Kdo je Kevin Mitnick
Patrně každý se doslechl alespoň trochu o „největším hackerovi na světě“ Kevinu Mitnickovi. Jeho kausa zahýbala světem počítačů v 90. letech minulého století. Šlo patrně o nejdiskutovanější a nejmedializovanější proces s počítačovým hackerem v historii vůbec.
Mitnick se již od dětství věnoval amatérskému radiovému vysílání. Později ho zaujal phone-phreaking, experimenty s telefony, voláním zadarmo a hrátky s ústřednami. Na střední škole se poprvé dostal k počítačum, kde ho téměř ihned zaujalo nabourávání se do systémů, zjišťování cizích hesel, neboť to všechno byl velmi dobrý zdroj zábavy. A od té doby u hackování zůstal a začal se zdokonalovat. Z jeho životopisu se můžete dočíst, že byl několikrát chycen a potrestán za hacking, což mu přinášelo stále větší popularitu.
Poslední kausa ho však proslavila nejvíce. V ní byl obviněn z napáchání škody 300 miliónů dolarů, byť mu nikdy nebylo prokázáno obohacení. Navíc „okradené“ firmy na burze nevykázaly žádnou ztrátu, jak jim ukládá zákon.
Proč zrovna o Mitnickovi se tolik mluvilo? Vždyť v počítačovém světě bylo zajisté mnoho nebezpečnějších a „škodlivějších“ hackerů. Mitnickova image nejobávanějšího hackera je vpodstatě mýtus vytvořený novináři.
Sám Mitnick přiznává, že proces proti němu byl oprávněný, neboť on se nelegálně dostával do počítačových systémů a získával tajné informace (zdrojáky operačních systémů), ale trest 5 let vězení plus zákaz používání počítačů a mobilních telefonů po dobu 3 roků od propuštění, nehledě na zacházení s podezřelým při vyšetřování (upírání základních svobod plynoucích z Ústavy), byl neadekvátní.
Co vlastně Mitnick dělal? Jako každý hacker, Mitnick se prostě nabourával do cizích systémů, ale narozdíl od mnohých jiných se ani neobohacoval, ani neničil důležitá data. Získával zdrojáky operačních systémů pro počítače i mobilní telefony, aby je mohl studovat. Hacking bral jako zábavu a jako výzvu, všechno dělal „pro vlastní potřebu“. Kevin Mitnick přirovnává svůj přístup ke kasaři: „Někteří kasaři překonávají zámky, aby něco ukradli, aby se obohatili. Jiní kasaři to berou jako intelektuální výzvu, chtějí překonat tvůrce bezpečnostního systému.“
Proč tedy takový trest? Důvodů bylo několik. Asi nejvíce se přičinili novináři, zejména John Markoff, který o Mitnickovi zveřejnil mnoho zavádějících, zveličených a nepravdivých informací (například, že se naboural do sítě NORAD severoamerické vzdušné obrany). Mediální kampaň byla tak silná, že soudkyně v procesu s Mitnickem sama věřila tomu, že Mitnick je schopen zapískáním do telefonu nebo odesláním příkazu ze svého počítače spustit 3. světovou válku. Kevin Mitnick byl označen jako „nebezpečný společnosti, je-li vybaven klávesnicí“.
Dalším důležitým faktorem bylo to, že zrovna v době chycení a následném procesu s Mitnickem se na Internetu začal rozvíjet obchod a vláda Spojených států chtěla mít větší kontrolu nad Internetem. Úřady chtěly povolit zakročení proti hackerům bez soudního příkazu a hledaly „obětního beránka“, precedens, který by hackery odstrašil a zároveň ukázal, že to samé se může stát libovolnému hackerovi. Kevin Mitnick se stal právě tím vhodným obětním beránek. A jak sám Mitnick prohlásil: „I pissed off lot of people“ :-)
Mitnickovi bylo loni povoleno používat počítače nepřipojené k Internetu a začátkem letošního roku skončil jeho soudní dohled. V současné době vede poradenskou firmu Defensive Thinking. Zajem o společnost vedenou bývalým hackerem je prý značný. Provádějí školení o bezpečnosti, penetrační testy ukazující (ne)zabezpečenost finančních institucí, ale také „soudní ohledání“ po hackerském útoku. Zkoumají, jak byl útok proveden, jaké vznikly škody, co se ztratilo a kdo útok provedl.
Social engineering
Hacker je člověk, který se snaží najít způsob jak proniknout do počítačových systémů pomocí vědomostí o slabinách, pomocí technických znalostí a pomocí vlastních (nebo i cizích) softwarových nástrojů, a získat údaje, které potřebuje.
