Hlavní navigace

Příchod hackerů: Kevin Mitnick, Stanley Mark Rifkin a sociální inženýrství

Lukáš Erben 2. 1. 2014

Vlámat se do zabezpečených systémů a převést deset milionů dolarů na svůj účet nebo získat přístup k citlivým informacím nemusí znamenat, že jste hackerský bůh nebo programátorský guru. Někdy prostě stačí být dostatečně drzý, přesvědčivý a o potřebné informace si jednoduše správným způsobem říct.

Jen stěží byste hledali mediálně slavnějšího „hackera“ než je Kevin Mitnick. Už ve svých dvanácti letech dokázal právě díky svým sociálním dovednostem oblafnout systém městských autobusů v LA – poté, co mu řidič autobusu, se kterým se spřátelil prozradil,kde si může koupit vlastní zařízení na značení lístků, jezdil prostě na přeznačené přestupní jízdenky, které lidé zahazovali. Není divu že to bylo sociální inženýrství, spíše než geniální programování a prolamování zabezpečených systémů, díky kterému se Kevin nakonec tolik proslavil. Nebyl ale první a neudělal ani největší „kasaštyk“.

Diamanty nejsou věčné

Případ Stanleyho Marka Rifkina je už dnes téměř zapomenutý – odehrál se totiž už na podzim roku 1978, byl poměrně rychle uzavřen a vše co je o něm známo pochází z novinových článků po jeho zatčení (Rifkin nikdy nesouhlasil s rozhovorem pro média, ani svůj příběh nikomu „neprodal“). Rifkin pracoval v roce 1978 u jednoho z dodavatelů záložních systémů pro příkazní místnost Security Pacific National Bank, díky tomu detailně poznal interní pravidla a postupy při převodech – například to, že denní kód pro autorizaci převodů si pracovníci banky často zapisovali do poznámek na svém stole, aby si jej nemuseli pamatovat.

Jednoho dne koncem října 1978 vešel Rifkin do příkazní místnosti zkontrolovat záložní systémy a při té příležitosti si přečetl kód. Při pozdějším výslechu prý prohlásil, že v ten okamžik si připadal jak kdyby vyhrál loterii. Poté odešel k veřejnému telefonnímu automatu v hale banky a vytočil číslo příkazní místnosti, v telefonu se vydával za Mika Hansena z mezinárodního oddělení. Věděl jak takový rozhovor probíhá, takže když byl dotázán číslo kanceláře, odpověděl správně 286. Pak byl požádán o denní kód. S nuceným klidem řekl „4789“. Pokrčoval v zadání převodního příkazu: „Deset milionů a dvě stě tisíc dolarů přesně“ peníze převedl na svůj účet u Irving Trust Company a následně do Wozchod Handels Bank of Zurich, kde měl již připravený účet.

Rifkin si vše pečlivě naplánoval, při své přípravě ale nezaznamenal, že pro dokončení převodního příkazu je třeba ještě vyrovnávací číslo oddělení. Prohlásil klidně, že ho obratem zjistí, zavolal do mezinárodního oddělení, kde se vydával za zaměstnance příkazní místnosti a zjistil potřebné číslo, to pak zavolal slečně v příkazní místnosti. Úspěch. Více než deset milionů dolarů (zhruba miliarda Kč v dnešních cenách) bylo na jeho účtu v Zurichu.

Stanley plánoval důkladně. 26. října odletěl do Švýcarska, kde za osm milionů dolarů nakoupil od sovětské agentury Russalmaz diamanty (celkem 43 200 karátů, tedy necelých 9 kg), ty následně propašoval do USA, kde je chtěl postupně rozprodat. Nepočítal ale s tím, že jej zradí společník, který mu pomáhal s prodejem části diamantů. Na Rifkinův trik totiž mezitím přišla FBI (v bance kupodivu nic podezřelého nezachytili a první informaci získali až od „federálů“) a celá věc byla okamžitě medializována. Rifkin byl zatčen už 5. listopadu 1978, doslova pár dnů poté, co „vyhrál loterii“. Rifkinovi se téměř podařilo vyklouznout, neboť FBI neměla platný příkaz k prohlídce jeho bytu. Nakonec byl ale zatčen znovu v únoru 1979 pro pokus o opakování vyzkoušeného postupu v Union Bank, kde chtěl ukrást 50 milionů dolarů. Přiznal se a byl odsouzen na osm let – prakticky všechny ukradené peníze (diamanty) byly vráceny bance.

Článek v Sarasota Herald o Rifkinově přiznání. (Zdroj: Google News)

Stanley Rifkin provedl do té doby největší bankovní loupež v historii USA, byl sice počítačovým expertem, pro svůj „hack“ ale potřeboval jen telefon a znalost interních postupů – je to modelový příklad raného sociálního inženýrství, metody kterou o deset let později zdokonalil a později ve své knize podrobně popsal mediálně nejslavnější „hacker“ historie a která se v různých obměnách používá dodnes. Koneckonců ani nigerijské emailové „scamy“ nejsou ničím jiným než aplikací principů sociálního inženýrství.

Prostě si o hesla řekněte!

