і надіслали цей мінований документ жертві, і коли вони відкрили документ Excel (який, ймовірно, було надіслано з того, що виглядало як законне джерело, клієнт, діловий партнер), він непомітно скористався вразливістю в Adobe Flash, а потім хакер отримав доступ до робочої станції цього співробітника та внутрішньої системи RSA. мережі.
Фішинг використовує два компоненти: соціальні мережі, щоб змусити людину відкрити документ Excel, і другий частиною є технічне використання помилки або недоліку безпеки в Adobe, що дало зловмиснику повний контроль над комп'ютер. І так це працює в реальному світі. Ви не просто телефонуєте комусь і запитуєте пароль; Атаки зазвичай є гібридними і поєднують технічну та соціальну інженерію.
в Привид у дротах, я описую, як я використовував обидві техніки.
DT: Частково причина, чому ви написали Привид у дротах було звернутись до деяких вигадок про себе.
КМ: О так, про мене написали три книги, був фільм під назвою Зняти Зрештою я врегулював позов поза судом, і вони погодилися внести зміни в сценарій, і він так і не був показаний в кінотеатрах у Сполучених Штатах. У мене був репортер New York Times, який написав історію, про яку я зламав NORAD у 1983 році і ледь не почав Друга світова війна або щось смішне на кшталт цього — заявили це як факт, який був абсолютно без джерел звинувачення.
У громадськості є багато речей, які просто не відповідають дійсності, і багато речей, про які люди насправді не знали. І я подумав, що важливо змусити мою книгу по-справжньому розповісти мою історію і, по суті, встановити правду. Я теж думав, що моя історія така Спіймай мене, якщо зможеш, у мене була гра в кішки-мишки з ФБР, яка тривала два десятиліття. І я не збирався заробляти гроші. Фактично, коли я був у втечі, я працював з 9 до 5, щоб прогодувати себе, і займався хакерством вночі. У мене були навички, що якби я хотів, я міг би вкрасти дані кредитної картки та інформацію про банківський рахунок, але мій моральний компас не дозволяв мені цього зробити. І моєю першочерговою причиною для злому був виклик: як підйом на Еверест. Але головною причиною було моє прагнення до знань. У дитинстві мені подобалося розбирати речі та з’ясовувати, як вони працюють. У мій час не було шляхів навчитися етично хакерству, це був інший світ.
Навіть коли я навчався в середній школі, мене заохочували до злому. Одним із моїх перших завдань було написати програму для пошуку перших 100 чисел Ньоккі. Натомість я написав програму, яка може перехоплювати паролі людей. І я так старанно працював над цим, тому що вважав це круто та весело, тож у мене не було часу на те, і натомість здав це – і я отримав п’ятірку та багато «Атта хлопці». Я почав в іншому світ.
DT: І вас навіть посадили в одиночну камеру, поки ви були у в’язниці через те, що люди думали, що ви можете зробити.
КМ: О так, так. Багато років тому, у середині 80-х, я зламав компанію під назвою Digital Equipment Corporation, і мене цікавила моя довгострокова мета — стати найкращим із можливих хакерів. У мене не було жодної мети, крім як потрапити в систему. Що я зробив, так це те, що я прийняв рішення, яке викликає жаль, і вирішив піти за вихідним кодом, який схожий на секретний рецепт Orange Julius для операційної системи VMS, дуже популярної операційної системи в минулому день.
Тож я фактично взяв копію вихідного коду, і мій друг повідомив про мене. Коли я опинився в суді після того, як мене заарештувало ФБР, федеральний прокурор сказав судді, що ми не тільки повинні затримати пана Мітніка як загрозу національній безпеці, ми повинен переконатися, що він не може підійти до телефону, тому що він міг би просто взяти таксофон, підключитися до модему в NORAD, свистнути код запуску і, можливо, запустити ядерний війни. І коли прокурор це сказав, я почав сміятися, тому що такого смішного я ніколи в житті не чув. Але суддя, неймовірно, купив для нього шнурок і грузило, і я закінчився у федеральному центрі ув’язнення в одиночній камері майже рік. Ви не маєте права ні з ким спілкуватися, ви замкнені в маленькій кімнаті, мабуть, розміром з вашу ванну кімнату, і ви просто сидите там у бетонній труні. Це було щось на кшталт психологічної тортури, і я думаю, що максимальний час, який людина повинна перебувати в одиночній камері, це десь 19 днів, а мене там тримали рік. І це було засновано на смішній ідеї, що я міг свистіти коди запуску.
DT: І скільки часу після цього вам не дозволяли користуватися елементарною електронікою або принаймні тією, яка могла б забезпечити зв’язок?