Kevin Mitnick však ke svému úspěchu používal jinou a daleko účinnější metodu: social engineering. Česky řečeno podvod, klam a úskok. Ve stovkách případů se vydával za někoho jiného, manipuloval lidi, aby je přesvědčil, že je důvěryhodná osoba, a na základě toho z nich vymámil důvěrné informace, které pak zneužil k proniknutí do nějakého systému.
„Social engineering je manipulace, ovlivňování a klamání toho druhého, kdy je cílem od něj získat informace, které potřebujete, a nebo ho přemluvit a zmanipulovat k tomu, aby třeba konkrétně do počítače zadal kód, který chcete, aby tam zadal.“
„Hacker, který se zaměřuje na social engineering, jde přes ty lidi, kteří mají na starosti bezpečnost, znají ty informace, a snaží se je různými manipulativními technikami donutit k tomu, aby mu řekli, co potřebuje vědět, nebo aby udělali to, co on chce.“
Tato metoda vám možná přijde podvědomá, pokud jste viděli film Chyť mě, jestli to dokážeš (v originále Catch Me If You Can), kde se Leonardo DiCaprio v roli Franka Williama Abagnale pomocí social engineeringu stane postupně pilotem letadla, dětským lékařem a právníkem. Kevin Mitnick se od hrdiny filmu liší v tom, že netiskl falešné šeky, ani nepoužíval tuto metodu k vlastnímu obohacení, ale jen k získávání dalších informací o systémech a ke zdokonalení vlastních znalostí.
„Je to strašně jednoduché, ale strašně účinné…“
Začíná to úplně nevinně. Třeba tím, že vás někdo svými libými kecy v mailu zmanipuluje k tomu, abyste klikli na přílohu a tak si zavirovali počítač. A končí to třeba tím, že jdete někam do cizí firmy, před vrátným se vydáváte za zaměstnance, dostanete se dovnitř a odnesete si domů nějaké tajné materiály. První není trestné, druhé je zjevně trestný čin podvodu a krádeže. Ale kde je hranice? A když půjdeme ještě dále – co je ještě morální?
Umění klamu
Kevin Mitnick v současné době vydává knihu nazvanou Umění klamu (The Art Of Deception), dnes se konala její premiéra v České Republice a zároveň autogramiáda v Domě knihy na Václavském náměstí v Praze. Ve své knize Mitnick kupodivu nepíše o sobě, ani o své hackerské praxi a ani nepopisuje technické detaily nebo postupy jak se nabourávat do počítačových systémů, jak bychom mohli čekat. Ale píše zdánlivě o úplně odtažité věci – o social engineeringu.
Proč tomu tak je? Soud Spojených států mimo jiné Mitnickovi zakázal po 7 let od propuštění z vězení vydat jakoukoliv knihu o svém příběhu, o svých zkušenostech a o praktikách, které používal. Proto Kevin napsal tuto knihu, která netradičním způsobem popisuje jeho hackerskou praxi.
Kniha je napsána velmi čtivým a zajímavým stylem. Skládá se z útržků příběhů, kde vždy účinkující dostává hbitým jazykem, podvodem a balamucením (eufemicky social engineeringem) z oběti nějaké důvěrné informace: například autorizační kódy poboček bank, rodná čísla, čísla kreditních karet, adresy, čísla pojištění, jména různých osob. Nebo naopak mistrně tyto informace využívá k získání informací důležitějších. Příběhy jsou proloženy analýzou daných situací, popisem principu použitých technik a rozebráním, kde kdo udělal jakou chybu a jaká je možná obrana.
Všechny postavy a místa v knize byla pochopitelně změněna, ale podle slov autora jsou všechny uvedené příběhy pravdivé a skutečně se staly. Jednotlivé příběhy v knize tak skládají mozaiku životního příběhu Kevina Mitnicka. Když knihu čtete, občas si říkáte, že není divu, proč Mitnicka zavřeli. Místy je až zarážející, co všechno lze z lidí „okecáváním“ dostat za důvěrné informace, jaké na nás lidi platí primitivní triky a jaká používáme jednoduchá zabezpečení.
Mottem celé knihy je citát Alberta Einsteina:
„Pouze dvě věci jsou nekonečné: vesmír a lidská hloupost. Ačkoliv tím prvním si nejsem jist.“
Bohužel to je pravda.
Cílem knihy není napsat návod jak manipulovat lidi, ale seznámit veřejnost, jaké postupy se k manipulaci s lidmi používají a zejména jak se proti nim bránit.