Kevin Mitnick se poprvé naboural do počítačové sítě v roce 1979, jen pár měsíců poté, co byl odsouzen Stanley Rifkin – bylo mu 16 let. Od kamaráda Micaha Hirschmana sehnal telefonní číslo na Ark, vývojovou centrálu DEC (Digital), kde byl vyvíjen operační systém RSTS/E. Protože Micah prozradil Kevinovi heslo, kterým se jeho otec do systémů přihlašoval, stačilo se Mitnickovi pomocí terminálu s termální tiskárnou a modemem (monitor byl tehdy příliš velký luxus) úspěšně do sítě dostat, vyzkoušet si nový software a část kódu si i vytisknout. Incident ale neušel pozornosti administrátorů, kteří upozornili FBI. Ta nakonec zazvonila u Mitnicků doma.

Když jsem šel dolů, agent mně pozdravil, podal mi ruku a řekl „zatýkal jsem Stanley Rifkina“. Předpokládal že budu vědět o koho jde – koneckonců dokázal největší krádež onoho druhu v dějinách, když ukradl deset milionů dolarů ze Security Pacific National Bank. Agent si myslel že mne vyděsí, jenže já věděl, že Rifkina chytli jen proto, že se vrátil do Států a pak žvanil o tom co provedl. Nebýt toho, tak si užíval za hranicemi luxusu.

Tenhle chápek byl ale federál a v té době ještě stále nebyly žádné federální zákony, které by pokrývaly neoprávněný přístup do počítačových systémů – tedy to, co jsem dělal já. Prohlásil: „Pokud budeš dál pokoušet štěstí s telefonní společností, můžeš za to dostat až 25 let.“ Bylo jasné, že je bezmocný. Jen se mne pokoušel vyděsit.

Kevin Mitnick „Ghost in The Wires“, 2011

Mitnick v pozdějších letech zdůrazňoval, že se do počítačových sítí a systému nedostával pomocí speciálních aplikací nebo hackovacích nástrojů, ale výhradně pomocí sociálního inženýrství – ostatně i heslo k systémům DEC prostě získal od kamaráda, který jej „šluknul“ svému otci.

Mnoho útoků zahrnujících sociální inženýrství je důmyslných, založených na řadě kroků, složitém plánování, kombinaci a směsi manipulace a technologických dovedností. Osobně si ale myslím, že schopný sociální inženýr může dosáhnout svého cíle jednoduchým a přímým útokem. Často prostě stačí se někoho zeptat, nebo ho o informace které potřebujete požádat.

Když jsem před časem vypovídal před výborem Kongresu, vysvětlil jsem jim, že hesla i další citlivé informace jsem u řady společností získal prostě tak, že jsem se vydával za někoho jiného a řekl si o ně.

Kevin Mitnick, „Art of Deception“, 2002

DEC se mu nakonec stal osudným. Když se v roce 1988 znovu naboural s kamarádem Lennym do počítačů společnosti aby získal zdrojový kód operačního systému VMS a mohl jej studovat a hledat bezpečnostní trhliny, dostal se znovu do hledáčku FBI. Ve skutečnosti jej ale nedokázali obvinit z toho, co skutečně udělal, a tak připravili zatykač který, podle Mitnicka, obsahoval pouze vymyšlená a absurdní obvinění (nabourání se do systémů NSA, odpojení telefonu jeho probačního dohledu, změny policejních záznamů a vymazání předchozích zatčení či obtěžování herečky McNicholsové odpojováním jejího telefonu). Dostal rok vězení (z toho osm měsíců strávil v samovazbě, protože vyšetřovatelé údajně prohlásili že se jedná o „nejnebezpečnějšího hackera na světě“ a byl by, jak prohlásil vyšetřovatel Leon Wiedman, schopen „rozpoutat jaderný konflikt pískáním do telefonního automatu“) a tříletou podmínku.

Kevin si ale nedokázal pomoci. Stále znovu a znovu se prolamoval do systémů, které ho zajímaly a ke konci tříleté podmínky se naboural do počítačových systémů telekomunikační společnosti Pacific Bell spravujících hlasovou poštu. V Poté co zjistil, že se jej FBI opět chystá zatknout, stal se z Mitnicka psanec a začal na něj několikaletý hon. Ve své knize později napsal, že rozhodnutí utíkat udělal po zkušenosti z konce osmdesátých let, když jej FBI poslala před soud na základě falešných obvinění a strávil dlouhou dobu v samovazbě: „Když zjistíte, že stát nehraje fér, můžete udělat jedinou rozumnou věc: utíkat.“

V průběhu dvou a půl let, kdy byl na útěku, se naboural do řady počítačových systémů, pořídil si několik sad falešných dokladů, klonoval sim karty. Je těžké říci jak velká část jeho aktivit souvisela s kamuflováním jeho útěku, kolik toho dělal pro svou „obživu“ a nakolik pro něj bylo získávání citlivých informací koníčkem a vášní. Nakonec byl ale v únoru 1995 dopaden a v roce 1999 se přiznal ke čtyřem případům elektronické zpronevěry, dvěma případům hackování a jednomu případu nelegálního odposlechu. Podruhé strávil Mitnick ve vězení celkem pět let, z toho čtyři a půl roku před soudním přelíčením.