КМ: Що ж сталося, я кілька разів потрапляв у неприємності після того, як мене звільнили. Кілька років потому ФБР надіслало інформатора, який був справжнім хакером, орієнтованим на кримінальні злочини, тобто людиною, яка краде дані кредитної картки, щоб вкрасти гроші, щоб підставити мене. І я швидко зрозумів, що робив інформатор, тому почав контррозвідку проти ФБР і знову почав хакерство. Ця історія насправді присвячена цій книзі: як я зламав операцію ФБР проти мене та дізнався агентів, які працювали проти мене, і номери їхніх мобільних телефонів. Я взяв їхні номери та запрограмував їх у пристрій, який мав як систему раннього попередження. Якби вони наблизилися до мого фізичного місцезнаходження, я б знав про це. Згодом після завершення цієї справи в 1999 році мені поставили дуже жорсткі умови. Я не міг торкатися нічого з транзистором без дозволу уряду. Вони поводилися зі мною, ніби я був Макгайвером, дайте Кевіну Мітніку дев’ятивольтову батарею та клейку стрічку, і він становить небезпеку для суспільства.
Я не міг користуватися факсом, мобільним телефоном, комп’ютером, будь-чим, що мало відношення до зв’язку. І потім, зрештою, через два роки вони пом’якшили ці умови, тому що мені доручили написати книгу під назвою Мистецтво обману, і вони таємно дали мені дозвіл користуватися ноутбуком, поки я не повідомляв ЗМІ та не підключався до Інтернету.
DT: Я б припустив, що це було не просто неймовірно незручно, але й особисто важко.
КМ: Так, тому що уявіть собі… Мене заарештували в 1995 році, а випустили в 2000 році. І за ці п’ять років Інтернет зазнав кардинальних змін, тому в цей час я був ніби Ріпом Ван Врінклом. Я заснув і прокинувся, а світ змінився. Тож заборонити торкатися техніки було якось важко. І уряд, я вважаю, просто хотів зробити мені це надзвичайно жорстким, або вони насправді вважали, що я становлю загрозу національній безпеці. Я дійсно не знаю, який це, але я пережив це. Сьогодні я можу взяти на себе весь цей досвід і свою хакерську кар’єру, і тепер мені за це платять. Компанії з усього світу наймають мене, щоб зламати їхні системи, знайти їх вразливі місця, щоб вони могли їх виправити до того, як у них проникнуть справжні погані хлопці. Я подорожую світом, розповідаючи про комп’ютерну безпеку та підвищуючи обізнаність про це, тож мені надзвичайно пощастило, що я роблю це сьогодні.
Я думаю, що люди знають про мою справу, і що я дійсно порушив закон, але я не мав на меті зробити це заради грошей чи комусь нашкодити. Я просто мав навички. Мені не було чого втрачати, я тікав від ФБР, я міг взяти гроші, але це суперечило моєму моральному компасу. Я шкодую про дії, які завдали шкоди іншим, але я не дуже шкодую про хакерство, тому що для мене це було як відеогра.
DT: Хакерство стало популярною темою цього року завдяки активістам, таким як Anonymous. Вони надзвичайно поляризована група – яке ваше ставлення до них?
КМ: Я вважаю, що Anonymous займається перш за все підвищенням обізнаності про безпеку, хоча й у негативний спосіб. Але вони, безсумнівно, демонструють, що існує багато компаній, які є невибагливими плодами, що їхні системи мають неякісну безпеку, і їм дійсно потрібно її покращити.
Я не вірю, що їхній політичний меседж справді змінить світ. Я думаю, що єдина зміна, яку вони створюють, полягає в тому, щоб зробити себе більш пріоритетним для правоохоронних органів. Це схоже на те, чому ФБР так розлютилося на мене. Коли я був утікачем, жив у Денвері, і зрозумів, що робив інформатор, я дізнався через свій система раннього попередження (моніторинг їхніх мобільних телефонних зв’язків), що вони приходили та йшли з обшуком мене. Я очистив свою квартиру від будь-якого комп’ютерного обладнання чи будь-чого, що може взяти ФБР, я купив велику коробку пончиків, написав на ній «пончики ФБР» і поклав у холодильник.
Наступного дня вони виконали ордер на обшук і були розлючені, тому що я не тільки знав, коли вони прийдуть, але й купив їм пончики. Це була божевільна річ… їй бракує певної зрілості, але я думав, що це весело. І через це я став утікачем, і ФБР заарештовувало не тих людей, яких вони вважали мною, а New York Times видавала їх за Кістоун Копів. Тож коли вони нарешті схопили мене, вони били молотком. Вони дуже сильно обрушилися на мене, і навіть у моєму випадку… знаєте, я справді вкрав вихідний код, щоб знайти діри в безпеці, і я зламав телефони Motorola та Nokia, щоб мене не могли відстежити. І уряд вимагав від цих компаній сказати, що збитки, яких вони зазнали за мій рахунок, були їхніми інвестиціями в дослідження та розробки, які вони використали для мобільних телефонів. Тож це схоже на те, як дитина йде в 7-11 і вкраде банку Coca-Cola та каже, що втрата, яку ця дитина завдала Кока-колі, — це вся формула.