Knížka mne velice zaujala a doporučuji ji nejem paranoikům, ale komukoliv, kdo se chce dozvědět cokoliv o manipulaci s lidmi. Nakladatelství Helion knize věnovalo i internetovou stránku, kde si můžete stáhnout a přečíst Ztracenou kapitolu, která v knize nevyšla a popisuje stručně Mitnickův život.
Interview se nekonalo
V tomto článku jsme se vám chystali přinést i původní rozhovor s Kevinem Mitnickem. K němu ale bohužel díky velmi neserióznímu jednání ze strany vydavatele a pořadatele konference nakonec nedošlo. Na osobní schůzce se zástupci Helionu, která proběhla zhruba před měsícem v Praze, bylo redakci přislíbeno, že budeme mít vyhrazený čas pro krátké interview, avšak když jsme dorazili na konferenci, dozvěděli jsme se, že v programu vůbec nejsme a na rozhovor se s námi naprosto nepočítá. Po upozornění, že jsme si předem dohodli interview, a dotazu, kdy se tedy bude konat, nám pan Grzegorz Schwarz, který se informativní schůzky v Praze osobně účastnil, sdělil, že máme počkat a najde-li se volná chvilka, pokusí se nás někam „vecpat“. To pochopitelně nebylo díky nabitému programu možné. Když nás takto odbyl již poněkolikáté a pročekali jsme zbytečně půl dne, stejně jsme se ničeho již nedočkali.
Situace nás velmi zamrzela, měli jsme připraveno mnoho zajímavých otázek. Ale když se organizátor zachová naprosto ignorantsky a nekorektně, nedá se nic dělat. Proto při případné koupi knihy pamatujte, že svými penězi sponzorujete i takovéto lidi.
Přesto během tiskové konference padly nějaké zajímavé dotazy:
Byl jste schopen dostat se do každého systému, nebo jste i někdy prohrál? Dostal byste se dnes do každého systému, nebo si myslíte, že byste prohrál, když technika tolik pokročila?
„Software se vyvíjí a mění velmi rychle a pokud chcete být v této oblasti dobrý, musíte to dělat každý den a musíte na sobě velmi intenzivně pracovat. Když jsem byl ve vazbě, tak se ty systémy za 4 roky velmi změnily a velmi se rozvinuly. Takže mi trvalo nějakou dobu, než jsem se vrátil, abych tak řekl do staré formy. Ale nikdo na světě není schopen vědět všechno o všech operačních systémech. Takže my máme pro různé systémy různé subdodavatele. A pokud jde o úspěšnost, tak pokud jde o technické průnikové testy, tak tam si myslím, že jsme byli 100% úspěšní. Pokud jde o social engineering testy, tak naše úspěšnost byla také prakticky 100%.“
Firma IBM se chlubí tím, že nikdy se nikdo nedokázal prolomit do jejich systému typu mainframe.
„Není to pravda, já jsem zjistil, že jejich systém VMS C je zranitelný, několikrát jsem tuto zranitelnost vyzkoušel.“
Co nejvyšší místa ve Spojených státech: NSA, NASA, … Jak jste dopadl tam?
„Mým zájmem hackera nebyly nikdy vládní agentury, protože jsem si říkal, že kdybych se dozvěděl něco, co bych vědět neměl, tak bych mohl mít větší problémy než být ve vězení. Mým zájmem byly vždy operační systémy a zajímaly mě zdrojové kódy a jejich nedostatky.“
V poslední době se ve Spojených státech uvažuje o zavedení registrace proti publikování exploitů. Co si o tom myslíte, pomůže to?
"Ve spojených státech byl schválen nový zákon DMCA, který zakazuje zveřejňování informací, které umožňují jiným osobám pronikat do bezpečnostních systémů nebo narušovat autorská práva. Nedávno byl v USA také soudní spor, kdy propuštěný zaměstnanec upozornil zákazníky společnosti na to, že firemní systém není zcela bezpečný. Bývalý zaměstnanec byl obviněn ze zločinu.
Já si myslím, že tento přístup, který zakazuje zveřejňování exploitů nebude fungovat, protože nelze kontrolovat celou planetu. Když v USA bude zakázáno vydávat nějaký software, vydá je někdo v jiné zemi.
Informace chce být svobodná. A bude."
Kevin Mitnick byl včera hostem zpravodajského pořadu České televize Události, komentáře.
Záznam tiskové konference v MP3
- Řeč Kevina Mitnicka na tiskovce (1,5 MB)
- Dotazy a odpovědi (3,5 MB)