Po propuštění bylo Mitnickovi zakázáno používat jakékoliv komunikační technologie krom pevné telefonní linky, toto omezení nakonec ale u soudu napadl a vyhrál. Do roku 2010 mu také bylo zakázáno jakkoliv profitovat na knižním či filmovém zpracování jeho příběhu. První kniha „Art of deception“, kterou vydal v roce 2002, tak nepopisovala jeho vlastní aktivity, ale především postupy a praktiky sociálního inženýrství – a přináší v ní klíčové poučení. Je jedno, jak kvalitní zabezpečení a systémy podnik, banka nebo vládní instituce má, pokud nedokáže správně vyškolit zaměstnance, aby dokázali odolat útoku cestou sociálního inženýrství.

Kevin Mitnick (uprostřed) v roce 2006. (Zdroj: Wikipedie)

Nejslavnější, nikoliv nejnebezpečnější

Případ Kevina Mitnicka je ale také skvělou ukázkou, jak média a vlastně i vyšetřovatelé dokáží nafouknout případ, který možná není banální, ale ve skutečnosti ani klíčový, prostě proto, že je to čtenářsky atraktivní, nebo tím lze získat body u nadřízených a voličů. Kevin měl tu smůlu (a v horizontu jeho životního osudu a kariéry vlastně i to štěstí), že se objevil v době, kdy bylo třeba na někom „otestovat“ nové zákony proti počítačové kriminalitě. Jeho notorické „hackerství“ a více než dvouletý život „na útěku“ bylo vděčným tématem pro vyšetřovatele i média. Ve srovnání s dnešními esy kybernetického zločinu byl Mitnick vlastně jen hravý, vynalézavý a bezpochyby i geniální notorický sociální experimentátor. Ostatně, jak praví český divadelní klasik Jára Cimrman: co je to za eso, přátelé, když se nechá chytit.

Kevin Mitnick svůj příběh nakonec odvyprávěl v knize „Ghost in the Wires“ vydané v roce 2011, kterou vám můžeme jen doporučit, dozvíte s v ní mimo jiné o jeho prvním zatčení, tom, proč se musel přiznat k „hacku“ který na něj hodila bývalá přítelkyně jeho kolegy ze žárlivosti (patrně proto, že místo aby se věnoval jí, se raději „prolamoval“ s Kevinem do počítačových systémů), o tom, jak špehoval přítele dívky, kterou se snažil získat, o jeho několikaletém útěku i řadě fíglů a triků, které používal, když se chtěl dozvědět citlivé informace nebo dostat do počítačových systémů. Je to skvělé čtení.

Kevin Mitnick se dnes živí jako bezpečnostní konzultant a vlastní společnost Mitnick Security.

Použité zdroje

Našli jste v článku chybu?

2. 1. 2014 17:35

Ondra (neregistrovaný)

Let the flame war begin!
Sam Mitnick o sobe nikdy nerikal, ze je hacker. On je/byl socialni inzenyr. Jeho znalosti byly hlavne v tom, jak prijit do velke firmy prevleceny za popelare a tim, ze keca s lidmi ziskat heslo roota a jeste se tam zadarmo nazrat. To ze je Hacker, mu dali novinari. On sam by ani neumel sedet nekde na terminalu a vlamovat se do nejakych slozitych systemu ani to nikdy netvrdil. To z nej ale nedela "obycajny pozer". Takovejch lidi co prodali prava na svuj zivotopis je mraky…

2. 1. 2014 16:06

Marnění času je každej film, krom vzdělávacích dokumentů.

Vitalia.cz: Jak koupit Mikuláše a nenaletět

Jak koupit Mikuláše a nenaletět

DigiZone.cz: Další dva kanály nabídnou HbbTV

Další dva kanály nabídnou HbbTV

Vitalia.cz: Žloutenka v Brně: Nakaženo bylo 400 lidí

Žloutenka v Brně: Nakaženo bylo 400 lidí

Podnikatel.cz: Dárky v podnikání. Jak je uplatnit v daních?

Dárky v podnikání. Jak je uplatnit v daních?

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Vitalia.cz: 9 největších mýtů o mase

9 největších mýtů o mase

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Prodává přes internet. Kdy platí zdravotko?

Prodává přes internet. Kdy platí zdravotko?

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Měšec.cz: U levneELEKTRO.cz už reklamaci nevyřídíte

U levneELEKTRO.cz už reklamaci nevyřídíte

Lupa.cz: Avast po spojení s AVG propustí 700 lidí

Avast po spojení s AVG propustí 700 lidí

Vitalia.cz: Tesco: Chudá rodina si koupí levné polské kuře

Tesco: Chudá rodina si koupí levné polské kuře

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně

Měšec.cz: Finančním poradcům hrozí vracení provizí

Finančním poradcům hrozí vracení provizí

Vitalia.cz: Baletky propagují zdravotní superpostel

Baletky propagují zdravotní superpostel

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

DigiZone.cz: Sony KD-55XD8005 s Android 6.0

Sony KD-55XD8005 s Android 6.0

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?