І це одна з речей, які я чітко виклав у книзі: я справді завдав збитків. Я не знаю, чи це було 10 000 доларів, 100 000 чи 300 000 доларів. Але я знаю, що це було неправильно та неетично з мого боку, і мені шкода за це, але я точно не завдав збитків на 300 мільйонів доларів. Насправді всі компанії, які я зламав, були публічними компаніями, і згідно з SEC, якщо якась публічна компанія зазнає суттєвих збитків, про це потрібно повідомити акціонерам. Жодна з компаній, які я зламав, не повідомила про втрату жодного пенні.
Я став прикладом, тому що уряд хотів надіслати повідомлення іншим потенційним хакерам, що якщо ви будете робити подібні речі та грати з нами, ось що з вами станеться. Як реакція на мою книгу деякі люди кажуть: «О, він не шкодує про те, що зробив, він би зробив це знову», я не шкодую за хакерство, але мені шкода за будь-яку шкоду, яку я завдав. Між цим є різниця.
DT: То як ви бачите розвиток хакерства прямо зараз? Технології набагато доступніші, ніж будь-коли, і все більше споживачів здатні розширювати ці межі.
КМ: Хакерство й надалі залишатиметься проблемою, і зловмисники тепер переслідують мобільні телефони. Раніше це був ваш персональний комп’ютер, а тепер це ваш мобільний пристрій, ваш Android, ваш iPhone. Люди зберігають там конфіденційну інформацію, реквізити банківського рахунку, особисті фотографії. Звичайно, хакерство йде в напрямку телефонів.
Зловмисне програмне забезпечення стає все більш витонченим. Люди зламують центри сертифікації, тому у вас є протокол під назвою SSL для онлайн-покупок або банківських операцій. І весь цей протокол базується на довірі та цих центрах сертифікації, і хакери компрометують ці центри сертифікації та видають собі власні сертифікати. Тож вони можуть прикинутися Bank of America, прикинутися PayPal. Це все складніше, складніше, і для компаній важливіше усвідомлювати проблему та намагатися зменшити ймовірність того, що вони будуть скомпрометовані.
DT: Які б поради ви дали хакерам сьогодні?
КМ: У мої часи це було недоступно, але тепер люди можуть етично дізнатися про хакерство. Є курси, багато книг, вартість створення власної комп’ютерної лабораторії дуже недорога, і є навіть веб-сайти там в Інтернеті, які налаштовані, щоб дозволити людям спробувати зламати, щоб підвищити свої знання та навички – ті, які називаються Hacme банк. Люди можуть етично дізнатися про це зараз, не створюючи собі проблем і не завдаючи нікому шкоди.
DT: Як ви думаєте, це спонукає людей зловживати цими навичками?
КМ: Ймовірно, вони це зроблять, незалежно від того, матимуть допомогу чи ні. Це інструмент, хакерство – це інструмент, тому ви можете взяти молоток і побудувати будинок або можете піти вдарити ним когось по голові. Сьогодні важлива етика. Доповідь Кевіна Мітніка про етику була такою: писати програми для крадіжки паролів у середній школі – це нормально. Тому важливо зацікавити людей і дітей цим, тому що це цікава сфера, але також мати за цим підготовку з етики, щоб вони добре її використовували.
DT: Чи можете ви трохи поговорити про Mac vs. Дебати про безпеку вікон?
КМ: комп’ютери Mac менш безпечні, але менш цільові. Windows займають найбільшу частку ринку, тому вони більш цільові. Тепер Apple, очевидно, посилює свою безпеку, і тому ви не чуєте про багато Mac Атаковано автори зловмисного програмного забезпечення не пишуть шкідливий код для Mac, тому що вони просто не були популярні достатньо. Коли ви пишете зловмисний код, ви хочете атакувати багато людей, і традиційно людей, які використовують Windows, було набагато більше.
У міру того, як частка ринку Mac зростатиме, ми, природно, почнемо бачити їх цільовими.
DT: Яка ОС найбільш безпечна?
КМ: ОС Google Chrome. Ви знаєте, чому? Тому що з цим нічого не вдієш. Ви можете отримати доступ до служб Google, але атакувати нічого. Але це не життєздатне рішення для людей. Я б рекомендував використовувати Mac не лише через безпеку, але й у мене менше проблем із Mac OS, ніж з Windows.
DT: Яка нова технологія зараз найбільше вас захоплює?
КМ: Я пам’ятаю, коли мені було дев’ять років, і я їхав через Лос-Анджелес з татом, дивлячись на гул смугу на автостраді, думаючи, що одного дня вони створять технологію, де вам навіть не доведеться їздити автомобіль. Буде якесь електронне рішення, коли автомобілі їздитимуть самі і майже не буде аварій. І через три-чотири десятиліття Google тестує цей тип технології. Автомобілі без водія. Я думаю, що це щось на зразок Джорджа Джетсона.
